VMware Unified Access Gateway (UAG)

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Für viele Unternehmen ist mobiles Arbeiten und auch Homeoffice ein wichtiger Aspekt. Ein sicherer Zugriff auf Unternehmensressourcen wird hierbei meist durch VPN Verbindungen hergestellt. Damit eine Verbindung aufgebaut werden kann, ist in der Regel aber immer eine Applikation auf jedem Endgerät des Users, sowie eine mitunter umfangreiche Konfiguration notwendig. Für den Zugriff auf VMware Horizon Desktops und Apps bietet VMware das Unified Access Gateway (UAG) an. Mit dieser Komponente kann der Zugriff ohne umfangreiche VPN Konfiguration sichergestellt werden. In diesem Artikel zeigen wir den externen Zugriff auf eine VMware Horizon VDI Umgebung durch ein VMware Unified Access Gateway.

UAG Installation

Das UAG wird in der Regel immer in der DMZ bereitgestellt. Eine Installation und Konfiguration einer einzelnen UAG Instanz ist möglich, um die Verfügbarkeit zu erhöhen, können mehrere UAG Instanzen zu einem HA-Verbund zusammengeführt werden, hierfür ist aber ein Load Balancer erforderlich.

  • Eine UAG Instanz in DMZ

    Eine UAG Instanz in DMZ

  • Zwei UAG Instanzen mit Load Balance in DMZ

    Zwei UAG Instanzen mit Load Balance in DMZ


Das UAG wird als OVF Vorlage von VMware bereitgestellt, hierbei kann zwischen der FIPS[1] und non-FIPS Version gewählt werden. Die UAG Appliance kann wahlweise mit einer einzelnen NIC, oder mit bis zu 3 NICs bereitgestellt werden. Während der Installation kann eine statische IP-Adresse konfiguriert, oder eine Zuweisung per DHCP gewählt werden, die IP-Adresse kann selbstverständlich im Anschluss jederzeit noch geändert werden.

  • Importieren Sie die OVA Vorlage im vSphere Client.

    Importieren Sie die OVA Vorlage im vSphere Client.

  • Wählen Sie einen Zielordner.

    Wählen Sie einen Zielordner.

  • Wählen Sie eine Zielressource.

    Wählen Sie eine Zielressource.

  • Bestätigen Sie mit Next.

    Bestätigen Sie mit Next.

  • Wählen Sie die gewünschte Anzahl der NICs und die UAG Größe aus.

    Wählen Sie die gewünschte Anzahl der NICs und die UAG Größe aus.

  • Wählen Sie einen Datastore aus.

    Wählen Sie einen Datastore aus.

  • Konfigurieren Sie das Zielnetzwerk der einzelnen Schnittstellen.

    Konfigurieren Sie das Zielnetzwerk der einzelnen Schnittstellen.

  • Konfigurieren Sie das Passwort für den Admin Login.

    Konfigurieren Sie das Passwort für den Admin Login.

UAG Konfiguration

Nach Abschluss der Installation gelangen Sie über https://<IP_UAG>:9443/admin/index.html auf die UAG Management Oberfläche. Nachdem Sie ggf. den Namen und die IP-Adresse angepasst haben, können Sie unter Edge Service Settings die Anbindung an die VMware Horizon Komponenten konfigurieren. Es ist zum einen die URL für den externen Zugriff über das Blast Protokoll erforderlich, sowie die IP-Adresse für den externen Zugriff über PCoIP. Nachdem die Anbindung konfiguriert wurde, sollten auch das UAG SSL Zertifikate ausgetauscht werden. Abschließend muss das UAG in der Horizon Admin Console registriert, sowie der Tunnel Mode der Connection Server deaktiviert werden.

In diesem Beispiel wurde eine UAG mit zwei Interfaces installiert. Das Internet Interface befindet sich im DMZ IP-Bereich 10.2.1.0/24, das Management Interface für den Zugriff auf die Weboberfläche befindet sich im LAN IP-Bereich 192.168.168.0/24. Über die externe URL https://horizon.skdomain.de wird auf das UAG zugegriffen, das UAG sendet anschließend die Anfrage an https://viewcon1.skdomain.local weiter. Damit die Weiterleitung von der DMZ zum Horizon Bereich funktioniert, müssen die entsprechenden Ports[2] in der Firewall freigegeben sein.

  • Melden Sie sich als Admin User an.

    Melden Sie sich als Admin User an.

  • Wählen Sie Configure für eine neue Konfiguration, oder importieren Sie eine bestehende Konfiguration.

    Wählen Sie Configure für eine neue Konfiguration, oder importieren Sie eine bestehende Konfiguration.

  • Aktivieren Sie Edge Service Settings.

    Aktivieren Sie Edge Service Settings.

  • Tragen Sie die erforderlichen Daten der Horizon Verbindung ein.

    Tragen Sie die erforderlichen Daten der Horizon Verbindung ein.

  • Öffnen Sie das SSL Zertifikatsmenü.

    Öffnen Sie das SSL Zertifikatsmenü.

  • Geben Sie das Zertifikat und den Private Key für das Public Interface an.

    Geben Sie das Zertifikat und den Private Key für das Public Interface an.

  • Registrieren Sie ein neues Gateway in der Horizon Admin Console.

    Registrieren Sie ein neues Gateway in der Horizon Admin Console.

  • Tragen Sie den UAG Namen ein.

    Tragen Sie den UAG Namen ein.

  • Dashboard Horizon Admin Console

    Dashboard Horizon Admin Console

  • Deaktivieren Sie die Tunnel Settings der Connection Server.

    Deaktivieren Sie die Tunnel Settings der Connection Server.

  • Externer Zugriff mit Browser

    Externer Zugriff mit Browser

Einzelnachweise

  1. Federal Information Processing Standards
  2. Firewall Rules for DMZ-Based Unified Access Gateway Appliances


Foto Thomas-Krenn.AG.jpg

Autor: Thomas-Krenn.AG

Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.

Icon-Facebook.png Icon-Twitter.png Icon-Github.png Icon-Xing.png Icon-LinkedIn.png

Das könnte Sie auch interessieren

Benutzerprofilverwaltung mit Horizon Persona Management
Zum Artikel
Horizon Connection Server
Zum Artikel
VMware Horizon
Zum Artikel