您可以通过登录到 vCenter Server 并使用“部署 OVF 模板”向导来部署 Unified Access Gateway 设备。

有两个版本的 Unified Access Gateway OVA 可用:标准 OVA 和 FIPS 版本的 OVA。FIPS 140-2 版本通过一组 FIPS 认证的密码和哈希来运行,并启用了支持 FIPS 认证库的限制性服务。在 FIPS 模式中部署 Unified Access Gateway 时,无法将设备更改为标准 OVA 部署模式。

注: 如果使用本机 vSphere Client,请确认为每个网络分配了一个 IP 池。要在 vCenter Server 中使用本机 vSphere Client 添加 IP 池,请转到数据中心的“IP 池”选项卡。或者,如果您使用的是 vSphere Web Client,则可以创建网络协议配置文件。转到数据中心的“管理”选项卡,然后选择“网络协议配置文件”选项卡。

前提条件

  • 查看向导中可用的部署选项。请参阅Unified Access Gateway 系统和网络要求
  • 确定要为 Unified Access Gateway 设备配置的网络接口和静态 IP 地址数。请参阅网络配置要求
  • 从 VMware 网站(网址为 https://my.vmware.com/web/vmware/downloads)下载 Unified Access Gateway 设备的 .ova 安装程序文件,或确定要使用的 URL(例如:http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova),其中 Y.Y 是版本号,xxxxxxx 是内部版本号。

过程

  1. 使用本机 vSphere Client 或 vSphere Web Client 登录到 vCenter Server 实例。
    对于 IPv4 网络,请使用本机 vSphere Client 或 vSphere Web Client。对于 IPv6 网络,请使用 vSphere Web Client。
  2. 选择一个菜单命令以启动部署 OVF 模板向导。
    选项 菜单命令
    vSphere Client 选择文件 > 部署 OVF 模板
    vSphere Web Client 选择作为虚拟机的有效父对象的任何清单对象(如数据中心、文件夹、群集、资源池或主机),然后从操作菜单中选择部署 OVF 模板
  3. 在“选择源”页中,浏览到下载的 .ova 文件或输入一个 URL,然后单击下一步
    查看产品详细信息、版本和大小要求。
  4. 按照向导的提示进行操作,并在完成向导时遵循以下准则。
    选项 说明
    名称和位置 Unified Access Gateway 虚拟设备输入一个名称。该名称必须是清单文件夹内唯一的。名称区分大小写。

    为虚拟设备选择一个位置。

    部署配置 对于 IPv4 网络,您可以使用一个、两个或三个网络接口 (NIC)。对于 IPv6 网络,可以使用三个网卡。Unified Access Gateway 要求每个网卡具有一个单独的静态 IP 地址。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的 DMZ 的网络设计对其进行配置。
    主机/群集 选择要在其中运行虚拟设备的主机或群集。
    磁盘格式 对于评估和测试环境,请选择精简置备格式。对于生产环境,请选择复杂置备格式之一。厚置备置零是一种厚虚拟磁盘格式,它支持群集功能(如容错),但所需的创建时间比其他类型的虚拟磁盘长得多。
    设置网络/网络映射 如果您使用的是 vSphere Web Client,可以在“设置网络”页面上将每个网卡映射到一个网络,并指定协议设置。

    将 OVF 模板中使用的网络映射到您清单中的网络。

    1. IP 协议下拉列表中选择“IPv4”或“IPv6”。
    2. 在表格 (Internet) 中选择第一行,然后单击向下箭头选择目标网络。如果您选择“IPv6”作为 IP 协议,则必须选择具备 IPv6 功能的网络。

      选择此行后,您也可以在窗口的下半部分输入 DNS 服务器的 IP 地址、网关和网络掩码。

    3. 如果您使用多个网卡,请选择下一行 (ManagementNetwork),选择目标网络,然后您可以输入 DNS 服务器的 IP 地址、网关和此网络的网络掩码。

