您可以登录到 vCenter Server 并使用“部署 OVF 模板”向导来部署 Unified Access Gateway 设备。

有两个版本的 Unified Access Gateway OVA 可用:标准 OVA 和 FIPS 版本的 OVA。

OVA 的 FIPS 版本支持以下 Edge 服务:
  • Horizon(仅限直通身份验证)
  • VMware 每应用隧道
重要说明: FIPS 140-2 版本通过一组 FIPS 认证的密码和哈希来运行,并启用了支持 FIPS 认证库的限制性服务。在 FIPS 模式中部署 Unified Access Gateway 时,无法将设备更改为标准 OVA 部署模式。FIPS 版本中未提供 Horizon Edge 身份验证。

Unified Access Gateway 大小调整选项

为了简化将 Unified Access Gateway 设备部署为 Workspace ONE 安全网关的过程,向设备的部署配置中添加了大小调整选项。在部署配置中,可以选择标准虚拟机或大型虚拟机。
  • 标准:对于支持多达 2000 个 Horizon 连接且符合连接服务器容量要求的 Horizon 部署,建议使用此配置。对于支持多达 10,000 个并发连接的 Workspace ONE UEM 部署(移动用例),也建议使用此配置。
  • 大型:对于其中的 Unified Access Gateway 需要支持超过 50,000 个并发连接的 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、每应用隧道和代理以及反向代理使用同一 Unified Access Gateway 设备。
  • 超大型:对于 Workspace ONE UEM 部署,建议使用此配置。此规模允许 Content Gateway、每应用隧道和代理以及反向代理使用同一 Unified Access Gateway 设备。
  • 注: 标准、大型和超大型部署的虚拟机选项:
    • 标准 - 2 个内核和 4 GB RAM
    • 大型 - 4 个内核和 16 GB RAM
    • 超大型 - 8 个内核和 32 GB RAM

前提条件

  • 查看向导中可用的部署选项。请参阅Unified Access Gateway 系统和网络要求
  • 确定要为 Unified Access Gateway 设备配置的网络接口和静态 IP 地址数。请参阅网络配置要求
  • 从 VMware 网站 (https://my.vmware.com/web/vmware/downloads) 下载 Unified Access Gateway 设备的 .ova 安装程序文件,或确定要使用的 URL,例如,http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova,其中 Y.Y 是版本号,xxxxxxx 是内部版本号。
  • 如果存在 Hyper-V 部署,并且您要升级具有静态 IP 的 Unified Access Gateway,请在部署新的 Unified Access Gateway 实例之前删除旧设备。
  • 要在不停机的情况下为用户将旧设备升级到新的 Unified Access Gateway 实例,请参阅零停机时间升级部分。

过程

  1. 使用本机 vSphere Client 或 vSphere Web Client 登录到 vCenter Server 实例。
    对于 IPv4 网络,请使用本机 vSphere Client 或 vSphere Web Client。对于 IPv6 网络,请使用 vSphere Web Client。
  2. 选择一个菜单命令以启动部署 OVF 模板向导。
    选项 菜单命令
    vSphere Client 选择文件 > 部署 OVF 模板
    vSphere Web Client 选择作为虚拟机的有效父对象的任何清单对象(如数据中心、文件夹、群集、资源池或主机),然后从操作菜单中选择部署 OVF 模板
  3. 在“选择源”页中,浏览到下载的 .ova 文件或输入一个 URL,然后单击下一步
    查看产品详细信息、版本和大小要求。
  4. 按照提示进行操作,并在完成向导的过程中遵循以下准则。在 ESXi 和 Hyper-V 部署中,可通过两种选项为 Unified Access Gateway 分配 IP。对于 Hyper-V,如果要进行升级,请先删除具有相同 IP 地址的旧设备,然后再部署具有新地址的设备。对于 ESXi,您可以关闭旧设备,然后使用静态分配来部署具有相同 IP 地址的新设备。
    选项 说明
    名称和位置 Unified Access Gateway 虚拟设备输入一个名称。该名称必须是清单文件夹内唯一的。名称区分大小写。

