您可以登录到 vCenter Server 并使用“部署 OVF 模板”向导来部署 Unified Access Gateway 设备。

Unified Access Gateway 大小调整选项

为了简化将 Unified Access Gateway 设备部署为 Workspace ONE 安全网关的过程,向设备的部署配置中添加了大小调整选项。在部署配置中,可以选择标准虚拟机、大型虚拟机和超大型虚拟机。
  • 标准:对于支持多达 2000 个 Horizon 连接且符合连接服务器容量要求的 Horizon 部署,建议使用此配置。对于支持多达 10,000 个并发连接的 Workspace ONE UEM 部署(移动用例),也建议使用此配置。
  • 大型:对于其中的 Unified Access Gateway 需要支持超过 50,000 个并发连接的 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、应用级隧道和反向代理使用同一 Unified Access Gateway 设备。
  • 超大型:对于 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、应用级隧道和反向代理使用同一 Unified Access Gateway 设备。
  • 注: 标准、大型和超大型部署的虚拟机选项:
    • 标准 - 2 个内核和 4 GB RAM
    • 大型 - 4 个内核和 16 GB RAM
    • 超大型 - 8 个内核和 32 GB RAM

    您可以使用 PowerShell 配置这些设置。有关 PowerShell 参数的信息,请参阅使用 PowerShell 部署 Unified Access Gateway 设备

    有关 Unified Access Gateway 大小调整建议的更多信息,可以参阅 VMware 最高配置

前提条件

  • 查看向导中可用的部署选项。请参阅Unified Access Gateway 系统和网络要求
  • 确定要为 Unified Access Gateway 设备配置的网络接口和静态 IP 地址数。请参阅网络配置要求
  • 从 VMware 网站 (https://my.vmware.com/web/vmware/downloads) 下载 Unified Access Gateway 设备的 .ova 安装程序文件,或确定要使用的 URL(例如:http://example.com/vapps/euc-unified-access-gateway-YY.MM.0.0-xxxxxxx_OVF10.ova),其中 YY.MM 是版本号,xxxxxxx 是内部版本号。
  • 如果存在 Hyper-V 部署,并且您要升级具有静态 IP 的 Unified Access Gateway,请在部署新的 Unified Access Gateway 实例之前删除旧设备。
  • 要在不停机的情况下为用户将旧设备升级到新的 Unified Access Gateway 实例,请参阅零停机时间升级部分。

过程

  1. 使用本机 vSphere Client 或 vSphere Web Client 登录到 vCenter Server 实例。
    对于 IPv4 网络,请使用本机 vSphere Client 或 vSphere Web Client。对于 IPv6 网络,请使用 vSphere Web Client。
  2. 选择一个菜单命令以启动部署 OVF 模板向导。
    选项 菜单命令
    vSphere Client 选择文件 > 部署 OVF 模板
    vSphere Web Client 选择作为虚拟机的有效父对象的任何清单对象(如数据中心、文件夹、集群、资源池或主机),然后从操作菜单中选择部署 OVF 模板
  3. 选择 OVF 模板页面上,单击 URL,然后输入用于从 Internet 下载并安装 OVF 模板的 URL,或者单击本地文件以浏览到您下载的 .ova 文件。单击下一步
    查看产品详细信息、版本和大小要求。
  4. 按照提示进行操作,并在完成向导的过程中遵循以下准则。在 ESXi 和 Hyper-V 部署中,可通过两种选项为 Unified Access Gateway 分配 IP。对于 Hyper-V,如果要进行升级,请先删除具有相同 IP 地址的旧设备,然后再部署具有新地址的设备。对于 ESXi,您可以关闭旧设备,然后使用静态分配来部署具有相同 IP 地址的新设备。
    表 1. OVF 部署选项
    选项 描述
    选择名称和文件夹
    名称和位置 虚拟机名称字段中输入 Unified Access Gateway 虚拟设备的名称。该名称必须是清单文件夹内唯一的。名称区分大小写。

