Consulte a documentação oficial do Amazon AWS PowerShell para obter detalhes completos das etapas descritas nesta seção.

Pré-requisitos

Crie uma conta do Amazon AWS se ainda não tiver uma.

Procedimento

  1. No Console do AWS, crie uma Chave de Acesso e obtenha a ID da Chave de Acesso e a Chave Secreta de Acesso. Defina-os no perfil padrão.
    Essa etapa será aplicável somente se você não tiver uma ID de chave de acesso e uma Chave Secreta de Acesso 
    Set-AWSCredential -AccessKey AKIAI6428NKYOEXAMPLE `
-SecretKey bvfhkvvfhsbvhsdbhfbvfhfhvfhdskvbhfvbfhEXAMPLE ` 
-StoreAs default
  2. Crie um bucket no Amazon S3 para armazenar imagens Unified Access Gateway .vmdk, se ainda não existirem. 
    $bucket="uag-images"
New-S3Bucket -BucketName $bucket -Region us-east-2
  3. Crie uma função de IAM no Amazon AWS chamada vmimport e aplique uma política à função. 
    $importPolicyDocument = @"
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"vmie.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"sts:ExternalId":"vmimport"
}
}
}
]
}
"@

New-IAMRole -RoleName vmimport -AssumeRolePolicyDocument $importPolicyDocument

$bucket="uag-images"
$rolePolicyDocument = @"
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::$bucket",
"arn:aws:s3:::$bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute",
"ec2:CopySnapshot",
"ec2:RegisterImage",
"ec2:Describe*"
],
"Resource": "*"
}
]
}
"@

Write-IAMRolePolicy -RoleName vmimport -PolicyName vmimport -PolicyDocument $rolePolicyDocument
  4. Prepare o ambiente de rede no EC2. Essas etapas podem ser realizadas no console de gerenciamento do EC2 ou com o PowerShell. Elas só precisam ser feitas uma vez para preparar o ambiente EC2 para implantações do Unified Access Gateway. Para isso, pelo menos uma sub-rede é necessária. Para implantações do Unified Access Gateway de várias NICs, cada NIC pode estar na mesma sub-rede ou em sub-redes diferentes.
  5. Crie um grupo de segurança para cada tipo de NIC.
    Um grupo de segurança contém um conjunto de regras de firewall para restringir o acesso à porta TCP e UDP. Um grupo de segurança pode ser compartilhado entre vários dispositivos do Unified Access Gateway. Por exemplo, você pode criar um grupo de segurança chamado UAG-Internet para eth0 e associá-lo à primeira NIC automaticamente quando o dispositivo do Unified Access Gateway é criado. Para o uso do Horizon, o primeiro (UAG-Internet) podia permitir portas TCP 80, 443, 8443, 4172 e portas UDP 443, 8443, 4172 de qualquer cliente. Se você quiser permitir acesso ssh ao Unified Access Gateway, deverá especificar sshEnabled=true na seção Geral de cada arquivo .ini . O SSH geralmente só deve ser habilitado para fins de teste e não para uma implantação de produção. Você também deve garantir que o acesso ssh na porta TCP 22 seja restrito no grupo de segurança a endereços IP de origem individuais, para que não seja aberto a todos.
    Use o console de administração da AWS para criar um grupo de segurança nas configurações de Rede e Segurança para restringir o acesso às portas TCP e UDP usando regras de firewall.
  6. Se o dispositivo do Unified Access Gateway for acessível diretamente pela Internet, cada NIC que precisar de acesso também deverá ter um endereço IP público associado, conhecido como Elastic IPs.
  7. Para cada NIC, determine a ID da Sub-rede, a ID do Grupo de Segurança e o ID de Alocação de IP Público. Se você não especificar uma ID do Grupo de Segurança para qualquer NIC, o Grupo de Segurança padrão será usado. Se você não especificar um ID de IP Público, não haverá um endereço IP público para essa NIC e não estará diretamente acessível pela Internet. Esse poderá ser o caso se um balanceador de carga for usado na frente de um grupo de dispositivos do Unified Access Gateway.