保姆级教程:用VMware vCenter部署Horizon UAG网关(OVF导入+防火墙映射全流程)
Horizon UAG网关部署实战:从零搭建高可用虚拟化接入层
在数字化转型浪潮中,虚拟桌面基础设施(VDI)已成为企业IT架构的核心组件。作为VMware Horizon套件中的关键枢纽,Unified Access Gateway(UAG)承担着内外网流量调度和安全隔离的重要职责。本文将带您完成一次生产级UAG部署的全过程,涵盖从OVF模板导入到防火墙策略调优的每个技术细节。
1. 环境准备与前置条件
部署UAG网关前,需要确保基础环境满足以下要求:
- vCenter Server 7.0 U3及以上版本:确保具备集群管理权限
- ESXi主机资源:至少4核CPU/8GB内存/100GB存储空间
- 网络规划:
- 管理网络:192.168.230.0/24(示例)
- 外部访问IP:115.237.109.73(需公网可路由)
- DNS正向/反向解析记录已配置
- 防火墙策略(预开放端口):
| 方向 | 协议 | 端口 | 用途 |
|---|---|---|---|
| 入站 | TCP | 443 | 外部用户HTTPS访问 |
| 入站 | TCP | 8443 | 管理控制台访问 |
| 出站 | TCP | 9000-9001 | 连接服务器通信 |
提示:实际部署时应根据企业安全策略调整端口范围,建议使用非标准端口增强安全性
下载官方OVF模板时,注意选择与Horizon版本匹配的UAG发行包。例如对于Horizon 8 2111版本,应获取euc-unified-access-gateway-21.11.1.0-19072784_OVF10.ova文件。
2. OVF模板部署详解
2.1 vCenter导入流程
登录vCenter Web Client,右键目标集群选择部署OVF模板
在本地文件系统中选择下载的OVA文件,上传过程可能持续5-10分钟
关键配置参数:
- 虚拟机名称:遵循命名规范如
UAG-PRD-01 - 计算资源:选择具有足够资源的ESXi主机或DRS集群
- 存储配置:
- 磁盘格式:精简置备(节省存储空间)
- 存储策略:根据SLA要求选择适当的数据存储
- 虚拟机名称:遵循命名规范如
网络适配器映射:
- NIC1:连接管理网络(VLAN 230)
- NIC2:连接DMZ区域(可选)
- 启用MAC地址欺骗以支持负载均衡
# 验证虚拟机创建成功的命令行检查 govc vm.info -json UAG-PRD-01 | jq '.VirtualMachines[].Config.Hardware.Device[] | select(.MacAddress)'2.2 初始网络配置
首次启动UAG虚拟机时,需通过vCenter控制台完成基础网络设置:
- IPv4配置:静态地址192.168.230.44/24
- 默认网关:192.168.230.1
- DNS服务器:企业内网DNS地址
- NTP服务器:time.vmware.com或企业内部NTP
注意:密码复杂度必须满足VMware要求(至少8字符,含大小写字母和特殊字符)
配置完成后,可通过https://192.168.230.44:9443访问管理界面,首次登录会强制要求修改默认密码。
3. UAG服务核心配置
3.1 Horizon连接服务器集成
在Edge服务设置中启用Horizon协议支持
添加连接服务器时常见问题处理:
- 证书错误:点击"不安全"→"证书无效"获取指纹
- 指纹格式:sha256=83:4F:C6:D8:07:1A:4E:92...
- 多服务器时用英文逗号分隔地址
关键验证指标:
- 服务状态应显示为绿色
- 日志文件无ERROR级别记录:
tail -f /opt/vmware/gateway/logs/esmanager-std-out.log
3.2 高可用性配置
对于生产环境,建议部署至少2台UAG实现负载均衡:
- 网络拓扑:
- 配置浮动IP(VIP) 115.237.109.73
- 启用TCP连接保持(keepalive)
- 健康检查:
- 设置HTTP GET /favicon.ico作为探针
- 故障切换阈值:连续3次失败
| 参数 | 主节点 | 备节点 |
|---|---|---|
| 主机名 | uag01 | uag02 |
| 优先级 | 100 | 50 |
| 抢占模式 | 启用 | 禁用 |
4. 防火墙策略与安全加固
4.1 端口映射最佳实践
在边界防火墙需配置以下NAT规则:
入站映射:
- 公网115.237.109.73:443 → 内网192.168.230.44:443
- 公网115.237.109.73:8443 → 内网192.168.230.44:8443
出站控制:
- 仅允许UAG访问连接服务器的TCP 9000-9001端口
- 限制ICMP仅响应来自管理网络的请求
# 使用nmap验证端口开放情况 nmap -Pn -p 443,8443,9000-9001 192.168.230.444.2 安全增强措施
- 证书管理:
- 替换自签名证书为CA签发证书
- 启用OCSP装订(Stapling)
- 访问控制:
- 限制管理界面仅允许跳板机IP访问
- 配置失败登录锁定策略(5次尝试后锁定15分钟)
- 日志审计:
- 配置远程syslog服务器接收审计日志
- 每日自动轮转日志文件
5. 连接服务器侧配置
5.1 安全策略调整
在每台Horizon连接服务器上创建C:\Program Files\VMware\VMware View\Server\sslgateway\conf\locked.properties文件,内容如下:
# 跨域资源共享配置 checkOrigin=false enableCORS=false # 会话超时设置 sessionTimeout=3600修改后需重启VMware Horizon View安全网关组件服务:
Restart-Service -Name "VMware Horizon View Security Gateway"5.2 UAG注册与验证
- 在Horizon控制台完成UAG注册:
- 导航至服务器→网关
- 输入UAG主机名(非IP地址)
- 连接服务器配置优化:
- 取消勾选默认网关选项
- 设置负载均衡权重为50/50(双节点时)
最终验证阶段,建议使用以下测试矩阵:
| 测试类型 | 客户端位置 | 预期结果 |
|---|---|---|
| Horizon Client | 外网WiFi | 成功建立Blast会话 |
| Web控制台 | 4G网络 | 可正常显示桌面池 |
| 双因素认证 | VPN连接 | 触发MFA挑战 |
遇到服务状态显示红色时,首先检查/opt/vmware/gateway/logs下的错误日志,常见问题包括DNS解析失败、证书时间不同步或防火墙规则阻止等。