    从列表中为虚拟机选择一个位置
    选择计算资源
    主机/集群 选择要在其中运行虚拟设备的主机或集群。

    结果:执行兼容性检查和验证检查以确认计算资源是否可以支持 OVF。

    查看详细信息

    验证 OVF 部署详细信息。
    配置
    选择部署配置 对于 IPv4 或 IPv6 网络,您可以使用一个、两个或三个网卡 (NIC)。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的 DMZ 的网络设计对其进行配置。除了网卡数外,您还可以为 Unified Access Gateway 选择标准大型部署选项。
    注: 标准大型部署的虚拟机选项:
    • 标准 - 2 个内核和 4 GB RAM
    • 大型 - 4 个内核和 16 GB RAM
    • 超大型 - 8 个内核和 32 GB RAM
    选择存储
    选择虚拟磁盘格式 对于评估和测试环境,请选择精简置备格式。对于生产环境,请选择复杂置备格式之一。

    厚置备置零是一种厚虚拟磁盘格式,它支持集群功能(如容错),但所需的创建时间比其他类型的虚拟磁盘长得多。
    虚拟机存储策略

    数据存储默认设置或任何其他已配置的存储策略。有关更多信息,请参阅 VMware Docs 上的 VMware vSphere 文档中的虚拟机存储策略
    选择网络
    如果使用 vSphere Web Client,则可以在“选择网络”页面中将每个网卡映射到一个网络并指定协议设置。

    将 OVF 模板中使用的网络映射到您清单中的网络。

    1. 如果您使用多个网卡,请在 ManagementNetwork 行上选择目标网络,然后输入该网络的 DNS 服务器 IP 地址、网关和网络掩码。

      如果您仅使用一个网卡,所有行将映射到同一个网络。

    2. 如果您有第三个网卡,请选择第三行并完成设置。

      如果您仅使用两个网卡,则对于 BackendNetwork 行,请选择用于 ManagementNetwork 的相同网络。

    3. 选择 Internet 行,然后单击向下箭头以选择目标网络。如果您选择“IPv6”作为 IP 协议,则必须选择具备 IPv6 功能的网络。

      选择此行后,您也可以在窗口的下半部分输入 DNS 服务器 IP 地址、网关和网络掩码。单击下一步

    注: 忽略 IP 协议下拉菜单(如果已显示),并在此处不做任何选择。实际选择的 IP 协议(IPv4/IPv6/两者)取决于在自定义网络属性时为网卡 1 (eth0)、网卡 2 (eth1) 和网卡 3 (eth2) 的 IPMode 指定的 IP 模式。DNS 服务器和默认网关设置是全局设置,不与任何特定的网卡关联。
    自定义模板
    网络属性 “属性”页面上的文本框特定于 Unified Access Gateway,其他类型的虚拟设备可能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了该文本,请从右下角拖动以调整窗口大小。对于每个网卡,您必须在 STATICV4 中输入该网卡的 IPv4 地址。您必须在 STATICV6 中输入该网卡的 IPv6 地址。如果将文本框留空,则 IP 地址分配默认为 DHCPV4+DHCPV6。
    重要说明: 最新版本的 Unified Access Gateway 不接受网络协议配置文件 (Network Protocol Profile, NPP) 中的网络掩码或前缀值以及默认网关设置。要为 Unified Access Gateway 配置静态 IP 分配,您必须在网络属性中配置网络掩码/前缀。无法通过 NPP 来填充这些值。
    注:
    • 这些值区分大小写。
    • vSphere 6.7 或更低版本中使用 vSphere Client HTML5 部署 Unified Access Gateway 时,仅可配置网卡 1 (eth0)。在 vSphere 7.0 中使用 vSphere Client HTML5 时,可以配置多个网卡。
    • 网卡 1 (eth0) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6。
    • 以逗号分隔的转发规则列表,格式为 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu。例如,tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443(对于 IPv4)。
    • 网卡 1 (eth0) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
      • 以逗号分隔的网卡 (eth0) IPV4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.120.9.0.0/16 10.2.0.210.2.0.1/32
        注: 如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。
    • 网卡 1 (eth0) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • DNS 服务器地址。为 Unified Access Gateway 设备输入以空格分隔的域名服务器 IPv4 或 IPv6 地址。IPv4 条目示例为 192.0.2.1 192.0.2.2。IPv6 条目示例为 fc00:10:112:54::1
    • DNS 搜索域。输入以空格分隔的 DNS 搜索列表。
    • 网卡 1 (eth0) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。
    • 网卡 1 (eth0) IPv6 前缀。输入该网卡的 IPv6 前缀。
    • 网卡 1 (eth0) 自定义配置。以 SectionName^Parameter=Value 格式输入网卡的自定义配置值。自定义配置条目的示例为 DHCP^UseDNS=false。使用此值时将禁止使用由 DHCP 服务器提供的 DNS IP 地址。您可以使用相同的格式添加多个此类 systemd.network 配置条目,并且以分号分隔这些条目。
    • IPv4 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中任何网卡的本地网段上的 IP 地址进行通信,请输入 IPv4 默认网关。
    • IPv6 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中任何网卡的本地网段上的 IP 地址进行通信,请输入 IPv6 默认网关。
    统一网关设备名称 输入设备的主机名以进行识别。如果不输入任何名称,系统会自动生成名称。
    加入 CEIP 选择加入 VMware 客户体验改进计划以加入 CEIP,或取消选择此选项以退出 CEIP。
    密码选项
    操作系统登录用户名 输入用于访问 Unified Access Gateway 本地控制台的用户名。