      如果您仅使用一个网卡,所有行将映射到同一个网络。

    4. 如果您有第三个网卡,还应选择第三行并完成设置。

      如果您仅使用两个网卡,则对于第三行 (BackendNetwork),请选择用于 ManagementNetwork 的相同网络。

    对于 vSphere Web Client,在完成向导后,将自动创建一个网络协议配置文件(如果不存在)。

    如果您使用本机 vSphere Client,可以在“网络映射”页面上将每个网卡映射到一个网络,但此页面没有用于指定 DNS 服务器、网关和网络掩码地址的字段。正如“必备条件”中所述,您必须已为每个网络分配了一个 IP 池或已创建网络协议配置文件。

    自定义网络属性 “属性”页面上的文本框特定于 Unified Access Gateway,其他类型的虚拟设备可能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了该文本,请从右下角拖动以调整窗口大小。
    • IPMode:STATICV4/STATICV6。如果您输入 STATICV4,则必须输入网卡的 IPv4 地址。如果您输入 STATICV6,则必须输入网卡的 IPv6 地址。
    • 以逗号分隔的格式为 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu 的转发规则列表
    • 网卡 1 (ETH0) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
    • 以逗号分隔的格式为 ipv4-network-address/bits.ipv4-gateway-address 的网卡 1 (eth0) IPv4 自定义路由列表
    • 网卡 1 (eth0) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • DNS 服务器地址。为 Unified Access Gateway 设备输入域名服务器的以空格分隔的 IPv4 或 IPv6 地址。IPv4 条目示例为 192.0.2.1 192.0.2.2。IPv6 条目示例为 fc00:10:112:54::1
    • 默认网关输入由 vSphere 网络协议配置文件设置的默认值(注意:只有在 IP 模式为 STATICV4/STATICV6 时,才输入默认网关值)。
    • 网卡 2 (eth1) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
    • 以逗号分隔的格式为 ipv4-network-address/bits.ipv4-gateway-address 的网卡 2 (eth1) IPv4 自定义路由列表
    • 网卡 2 (eth1) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • 网卡 3 (eth2) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
    • 以逗号分隔的格式为 ipv4-network-address/bits.ipv4-gateway-address 的网卡 3 (eth2) IPv4 自定义路由列表
    • 网卡 3 (eth2) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • 密码选项。输入该虚拟机的 root 用户的密码,以及访问管理控制台并启用 REST API 访问的管理员用户的密码。
    • 密码选项。为登录到管理 UI 配置 Unified Access Gateway 的管理用户和可以启用 REST API 访问权限的管理员用户输入密码。

    其他设置均为可选或已输入默认值的设置。

  5. 在“即将完成”页中,选择部署后打开电源,然后单击完成
    将在 vCenter Server 状态区域中显示“部署 OVF 模板”任务,以使您可以监视部署。也可以打开虚拟机上的控制台,以查看在系统引导期间显示的控制台消息。 /var/log/boot.msg 文件中也提供了这些消息的日志。
  6. 在部署完成后,打开浏览器并输入以下 URL 以验证最终用户是否可以连接到设备:
    https://FQDN-of-UAG-appliance

    在该 URL 中,FQDN-of-UAG-applianceUnified Access Gateway 设备的 DNS 可解析完全限定域名。

    如果部署成功,将会看到 Unified Access Gateway 指向的服务器提供的网页。如果部署失败,您可以删除设备虚拟机并重新部署设备。最常见的错误是未正确输入证书指纹。

结果

将部署并自动启动 Unified Access Gateway 设备。

后续步骤

登录到 Unified Access Gateway 管理员用户界面 (User Interface, UI),然后配置允许从 Internet 中通过 Unified Access Gateway 远程访问的桌面和应用程序资源以及在 DMZ 中使用的身份验证方法。管理控制台 URL 的格式为 https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html

注: 如果您无法访问管理 UI 登录屏幕,请检查虚拟机是否具有在 OVA 安装过程中显示的 IP 地址。如果没有配置 IP 地址,请使用此 UI 中提到的 vami 命令重新配置网卡。运行命令 " cd /opt/vmware/share/vami",然后运行命令 "./vami_config_net"