Você pode implantar o appliance do Unified Access Gatewayefetuando logon no vCenter Server e utilizando o assistente Implantar Modelo OVF.

Há duas versões do OVA do Unified Access Gateway disponíveis, OVA padrão e versão FIPS do OVA.

A versão FIPS do OVA é compatível com os seguintes serviços de borda:
  • Horizon (apenas autenticação de passagem)
  • VMware per-App Tunnel
Importante: A versão FIPS 140-2 é executada com o conjunto de cifras e hashes do certificado FIPS e tem serviços restritivos habilitados que são compatíveis com bibliotecas FIPS certificadas. Quando o Unified Access Gateway é implantado no modo FIPS, o appliance não pode ser alterado para o modo de implantação OVA padrão.

Pré-requisitos

  • Revise as opções de implantação disponíveis no assistente. Consulte Requisitos de sistema e de rede do Unified Access Gateway.
  • Determine quantas interfaces de rede e endereços IP estáticos devem ser configurados para o appliance do Unified Access Gateway. Consulte Requisitos de configuração de rede.
  • Faça o download do arquivo do instalador .ova para o appliance do Unified Access Gatewayno site da VMware em https://my.vmware.com/web/vmware/downloads ou determine a URL a ser utilizado (exemplo: http://exemplo.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), onde Y.Y é o número da versão e xxxxxxx é o número de compilação.
  • Se você utilizar o cliente nativo do vSphere, certifique-se de que atribuiu um pool de IPs a cada rede. Para adicionar um pool de IPs ao vCenter Server utilizando o cliente nativo do vSphere, vá até a guia Pools de IPs do centro de dados. Como alternativa, se estiver utilizando o vSphere Web Client, você poderá criar um perfil de protocolo de rede. Vá até a guia Gerenciar do centro de dados e selecione a guia Perfis de Protocolo de Rede.

Procedimento

  1. Utilize o cliente nativo do vSphere ou o vSphere Web Client para efetuar logon em uma instância do vCenter Server.
    Para uma rede IPv4, utilize o Cliente nativo do vSphere ou o vSphere Web Client. Para uma rede IPv6, utilize o cliente Web vSphere.
  2. Selecione um comando de menu para iniciar o assistente Implantar modelo OVF.
    Opção Comando de Menu
    vSphere Client Selecione Arquivo > Implementar Modelo OVF.
    vSphere Web Client Selecione um objeto de inventário que seja um objeto parente válido de uma máquina virtual, como um centro de dados, pasta, cluster, pool de recursos ou host e, no menu Ações, selecione Implementar Modelo OVF.
  3. Na página Selecionar origem, navegue até a localização do arquivo .ova que baixou ou insira uma URL e clique em Avançar.
    Revise os detalhes do produto, a versão e os requisitos de tamanho.
  4. Siga as indicações do assistente e leve em consideração as seguintes orientações à medida que conclui o assistente.
    Opção Descrição
    Nome e localização Insira um nome para o appliance virtual do Unified Access Gateway. O nome deve ser exclusivo na pasta do inventário. Os nomes diferenciam maiúsculas de minúsculas.

    Selecionar uma localização para o appliance virtual.

    Configuração da implantação Para uma rede IPv4, você pode utilizar uma, duas ou três interfaces de rede (NICs). Para uma rede IPv6, utilize três NICs. O Unified Access Gateway exige um endereço IP estático separado para cada NIC. Muitas implementações do DMZ utilizam redes separadas para proteger tipos de tráfego diferentes. Configure o Unified Access Gateway de acordo com o design da rede do DMZ no qual está implementado.
    Host/Cluster Selecione o host ou o cluster no qual executar o appliance virtual.
    Formato do disco Para ambientes de avaliação e teste, selecione o formato de Provisionamento Dinâmico. Para ambientes de produção, selecione um dos formatos de Provisionamento Estático. O Thick Provision Eager Zeroed é um tipo de formato de disco virtual estático que suporta recursos de cluster como tolerância a falhas, mas demora muito mais para ser criado do que outros tipos de discos virtuais.
    Configurar Redes/Mapeamento de Rede Se estiver utilizando o vSphere Web Client, a página Configurar Redes permitirá o mapeamento de cada NIC a uma rede e especifica configurações de protocolo.

