11、Horizon UAG网关服务器部署与安全配置实战

1. Horizon UAG网关服务器部署全流程Horizon UAGUnified Access Gateway是VMware专门为Horizon虚拟桌面环境设计的安全访问网关。它就像企业内网和外部用户之间的智能门卫负责验证身份、过滤流量确保远程访问既方便又安全。下面我会用最直白的语言带你走完从零部署的全过程。1.1 前期准备工作部署UAG之前需要准备好这些食材OVF模板文件从VMware官网下载最新版比如euc-unified-access-gateway-21.11.1.0-19072784_OVF10.ova网络规划表包括内网IP、外网IP、端口映射关系建议画个草图连接服务器信息至少需要知道内网连接服务器的IP或域名我建议先在测试环境演练一遍。曾经有个客户直接在生产环境操作因为DNS解析问题折腾了半天。提前在笔记本上记下这些关键信息能省很多事内网IP192.168.230.44外网IP115.237.109.73端口映射外网9000→内网443外网9001→内网84431.2 OVF模板导入详解登录vCenter后右键集群选择部署OVF模板。这里有几个容易踩坑的地方网卡数量选择单网卡简单但可能有性能瓶颈双网卡更安全但需要配置路由。中小型企业选单网卡就够了磁盘格式务必选精简置备能动态分配空间。有次我手滑选了厚置备结果200GB空间瞬间被占满网络配置建议先用静态IP等调试完成再考虑DHCP导入完成后别急着开机先检查虚拟机设置里的内存至少8GB和CPU至少4核。有次性能问题排查半天最后发现是资源分配不足。2. 初始化配置实操指南2.1 首次登录配置页面通过浏览器访问https://[UAG_IP]:9443时大概率会遇到证书警告。别慌这是正常现象。点击高级→继续前往即可。我见过有人在这个环节反复重装系统其实完全没必要。进入配置页面后选择手动配置自动配置适合大规模部署启用Edge服务相当于打开网关的总开关重点来了——Horizon设置里的连接服务器地址2.2 指纹验证的玄机这里有个特别容易出错的地方——指纹验证。点击不安全→证书无效找到SHA256指纹复制下来。格式必须是这样的sha25683:4F:C6:D8:07:1A:4E:92:E4:AE:85:B8:75:F8:32:A3:96:F1:F6:73:3D:14:F5:65:2D:D5:8E:3D:AF:50:F2:52如果遇到服务显示红色90%的情况是指纹复制时多了空格连接服务器地址用了域名但DNS解析失败这时改用IP试试防火墙端口没开检查443和8443查看日志的命令特别实用tail -f /opt/vmware/gateway/logs/esmanager-std-out.log3. 安全加固关键步骤3.1 连接服务器配置文件修改这个步骤很多文档都讲得模糊其实就两步在连接服务器创建C:\Program Files\VMware\VMware View\Server\sslgateway\conf\locked.properties文件写入以下内容注意等号两边不要空格checkOriginfalse enableCORSfalse然后重启VMware Horizon View安全网关组件服务。这里有个小技巧先用记事本写好内容保存时选择所有文件类型避免生成.txt后缀。3.2 UAG系统级安全设置在UAG的系统配置页面建议调整这些参数密码期限设为90天太短用户抱怨太长不安全NTP服务器配置内网时间服务器时间不同步会导致证书验证失败监控用户创建专用监控账号不要用admin曾经有个案例因为时间偏差3分钟所有用户都无法登录。配置NTP后问题立即解决。4. 注册与连通性测试4.1 在连接服务器注册UAG在Horizon控制台的网关页面注册时注意主机名要用FQDN格式如uag01.company.com注册完成后一定要到连接服务器属性里取消所有勾选这是为了强制走UAG通道测试时遇到过这种情况注册成功但连接失败。后来发现是连接服务器防火墙挡住了UAG的IP。加条白名单规则就解决了。4.2 内外网测试技巧分两个阶段测试内网测试用另一台内网电脑通过UAG的IP访问排除网络因素外网测试通过手机热点连接模拟真实环境建议测试这两种方式Horizon Client直连测试基础功能Web浏览器访问测试HTML5适配有个实用技巧在UAG服务器上运行ping和telnet命令先确认到连接服务器的网络可达性ping 192.168.230.44 telnet 192.168.230.44 443如果遇到连接问题先检查这些UAG服务状态全部要是绿色防火墙规则特别是NAT转换是否正确证书有效期过期的证书会导致各种奇怪错误最后提醒正式上线前建议用压力测试工具模拟多用户并发访问。我遇到过UAG在20人同时连接时就崩溃的情况后来调整JVM参数才解决。配置文件的路径在/opt/vmware/gateway/conf/可以调整内存分配等参数。