    为虚拟设备选择一个位置。

    部署配置 对于 IPv4 或 IPv6 网络,您可以使用一个、两个或三个网卡 (NIC)。许多 DMZ 实施使用不同的网络保护不同的流量类型。根据 Unified Access Gateway 部署所在的 DMZ 的网络设计对其进行配置。除了网卡数外,您还可以为 Unified Access Gateway 选择标准大型部署选项。
    注: 标准大型部署的虚拟机选项:
    • 标准 - 2 个内核和 4 GB RAM
    • 大型 - 4 个内核和 16 GB RAM
    主机/群集 选择要在其中运行虚拟设备的主机或群集。
    磁盘格式 对于评估和测试环境,请选择精简置备格式。对于生产环境,请选择复杂置备格式之一。厚置备置零是一种厚虚拟磁盘格式,它支持群集功能(如容错),但所需的创建时间比其他类型的虚拟磁盘长得多。
    设置网络/网络映射 如果使用 vSphere Web Client,则可以在“设置网络”页中将每个网卡映射到一个网络并指定协议设置。

    将 OVF 模板中使用的网络映射到您清单中的网络。

    1. 在表格 (Internet) 中选择第一行,然后单击向下箭头选择目标网络。如果您选择“IPv6”作为 IP 协议,则必须选择具备 IPv6 功能的网络。

      选择此行后,您也可以在窗口的下半部分输入 DNS 服务器的 IP 地址、网关和网络掩码。

    2. 如果您使用多个网卡,请选择下一行 (ManagementNetwork),选择目标网络,然后您可以输入 DNS 服务器的 IP 地址、网关和此网络的网络掩码。

      如果您仅使用一个网卡,所有行将映射到同一个网络。

    3. 如果您有第三个网卡,还应选择第三行并完成设置。

      如果您仅使用两个网卡,则对于第三行 (BackendNetwork),请选择用于 ManagementNetwork 的相同网络。

    注: 忽略 IP 协议下拉菜单(如果已显示),并在此处不做任何选择。实际选择的 IP 协议(IPv4/IPv6/两者)取决于在自定义网络属性时为网卡 1 (eth0)、网卡 2 (eth1) 和网卡 3 (eth2) 的 IPMode 指定的 IP 模式。
    自定义网络属性 “属性”页面上的文本框特定于 Unified Access Gateway,其他类型的虚拟设备可能并不需要。向导页面上的文本对每个设置进行了说明。如果在向导右侧截断了该文本,请从右下角拖动以调整窗口大小。对于每个网卡,您必须在 STATICV4 中输入该网卡的 IPv4 地址。您必须在 STATICV6 中输入该网卡的 IPv6 地址。如果将文本框留空,则 IP 地址分配默认为 DHCPV4+DHCPV6。
    重要说明: 最新版本的 Unified Access Gateway 不接受网络协议配置文件 (Network Protocol Profile, NPP) 中的网络掩码或前缀值以及默认网关设置。要为 Unified Access Gateway 配置静态 IP 分配,您必须在网络属性中配置网络掩码/前缀。无法通过 NPP 来填充这些值。
    注: 这些值区分大小写。
    • 网卡 1 (eth0) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
    • 网卡 2 (eth1) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
    • 网卡 3 (eth2) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
    • 以逗号分隔的转发规则列表,格式为 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu。例如,tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443(对于 IPv4)。
    • 网卡 1 (eth0) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
      • 以逗号分隔的网卡 1 (eth0) IPv4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        注: 如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。
    • 网卡 1 (eth0) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • 网卡 1 (eth0) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。
    • 网卡 1 (eth0) IPv6 前缀。输入该网卡的 IPv6 前缀。
    • DNS 服务器地址。为 Unified Access Gateway 设备输入域名服务器中的以空格分隔的 IPv4 或 IPv6 地址。IPv4 条目示例为 192.0.2.1 192.0.2.2。IPv6 条目示例为 fc00:10:112:54::1
    • IPv4 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中任何网卡的本地网段上的 IP 地址进行通信,请输入 IPv4 默认网关。
    • IPv6 默认网关。如果 Unified Access Gateway 需要与不在 Unified Access Gateway 中任何网卡的本地网段上的 IP 地址进行通信,请输入 IPv6 默认网关。
    • 网卡 2 (eth1) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
    • 以逗号分隔的网卡 2 (eth1) IPv4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
      注: 如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。
    • 网卡 2 (eth1) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • 网卡 2 (eth1) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。
    • 网卡 2 (eth1) IPv6 前缀。输入该网卡的 IPv6 前缀。
    • 网卡 3 (eth2) IPv4 地址。如果您为网卡模式输入了 STATICV4,则应输入网卡的 IPv4 地址。
    • 以逗号分隔的网卡 3 (eth2) IPv4 自定义路由列表,格式为 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
      注: 如果未指定 ipv4-gateway-address,则添加的相应路由具有网关 0.0.0.0。
    • 网卡 3 (eth2) IPv6 地址。如果您为网卡模式输入了 STATICV6,则应输入网卡的 IPv6 地址。
    • 网卡 3 (eth2) IPv4 网络掩码。输入该网卡的 IPv4 网络掩码。
    • 网卡 3 (eth2) IPv6 前缀。输入该网卡的 IPv6 前缀。
    • 虚拟机 root 用户密码。输入 root 用户登录到 UAG 控制台时使用的密码。
    • 管理 UI 密码。输入管理员用户在管理 UI 中配置 Unified Access Gateway时和访问 REST API 时使用的密码。

