Você pode implantar o appliance do Unified Access Gatewayefetuando logon no vCenter Server e utilizando o assistente Implantar Modelo OVF.

Há duas versões do OVA do Unified Access Gateway disponíveis, OVA padrão e versão FIPS do OVA.

A versão FIPS do OVA é compatível com os seguintes serviços de borda:
  • Horizon (apenas autenticação de passagem)
  • VMware Per-App Tunnel
Importante: A versão FIPS 140-2 é executada com o conjunto de cifras e hashes do certificado FIPS e tem serviços restritivos habilitados que são compatíveis com bibliotecas FIPS certificadas. Quando o Unified Access Gateway é implantado no modo FIPS, o appliance não pode ser alterado para o modo de implantação OVA padrão.

Opções de dimensionamento do Unified Access Gateway

Para simplificar a implantação do appliance do Unified Access Gateway como o gateway de segurança do Workspace ONE, opções de dimensionamento são adicionadas às configurações de implantação no appliance. A configuração de implantação oferece a escolha entre uma máquina virtual Padrão ou Grande.
  • Padrão: essa configuração é recomendada para a implantação do Horizon com suporte a até 2000 conexões do Horizon, alinhadas com a capacidade do Servidor de conexão. Também é recomendada para implantações do Workspace ONE UEM (casos de uso móvel) com suporte a até 10.000 conexões simultâneas.
  • Grande: essa configuração é recomendada para implantações do Workspace ONE UEM, nas quais o Unified Access Gateway precisa ter suporte a mais de 10.000 conexões simultâneas. Esse tamanho permite que o Content Gateway, o Per App Tunnel e Proxy e o Proxy reverso usem o mesmo appliance do Unified Access Gateway.

Pré-requisitos

  • Revise as opções de implantação disponíveis no assistente. Consulte Requisitos de sistema e de rede do Unified Access Gateway.
  • Determine quantas interfaces de rede e endereços IP estáticos devem ser configurados para o appliance do Unified Access Gateway. Consulte Requisitos de configuração de rede.
  • Faça o download do arquivo do instalador .ova para o appliance do Unified Access Gateway no site da VMware em https://my.vmware.com/web/vmware/downloads ou determine a URL a ser utilizada (exemplo: http://exemplo.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), onde Y.Y é o número da versão e xxxxxxx é o número de compilação.
  • Em caso de uma implantação do Hyper-V, e se você estiver fazendo upgrade do Unified Access Gateway com IP estático, exclua o appliance mais antigo antes de implantar a instância mais recente do Unified Access Gateway.
  • Para fazer upgrade do seu appliance antigo para uma nova instância do Unified Access Gateway sem tempo de inatividade para os usuários, consulte a seção Atualização com tempo de inatividade zero.

Procedimento

  1. Utilize o cliente nativo do vSphere ou o vSphere Web Client para efetuar logon em uma instância do vCenter Server.
    Para uma rede IPv4, utilize o Cliente nativo do vSphere ou o vSphere Web Client. Para uma rede IPv6, utilize o vSphere Web Client.
  2. Selecione um comando de menu para iniciar o assistente Implantar modelo OVF.
    Opção Comando de Menu
    vSphere Client Selecione Arquivo > Implementar Modelo OVF.
    vSphere Web Client Selecione um objeto de inventário que seja um objeto parente válido de uma máquina virtual, como um centro de dados, pasta, cluster, pool de recursos ou host e, no menu Ações, selecione Implementar Modelo OVF.
  3. Na página Selecionar origem, navegue até a localização do arquivo .ova que baixou ou insira uma URL e clique em Avançar.
    Revise os detalhes do produto, a versão e os requisitos de tamanho.
  4. Siga as indicações e leve em consideração as seguintes orientações à medida que conclui o assistente. Ambas as implantações ESXi e Hyper-V têm duas opções de atribuir a atribuição de IP para Unified Access Gateway. Se você estiver fazendo upgrade, para o Hyper-V, exclua a caixa antiga com o mesmo endereço IP antes de implantar a caixa com o novo endereço. Para ESXi, você pode desativar a caixa antiga e implantar uma nova caixa com o mesmo endereço IP usando a atribuição estática.
    Opção Descrição
    Nome e localização Insira um nome para o appliance virtual do Unified Access Gateway. O nome deve ser exclusivo na pasta do inventário. Os nomes diferenciam letras maiúsculas de minúsculas.

    Selecionar uma localização para o appliance virtual.

