保姆级教程：用VMware vCenter部署Horizon UAG网关（OVF导入+防火墙映射全流程）

Horizon UAG网关部署实战：从零搭建高可用虚拟化接入层

在数字化转型浪潮中，虚拟桌面基础设施(VDI)已成为企业IT架构的核心组件。作为VMware Horizon套件中的关键枢纽，Unified Access Gateway(UAG)承担着内外网流量调度和安全隔离的重要职责。本文将带您完成一次生产级UAG部署的全过程，涵盖从OVF模板导入到防火墙策略调优的每个技术细节。

1. 环境准备与前置条件

部署UAG网关前，需要确保基础环境满足以下要求：

• vCenter Server 7.0 U3及以上版本：确保具备集群管理权限
• ESXi主机资源：至少4核CPU/8GB内存/100GB存储空间
• 网络规划：
  • 管理网络：192.168.230.0/24（示例）
  • 外部访问IP：115.237.109.73（需公网可路由）
  • DNS正向/反向解析记录已配置
• 防火墙策略（预开放端口）：

提示：实际部署时应根据企业安全策略调整端口范围，建议使用非标准端口增强安全性

下载官方OVF模板时，注意选择与Horizon版本匹配的UAG发行包。例如对于Horizon 8 2111版本，应获取euc-unified-access-gateway-21.11.1.0-19072784_OVF10.ova文件。

2. OVF模板部署详解

2.1 vCenter导入流程

1. 登录vCenter Web Client，右键目标集群选择部署OVF模板

2. 在本地文件系统中选择下载的OVA文件，上传过程可能持续5-10分钟

3. 关键配置参数：

   • 虚拟机名称：遵循命名规范如UAG-PRD-01
   • 计算资源：选择具有足够资源的ESXi主机或DRS集群
   • 存储配置：
     • 磁盘格式：精简置备（节省存储空间）
     • 存储策略：根据SLA要求选择适当的数据存储

4. 网络适配器映射：

   • NIC1：连接管理网络（VLAN 230）
   • NIC2：连接DMZ区域（可选）
   • 启用MAC地址欺骗以支持负载均衡

# 验证虚拟机创建成功的命令行检查 govc vm.info -json UAG-PRD-01 | jq '.VirtualMachines[].Config.Hardware.Device[] | select(.MacAddress)'

2.2 初始网络配置

首次启动UAG虚拟机时，需通过vCenter控制台完成基础网络设置：

• IPv4配置：静态地址192.168.230.44/24
• 默认网关：192.168.230.1
• DNS服务器：企业内网DNS地址
• NTP服务器：time.vmware.com或企业内部NTP

注意：密码复杂度必须满足VMware要求（至少8字符，含大小写字母和特殊字符）

配置完成后，可通过https://192.168.230.44:9443访问管理界面，首次登录会强制要求修改默认密码。

3. UAG服务核心配置

3.1 Horizon连接服务器集成

1. 在Edge服务设置中启用Horizon协议支持

2. 添加连接服务器时常见问题处理：

   • 证书错误：点击"不安全"→"证书无效"获取指纹
   • 指纹格式：sha256=83:4F:C6:D8:07:1A:4E:92...
   • 多服务器时用英文逗号分隔地址

3. 关键验证指标：

   • 服务状态应显示为绿色
   • 日志文件无ERROR级别记录：

   tail -f /opt/vmware/gateway/logs/esmanager-std-out.log

3.2 高可用性配置

对于生产环境，建议部署至少2台UAG实现负载均衡：

1. 网络拓扑：
   • 配置浮动IP(VIP) 115.237.109.73
   • 启用TCP连接保持(keepalive)
2. 健康检查：
   • 设置HTTP GET /favicon.ico作为探针
   • 故障切换阈值：连续3次失败

4. 防火墙策略与安全加固

4.1 端口映射最佳实践

在边界防火墙需配置以下NAT规则：

1. 入站映射：

   • 公网115.237.109.73:443 → 内网192.168.230.44:443
   • 公网115.237.109.73:8443 → 内网192.168.230.44:8443

2. 出站控制：

   • 仅允许UAG访问连接服务器的TCP 9000-9001端口
   • 限制ICMP仅响应来自管理网络的请求

# 使用nmap验证端口开放情况 nmap -Pn -p 443,8443,9000-9001 192.168.230.44

4.2 安全增强措施

1. 证书管理：
   • 替换自签名证书为CA签发证书
   • 启用OCSP装订(Stapling)
2. 访问控制：
   • 限制管理界面仅允许跳板机IP访问
   • 配置失败登录锁定策略（5次尝试后锁定15分钟）
3. 日志审计：
   • 配置远程syslog服务器接收审计日志
   • 每日自动轮转日志文件

5. 连接服务器侧配置

5.1 安全策略调整

在每台Horizon连接服务器上创建C:\Program Files\VMware\VMware View\Server\sslgateway\conf\locked.properties文件，内容如下：

# 跨域资源共享配置 checkOrigin=false enableCORS=false # 会话超时设置 sessionTimeout=3600

修改后需重启VMware Horizon View安全网关组件服务：

Restart-Service -Name "VMware Horizon View Security Gateway"

5.2 UAG注册与验证

1. 在Horizon控制台完成UAG注册：
   • 导航至服务器→网关
   • 输入UAG主机名（非IP地址）
2. 连接服务器配置优化：
   • 取消勾选默认网关选项
   • 设置负载均衡权重为50/50（双节点时）

最终验证阶段，建议使用以下测试矩阵：

遇到服务状态显示红色时，首先检查/opt/vmware/gateway/logs下的错误日志，常见问题包括DNS解析失败、证书时间不同步或防火墙规则阻止等。