    配置后,系统会创建一个具有给定用户名的新 sudo 特权用户,并禁用 root 登录。仅允许使用 a-z、0-9、下划线 (_) 和连字符 (-),最大长度为 32。

    注: 将此字段留空可使用 root 用户。
    操作系统登录密码 输入操作系统登录密码。此密码适用于 root 用户或在操作系统登录用户名字段中配置的自定义用户。
    操作系统用户的密码有效期 (以天为单位) 输入操作系统用户的密码过期策略。如果设置为零,则密码永不过期。默认值为 365 天。
    密码策略最小长度 输入密码的最小长度。默认值为 6。
    针对字符种类最小数量的密码策略 输入针对字符类型种类(大写、小写、数字及其他)最小数量(1、2、3、4)的密码策略。
    针对最大失败尝试次数的密码策略 输入允许的最大失败尝试次数。默认值为 3。
    针对达到最大失败尝试次数时的解锁时间的密码策略 (以秒为单位) 输入达到最大失败尝试次数时解锁密码的时间(以秒为单位)。默认值为 900。
    操作系统用户的会话空闲超时 (以秒为单位) 输入操作系统用户的会话空闲超时。范围是 30-3600 秒。如果将此选项设置为零 (0),则会禁用会话到期。默认值为 300。
    sudo 用户的并发登录会话数上限 输入 sudo 用户的并发登录会话数上限。如果未配置 sudo 用户,则将忽略此设置。

    默认值为 10,可配置的最小值为 1。没有最大限制。
    管理员用户的密码,用于启用 REST API 访问
    针对最小长度的管理员密码策略 输入管理员密码的最小长度。默认值为 6。
    针对最大失败尝试次数的管理员密码策略 输入允许的最大失败尝试次数。默认值为 3。
    针对达到最大失败尝试次数时的解锁时间的管理员密码策略 (以分钟为单位) 输入达到最大失败尝试次数时解锁管理员密码的时间(以分钟为单位)。默认值为 5 分钟。
    管理员会话空闲超时 (以分钟为单位) 输入管理员的会话空闲超时。默认值为 10,最大值为 1440 分钟。
    管理控制台用户的最大并发会话数 输入管理员的并发登录会话数上限。

    默认值为 5,最大值为 50。

    当用户超过最大会话计数时,最近使用次数最少的会话将过期。

    合规性
    启用 DISA STIG 合规性

    将操作系统配置设置为符合当前 Photon OS 3.0 DISA STIG 就绪准则。

    选中此复选框可自动配置密码复杂性和其他 STIG 要求。

    注: 如果需要满足 DISA STIG 操作系统合规性,则此设置应该与 FIPS 版本配合使用。
    系统属性
    启用 SSH 用于启用 SSH 以访问 Unified Access Gateway 虚拟机的选项。
    允许使用密码进行 SSH root 登录 用于使用 SSH root 登录和密码访问 Unified Access Gateway 虚拟机的选项。

    默认情况下,此选项的值为 true
    允许使用密钥对进行 SSH 登录 用于使用 SSH root 登录和公钥私钥对访问 Unified Access Gateway 虚拟机的选项。

