Você pode implantar o appliance do Unified Access Gatewayefetuando logon no vCenter Server e utilizando o assistente Implantar Modelo OVF.

Opções de dimensionamento do Unified Access Gateway

Para simplificar a implantação do appliance do Unified Access Gateway como o gateway de segurança do Workspace ONE, opções de dimensionamento são adicionadas às configurações de implantação no appliance. A configuração de implantação oferece a escolha entre uma máquina virtual Padrão, Grande e Extra Grande.
  • Padrão: essa configuração é recomendada para a implantação do Horizon com suporte a até 2000 conexões do Horizon, alinhadas com a capacidade do Servidor de conexão. Também é recomendada para implantações do Workspace ONE UEM (casos de uso móvel) com suporte a até 10.000 conexões simultâneas.
  • Grande: essa configuração é recomendada para implantações do Workspace ONE UEM, nas quais o Unified Access Gateway precisa ter suporte a mais de 50.000 conexões simultâneas. Esse tamanho permite que o Content Gateway, o Per App Tunnel e o Proxy reverso usem o mesmo appliance do Unified Access Gateway.
  • Extragrande: essa configuração é recomendada para Implantações do Workspace ONE UEM . Esse tamanho permite que o Content Gateway, o Per App Tunnel e o Proxy Reverso usem o mesmo dispositivo do Unified Access Gateway.
  • Observação: Opções da VM para implantações Padrão, Grande e Extragrande:
    • Padrão - 2 núcleos e 4 GB de RAM
    • Grande - 4 núcleos e 16GB de RAM
    • Extragrande — 8 núcleos e 32GB de RAM

    Você pode definir essas configurações usando o PowerShell. Para obter informações sobre os parâmetros do PowerShell, consulte Usando o PowerShell para implementar o appliance do Unified Access Gateway.

    Para obter mais informações sobre as recomendações de dimensionamento do Unified Access Gateway, você pode ver os valores máximos de configuração da VMware.

Pré-requisitos

  • Revise as opções de implantação disponíveis no assistente. Consulte Requisitos de sistema e de rede do Unified Access Gateway.
  • Determine quantas interfaces de rede e endereços IP estáticos devem ser configurados para o appliance do Unified Access Gateway. Consulte Requisitos de configuração de rede.
  • Faça o download do arquivo do instalador .ova para o dispositivo do Unified Access Gateway no site da VMware em https://my.vmware.com/web/vmware/downloads ou determine a URL a ser utilizada (exemplo: http://example.com/vapps/euc-unified-access-gateway-YY.MM.0.0-xxxxxxx_OVF10.ova), em que YY.MM é o número da versão e xxxxxxx é o número da compilação.
  • Se houver uma implantação do Hyper-V e você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o dispositivo mais antigo antes de implantar a instância mais recente do Unified Access Gateway.
  • Para fazer upgrade do seu appliance antigo para uma nova instância do Unified Access Gateway sem tempo de inatividade para os usuários, consulte a seção Atualização com tempo de inatividade zero.

Procedimento

  1. Utilize o cliente nativo do vSphere ou o vSphere Web Client para efetuar logon em uma instância do vCenter Server.
    Para uma rede IPv4, utilize o Cliente nativo do vSphere ou o vSphere Web Client. Para uma rede IPv6, utilize o vSphere Web Client.
  2. Selecione um comando de menu para iniciar o assistente Implantar modelo OVF.
    Opção Comando de Menu
    vSphere Client Selecione Arquivo > Implementar Modelo OVF.
    vSphere Web Client Selecione um objeto de inventário que seja um objeto parente válido de uma máquina virtual, como um centro de dados, pasta, cluster, pool de recursos ou host e, no menu Ações, selecione Implementar Modelo OVF.
  3. Na página Selecionar um modelo OVF, clique em URL e digite uma URL para baixar e instalar o modelo OVF na Internet ou clique em Arquivo local para navegar até o arquivo .ova que você baixou. Clique em AVANÇAR.
    Revise os detalhes do produto, a versão e os requisitos de tamanho.
  4. Siga as indicações e leve em consideração as seguintes orientações à medida que conclui o assistente. Ambas as implantações ESXi e Hyper-V têm duas opções de atribuir a atribuição de IP para Unified Access Gateway. Se você estiver fazendo upgrade, para o Hyper-V, exclua a caixa antiga com o mesmo endereço IP antes de implantar a caixa com o novo endereço. Para ESXi, você pode desativar a caixa antiga e implantar uma nova caixa com o mesmo endereço IP usando a atribuição estática.
    Tabela 1. Opções de implantação do OVF
    Opção Descrição
    Selecionar um nome e uma pasta
    Nome e localização Digite um nome para o dispositivo virtual do Unified Access Gateway no campo Nome da máquina virtual. O nome deve ser exclusivo na pasta do inventário. Os nomes diferenciam letras maiúsculas de minúsculas.

