可以使用 PowerShell 脚本部署 Unified Access Gateway。您必须在用于部署的 .INI 文件中配置基本参数。

[General] 部分的参数

[General] 部分中的参数适用于所有 Hypervisor。

INI 参数 描述
adminMaxConcurrentSessions

允许您配置并发管理员会话数限制。

默认值为 5

支持的范围为 1-50

如果将此值设置为 1,则不允许并发会话。

如果要在并发会话数已达到限制时创建新会话,则系统将使最近使用次数最少的会话失效。

adminpasswordPolicyUnlockTime 在管理员用户达到配置的失败登录尝试次数后,Unified Access Gateway 管理 UI 锁定的时长(以分钟为单位)。

锁定时间结束后,Unified Access Gateway 管理 UI 将会解锁,此时管理员用户便可以访问该 UI。

默认值为 5 分钟。

adminSessionIdleTimeoutMinutes Unified Access Gateway 管理 UI 会话可处于空闲状态的时长(以分钟为单位)。达到此超时时间后,管理 UI 会自动注销。

默认值为 10 分钟。

最大值为 1440 分钟。

如果此参数的值为 0,则即使处于空闲状态,会话也不会过期。

ceipEnabled 如果设置为 TRUE,将向 VMware 发送客户体验提升计划(“CEIP”)信息。有关详细信息,请参阅“加入或退出客户体验提升计划”。
communityName 有效的 communityName 区分大小写,并且可以包含特殊字符。
CustomConfig (eth0CustomConfig, eth1CustomConfig, eth2CustomConfig) 必须添加到 systemd.network 文件中的自定义配置值可使用以下格式提供:SectionName^Parameter=Value

当前支持的配置选项如下所示。如果需要多个选项,必须用分号分隔这些选项:

  • DHCP^UseDNS=false

    使用此值时,将禁止使用由 DHCP 服务器提供的 DNS IP 地址。

  • Network^DNSOverTLS=yes;Network^DNS=192.168.1.153#dns.example.com;Network^Domains=~.;DHCP^UseDNS=false;DHCP^UseDomains=false;

    使用此值时,将允许通过 TLS 将 DNS 查询发送到特定 DNS 服务器。

eth(0、1 和 2)的自定义配置值示例包含在 .ini 示例文件的 [General] 部分中。

deploymentoption 可以使用一个、两个或三个网卡 (NIC) 创建 UAG。指定 onenic、twonic 或 threenic。默认值为 onenic。这适用于 2 个 vCPU 和 4 GB RAM 的标准部署。

还可以指定 onenic-large、twonic-large、threenic-large、onenic-XL、twonic-XL、threenic-XL。大型选项将 UAG 部署为 4 个 vCPU 和 8 GB RAM,超大型 (XL) 选项将 UAG 部署为 8 个 vCPU 和 32 GB RAM。

dsComplianceOS

默认值为 false

如果设置为 true,此布尔标记会将操作系统配置设置为符合当前的《Photon OS 4.0 DISA STIG 就绪指南》。密码复杂性和其他 STIG 要求将自动配置。

注: 如果需要满足 DISA STIG 操作系统合规性,则此设置必须与 FIPS 版本配合使用。
headersToBeLogged

输入要记录的以逗号分隔的自定义标题列表,

示例:X-Forwarded-Host,host,X-Forwarded-For,X-Forwarded-Proto

此字段的默认值设置为 X-Forwarded-For,包含关于 UsernameClient buildClient version 的详细信息。

osLoginUsername

Unified Access Gateway 部署期间输入高特权用户的自定义用户名。

用户名的最大长度为 32 个字符,可以是 a-z0-9、下划线 _ 和连字符 - 的组合。

配置此用户后,将停用 root 登录。

osMaxLoginLimit

允许您以高特权非 root 用户的身份配置 Unified Access Gateway 本地控制台的并发登录数限制。

默认值为 10

注: 仅当为 Unified Access Gateway 本地控制台登录配置非 root 用户 (osLoginUsername) 时,此配置才有效。对 root 用户的并发登录数没有任何限制。
passwordPolicyFailedLockout 在 root 用户访问 Unified Access Gateway 控制台时允许的失败登录尝试次数。

默认值为 3

passwordPolicyMinClass 可用于配置 root 密码复杂性的最小字符类型种类数。

字符类型的种类包括:大写、小写、数字以及其他。

默认值为 1

可以为此参数配置以下值:1234

如果此参数具有默认值,则可以使用所有四个种类的字符。如果此参数的值为 1,则可以使用任一种类的字符。

passwordPolicyMinLen root 用户密码的最小长度。

此参数的默认值为 6

此参数的最大值为 64

passwordPolicyUnlockTime 在 root 用户达到配置的失败登录尝试次数后,Unified Access Gateway 控制台锁定的时长。

