PowerShell 脚本可在您的环境中准备所有配置设置。当您通过运行 PowerShell 脚本来部署 Unified Access Gateway 时,该解决方案会在第一次系统引导时为生产做好准备。

重要:

在 PowerShell 部署中,您可以在 INI 文件中提供所有设置,从而 Unified Access Gateway 实例在引导后可直接用于生产。如果您不想在部署后更改任何设置,则无需提供管理 UI 密码。

但是,如果在部署过程中未提供管理 UI 密码,则管理 UI 和 API 都将不可用。

注:
  • 如果在部署时未提供管理 UI 密码,则以后将无法通过添加用户来启用对管理 UI 或 API 的访问权限。如果您想要添加管理 UI 用户,则必须使用有效的密码重新部署 Unified Access Gateway 实例。

  • Unified Access Gateway 3.5 及更高版本包含一个可选的 sshEnabled INI 属性。PowerShell INI 文件中 [General] 部分的 sshEnabled=true 设置会自动在部署的设备上启用 ssh 访问。VMware 通常建议不要在 Unified Access Gateway 上启用 ssh,某些特定情况及可以限制访问的情况除外。此功能主要适用于备用控制台访问不可用的 Amazon AWS EC2 部署。

    如果 sshEnabled=true 未指定或设置为 false,则不会启用 ssh

    对于 vSphere、Hyper-V 或 Microsoft Azure 部署,通常不需要在 Unified Access Gateway 上启用 ssh 访问,因为在这些平台中可以使用控制台访问。如果 Amazon AWS EC2 部署需要 root 控制台访问,则设置 sshEnabled=true。如果启用 ssh,必须在防火墙或安全组中将 TCP 端口 22 访问限制为单个管理员的源 IP 地址。EC2 支持在与 Unified Access Gateway 网络接口关联的 EC2 安全组中实施此限制。

前提条件

  • 对于 Hyper-V 部署以及具有静态 IP 的 Unified Access Gateway 升级,请在部署新的 Unified Access Gateway 实例之前删除旧设备。

  • 验证满足使用此脚本的相应系统要求。

    以下是可来于在您的环境中部署 Unified Access Gateway 的示例脚本。

    图 1. PowerShell 示例脚本

过程

  1. 将 My VMware 上的 Unified Access Gateway OVA 下载到您的 Windows 计算机中。
  2. uagdeploy-XXX.zip 文件下载到 Windows 计算机上的某个文件夹中。

    https://communities.vmware.com/docs/DOC-30835 中提供了该 ZIP 文件。

  3. 打开 PowerShell 脚本,将目录修改为您脚本所在的位置。
  4. Unified Access Gateway 虚拟设备创建一个 INI 配置文件。

    例如:部署新的 Unified Access Gateway 设备 AP1。配置文件命名为 ap1.ini。此文件中包含 AP1 的所有配置设置。您可以使用 apdeploy.ZIP 文件中的示例 INI 文件创建 INI 文件,并相应地修改设置。

    注:
    • 您可以为环境中的多个 Unified Access Gateway 部署创建唯一的 INI 文件。您必须在 INI 文件中相应地更改 IP 地址和名称参数才能部署多个设备。

    • Content GatewayVMware Tunnel 不支持 healthCheckUrl 设置的 favicon.ico 值。

    要修改的 INI 文件示例。

    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns=10.112.64.1
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=trustedcert
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=true
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    honorCipherOrder=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    

  5. 要确保成功执行脚本,请键入 PowerShell set-executionpolicy 命令。
    set-executionpolicy -scope currentuser unrestricted

    如果当前受到限制,则必须运行一次此命令。

    1. (可选) 如果出现脚本警告,请运行以下命令以取消阻止该警告:unblock-file -path .\uagdeploy.ps1
  6. 运行以下命令开始部署。如果未指定 .INI 文件,则脚本默认使用 ap.ini
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. 在提示时输入凭据,然后完成脚本。
    注:

    如果提示您为目标设备添加指纹,请输入 yes

    Unified Access Gateway 设备已部署并且可以用于生产。

结果

有关 PowerShell 脚本的详细信息,请参阅https://communities.vmware.com/docs/DOC-30835

下一步做什么

如果要在保留现有设置的同时升级 Unified Access Gateway,请编辑 .ini 文件以将源引用更改为新版本,然后重新运行 .ini 文件: uagdeploy.ps1 uag1.ini。此过程最多可能需要 3 分钟的时间。

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

如果要在没有服务中断的情况下进行升级,请参阅零停机时间升级