    Selecione um local para a máquina virtual na lista.

    Selecionar um recurso de cálculo
    Host/Cluster Selecione o host ou cluster no qual você deseja executar o dispositivo virtual.

    Resultado: as verificações de compatibilidade e validação são feitas para verificar se o recurso de cálculo pode oferecer suporte ao OVF.

    Examinar os detalhes

    Verifique os detalhes de implantação do OVF.
    Configuração
    Selecione uma configuração de implementação Para uma rede IPv4 ou IPV6, você pode utilizar uma, duas ou três interfaces de rede (NICs). Muitas implementações do DMZ utilizam redes separadas para proteger tipos de tráfego diferentes. Configure o Unified Access Gateway de acordo com o design da rede do DMZ no qual está implementado. Juntamente com o número de NICs, também é possível escolher as opções de implantação Padrão ou Grande para Unified Access Gateway.
    Observação: Opções da VM para implantações Grande e Padrão:
    • Padrão: 2 núcleos e 4 GB de RAM
    • Grande: 4 núcleos e 16GB de RAM
    • Extragrande: 8 núcleos e 32GB de RAM
    Selecionar armazenamento
    Selecionar formato do disco virtual Para ambientes de avaliação e teste, selecione o formato de Provisionamento Dinâmico. Para ambientes de produção, selecione um dos formatos de Provisionamento Estático.

    O Thick Provision Eager Zeroed é um tipo de formato de disco virtual estático que suporta recursos de cluster como tolerância a falhas, mas demora muito mais para ser criado do que outros tipos de discos virtuais.
    Política de armazenamento VM

    Padrão do repositório de dados ou qualquer outra política de armazenamento configurada. Para obter mais informações, consulte Políticas de armazenamento de máquina virtual na Documentação do VMware vSphere em VMware Docs.

    Selecionar redes
    Se você estiver utilizando o vSphere Web Client, a página Selecionar redes permitirá o mapeamento de cada NIC a uma rede e especifica configurações de protocolo.

    Mapeie as redes usadas no modelo OVF para as redes no seu inventário.

    1. Se estiver usando mais de uma NIC, na ManagementNetwork, selecione a rede de destino e insira os endereços IP do servidor DNS, gateway e máscara de rede dessa rede.

      Se estiver utilizando somente um NIC, todas as linhas serão mapeadas para a mesma rede.

    2. Se possuir um terceiro NIC, selecione a terceira linha e conclua as configurações.

      Se estiver utilizando somente dois NICs, para Rede Back-end, selecione a mesma rede que utilizou para Rede de Gerenciamento.

    3. Selecione a linha Internet e clique na seta para baixo para selecionar a rede de destino. Se você selecionar IPv6 como o protocolo IP, será preciso selecionar a rede que possui recursos IPv6.

      Após selecionar a linha, você pode também inserir os endereços IP para o servidor DNS, o gateway e a máscara de rede na porção inferior da janela. Clique em AVANÇAR.

