要部署 Unified Access Gateway 设备,请确保系统满足硬件和软件要求。
VMware支持的产品版本
您必须使用特定版本的 VMware 产品,并且该产品应包含特定版本的 Unified Access Gateway。请参阅产品发行说明以了解有关兼容性的最新信息,同时还请参阅《VMware 产品互操作性列表》,其网址为 http://www.vmware.com/resources/compatibility/sim/interop_matrix.php。
有关 Unified Access Gateway 生命周期支持策略的信息,请参阅 https://kb.vmware.com/s/article/2147313。
Hypervisor 要求
- VMware vSphere(具有 vCenter 的 ESXi)
- Microsoft Azure
- Microsoft Hyper-V(仅限 Tunnel、Secure Email Gateway 和 Content Gateway Edge 服务)
- Amazon AWS EC2
- Google Cloud GCE
ESXi Server 硬件要求
部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品和版本支持的版本相同。
如果您打算使用 vSphere Web client,请确认安装了客户端集成插件。有关更多信息,请参阅vSphere文档。如果在启动部署向导之前未安装该插件,该向导将提示您安装该插件。这需要关闭浏览器并退出该向导。
虚拟设备要求
Unified Access Gateway 设备的 OVF 软件包自动选择 Unified Access Gateway 所需的虚拟机配置。虽然您可以更改这些设置,但建议您不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。
- CPU 最低要求为 2000 MHz
- 最小内存为 4 GB
确保用于设备的数据存储具有足够的可用磁盘空间并满足其他系统要求。
- 虚拟设备下载大小(取决于 Unified Access Gateway 版本)
- 精简置备的磁盘最低要求为 3.5 GB
- 厚置备的磁盘最低要求为 20 GB
如果未配置内存预留,vSphere 将创建一个每虚拟机交换文件 (.vswp),该文件的大小最大为虚拟机内存大小。此交换空间适用于任何未预留的虚拟机内存。例如,具有 vSphere 厚置备磁盘且 RAM 大小为 4 GB 的 Unified Access Gateway 设备可以使用大小为 20 GB 的 ESXi .vmdk 文件,还可以使用大小为 4 GB 的 ESXi 交换文件。这会导致总磁盘空间要求为 24 GB。同样,对于 RAM 大小为 16 GB 的 Unified Access Gateway 设备,总磁盘空间要求可以是 36 GB。
有关交换空间和内存超额分配的详细信息,请参见 vSphere 资源管理文档。
部署虚拟设备需要以下信息。
- 静态 IP 地址(推荐)
- DNS 服务器的 IP 地址
- root 用户的密码
- admin 用户的密码
- Unified Access Gateway 设备指向的负载均衡器的服务器实例的 URL
Unified Access Gateway 大小调整选项
- 标准:对于支持多达 2000 个 Horizon 连接且符合连接服务器容量要求的 Horizon 部署,建议使用此配置。对于支持多达 10,000 个并发连接的 Workspace ONE UEM 部署(移动用例),也建议使用此配置。
- 大型:对于其中的 Unified Access Gateway 需要支持多达 150,000 个并发连接的 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、应用级隧道和反向代理使用同一 Unified Access Gateway 设备。
- 超大型:对于其中的 Unified Access Gateway 需要支持多达 200,000 个并发连接的 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、应用级隧道和反向代理使用同一 Unified Access Gateway 设备。
标准、大型和超大型部署的虚拟机选项:
- 标准 - 2 个内核和 4 GB RAM
- 大型 - 4 个内核和 16 GB RAM
- 超大型 - 8 个内核和 32 GB RAM
您可以使用 PowerShell 配置这些设置。有关 PowerShell 参数的信息,请参阅准备 INI 文件以部署 Unified Access Gateway。
有关 Unified Access Gateway 大小调整建议的更多信息,请参阅 VMware 最高配置。
支持的浏览器版本
支持启动管理 UI 的浏览器包括:Chrome、Firefox 和 Internet Explorer。请使用最新版本的浏览器。
Windows Hyper-V Server 硬件要求
在使用 Unified Access Gateway 进行 Workspace ONE UEM 每应用隧道部署时,您可以在 Microsoft Hyper-V 服务器上安装 Unified Access Gateway 设备。
受支持的 Microsoft 服务器为 Windows Server 2012 R2 和 Windows Server 2016。
网络配置要求 - 部署选项