    Configuração da implantação Para uma rede IPv4 ou IPV6, você pode utilizar uma, duas ou três interfaces de rede (NICs). Muitas implementações do DMZ utilizam redes separadas para proteger tipos de tráfego diferentes. Configure o Unified Access Gateway de acordo com o design da rede do DMZ no qual está implementado. Juntamente com o número de NICs, também é possível escolher as opções de implantação Padrão ou Grande para Unified Access Gateway.
    Observação: Opções da VM para implantações Grande e Padrão:
    • Padrão - 2 núcleos e 4 GB de RAM
    • Grande - 4 núcleos e 16 GB de RAM
    Host/Cluster Selecione o host ou o cluster no qual executar o appliance virtual.
    Formato do disco Para ambientes de avaliação e teste, selecione o formato de Provisionamento Dinâmico. Para ambientes de produção, selecione um dos formatos de Provisionamento Estático. O Thick Provision Eager Zeroed é um tipo de formato de disco virtual estático que suporta recursos de cluster como tolerância a falhas, mas demora muito mais para ser criado do que outros tipos de discos virtuais.
    Configurar Redes/Mapeamento de Rede Se você estiver utilizando o vSphere Web Client, a página Configurar Redes permitirá o mapeamento de cada NIC a uma rede e especifica configurações de protocolo.

    Mapeie as redes usadas no modelo OVF para as redes no seu inventário.

    1. Selecione a primeira linha na tabela Internet e, em seguida, clique na seta para baixo para selecionar a rede de destino. Se você selecionar IPv6 como o protocolo IP, será preciso selecionar a rede que possui recursos IPv6.

      Após selecionar a linha, você pode também inserir os endereços IP para o servidor DNS, o gateway e a máscara de rede na porção inferior da janela.

    2. Se estiver utilizando mais de um NIC, selecione a fileira seguinte Rede de Gerenciamento, selecione a rede de destino e, em seguida, poderá inserir os endereços IP para o servidor DNS, gateway e máscara de rede para aquela rede.

      Se estiver utilizando somente um NIC, todas as linhas serão mapeadas para a mesma rede.

    3. Se possuir um terceiro NIC, selecione também a terceira linha e conclua as configurações.

      Se estiver utilizando somente dois NICs, para esta terceira linha Rede Back-end, selecione a mesma rede que utilizou para Rede de Gerenciamento.

    Observação: Ignore o menu suspenso Protocolo IP se ele for exibido e não faça nenhuma seleção aqui. A seleção real de protocolo IP (IPv4/IPv6/ambos) depende de qual modo IP for especificado para o modo IP de NIC 1 (eth0), NIC 2 (eth1) e NIC 3 (eth2), ao personalizar as propriedades de rede.
    Personalizar propriedades de rede As caixas de texto na página Propriedades são específicas ao Unified Access Gateway e podem não ser necessárias para outros tipos de appliance virtuais. O texto na página do assistente explica cada configuração. Se o texto estiver truncado no lado direito do assistente, redimensione a janela arrastando-a partir do canto inferior direito. Para cada uma das NICs, para STATICV4, você deve inserir o endereço IPv4 para a NIC. Para STATICV6, será necessário inserir o endereço IPv6 para a NIC. Se você deixar as caixas de texto em branco, a alocação de endereço IP será padronizada como DHCPV4+DHCPV6.
    Importante: A versão mais recente do Unified Access Gateway não aceita as configurações de gateway padrão e os valores de máscara de rede ou de prefixo a partir do Perfil de protocolo de rede (NPP). Para configurar o Unified Access Gateway com a alocação de IP estático, você deve configurar a máscara de rede/prefixo nas propriedades da rede. Esses valores não são preenchidos do NPP.
    • Modo IP para NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • Modo IP para NIC2(eth1): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • Modo IP para NIC3 (eth2): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • Lista separada por vírgula das regras de encaminhamento com o formato {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu. Por exemplo, para IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
    • Endereço IPv4 para a NIC 1 (eth0). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
      • Lista separada por vírgula das rotas personalizadas IPv4 para NIC 1 (eth0) com o formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        Observação: Se ipv4-gateway-address não for especificado, a rota respectiva adicionada terá um gateway de 0.0.0.0
    • Endereço IPv6 para o NIC 1 (eth0). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Máscara de rede IPv4 da NIC 1 (eth0). Insira a máscara de rede IPv4 para a NIC.
    • Prefixo IPv6 da NIC 1 (eth0). Insira o prefixo IPv6 para a NIC.
    • Endereços de servidor DNS. Insira os endereços IPv4 ou IPv6 separados por espaço dos servidores do nome de domínio para o appliance do Unified Access Gateway . O exemplo de entrada IPv4 é 192.0.2.1, 192.0.2.2. O exemplo de entrada IPv6 é fc00:10:112:54::1
    • Gateway padrão de IPv4. Insira um gateway padrão de IPv4 se o Unified Access Gateway precisar se comunicar com um endereço IP que não esteja em um segmento local de qualquer NIC no Unified Access Gateway.
    • Gateway padrão do IPv6. Insira um gateway padrão de IPv6 se o Unified Access Gateway precisar se comunicar com um endereço IP que não esteja em um segmento local de qualquer NIC no Unified Access Gateway.
    • Endereço IPv4 para o NIC 2 (eth1). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
    • Lista separada por vírgula das rotas personalizadas IPv4 para NIC 2 (eth1) com o formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
      Observação: Se ipv4-gateway-address não for especificado, a rota respectiva adicionada terá um gateway de 0.0.0.0
    • Endereço IPv6 para o NIC 2 (eth1). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Máscara de rede IPv4 da NIC 2 (eth1). Insira a máscara de rede IPv4 para essa NIC.
    • Prefixo IPv6 da NIC 2 (eth1). Insira o prefixo IPv6 para essa NIC.
    • Endereço IPv4 para o NIC 3 (eth2). Insira o endereço IPv4 para o NIC se digitou STATICV4 para o modo NIC.
    • Lista separada por vírgula das rotas personalizadas IPv4 para NIC 3 (eth2) com o formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
      Observação: Se ipv4-gateway-address não for especificado, a rota respectiva adicionada terá um gateway de 0.0.0.0
    • Endereço IPv6 para o NIC 3 (eth2). Insira o endereço IPv6 para o NIC se digitou STATICV6 para o modo NIC.
    • Máscara de rede IPv4 da NIC 3 (eth2). Insira a máscara de rede IPv4 para essa NIC.
    • Prefixo IPv6 da NIC 3 (eth2). Insira o prefixo IPv6 para essa NIC.
    • Senha de usuário raiz da VM. Insira a senha para o usuário raiz fazer login no console da VM.
    • Senha de UI do administrador. Insira a senha para o usuário administrador configurar o Unified Access Gateway na interface de usuário do administrador e também acessar as APIs REST.