    Mapeie as redes usadas no modelo OVF para as redes no seu inventário.

    1. Selecione IPv4 ou IPv6 na lista suspensa de protocolo IP.
    2. Selecione a primeira linha na tabela Internet e, em seguida, clique na seta para baixo para selecionar a rede de destino. Se você selecionar IPv6 como o protocolo IP, será preciso selecionar a rede que possui recursos IPv6.

      Após selecionar a linha, você pode também inserir os endereços IP para o servidor DNS, o gateway e a máscara de rede na porção inferior da janela.

    3. Se estiver utilizando mais de um NIC, selecione a fileira seguinte Rede de Gerenciamento, selecione a rede de destino e, em seguida, poderá inserir os endereços IP para o servidor DNS, gateway e máscara de rede para aquela rede.

      Se estiver utilizando somente um NIC, todas as linhas serão mapeadas para a mesma rede.

    4. Se possuir um terceiro NIC, selecione também a terceira linha e conclua as configurações.

      Se estiver utilizando somente dois NICs, para esta terceira linha Rede Back-end, selecione a mesma rede que utilizou para Rede de Gerenciamento.

    Com o vSphere Web Client, um perfil de protocolo de rede será criado automaticamente após a conclusão do assistente, se ainda não existir.

    Se você utilizar o Cliente nativ do vSphere nativo, a página Mapeamento de Rede permitirá mapear cada NIC a uma rede, mas não haverá campos para especificar os endereços do servidor DNS, do gateway e da máscara de rede. Como descrito nos pré-requisitos, você precisa ter atribuído um pool de IPs para cada rede ou ter criado um perfil de protocolo de rede.

    Personalizar propriedades de rede As caixas de texto na página Propriedades são específicas ao Unified Access Gateway e podem não ser necessárias para outros tipos de appliance virtuais. O texto na página do assistente explica cada configuração. Se o texto estiver truncado no lado direito do assistente, redimensione a janela arrastando-a partir do canto inferior direito.
    • IPMode:STATICV4/STATICV6. Se digitar STATICV4, será necessário inserir o endereço IPv4 para o NIC. Se digitar STATICV6, será necessário inserir o endereço IPv6 para o NIC.
    • Lista separada por vírgula das regras de encaminhamento com o formato {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu
    • Endereço IPv4 para o NIC 1 (ETH0). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
    • Lista separada por vírgula das rotas personalizadas IPv4 para NIC 1 (eth0) com o formato ipv4-network-address/bits.ipv4-gateway-address
    • Endereço IPv6 para o NIC 1 (eth0). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Máscara de rede substituta IPv4 do NIC 1 (eth0). Insira a máscara de rede IPv4 para o NIC que deve substituir a máscara de rede padrão eth0 do perfil de protocolo de rede (NPP).
    • Prefixo substituto IPv6 do NIC 1 (eth0). Insira o prefixo IPv6 para o NIC que deve substituir o prefixo padrão eth0 do perfil de protocolo de rede (NPP).
    • Endereços de servidor DNS. Insira os endereços IPv4 ou IPv6 separados por espaço dos servidores do nome de domínio para o appliance do Unified Access Gateway . O exemplo de entrada do IPv4 é 192.0.2.1 192.0.2.2. O exemplo de entrada do IPv6 é fc00:10:112:54::1
    • Gateway padrão. Insira um valor padrão definido pelos perfis de protocolo de rede do vSphere (Observação: Insira um valor de gateway padrão somente se o modo IP for STATICV4/STATICV6).
    • Endereço IPv4 para o NIC 2 (eth1). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
    • Lista separada por vírgula das rotas personalizadas IPv4 para NIC 2 (eth1) com o formato ipv4-network-address/bits.ipv4-gateway-address
    • Endereço IPv6 para o NIC 2 (eth1). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Máscara de rede substituta IPv4 do NIC 2 (eth1). Insira a máscara de rede IPv4 para o NIC que deve substituir a máscara de rede padrão eth1 do perfil de protocolo de rede (NPP).
    • Prefixo substituto IPv6 do NIC 2 (eth1). Insira o prefixo IPv6 para o NIC que deve substituir o prefixo padrão eth1 do perfil de protocolo de rede (NPP).
    • Endereço IPv4 para o NIC 3 (eth2). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
    • Lista separada por vírgula das rotas personalizadas IPv4 para NIC 3 (eth2) com o formato ipv4-network-address/bits.ipv4-gateway-address
    • Endereço IPv6 para o NIC 3 (eth2). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Máscara de rede substituta IPv4 do NIC 3 (eth2). Insira a máscara de rede IPv4 para o NIC que deve substituir a máscara de rede padrão eth2 do perfil de protocolo de rede (NPP).
    • Prefixo substituto IPv6 do NIC 3 (eth2). Insira o prefixo IPv6 para o NIC que deve substituir o prefixo padrão eth2 do perfil de protocolo de rede (NPP).
    • Opções de senha. Insira a senha para o usuário raiz desta VM e a senha para o usuário administrador que acessa o console de administração e habilita o acesso à API REST.
    • Opções de senha. Insira a senha para o usuário administrador que faz logon na IU do administrador para configurar o Unified Access Gateway e que pode habilitar o acesso à API REST.
    • Compartilhamento da porta 443 do TLS. Selecione essa caixa para ativar o compartilhamento da porta 443 com o Proxy HA. Se estiver selecionado aqui, esse valor não poderá ser modificado na IU do administrador. Você pode visualizar as regras SNI da TLS na IU do administrador nas configurações do VMware Tunnel ou do Gateway de Conteúdo.
      Observação: Você deverá selecionar esta caixa para o Gateway de Conteúdo usar a porta 443, mesmo se esta porta não estiver sendo compartilhada com nenhum outro componente.