您可以使用一个、两个或三个网络接口,并且 Unified Access Gateway 要求每个接口具有单独的静态 IP 地址。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的 DMZ 的网络设计对其进行配置。
- 网卡 1 - 一个网络接口适用于概念证明 (Proof Of Concept, POC) 或测试。在使用一个网卡时,外部、内部和管理流量均位于同一子网中。
- 网卡 2 - 在使用两个网络接口时,外部流量位于一个子网中,内部和管理流量位于另一个子网中。
- 网卡 3 - 使用三个网络接口是最安全的选项。在使用三个网卡时,外部、内部和管理流量均位于自己的子网中。
多播 DNS 和 .local 主机名
除单播 DNS 外,UAG (Unified Access Gateway) 3.7 和更高版本还支持多播 DNS。带有域后缀 .local 的多标签名称将使用多播 DNS 协议路由至支持 IP 多播的所有本地接口。
请勿在单播 DNS 服务器中定义 .local,因为此域是 RFC6762 专为多播 DNS 而保留的。例如,如果在配置设置(如 UAG 上的“代理目标 URL”)中使用主机名 hostname.example.local,那么单播 DNS 不会解析该主机名,因为 .local 是专为多播 DNS 而保留的。
或者,您可以使用以下任一方法,在这些方法中无需包含 .local 域后缀:
- 指定 IP 地址代替 .local 主机名。
- 可以在 DNS 服务器中添加另一条备用 DNS A 记录。
在之前的主机名示例中,hostname.example.int 可添加到与 hostname.example.local 相同的 IP 地址,并在 UAG 配置中使用。
- 可定义本地 hosts 文件条目。
在之前的示例中,可为 hostname.example.local 定义本地 hosts 条目。
hosts 文件条目用于指定名称和 IP 地址,可通过使用 UAG 管理 UI 或通过 PowerShell .ini 文件设置来设定。重要说明: 不得编辑 UAG 上的 /etc/hosts 文件。在 UAG 上,执行 DNS 搜索前会先搜索本地 hosts 文件条目。此搜索操作可确保如果 hosts 文件上存在主机名,那么即可使用 .local 名称,而无需执行 DNS 搜索。
日志保留要求
默认情况下,系统会将日志文件配置为使用一定量的空间,此空间小于汇总中的总磁盘大小。默认情况下,将轮换 Unified Access Gateway 的日志。您必须使用 syslog 来保留这些日志条目。请参阅从 Unified Access Gateway 设备收集日志。
部署 VMware Tunnel 的系统要求
要使用 Unified Access Gateway 部署VMware Tunnel,请确保您的系统满足以下要求:
支持的 Hypervisor
部署 VMware Tunnel 的 Unified Access Gateway 需要使用 Hypervisor 来部署虚拟设备。您必须拥有一个具有完整特权的专用管理员帐户才能部署 OVF。
- VMware vSphere Web Client
注: 您必须使用特定版本的 VMware 产品,并且该产品应包含特定版本的 Unified Access Gateway。部署 Unified Access Gateway 设备的 VMware vSphere 版本必须分别与 VMware 产品和版本支持的版本相同。
- Windows Server 2012 R2 或 Windows Server 2016 上的 Microsoft Hyper-V
软件要求
确保您具有最新版本的 Unified Access Gateway。VMware Tunnel 支持 Unified Access Gateway 和 Workspace ONE UEM console 之间的向后兼容性。向后兼容性允许您在升级 Workspace ONE UEM Console 后不久升级 VMware Tunnel 服务器。要确保 Workspace ONE UEM console 和 VMware Tunnel 之间的奇偶校验,请考虑规划提早升级。
硬件要求Unified Access Gateway 的 OVF 软件包会自动选择 VMware Tunnel 所需的虚拟机配置。虽然您可以更改这些设置,但不要将 CPU、内存或磁盘空间更改为小于默认 OVF 设置的值。
要更改默认设置,请关闭 vCenter 中虚拟机的电源。右键单击虚拟机,然后选择编辑设置。
默认配置使用 4 GB RAM 和 2 个 CPU。您必须更改默认配置以满足硬件要求。要处理所有设备负载和维护要求,请考虑最少运行两个 VMware Tunnel 服务器。
设备数量 | 最多 40000 | 40000-80000 | 80000-120000 | 120000-160000 |
---|---|---|---|---|
服务器数量 | 2 | 3 | 4 | 5 |
CPU 内核 | 4 个 CPU 内核* | 每服务器 4 个 CPU 内核 | 每服务器 4 个 CPU 内核 | 每服务器 4 个 CPU 内核 |
RAM (GB) | 8 | 8 | 8 | 8 |
硬盘空间 (GB) | 分发包需要 10 GB(仅限 Linux) 安装程序需要 400 MB 日志文件空间约需要 10 GB** |
|||
*可以在小型部署中仅部署一个 VMware Tunnel 设备。但是,为了确保正常运行时间和提高性能,无论设备数量如何,都请考虑至少部署两个负载均衡服务器,且每服务器四个 CPU 内核。 **典型部署需要 10 GB。可根据日志使用情况和存储日志的要求来扩展日志文件大小。 |