    As outras configurações são opcionais ou já têm uma configuração padrão inserida.

    Participar do CEIP Selecione Ingressar no programa de aperfeiçoamento da experiência do cliente da VMware para participar do CEIP ou desmarque a opção para sair do CEIP.
  5. Na página Pronto para Concluir, selecione Ligar após implantação e clique em Concluir.
    Uma tarefa de Implementar Modelo OVF aparece na área de status do vCenter Server para que você possa monitorar a implantação. Você pode também abrir um console na máquina virtual para visualizar as mensagens do console que são exibidas durante a inicialização do sistema. Um registro destas mensagens também está disponível no arquivo /var/log/boot.msg.
  6. Quando a implantação for concluída, certifique-se de que os usuários finais possam se conectar ao appliance abrindo um navegador e inserindo a seguinte URL: 
    https://FQDN-of-UAG-appliance

    Nessa URL, FQDN-of-UAG-appliance é o nome de domínio totalmente qualificado do appliance do Unified Access Gateway que pode ser resolvido por DNS.

    Se a implantação for bem-sucedida, você verá a página da Web fornecida pelo servidor para o qual o Unified Access Gateway estiver apontado. Se a implantação não foi bem sucedida, você pode excluir a máquina virtual do appliance e implementá-lo novamente. O erro mais comum é não inserir as impressões digitais do certificado corretamente.

Resultados

O appliance do Unified Access Gatewayé implementado e iniciado automaticamente.

O que Fazer Depois

  • Faça o logon na interface do usuário administrador (IU) do Unified Access Gateway e configure os recursos da área de trabalho e do aplicativo para permitir acesso remoto da Internet por meio do Unified Access Gateway e os métodos de autenticação a serem usados na DMZ. A URL do console de administração está no formato https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.
    Importante: Você deve concluir a configuração pós-implantação do Unified Access Gateway usando a interface de usuário do administrador. Se você não fornecer a senha da interface de usuário do administrador no momento da implantação, não poderá adicionar um usuário da interface de usuário do administrador posteriormente para ativar o acesso à interface de usuário do administrador ou à API. Se você desejar adicionar um usuário da interface de usuário do administrador, deverá reimplantar sua instância do Unified Access Gateway com uma senha válida da interface de usuário do administrador.
    Observação: Se não for possível acessar o logon da UI do Administrador na tela, verifique para observar se a máquina virtual tem o endereço IP exibido durante a instalação do OVA. Se o endereço IP não estiver configurado, use o comando VAMI mencionado na UI para reconfigurar as NICs. Execute o comando como "cd /opt/vmware/share/vami" depois o comando "./vami_config_net".
  • Se você tiver implantado usando o vSphere ou o PowerShell, execute uma verificação de integridade e garanta que a instância recém-implantada retorne uma resposta OK 200.