锁定时间结束后,Unified Access Gateway 控制台将会解锁,此时 root 用户便可以访问该控制台。

默认值为 900 秒。

rootPasswordExpirationDays root 用户的密码过期策略。

默认密码过期时间为 365 days

为防止密码过期,可以将过期时间设置为 0

rootSessionIdleTimeoutSeconds Unified Access Gateway 控制台会话可处于空闲状态的时长(以秒为单位)。达到此超时时间后,控制台会自动注销。

在 Microsoft Azure 上使用 SSH 登录 Unified Access Gateway 时,此参数的默认值为 180 秒,对于其他平台,默认值为 300 秒。

对于串行控制台会话,默认值为 900 秒。

此参数的最大值为 3600 秒。

secureRandomSource 允许您配置 Java 进程用于加密函数的安全随机位生成器源。

此选项只能在部署时进行配置。

支持的值包括:/dev/random/dev/urandom。默认情况下,/dev/random 在非 FIPS 模式下使用,/dev/urandom 在 FIPS 模式下使用。

sshEnabled 如果设置为 true,此参数会自动在部署的设备上启用 SSH 访问。

如果设置为 false,则不会启用 SSH。

注: VMware 通常建议不要在 Unified Access Gateway 上启用 SSH,但某些特定情况及可以限制访问的情况除外。

对于 vSphere、Hyper-V 或 Microsoft Azure,通常不需要在 Unified Access Gateway 部署上启用 SSH 访问,因为在这些平台中可以使用控制台访问。

如果启用 SSH,必须在防火墙或安全组中将 TCP 端口 22 访问限制为单个管理员的源 IP 地址。

sshInterface

配置启用了 SSH 登录的网络接口。

默认情况下,将在所有接口上启用 SSH。

根据配置,支持的值包括 eth0eth1eth2

sshLoginBannerText 用于自定义在使用 SSH 或 vSphere Client 的 Web 控制台登录 Unified Access Gateway 时显示的横幅文本的选项。

此选项只能在部署时进行配置。如果未配置此参数,则显示的默认文本将为 VMware EUC Unified Access Gateway

自定义文本中仅支持 ASCII 字符。对于多行横幅文本,必须使用 \n 作为行分隔符。

sshPort

配置启用了 SSH 的端口。

默认值为 22

vSphere 或 Hyper-V 部署的参数

仅当在 vSphere 或 Hyper-V 上部署 Unified Access Gateway 时,才配置这些附加参数。

INI 参数 描述
defaultGateway
指定 UAG 设备的默认网关地址。在以下情况下使用:
  • vSphere 中的网络协议配置文件不包含默认网关。
  • 为避免使用多个网络协议配置文件时出现歧义,每个配置文件会指定不同的网关。一个设备只能有一个默认网关,此值可用于明确指定该网关。

除了 defaultGateway 之外,还可以使用 routes0、routes1 和 routes2 设置为每个网卡添加其他网关的路由。

示例:10.108.168.xxx

ds 设备部署到的数据存储名称。

示例:ds=Local Disk 1

folder
切记: 此设置仅适用于 vSphere 部署。
指定创建虚拟机的文件夹。在命名的“虚拟机和模板”文件夹中部署设备。vCenter 中的文件夹显示在“虚拟机和模板”下。在部署之前,必须存在指定的文件夹。
ip0 网卡 0 的 IPv4 地址。
ipmode0 网卡 1 (eth0)、网卡 2 (eth1) 和网卡 3 (eth2) 的 IPMode。支持的模式为
STATICV4/ STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/
STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/
DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
netBackendNetwork UAG 后端网络的名称。
netInternet UAG 主网络的名称。
netManagementNetwork UAG 管理接口网络的名称。
netmask0 网卡 0 的 IPv4 网络掩码(onenic、twonic 或 threenic)。
source

从 Customer Connect 门户下载源文件。

  • vSphere - UAG 的完整路径文件名。ova 虚拟机映像。
  • Hyper-V - UAG 的完整路径文件名。vhdx 虚拟机映像。

例如:

  • vSphere C:\Users\Administrator\Desktop\UAG Resources\euc-unified-access-gateway-21.00.0.0-13578272_OVF.ova
  • Hyper-V C:\Users\Administrator\VHDX\euc-unified-access-gateway-21.00.0.0-13578272_OVF10.vhdx
target
切记: 此设置仅适用于 vSphere 部署。

指定 vCenter Server 信息和目标 ESX 主机。有关 target 语法的详细信息,请参阅《OVF Tool 用户指南》

请注意,target 必须引用 vCenter 主机或集群。不支持直接部署到 vSphere 主机。在此示例中,192.168.0.21 是 vCenter 主机的 IP 地址,[email protected] 是 vCenter 管理员用户名。

target 值中使用的文件夹名称、主机名和集群名称区分大小写。

如果您不确定要用于 target 的值,则可以忽略文件夹名称等。然后,OVF Tool 将提供下一级别的可能值列表。这样,您便可以一次准确地构建一个级别的完整目标规范。

例如:

target=vi://[email protected]@192.168.0.21/DC1/host/my folder/esx1.myco.int