    Observação: Ignore o menu suspenso Protocolo IP se ele for exibido e não faça nenhuma seleção aqui. A seleção real de protocolo IP (IPv4/IPv6/ambos) depende de qual modo IP for especificado para o modo IP de NIC 1 (eth0), NIC 2 (eth1) e NIC 3 (eth2), ao personalizar as propriedades de rede. As configurações de Servidor DNS e de gateway padrão são globais e não estão associadas a qualquer NIC específica.
    Personalizar o modelo
    Propriedades de rede As caixas de texto na página Propriedades são específicas ao Unified Access Gateway e podem não ser necessárias para outros tipos de appliance virtuais. O texto na página do assistente explica cada configuração. Se o texto estiver truncado no lado direito do assistente, redimensione a janela arrastando-a partir do canto inferior direito. Para cada uma das NICs, para STATICV4, você deve inserir o endereço IPv4 para a NIC. Para STATICV6, será necessário inserir o endereço IPv6 para a NIC. Se você deixar as caixas de texto em branco, a alocação de endereço IP será padronizada como DHCPV4+DHCPV6.
    Importante: A versão mais recente do Unified Access Gateway não aceita as configurações de gateway padrão e os valores de máscara de rede ou de prefixo a partir do Perfil de protocolo de rede (NPP). Para configurar o Unified Access Gateway com a alocação de IP estático, você deve configurar a máscara de rede/prefixo nas propriedades da rede. Esses valores não são preenchidos do NPP.
    Observação:
    • Os valores diferenciam maiúsculas de minúsculas.
    • Ao implantar o Unified Access Gateway usando o vSphere Client HTML5 no vSphere 6.7 ou versão anterior, apenas o NIC1 (eth0) está disponível para configuração. Vários NICs estão disponíveis para configuração ao usar o vSphere Cliente HTML5 no vSphere 7.0.
    • Modo IP para NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6.
    • Lista separada por vírgula das regras de encaminhamento com o formato {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu. Por exemplo, para IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
    • Endereço IPv4 para a NIC 1 (eth0). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
      • Lista separada por vírgula das rotas personalizadas IPV4 para NIC (eth0) com o formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        Observação: Se ipv4-gateway-address não for especificado, a rota respectiva adicionada terá um gateway de 0.0.0.0.
    • Endereço IPv6 para o NIC 1 (eth0). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Endereços de servidor DNS. Insira os endereços IPv4 ou IPv6 separados por espaço dos servidores do nome de domínio para o dispositivo do Unified Access Gateway. O exemplo de entrada do IPv4 é 192.0.2.1 192.0.2.2. O exemplo de entrada do IPv6 é fc00:10:112:54::1
    • Domínio de Pesquisa de DNS. Digite a lista de Pesquisa de DNS separada por espaços.
    • Máscara de rede IPv4 da NIC 1 (eth0). Insira a máscara de rede IPv4 para a NIC.
    • Prefixo IPv6 da NIC 1 (eth0). Insira o prefixo IPv6 para a NIC.
    • Configuração Personalizada do NIC1 (eth0). Digite o valor de configuração personalizada para o NIC no formato SectionName^Parameter=Value. Um exemplo de uma entrada de configuração personalizada é DHCP^UseDNS=false. Esse valor, quando usado, desativa o uso de endereços IP DNS fornecidos pelo servidor DHCP. Usando o mesmo formato, você pode adicionar várias entradas de configuração de rede, separadas por ponto e vírgulas.
    • Gateway padrão de IPv4. Insira um gateway padrão de IPv4 se o Unified Access Gateway precisar se comunicar com um endereço IP que não esteja em um segmento local de qualquer NIC no Unified Access Gateway.
    • Gateway padrão do IPv6. Insira um gateway padrão de IPv6 se o Unified Access Gateway precisar se comunicar com um endereço IP que não esteja em um segmento local de qualquer NIC no Unified Access Gateway.
    Nome do dispositivo Unified Gateay Insira o nome do host do dispositivo para identificação. Se você não inserir nenhum nome, o sistema gerará automaticamente o nome.
    Participar do CEIP Selecione Ingressar no programa de aperfeiçoamento da experiência do cliente da VMware para participar do CEIP ou desmarque a opção para sair do CEIP.
    Opções de senha
    Nome de usuário de login do SO Digite o nome de usuário para acessar o console local do Unified Access Gateway.

    Quando configurado, um novo usuário com privilégios sudo com o nome de usuário especificado é criado, e o login raiz é desativado. Apenas a-z, 0-9, sublinhado (_) e hífen (-) são permitidos e o comprimento máximo é 32.