    默认情况下,此值为 false

    Unified Access Gateway 管理 UI 中有一个 SSH 公钥字段,在使用公钥私钥对选项时,管理员可以在此处上载公钥以允许配置的用户或 root 用户访问 Unified Access Gateway。要使此字段在管理 UI 中可用,在部署时,此选项和启用 SSH 的值必须均为 true。如果其中任一选项不为 true,则管理 UI 中的 SSH 公钥字段将不可用。

    SSH 公钥字段是管理 UI 中的高级系统设置。请参阅配置 Unified Access Gateway 系统设置
    登录 Shell 横幅文本 用于自定义在使用 SSH 或 vSphere Client 的 Web 控制台登录 Unified Access Gateway 时显示的横幅文本的选项。

    此选项只能在部署时进行配置。如果未配置此选项,则显示的默认文本将为:VMware EUC Unified Access Gateway

    自定义文本中仅支持 ASCII 字符。对于多行横幅文本,必须使用 \n 作为行分隔符。

    注: 使用 OVF 模板部署 Unified Access Gateway 并且配置了登录横幅文本后,在首次启动 Unified Access Gateway 时, vSphere Client 的 Web 控制台将显示默认横幅文本,并忽略自定义横幅文本。在后续启动时,将会显示自定义横幅文本。
    SSH 接口

    配置启用了 SSH 登录的网络接口。

    默认情况下,将在所有接口上启用 SSH。

    根据配置,支持的值包括 eth0eth1eth2
    SSH 端口

    配置启用了 SSH 的端口。

    默认值为 22
    要在首次引导期间运行的命令 以纯文本或 base64 编码格式输入要在 Unified Access Gateway 首次引导期间运行的命令列表(以分号分隔)。最大大小为 8 KB。有关更多信息,请参阅首次引导和每次引导的可配置引导时间命令
    要在每次引导期间运行的命令 以纯文本或 base64 编码格式输入要在 Unified Access Gateway 每次引导期间运行的命令列表(以分号分隔)。最大大小为 8 KB。有关更多信息,请参阅首次引导和每次引导的可配置引导时间命令
    SecureRandom 源 允许您配置 Java 进程用于加密函数的安全随机位生成器源。

    此选项只能在部署时进行配置。

    支持的值包括:/dev/random/dev/urandom。默认情况下,/dev/random 在非 FIPS 模式下使用,/dev/urandom 在 FIPS 模式下使用。
  5. 即将完成页面上,查看相应的信息并单击完成
    将在 vCenter Server 状态区域中显示“部署 OVF 模板”任务,以便您可以监控部署。您也可以打开虚拟机上的控制台,以查看在系统启动期间显示的控制台消息。 /var/log/boot.msg 文件中还提供了这些消息的日志。
  6. 打开虚拟机电源。
  7. 在打开设备的电源后,打开浏览器并输入以下 URL 以验证最终用户是否可以连接到设备: 
    https://FQDN-of-UAG-appliance

    在该 URL 中,FQDN-of-UAG-applianceUnified Access Gateway 设备的 DNS 可解析完全限定域名。

    如果部署成功,将会看到服务器提供的 Unified Access Gateway 指向的网页。如果部署失败,您可以删除设备虚拟机并重新部署该设备。最常见的错误是输入的证书指纹不正确。

结果

将自动部署并启动 Unified Access Gateway 设备。

下一步做什么

  • 登录到 Unified Access Gateway 管理员用户界面 (User Interface, UI),然后配置允许通过 Unified Access Gateway 从 Internet 远程访问的桌面和应用程序资源,以及要在 DMZ 中使用的身份验证方法。管理控制台 URL 的格式为 https://<UAG-fqdn>.com:9443/admin/index.html
    重要说明: 您必须使用管理 UI 完成部署后的 Unified Access Gateway 配置。如果未提供管理 UI 密码,则以后将无法通过添加管理 UI 用户来启用对管理 UI 或 API 的访问权限。如果您想要添加管理 UI 用户,则必须使用有效的管理 UI 密码重新部署 Unified Access Gateway 实例。
    注: 如果您无法访问管理 UI 登录屏幕,请检查虚拟机是否具有在 OVA 安装期间显示的 IP 地址。如果未配置 IP 地址,请使用 UI 中提到的 VAMI 命令重新配置网卡。运行命令 "cd /opt/vmware/share/vami",然后运行命令 "./vami_config_net"