如果想通过Internet使用企业内部的虚拟桌面,有三种方式:

(1)在企业出口配置VPN服务器,Internet用户通过VPN的方式登录到Horizon连接服务器以使用虚拟桌面。

(2)配置Horizon安全服务器,Internet用户通过安全服务器使用虚拟桌面。

(3)配置VMware Unified Access Gateway(简称UAG),Internet用户通过UAG使用虚拟桌面。

VMware 从Horizon 7.5.0版本开始,VMware推荐使用Unified Access Gateway代替安全服务器。Unified Access Gateway (以下简称UAG可作为公司受信任网络中用于连接的代理主机。这种设计禁止从面向公众的本节介绍在只有1个公网IP地址的情况下使用UAG将企业内部多组虚拟桌面同时发布到Internet的方法。

1 UAG实验环境介绍

为了介绍UAG,本节准备了如下的实验环境,如图1所示。

一个公网IP地址发布多组Horizon虚拟桌面​_发布多组服务器


图1 UAG实验环境

在本示例中,一台防火墙(或路由器)连接企业内、外网,防火墙外网IP地址为61.x1.x2.49,内网IP地址为192.168.6.254。核心交换机默认路由指向192.168.6.254。核心交换机默认路由配置如下:

ip route-static 0.0.0.0 0.0.0.0 192.168.6.254

当前配置了2组Horizon虚拟桌面。第1组虚拟桌面UAG的IP地址为192.168.0.213,配对的Horizon连接服务器的IP地址为192.168.0.211,虚拟桌面使用192.168.0.0/24中地址段(192.168.0.100-192.168.0.199)。

第2组虚拟桌面UAG的IP地址192.168.6.70,配对的Horizon连接服务器的IP地址为192.168.6.72,虚拟桌面使用192.168.6.0/24中的地址(192.168.6.100-192.168.6.199)。

这2个不同的网段属于交换机中的不同VLAN

在当前示例中,每组UAG服务器及Horizon连接服务器都使用默认的服务端口(即TCP的443,TCP与UDP的4172和8443)。在转发多组Horizon虚拟桌面时,使用UAG转发连接服务器到Internet,不需要修改默认的Horizon连接端口的地址,这是与使用Horizon安全服务器不同之处。

在本示例中,在当前示例中,防火墙外网IP地址61.x1.x2.49映射443、4172、8443到第1台UAG服务器的443、4172和8443,配置防火墙配置如图2所示。

一个公网IP地址发布多组Horizon虚拟桌面​_1个公网IP_02


2防火墙映射外网端口到第1台UAG服务器

防火墙外网IP地址61.x1.x2.49映射3001、2002、3003(也可以使用其他空闲端口)到第2台UAG服务器的443、4172和8443,配置防火墙配置如图3所示。

一个公网IP地址发布多组Horizon虚拟桌面​_1个公网IP_03


3 防火墙映射外网端口到第2台UAG服务器

配置的难点主要在UAG服务器,下面详细介绍。

2 配置Unified Access Gateway

在部署好UAG以及设置时区之后,登录UAG配置界面进行设置。以第1台连接服务器192.168.0.213为例介绍。

(1)UAG的配置地址是https://192.168.0.213:9443,输入管理员账号admin及密码登录,在“常规设置”中单击“Edge服务设置”,进入“Horizon设置”。

2)在“Horizon设置”对话框中启用Horizon,然后进行配置。在本示例中,配置信息如下。

连接服务器URL:https://192.168.0.211:443

连接服务器URL指纹sha1=c5 06 4e 28 10 de a7 45 98 39 e2 3f 14 61 c8 a9 c7 04 9f be

连接服务器IP模式:IPv4

启用PCoIP、禁用PCoIP旧版证书

PCoIP外部URL61.x1.x2.49

Blast外部RUL:https://vm.x1.cn

设置之后单击“保存”按钮,如图4所示。

【说明】使用默认的端口,例如PCoIP外部URL默认为4172,Blast外部URL默认使用8443时,不需要添加端口号。如果没有使用默认端口,需要添加端口号。Blast可以使用域名或公网IP地址,如果使用域名,要求该域名能解析成防火墙的公网地址,本示例为vm.x1.cn

一个公网IP地址发布多组Horizon虚拟桌面​_Horizon_04


4 Horizon设置

在本示例中,UAG使用的连接服务器的是https://192.168.0.211,需要将这个证书的URL指纹。在浏览器中输入https:// 192.168.0.211,单击证书前面的“锁”的图标,在弹出的对话框中单击“证书(有效)”链接,在“证书”对话框的“详细信息”选项卡中,复制SHA1的指纹。在本示例中,指纹数据为73 D6 EF 03 E9 9F 62 64 3E 15 FF 1E 09 A3 17 0D A6 73 84 42,则在图3中“连接服务器URL指纹”信息如下

sha1=73 D6 EF 03 E9 9F 62 64 3E 15 FF 1E 09 A3 17 0D A6 73 84 42

配置完成后,在“Edge服务器设置”中刷新,Horizon设置中图标都是绿色才行。

配置完成修改UAG转发的连接服务器,在与其配对的连接服务器上禁用PCoIP与Blast

(1)登录Horizon控制台,在“设置→服务器→连接服务器”中,选中连接服务器,选择“编辑”,在“编辑连接服务器设置”对话框中,取消PCoIP安全网关与Blast安全网关的选择,如图5所示。

一个公网IP地址发布多组Horizon虚拟桌面​_发布多组服务器_05


5 不使用PCoIP安全网关和Blast安全网关

经过上述配置,Horizon Client就可以使用Unified Access Gateway来访问虚拟桌面。

第2组UAG服务器与连接服务器配置类似,不同之处是在UAG中为PCoIP外部URL、Blast外部URL及隧道外部URL添加防火墙映射的外部端口。如图6所示。配置信息如下。

连接服务器URLhttps://192.168.6.72

PCoIP外部URL61.x1.x2.49:3002

Blast外部RULttps://vdi.x1.cn:3003

隧道外部URL https://vdi.x1.cn:3001


一个公网IP地址发布多组Horizon虚拟桌面​_Horizon_06


6 第2台UAG服务器配置

第2台连接服务器的配置与第1台类似,取消PCoIP安全网关与Blast安全网关的选择,其他保持默认不变。这些不再一一介绍。

当Internet用户访问第1组虚拟桌面时,连接地址为https://vm.x1.cn。访问第2组虚拟桌面时,连接地址为https://vdi.x1.cn:3001

当局域网用户访问第1组虚拟桌面时,连接地址为https://192.168.0.211。访问第2组虚拟桌面时,连接地址为https://192.168.6.72。请大家自行测试,这些不再一一介绍。


【说明】

本文发表在《网络安全和信息化》2023年第11期,第105~107页,作者 常旭 王春海。