    Observação: Deixe esse campo em branco para usar o usuário raiz.
    Senha para login do SO Digite a senha para o login do SO. Essa senha se aplica ao usuário raiz ou personalizado, conforme configurado no campo Usuário de Login.
    Expiração de senha em dias para o usuário do sistema operacional Insira a política de expiração de senha para o usuário do sistema operacional. Se definido como zero, a senha nunca expira. O valor padrão é 365 dias.
    Comprimento mínimo da política de senha Insira o comprimento mínimo da senha. O valor padrão é 6.
    Política de senha para classes mínimas de caracteres Insira a política de senha para o número mínimo (1,2,3,4) de classes de tipo de caractere (letra maiúscula, minúscula, dígito, outras).
    Política de senha para o máximo de tentativas com falha Insira o máximo de tentativas com falha permitidas. O valor padrão é 3.
    Política de senha para tempo de desbloqueio em segundos no máximo de tentativas com falha Digite o tempo em segundos para desbloquear a senha quando você tiver atingido o máximo de tentativas com falha. O valor padrão é 900.
    Tempo limite de sessão ociosa para o usuário do sistema operacional em segundos Insira o tempo limite ocioso da sessão para o usuário do SO. O intervalo é de 30 a 3600 segundos. A expiração da sessão será desativada se estiver definida como zero (0). O valor padrão é 300.
    Limite máximo de sessões de login simultâneas para o usuário sudo Insira o limite máximo em sessões de login simultâneas para o usuário sudo. Se o usuário sudo não estiver configurado, essa configuração será ignorada.

    O valor padrão é 10 e o mínimo configurável é 1. Não há limite máximo.
    Senha para o usuário administrador, que ativa o acesso à REST API
    Política de senha do administrador para comprimento mínimo Insira o comprimento mínimo da senha do administrador. O valor padrão é 6.
    Política de senha do administrador para o máximo de tentativas com falha Insira o máximo de tentativas com falha permitidas. O valor padrão é 3.
    Política de senha do administrador para tempo de desbloqueio em minutos com o máximo de tentativas com falha Digite o tempo em minutos para desbloquear a senha do administrador quando você tiver atingido o máximo de tentativas com falha. O valor padrão é 5 minutos.
    Tempo limite de ociosidade da sessão do administrador em minutos Insira o tempo limite ocioso da sessão para o administrador. O valor padrão é 10 e o máximo é de 1440 minutos.
    Máximo de sessões simultâneas para usuários do console administrativo Insira o limite máximo em sessões de login simultâneas para o administrador.

    O valor padrão é 5 e o valor máximo é 50.

    Quando a contagem máxima de sessões for excedida para um usuário, a sessão usada menos recentemente será expirada.

    Conformidade
    Habilitar conformidade DISA STIG

    Define a configuração do sistema operacional para cumprir as Diretrizes de Prontidão de DISA STIG do Photon OS 3.0.

    Marque esta caixa de seleção para configurar automaticamente a complexidade da senha e outros requisitos STIG.

    Observação: Essa configuração deverá ser usada com a versão FIPS quando a conformidade do SO DISA STIG for necessária.
    Propriedades do sistema
    Ativar o SSH Opção para ativar o SSH para acessar a máquina virtual do Unified Access Gateway.
    Permitir login raiz do SSH usando senha Opção para acessar a máquina virtual do Unified Access Gateway usando um login e uma senha de root do SSH.

    Por padrão, o valor dessa opção é true.
    Permitir login do SSH usando par de chaves Opção para acessar a máquina virtual do Unified Access Gateway usando um login raiz do SSH e pares de chaves pública-privada.

    Por padrão, esse valor é false.

    A IU do Administrador do Unified Access Gateway tem um campo, Chaves Públicas SSH, onde um administrador pode carregar chaves públicas para permitir que o acesso configurado ou do usuário raiz acesse o Unified Access Gateway ao usar a opção de par de chaves pública-privada. Para que esse campo esteja disponível na IU do Administrador, o valor dessa opção e de Ativar o SSH deve ser true no momento da implantação em si. Se qualquer uma dessas opções não for true, o campo Chaves Públicas SSH não estará disponível na IU do Administrador.

    O campo Chaves Públicas SSH é uma configuração avançada do sistema na IU do Administrador. Consulte Configurar as definições de sistema do Unified Access Gateway.
    Texto do Banner de Login de Shell Opção para personalizar o texto do banner exibido ao fazer login no Unified Access Gateway usando o SSH ou o Console da Web do Cliente do vSphere.

