您可以登录到 vCenter Server 并使用“部署 OVF 模板”向导部署 Unified Access Gateway 设备。

有两个版本的 Unified Access Gateway OVA 可用:标准 OVA 和 FIPS 版本的 OVA。

OVA 的 FIPS 版本支持以下 Edge 服务:

  • Horizon(仅限直通身份验证)

  • VMware 每应用隧道

重要:

FIPS 140-2 版本通过一组 FIPS 认证的密码和哈希来运行,并启用了支持 FIPS 认证库的限制性服务。在 FIPS 模式中部署 Unified Access Gateway 时,无法将设备更改为标准 OVA 部署模式。

Unified Access Gateway 大小调整选项

为了简化将 Unified Access Gateway 设备部署为 Workspace ONE 安全网关的过程,向设备的部署配置中添加了大小调整选项。新的部署配置允许在标准虚拟机和大型虚拟机之间进行选择。

  • 标准:此配置是部署 Horizon 的建议配置,支持多达 2000 个 Horizon 连接,符合连接服务器的容量要求。它还是部署 Workspace ONE UEM(移动用例)的建议配置,支持多达 10,000 个并发连接。

  • 大型:此配置是部署其中的 Unified Access Gateway 需要支持超过 10,000 个并发连接的 Workspace ONE UEM 的建议配置。此大小允许 Content Gateway、每应用隧道和代理,以及反向代理使用同一 Unified Access Gateway 设备。

    注:

    标准和大部署的虚拟机选项:

    • 标准 - 2 个内核和 4 GB RAM

    • 大 - 4 个内核和 16 GB RAM

前提条件

  • 查看向导中可用的部署选项。请参阅Unified Access Gateway 系统和网络要求

  • 确定要为 Unified Access Gateway 设备配置的网络接口和静态 IP 地址数。请参阅网络配置要求

  • 从 VMware 网站 (https://my.vmware.com/web/vmware/downloads) 下载 Unified Access Gateway 设备的 .ova 安装程序文件,或确定要使用的 URL,例如,http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova,其中 Y.Y 是版本号,xxxxxxx 是内部版本号。

  • 对于 Hyper-V 部署以及具有静态 IP 的 Unified Access Gateway 升级,请在部署新的 Unified Access Gateway 实例之前删除旧设备。

  • 要在用户没有任何停机的情况下将旧设备升级到新的 Unified Access Gateway 实例,请参阅零停机时间升级一节。

过程

  1. 使用本机 vSphere Client 或 vSphere Web Client 登录到 vCenter Server 实例。

    对于 IPv4 网络,请使用本机 vSphere Client 或 vSphere Web Client。对于 IPv6 网络,请使用 vSphere Web Client。

  2. 选择一个菜单命令以启动部署 OVF 模板向导。

    选项

    菜单命令

    vSphere Client

    选择文件 > 部署 OVF 模板

    vSphere Web Client

    选择作为虚拟机的有效父对象的任何清单对象(如数据中心、文件夹、群集、资源池或主机),然后从操作菜单中选择部署 OVF 模板
  3. 在“选择源”页中,浏览到下载的 .ova 文件或输入一个 URL,然后单击下一步

    查看产品详细信息、版本和大小要求。

  4. 按照提示进行操作,并在完成向导时遵循以下准则。ESXi 和 Hyper-V 部署通过两种方法为 Unified Access Gateway 分配 IP。对于 Hyper-V,如果要进行升级,请删除具有相同 IP 地址的旧设备,然后再部署具有新地址的设备。对于 ESXi,您可以关闭旧设备,然后使用静态分配部署具有相同 IP 地址的新设备。

    选项

    说明

    名称和位置

    Unified Access Gateway 虚拟设备输入一个名称。该名称必须是清单文件夹内唯一的。名称区分大小写。

    为虚拟设备选择一个位置。

    部署配置

    对于 IPv4 或 IPv6 网络,您可以使用一个、两个或三个网卡 (NIC)。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的 DMZ 的网络设计对其进行配置。除了网卡数以外,您还可以为 Unified Access Gateway 选择标准部署选项。

    注:

    标准部署的虚拟机选项:

    • 标准 - 2 个内核和 4 GB RAM

    • - 4 个内核和 16 GB RAM

    主机/群集

    选择要在其中运行虚拟设备的主机或群集。

    磁盘格式

    对于评估和测试环境,请选择精简置备格式。对于生产环境,请选择复杂置备格式之一。厚置备置零是一种厚虚拟磁盘格式,它支持群集功能(如容错),但所需的创建时间比其他类型的虚拟磁盘长得多。

    设置网络/网络映射

    如果使用 vSphere Web Client,您可以在“设置网络”页中将每个网卡映射到一个网络,并指定协议设置。

    将 OVF 模板中使用的网络映射到您清单中的网络。

    1. 在表格 (Internet) 中选择第一行,然后单击向下箭头选择目标网络。如果您选择“IPv6”作为 IP 协议,则必须选择具备 IPv6 功能的网络。

      选择此行后,您也可以在窗口的下半部分输入 DNS 服务器的 IP 地址、网关和网络掩码。

    2. 如果您使用多个网卡,请选择下一行 (ManagementNetwork),选择目标网络,然后您可以输入 DNS 服务器的 IP 地址、网关和此网络的网络掩码。