    As outras configurações são opcionais ou já têm uma configuração padrão inserida.

    Participar do CEIP Selecione Ingressar no programa de aperfeiçoamento da experiência do cliente da VMware para participar do CEIP ou desmarque a opção para sair do CEIP.
  5. Na página Pronto para Concluir, selecione Ligar após implantação e clique em Concluir.
    Uma tarefa de Implementar Modelo OVF aparece na área de status do vCenter Server para que você possa monitorar a implantação. Você pode também abrir um console na máquina virtual para visualizar as mensagens do console que são exibidas durante a inicialização do sistema. Um registro destas mensagens também está disponível no arquivo /var/log/boot.msg.
  6. Quando a implantação for concluída, certifique-se de que os usuários finais possam se conectar ao appliance abrindo um navegador e inserindo a seguinte URL: 
    https://FQDN-of-UAG-appliance

    Nessa URL, FQDN-of-UAG-appliance é o nome de domínio totalmente qualificado do appliance do Unified Access Gateway que pode ser resolvido por DNS.

    Se a implantação for bem-sucedida, você verá a página da Web fornecida pelo servidor para o qual o Unified Access Gateway estiver apontado. Se a implantação não foi bem sucedida, você pode excluir a máquina virtual do appliance e implementá-lo novamente. O erro mais comum é não inserir as impressões digitais do certificado corretamente.

Resultados

O appliance do Unified Access Gatewayé implementado e iniciado automaticamente.

O que Fazer Depois

Faça o logon na interface do usuário administrador (IU) do Unified Access Gateway e configure os recursos da área de trabalho e do aplicativo para permitir acesso remoto da Internet por meio do Unified Access Gateway e os métodos de autenticação a serem usados na DMZ. A URL do console de administração está no formato https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Observação: Se não for possível acessar o logon da UI do Administrador na tela, verifique para observar se a máquina virtual tem o endereço IP exibido durante a instalação do OVA. Se o endereço IP não estiver configurado, use o comando VAMI mencionado na UI para reconfigurar as NICs. Execute o comando como " cd /opt/vmware/share/vami" depois o comando "./vami_config_net".