    Essa opção pode ser configurada apenas no momento da implantação. Se você não configurar essa opção, o texto padrão será exibido: VMware EUC Unified Access Gateway.

    Somente há suporte para caracteres ASCII no texto personalizado. Para textos de banner de várias linhas, \n deve ser usado como separador de linha.

    Observação: Quando o Unified Access Gateway é implantado usando o modelo OVF e o texto do banner de login é configurado, na primeira inicialização do Unified Access Gateway, o Console da Web do Cliente do vSphere exibe o texto do banner padrão e o texto do banner personalizado é ignorado. Em inicializações subsequentes, o texto do banner personalizado é exibido.
    Interface do SSH

    Configure a interface de rede na qual o login SSH está ativado.

    Por predefinição, o SSH está ativado em todas as interfaces.

    Os valores com suporte são eth0, eth1 e eth2 com base na configuração.
    Porta SSH

    Configure a porta na qual o SSH está ativado.

    O valor padrão é 22.
    Comandos para execução durante a primeira inicialização Insira a lista separada por ponto e vírgula de comandos em texto simples ou em formato codificado em base64 a serem executados durante a primeira inicialização do Unified Access Gateway. O tamanho máximo é 8 kB. Para obter mais informações, consulte Configurar comandos de tempo de inicialização para a primeira inicialização e a cada inicialização.
    Comandos a serem executados durante cada inicialização Insira a lista separada por ponto e vírgula de comandos em texto simples ou em formato codificado em base64 a serem executados durante todas as inicializações do Unified Access Gateway. O tamanho máximo é 8 kB. Para obter mais informações, consulte Configurar comandos de tempo de inicialização para a primeira inicialização e a cada inicialização.
    Origem SecureRandom Permite que você configure a origem do gerador de bits aleatórios segura usada por processos Java para funções criptográficas.

    Essa opção pode ser configurada apenas no momento da implantação.

    Os valores com suporte são: /dev/random e /dev/urandom. Por padrão, /dev/random é usado no modo não FIPS e /dev/urandom é usado no modo FIPS.
  5. Na página Pronto para concluir, revise as informações e clique em Concluir.
    Uma tarefa de Implementar Modelo OVF aparece na área de status do vCenter Server para que você possa monitorar a implantação. Você pode também abrir um console na máquina virtual para visualizar as mensagens do console que são exibidas durante a inicialização do sistema. Um registro destas mensagens também está disponível no arquivo /var/log/boot.msg.
  6. Ligue a máquina virtual.
  7. Quando o dispositivo for ligado, certifique-se de que os usuários finais possam se conectar ao dispositivo abrindo um navegador e inserindo a seguinte URL: 
    https://FQDN-of-UAG-appliance

    Nessa URL, FQDN-of-UAG-appliance é o nome de domínio totalmente qualificado do appliance do Unified Access Gateway que pode ser resolvido por DNS.

    Se a implantação for bem-sucedida, você verá a página da Web fornecida pelo servidor para o qual o Unified Access Gateway estiver apontado. Se a implantação não foi bem sucedida, você pode excluir a máquina virtual do appliance e implementá-lo novamente. O erro mais comum é não inserir as impressões digitais do certificado corretamente.

Resultados

O appliance do Unified Access Gatewayé implementado e iniciado automaticamente.

O que Fazer Depois

  • Faça o logon na interface do usuário administrador (IU) do Unified Access Gateway e configure os recursos da área de trabalho e do aplicativo para permitir acesso remoto da Internet por meio do Unified Access Gateway e os métodos de autenticação a serem usados na DMZ. A URL do console de administração está no formato https://<UAG-fqdn>.com:9443/admin/index.html .
    Importante: Você deve concluir a configuração pós-implantação do Unified Access Gateway usando a interface de usuário do administrador. Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário da interface de usuário do administrador posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Se você desejar adicionar um usuário da interface de usuário do administrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida da interface de usuário do administrador.
    Observação: Se você não conseguir acessar a tela de login da interface do usuário de Administrador, verifique se a máquina virtual tem o endereço IP exibido durante a instalação do OVA. Se o endereço IP não estiver configurado, use o comando VAMI mencionado na UI para reconfigurar as NICs. Execute o comando como "cd /opt/vmware/share/vami" depois o comando "./vami_config_net".