要部署 Unified Access Gateway 设备,请确保系统满足硬件和软件要求。

支持的 VMware 产品版本

您必须使用特定版本的 VMware 产品,并且该产品应包含特定版本的 Unified Access Gateway。请参阅产品发行说明以了解有关兼容性的最新信息,同时还请参阅《VMware 产品互操作性列表》,其网址为 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

有关 Unified Access Gateway 生命周期支持策略的信息,请参阅 https://kb.vmware.com/s/article/2147313

Hypervisor 要求

Unified Access Gateway 支持以下虚拟化平台:
  • VMware vSphere(具有 vCenter 的 ESXi)
  • Microsoft Azure
  • Microsoft Hyper-V(仅限 Tunnel、Secure Email Gateway 和 Content Gateway Edge 服务)
  • Amazon AWS EC2
  • Google Cloud GCE

ESXi Server 的硬件要求

部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品和版本支持的版本相同。

如果您打算使用 vSphere Web client,请确认安装了客户端集成插件。有关更多信息,请参阅vSphere文档。如果在启动部署向导之前未安装该插件,该向导将提示您安装该插件。这需要关闭浏览器并退出该向导。

虚拟设备要求

Unified Access Gateway 设备的 OVF 软件包自动选择 Unified Access Gateway 所需的虚拟机配置。虽然您可以更改这些设置,但建议您不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。

  • CPU 最低要求为 2000 MHz
  • 最小内存为 4 GB
重要说明: Unified Access Gateway 是 VMware 虚拟设备。安全和常规修补程序由 VMware 作为更新的虚拟设备映像文件进行分发。不支持自定义 Unified Access Gateway 设备或升级单个组件,但可通过 vCenter Server 编辑设置增加内存和 vCPU 数量。

确保用于设备的数据存储具有足够的可用磁盘空间并满足其他系统要求。

  • 虚拟设备下载大小(取决于 Unified Access Gateway 版本)
  • 精简置备的磁盘最低要求为 3.5 GB
  • 厚置备的磁盘最低要求为 20 GB
注: 除了最低磁盘要求外, vSphere 还可以在 ESXi 数据存储上为每个虚拟机创建其他文件(例如交换文件)。磁盘空间也可用于使用 vCenter Server 创建的任何虚拟机快照。ESXi 数据存储还包含用于每个虚拟机的其他一些小文件。

如果未配置内存预留,vSphere 将创建一个每虚拟机交换文件 (.vswp),该文件的大小最大为虚拟机内存大小。此交换空间适用于任何未预留的虚拟机内存。例如,具有 vSphere 厚置备磁盘且 RAM 大小为 4 GB 的 Unified Access Gateway 设备可以使用大小为 20 GB 的 ESXi .vmdk 文件,还可以使用大小为 4 GB 的 ESXi 交换文件。这会导致总磁盘空间要求为 24 GB。同样,对于 RAM 大小为 16 GB 的 Unified Access Gateway 设备,总磁盘空间要求可以是 36 GB。

有关交换空间和内存超额分配的详细信息,请参见 vSphere 资源管理文档。

部署虚拟设备需要以下信息。

  • 静态 IP 地址(推荐)
  • DNS 服务器的 IP 地址
  • root 用户的密码
  • admin 用户的密码
  • Unified Access Gateway 设备指向的负载均衡器的服务器实例的 URL

Unified Access Gateway 大小调整选项

  • 标准:对于支持多达 2000 个 Horizon 连接且符合连接服务器容量要求的 Horizon 部署,建议使用此配置。对于支持多达 10,000 个并发连接的 Workspace ONE UEM 部署(移动用例),也建议使用此配置。
  • 大型:对于其中的 Unified Access Gateway 需要支持超过 50,000 个并发连接的 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、应用级隧道和反向代理使用同一 Unified Access Gateway 设备。
  • 超大型:对于 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、应用级隧道和反向代理使用同一 Unified Access Gateway 设备。
  • 注: 标准、大型和超大型部署的虚拟机选项:
    • 标准 - 2 个内核和 4 GB RAM
    • 大型 - 4 个内核和 16 GB RAM
    • 超大型 - 8 个内核和 32 GB RAM

    您可以使用 PowerShell 配置这些设置。有关 PowerShell 参数的信息,请参阅使用 PowerShell 部署 Unified Access Gateway 设备

    有关 Unified Access Gateway 大小调整建议的更多信息,可以参阅 VMware 最高配置

支持的浏览器版本

支持启动管理 UI 的浏览器包括:Chrome、Firefox 和 Internet Explorer。请使用最新版本的浏览器。

使用 Windows Hyper-V 服务器的硬件要求

在使用 Unified Access Gateway 进行 Workspace ONE UEM 每应用隧道部署时,您可以在 Microsoft Hyper-V 服务器上安装 Unified Access Gateway 设备。

受支持的 Microsoft 服务器为 Windows Server 2012 R2 和 Windows Server 2016。

网络配置要求

您可以使用一个、两个或三个网络接口,并且 Unified Access Gateway 要求每个接口具有单独的静态 IP 地址。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的 DMZ 的网络设计对其进行配置。

  • 一个网络接口适用于概念证明 (Proof Of Concept, POC) 或测试。在使用一个网卡时,外部、内部和管理流量均位于同一子网中。
  • 在使用两个网络接口时,外部流量位于一个子网中,内部和管理流量位于另一个子网中。
  • 使用三个网络接口是最安全的选项。在使用三个网卡时,外部、内部和管理流量均位于自己的子网中。

多播 DNS 和 .local 主机名

除单播 DNS 外,UAG (Unified Access Gateway) 3.7 和更高版本还支持多播 DNS。带有域后缀 .local 的多标签名称将使用多播 DNS 协议路由至支持 IP 多播的所有本地接口。

请勿在单播 DNS 服务器中定义 .local,因为此域是 RFC6762 专为多播 DNS 而保留的。例如,如果在配置设置(如 UAG 上的“代理目标 URL”)中使用主机名 hostname.example.local,那么单播 DNS 不会解析该主机名,因为 .local 是专为多播 DNS 而保留的。

或者,您可以使用以下任一方法,在这些方法中无需包含 .local 域后缀:

  • 指定 IP 地址代替 .local 主机名。
  • 可以在 DNS 服务器中添加另一条备用 DNS A 记录。

    在之前的主机名示例中,hostname.example.int 可添加到与 hostname.example.local 相同的 IP 地址,并在 UAG 配置中使用。

  • 可定义本地 hosts 文件条目。

    在之前的示例中,可为 hostname.example.local 定义本地 hosts 条目。

    hosts 文件条目用于指定名称和 IP 地址,可通过使用 UAG 管理 UI 或通过 PowerShell .ini 文件设置来设定。
    重要说明: 不得编辑 UAG 上的 /etc/hosts 文件。

    在 UAG 上,执行 DNS 搜索前会先搜索本地 hosts 文件条目。此搜索操作可确保如果 hosts 文件上存在主机名,那么即可使用 .local 名称,而无需执行 DNS 搜索。

日志保留要求

默认情况下,系统会将日志文件配置为使用一定量的空间,此空间小于汇总中的总磁盘大小。默认情况下,将轮换 Unified Access Gateway 的日志。您必须使用 syslog 来保留这些日志条目。请参阅从 Unified Access Gateway 设备收集日志