Установка и настройка VMware Unified Access Gateway UAG

Установка и настройка VMware Unified Access Gateway.
Устанавливать VMware UAG мы будем на ESXi, установленный в пункте 1 .

• VMware Esxi - Купить VMware Esxi в Казахстане.
  

Univeral Access Gateway - часть Horizon Standard

Для установки VMware UAG 3.8 будем использовать vCenter.
Есть возможность сделать это без vCenter (Внедрение OVF без vCenter | VMware), но тогда мы должны будем применять средства типа ovftool, которые отвлекут нас от, собственно, установки и настройки UAG.

Заходим в vCenter и выбираем






Выбираем вариант развёртывания с 2-мя сетевыми картами.
На одну карту будет приходить интернет, а вторая будет в локальной сети.



Обе карты, то есть и интернет и локальная сеть у нас будут в одной виртуальной сети внутри ESXi.
Напоминаем, что цель нашего эксперимента - провести тест, а дальше адаптировать решение в соответствии с реалиями доступа у вас.


Выбираем тип настройки STATICV4.
Добавляем адрес, который будет смотреть в сеть интернет.
В данном случае мы возьмем адрес из сети 192.168.100.0/24 и на него пробросим 3 порта: 443, 8443 и 4172 со шлюза.


DNS сервер у нас живет во внутренней сети, которую из этого интерфейса мы настроить не можем (сделаем это чуть позже), но нужно, чтобы этот DNS мог резолвить наш View Connection Server view-conn.virtual.local.
Поэтому я поставил сюда DNS с домен контроллера.


Шлюз 192.168.100.10 - это шлюз в интернет, на котором мы настраивали проброс портов.
Unified Gateway Appliance Name - это имя, которое нам понадобится для регистрации шлюза в View Connection Server (вот тут)


И пароли root и admin для управления UAG. SSH можно оставить в состоянии disable.



Дальше VMware Universal Gateway какое-то время разворачивается на ESXi, после чего машину UAG-3.8 нужно запустить.

Если установка была через vCenter, то можно зайти в него и посмотреть, какой адрес назначился интерфейсу управления через DHCP (прописывали в настройках мы только внешний интерфейс, адрес которого 192.168.100.100, но управление не будет работать через интерфейс, предназначенный для интернет).


Если установка была через ovftool, то мы можем зайти в консоль UAG и посмотреть настройки интерфейсов.




И выполнить команду ifconfig -a.
Эта команда показала 2 интерфейса: внешний, уже настроенный нами с ip 192.168.100.100 и внутренний с адресом, подхваченным с DHCP 192.168.0.211.


Для конфигурирования VMware UAG заходим на адрес https:192.168.0.211:9443 /admin и вводим пользователя admin и его пароль, установленный на этапе разворачивания OVF.


Выбираем ручную настройку


Меню General Settings показываем Edge Service Settings и переходим в настройки Horizon Settings


Включаем Horizon и указываем FQDN View Connection сервера, как он виден с этого шлюза внутри локальной сети.


Connection Server URL Thumbprint берем из сертификата View Connection сервера.
Для этого заходим через браузер в консоль управления View Connection Server по адресу view-conn.virtual.local/admin или https:192.168.11.20 /admin, смотрим свойства соединения и выбираем там сертификат.


Внутри свойств сертификата находим Thumbprint и Thumbprint algorithm.


И вбиваем эти данные как показано ниже


Включаем PCoIP (для физических ПК он работать не будет, если только в них не стоит teradici PCoIP карта).
PCoIP External URL - это строго ip адрес, не FQDN, это реальный ip адрес шлюза UAG, как он будет виден клиентам, подключающимся из Интернет.
Включаем Blast (для физических ПК он работать не будет, хотя прямых противопоказаний к этому нигде не найдено).
Blast External URL - это FQDN, к которому будут обращаться клиенты из Интернет, чтобы попасть на свою машину, т.е. это внешний, Интернет FQDN.
Включаем Tunnel и указываем его FQDN и порт.
Это адрес, по которому будут заходить клиенты из Интернет и работать по протоколу RDP (вот он будет работать с физическими ПК).
Proxy Pattern - это условие, по которому запрос пользователя будет перенаправляться на Horizon.
Если он /, то все запросы пользователей, отправленные на virtual.v-grade.ru будут отправлены на Horizon View Connection Server.



Меняем настройки сети

Меняем настройки сети

Наша внутренняя сеть, в которой находится View Connection Server, физические ПК или виртуальные рабочие столы, DNS сервер - 192.168.11.0/255.255.255.0. Ставим адрес из нее.


Проверяем настройки Horizon и видим, что Horizon Destination Server не найден.
Скорее всего это из-за того, что шлюз UAG не резолвит view-conn.virtual.local.
Можно зайти в консоль UAG и попробовать пинг view-conn.virtual.local.


Заходим опять в Horizon Settings, разворачиваем полностью настройки, находим Host Entries и добавляем запись 192.168.11.20 view-conn.virtual.local



Проверяем пингом view-conn.virtual.local


Проверяем через минуту Horizon Settings и видим, что всё хорошо.


VMware Universal Access Gateway увидел View Connection Server.
Осталось проверить, что View Connection Server видит VMware Universal Access Gateway.
Для этого заходим на страницу управления View Connection Server view-conn.virtual.local/admin


UAG не виден.
Для того, чтобы он заработал, нам надо зайти на наш внешний FQDN (который мы настраивали для Blast или PCoIP туннелей, в нашем случае virtual.v-grade.ru) с помощью Horizon View клиента с административным пользователем.
Когда будете конфигурировать проброс портов для внешнего интерфейса UAG не забывайте, что нужен будет как минимум порт 443.
Для Blast нужен будет порт 8443, для PCoIP 4172.



В нашем случае мы сразу попали на рабочий стол, поскольку назначили пользователю virtual\Administrator (который является администратором View) пул и машину.
Если бы мы этого не сделали, произошла бы ошибка, которая сказала бы нам о том, что ползьователю не назначен рабочий стол.
Но тем не менее мы идем и проверяем на странице конфигурирования View Connection сервера, что шлюз виден.


Он виден, ура. Да и проброс на рабочий стол работает. Вот и всё!