      如果您仅使用一个网卡,所有行将映射到同一个网络。

    3. 如果您有第三个网卡,还应选择第三行并完成设置。

      如果您仅使用两个网卡,则对于第三行 (BackendNetwork),请选择用于 ManagementNetwork 的相同网络。

    注:

    忽略 IP 协议下拉菜单(如果显示),并且不要在此处选择任何设置。实际选择的 IP 协议(IPv4/IPv6/两者)取决于在自定义网络属性时为网卡 1 (eth0)、网卡 2 (eth1) 和网卡 3 (eth2) 的 IPMode 指定的 IP 模式。

    自定义网络属性

    “属性”页面上的文本框特定于 Unified Access Gateway,其他类型的虚拟设备可能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了该文本,请从右下角拖动以调整窗口大小。对于每个网卡,您必须为 STATICV4 输入该网卡的 IPv4 地址。对于 STATICV6,您必须输入该网卡的 IPv6 地址。如果将文本框保留空白,IP 地址分配默认为 DHCPV4+DHCPV6。

    重要:

    最新版本的 Unified Access Gateway 不接受网络协议配置文件 (Network Protocol Profile, NPP) 中的网络掩码或前缀值以及默认网关设置。要为 Unified Access Gateway 配置静态 IP 分配,您必须在网络属性中配置网络掩码/前缀。不会从 NPP 中填充这些值。

    • 网卡 1 (eth0) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6

    • 网卡 2 (eth1) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6

    • 网卡 3 (eth2) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6

    • 以逗号分隔的转发规则列表,格式为 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu。例如,对于 IPv4,列表为 tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443

    • 网卡 1 (eth0) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。

      • 以逗号分隔的网卡 1 (eth0) IPv4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

        注:

        如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。

    • 网卡 1 (eth0) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。

    • 网卡 1 (eth0) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。

    • 网卡 1 (eth0) IPv6 前缀。输入该网卡的 IPv6 前缀。

    • DNS 服务器地址。为 Unified Access Gateway 设备输入域名服务器中的以空格分隔的 IPv4 或 IPv6 地址。IPv4 条目示例为 192.0.2.1 192.0.2.2。IPv6 条目示例为 fc00:10:112:54::1

    • IPv4 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中的任何网卡的本地网段上的 IP 地址进行通信,请输入 IPv4 默认网关。

    • IPv6 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中的任何网卡的本地网段上的 IP 地址进行通信,请输入 IPv6 默认网关。

    • 网卡 2 (eth1) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。

    • 以逗号分隔的网卡 2 (eth1) IPv4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

      注:

      如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。

    • 网卡 2 (eth1) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。

    • 网卡 2 (eth1) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。

    • 网卡 2 (eth1) IPv6 前缀。输入该网卡的 IPv6 前缀。

    • 网卡 3 (eth2) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。

    • 以逗号分隔的网卡 3 (eth2) IPv4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

      注:

      如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。

    • 网卡 3 (eth2) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。

    • 网卡 3 (eth2) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。

    • 网卡 3 (eth2) IPv6 前缀。输入该网卡的 IPv6 前缀。

    • 虚拟机根用户密码。输入 root 用户的密码,以登录到虚拟机控制台。

    • 管理 UI 密码。输入管理员用户的密码,以在管理 UI 中配置 Unified Access Gateway,并访问 REST API。

    其他设置均为可选或已输入默认值的设置。

    加入 CEIP

    选择加入 VMware 客户体验改进计划以加入 CEIP,或取消选择此选项以退出 CEIP。
  5. 在“即将完成”页中,选择部署后打开电源,然后单击完成

    将在 vCenter Server 状态区域中显示“部署 OVF 模板”任务,以便您可以监视部署。也可以打开虚拟机上的控制台,以查看在系统引导期间显示的控制台消息。/var/log/boot.msg 文件中也提供了这些消息的日志。

  6. 在部署完成后,打开浏览器并输入以下 URL 以验证最终用户是否可以连接到设备: 
    https://FQDN-of-UAG-appliance

    在该 URL 中,FQDN-of-UAG-applianceUnified Access Gateway 设备的 DNS 可解析完全限定域名。

    如果部署成功,将会看到 Unified Access Gateway 指向的服务器提供的网页。如果部署失败,您可以删除设备虚拟机并重新部署设备。最常见的错误是未正确输入证书指纹。

结果

将部署并自动启动 Unified Access Gateway 设备。

下一步做什么

  • 登录到 Unified Access Gateway 管理员用户界面 (User Interface, UI),然后配置允许从 Internet 中通过 Unified Access Gateway 远程访问的桌面和应用程序资源以及在 DMZ 中使用的身份验证方法。管理控制台 URL 的格式为 https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html

    重要:

    您必须使用管理 UI 完成部署后的 Unified Access Gateway 配置。如果未提供管理 UI 密码,则以后将无法通过添加用户来启用对管理 UI 或 API 的访问权限。如果您想要添加管理 UI 用户,则必须使用有效的管理 UI 密码重新部署 Unified Access Gateway 实例。

    注:

    如果无法访问管理 UI 登录屏幕,请检查虚拟机是否具有在 OVA 安装期间显示的 IP 地址。如果未配置 IP 地址,请使用 UI 中提到的 VAMI 命令重新配置网卡。运行命令 "cd /opt/vmware/share/vami",然后运行命令 "./vami_config_net"

  • 如果使用 vSphere 或 PowerShell 进行部署,请执行运行状况检查,并确保新部署的实例返回 200 OK 响应。