    其他设置均为可选或已输入默认值的设置。

    启用 SSH 用于启用 SSH 以访问 Unified Access Gateway 的选项。
    允许使用密码进行 SSH root 登录 用于使用 SSH root 登录和密码访问 Unified Access Gateway 的选项。

    默认情况下,此选项的值为 true
    允许使用密钥对进行 SSH root 登录 用于使用 SSH root 登录和公钥私钥对访问 Unified Access Gateway 的选项。

    默认情况下,此值为 false

    Unified Access Gateway 管理 UI 中有一个 SSH 公钥字段,管理员可以在此处上载公钥,以便在使用公钥私钥对选项时允许 root 用户访问 Unified Access Gateway。要使此字段在管理 UI 中可用,在部署时,此选项和启用 SSH 的值必须均为 true。如果其中任一选项不为 true,则管理 UI 中的 SSH 公钥字段将不可用。

    SSH 公钥字段是管理 UI 中的高级系统设置。请参阅配置 Unified Access Gateway 系统设置
    加入 CEIP 选择加入 VMware 客户体验改进计划以加入 CEIP,或取消选择此选项以退出 CEIP。
    重要说明: SSH 选项只能在部署过程中进行配置。出于安全相关原因,部署后无法通过 Unified Access Gateway 管理 UI 或 API 修改这些选项。
  5. 在“即将完成”页中,选择部署后打开电源,然后单击完成
    将在 vCenter Server 状态区域中显示“部署 OVF 模板”任务,以便您可以监控部署。您也可以打开虚拟机上的控制台,以查看在系统启动期间显示的控制台消息。 /var/log/boot.msg 文件中也提供了这些消息的日志。
  6. 在部署完成后,打开浏览器并输入以下 URL 以验证最终用户是否可以连接到设备: 
    https://FQDN-of-UAG-appliance

    在该 URL 中,FQDN-of-UAG-applianceUnified Access Gateway 设备的 DNS 可解析完全限定域名。

    如果部署成功,将会看到 Unified Access Gateway 指向的服务器提供的网页。如果部署失败,您可以删除设备虚拟机并重新部署设备。最常见的错误是未正确输入证书指纹。

结果

将部署并自动启动 Unified Access Gateway 设备。

下一步做什么

  • 登录到 Unified Access Gateway 管理员用户界面 (User Interface, UI),然后配置允许从 Internet 中通过 Unified Access Gateway 远程访问的桌面和应用程序资源以及在 DMZ 中使用的身份验证方法。管理控制台 URL 的格式为 https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html
    重要说明: 您必须使用管理 UI 完成部署后的 Unified Access Gateway 配置。如果未提供管理 UI 密码,则以后将无法通过添加管理 UI 用户来启用对管理 UI 或 API 的访问权限。如果您想要添加管理 UI 用户,则必须使用有效的管理 UI 密码重新部署 Unified Access Gateway 实例。
    注: 如果无法访问管理 UI 登录屏幕,请检查虚拟机是否具有在 OVA 安装期间显示的 IP 地址。如果未配置 IP 地址,请使用 UI 中提及的 VAMI 命令重新配置网卡。运行命令 "cd /opt/vmware/share/vami",然后运行命令 "./vami_config_net"