Установка настройка VMware Unified Access Gateway| UAG

V-GRADE
ул.Толстого, 3 140072 Россия, Московская обл., г.Люберцы
+7 (495) 662-58-98 vmware@v-grade.ru

Установка и настройка VMware Unified Access Gateway UAG


Установка и настройка VMware Unified Access Gateway.
Устанавливать VMware UAG мы будем на ESXi, установленный в пункте 1 .

VMware Unified Access Gateway

Загрузка VMware UAG 3.8


Univeral Access Gateway - часть Horizon Standard

uag
VMware Unified Access Gateway
Horizon

Установка VMware UAG 3.8


Для установки VMware UAG 3.8 будем использовать vCenter.
Есть возможность сделать это без vCenter (Внедрение OVF без vCenter | VMware), но тогда мы должны будем применять средства типа ovftool, которые отвлекут нас от, собственно, установки и настройки UAG.

Заходим в vCenter и выбираем

ESXi
vCenter
VMware
131
132
Выбираем вариант развёртывания с 2-мя сетевыми картами.
На одну карту будет приходить интернет, а вторая будет в локальной сети.

133
134
Обе карты, то есть и интернет и локальная сеть у нас будут в одной виртуальной сети внутри ESXi.
Напоминаем, что цель нашего эксперимента - провести тест, а дальше адаптировать решение в соответствии с реалиями доступа у вас.

135
Выбираем тип настройки STATICV4.
Добавляем адрес, который будет смотреть в сеть интернет.
В данном случае мы возьмем адрес из сети 192.168.100.0/24 и на него пробросим 3 порта: 443, 8443 и 4172 со шлюза.

STATICV
DNS сервер у нас живет во внутренней сети, которую из этого интерфейса мы настроить не можем (сделаем это чуть позже), но нужно, чтобы этот DNS мог резолвить наш View Connection Server view-conn.virtual.local.
Поэтому я поставил сюда DNS с домен контроллера.

DNS
Шлюз 192.168.100.10 - это шлюз в интернет, на котором мы настраивали проброс портов.
Unified Gateway Appliance Name - это имя, которое нам понадобится для регистрации шлюза в View Connection Server (вот тут)

138
И пароли root и admin для управления UAG. SSH можно оставить в состоянии disable.

SSH
disable
Дальше VMware Universal Gateway какое-то время разворачивается на ESXi, после чего машину UAG-3.8 нужно запустить.

Если установка была через vCenter, то можно зайти в него и посмотреть, какой адрес назначился интерфейсу управления через DHCP (прописывали в настройках мы только внешний интерфейс, адрес которого 192.168.100.100, но управление не будет работать через интерфейс, предназначенный для интернет).

141
Если установка была через ovftool, то мы можем зайти в консоль UAG и посмотреть настройки интерфейсов.

ovftool
143
144
И выполнить команду ifconfig -a.
Эта команда показала 2 интерфейса: внешний, уже настроенный нами с ip 192.168.100.100 и внутренний с адресом, подхваченным с DHCP 192.168.0.211.

ifconfig
Для конфигурирования VMware UAG заходим на адрес https:192.168.0.211:9443/admin и вводим пользователя admin и его пароль, установленный на этапе разворачивания OVF.

OVF
Выбираем ручную настройку

146
Меню General Settings показываем Edge Service Settings и переходим в настройки Horizon Settings

Edge Service Settings
Включаем Horizon и указываем FQDN View Connection сервера, как он виден с этого шлюза внутри локальной сети.

FQDN
Connection Server URL Thumbprint берем из сертификата View Connection сервера.
Для этого заходим через браузер в консоль управления View Connection Server по адресу view-conn.virtual.local/admin или https:
192.168.11.20/admin, смотрим свойства соединения и выбираем там сертификат.

View Connection Server
Внутри свойств сертификата находим Thumbprint и Thumbprint algorithm.

Thumbprint algorithm
И вбиваем эти данные как показано ниже

151
Включаем PCoIP (для физических ПК он работать не будет, если только в них не стоит teradici PCoIP карта).
PCoIP External URL - это строго ip адрес, не FQDN, это реальный ip адрес шлюза UAG, как он будет виден клиентам, подключающимся из Интернет.
Включаем Blast (для физических ПК он работать не будет, хотя прямых противопоказаний к этому нигде не найдено).
Blast External URL - это FQDN, к которому будут обращаться клиенты из Интернет, чтобы попасть на свою машину, т.е. это внешний, Интернет FQDN.
Включаем Tunnel и указываем его FQDN и порт.
Это адрес, по которому будут заходить клиенты из Интернет и работать по протоколу RDP (вот он будет работать с физическими ПК).
Proxy Pattern - это условие, по которому запрос пользователя будет перенаправляться на Horizon.
Если он /, то все запросы пользователей, отправленные на virtual.v-grade.ru будут отправлены на Horizon View Connection Server.

152
153
Меняем настройки сети
154
Меняем настройки сети
155
Наша внутренняя сеть, в которой находится View Connection Server, физические ПК или виртуальные рабочие столы, DNS сервер - 192.168.11.0/255.255.255.0. Ставим адрес из нее.

156
Проверяем настройки Horizon и видим, что Horizon Destination Server не найден.
Скорее всего это из-за того, что шлюз UAG не резолвит view-conn.virtual.local.
Можно зайти в консоль UAG и попробовать пинг view-conn.virtual.local.

157
Заходим опять в Horizon Settings, разворачиваем полностью настройки, находим Host Entries и добавляем запись 192.168.11.20 view-conn.virtual.local

158
159
Проверяем пингом view-conn.virtual.local

160
Проверяем через минуту Horizon Settings и видим, что всё хорошо.

161
VMware Universal Access Gateway увидел View Connection Server.
Осталось проверить, что View Connection Server видит VMware Universal Access Gateway.
Для этого заходим на страницу управления View Connection Server
view-conn.virtual.local/admin

163
UAG не виден.
Для того, чтобы он заработал, нам надо зайти на наш внешний FQDN (который мы настраивали для Blast или PCoIP туннелей, в нашем случае virtual.v-grade.ru) с помощью Horizon View клиента с административным пользователем.
Когда будете конфигурировать проброс портов для внешнего интерфейса UAG не забывайте, что нужен будет как минимум порт 443.
Для Blast нужен будет порт 8443, для PCoIP 4172.

view client admin
0002
В нашем случае мы сразу попали на рабочий стол, поскольку назначили пользователю virtual\Administrator (который является администратором View) пул и машину.
Если бы мы этого не сделали, произошла бы ошибка, которая сказала бы нам о том, что ползьователю не назначен рабочий стол.
Но тем не менее мы идем и проверяем на странице конфигурирования View Connection сервера, что шлюз виден.

165
Он виден, ура. Да и проброс на рабочий стол работает. Вот и всё!

~~DISQUS~~

ustanovka-i-nastrojka-vmware-unified-access-gateway.txt · Последнее изменение: 2021/04/27 19:49 — pafnutiy152