Sie können die Unified Access Gateway-Appliance bereitstellen, indem Sie sich in vCenter Server anmelden und den Assistenten zum Bereitstellen von OVF-Vorlagen verwenden.

Zwei Versionen der Unified Access Gateway-OVA-Datei sind verfügbar: eine standardmäßige OVA und eine FIPS-Version der OVA.

Die FIPS-Version der OVA unterstützt die folgenden Edge-Dienste:
  • Horizon (nur bei Passthrough-Authentifizierung)
  • VMware per-App-Tunnel
Wichtig: Die FIPS 140-2-Version wird mit einem Satz durch FIPS zertifizierter Verschlüsselungen und Hashes ausgeführt, wobei einschränkende Dienste aktiviert sind, die durch FIPS zertifizierte Bibliotheken unterstützen. Wenn Unified Access Gateway im FIPS-Modus bereitgestellt wird, kann die Appliance nicht in den standardmäßigen OVA-Bereitstellungsmodus wechseln.

Voraussetzungen

  • Überprüfen Sie die Bereitstellungsoptionen, die im Assistenten verfügbar sind. Siehe System- und Netzwerkanforderungen von Unified Access Gateway.
  • Legen Sie fest, wie viele Netzwerkschnittstellen und statische IP-Adressen für die Unified Access Gateway-Appliance konfiguriert werden sollen. Siehe Anforderungen an die Netzwerkkonfiguration.
  • Laden Sie die .ova-Installationsdatei für die Unified Access Gateway-Appliance von dieser VMware Website herunter: https://my.vmware.com/web/vmware/downloads. Oder geben Sie die URL an, die Sie verwenden möchten (Beispiel: http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), wobei Y.Y die Versionsnummer ist und xxxxxxx die Build-Nummer.
  • Bei Verwendung des nativen vSphere Client müssen Sie sicherstellen, dass jedem Netzwerk ein IP-Pool zugewiesen wurde. Um einen IP-Pool in vCenter Server mithilfe des systemeigenen vSphere-Clients hinzuzufügen, wechseln Sie zur Registerkarte „IP-Pools“ des Datencenters. Wenn Sie alternativ dazu den vSphere Web Client verwenden, können Sie ein Netzwerkprotokollprofil erstellen. Wechseln Sie zur Registerkarte Verwalten des Rechenzentrums und wählen Sie die Registerkarte Netzwerkprotokollprofile aus.

Prozedur

  1. Melden Sie sich mit dem nativen vSphere Client oder vSphere Web Client bei einer vCenter Server-Instanz an.
    Für ein IPv4-Netzwerk verwenden Sie den nativen vSphere Client oder den vSphere Web Client. Für ein IPv6-Netzwerk verwenden Sie den vSphere Web Client.
  2. Wählen Sie einen Menübefehl für den Start des Assistenten zum Bereitstellen von OVF-Vorlagen aus.
    Option Menübefehl
    vSphere Client Wählen Sie Datei > OVF-Vorlage bereitstellen.
    vSphere Web Client Wählen Sie ein Bestandslistenobjekt aus, das ein gültiges übergeordnetes Objekt einer virtuellen Maschine ist, z. B. ein Datencenter, einen Ordner, Cluster, Ressourcenpool oder Host, und wählen Sie aus dem Menü Aktionen die Option OVF-Vorlage bereitstellen aus.
  3. Gehen Sie auf der Seite „Quelle auswählen“ zur OVA-Datei, die Sie heruntergeladen haben, oder geben Sie eine URL ein und klicken Sie auf Weiter.
    Überprüfen Sie die Produktdetails, Version und Größenanforderungen.
  4. Folgen Sie den Aufforderungen des Assistenten und beachten Sie die folgenden Anleitungen für den Abschluss des Assistenten.
    Option Beschreibung
    Name und Speicherort Geben Sie den Namen der virtuellen Unified Access Gateway-Appliance ein. Der Name muss innerhalb des Bestandsordners eindeutig sein. Bei Namen wird die Groß-/Kleinschreibung beachtet.

    Wählen Sie einen Speicherort für die virtuelle Appliance aus.

    Bereitstellungskonfiguration Für ein IPv4-Netzwerk können Sie eine, zwei oder drei Netzwerkschnittstellen (NICs) verwenden. Für ein IPv6-Netzwerk verwenden Sie drei Netzwerkschnittstellen (NICs). Unified Access Gateway erfordert eine eigene statische IP-Adresse für jede NIC. Viele DMZ-Implementierungen verwenden getrennte Netzwerke zur Sicherung der verschiedenen Datenverkehrstypen. Konfigurieren Sie Unified Access Gateway entsprechend dem Netzwerkdesign der DMZ, in der die Bereitstellung erfolgt.
    Host/Cluster Wählen Sie den Host oder Cluster aus, auf dem die virtuelle Appliance ausgeführt werden soll.
    Festplattenformat Für Evaluierungs- und Testumgebungen wählen Sie das Format für eine schlanke Speicherzuweisung („Thin Provisioning“). Für Produktionsumgebungen wählen Sie eines der Formate für eine starke Speicherzuweisung („Thick Provisioning“). „Thick Provision Eager Zeroed“ ist ein Typ eines Thick-Formats virtueller Festplatten, das Clustering-Funktionen wie die Fehlertoleranz unterstützt, aber sehr viel mehr Zeit benötigt, um andere Typen virtueller Festplatten zu erstellen.
    Einrichten von Netzwerken/Netzwerkzuordnung Wenn Sie vSphere Web Client verwenden, können Sie auf der Seite „Netzwerke einrichten“ jede Netzwerkschnittstelle (NIC) einem Netzwerk zuordnen und die Protokolleinstellungen festlegen.

    Ordnen Sie die Netzwerke in der OVF-Vorlage den Netzwerken in Ihrer Bestandsliste zu.

    1. Wählen Sie in der Dropdown-Liste IP-Protokoll IPv4 oder IPv6 aus.
    2. Wählen Sie die erste Zeile in der Tabelle Internet aus und klicken Sie dann auf den Abwärtspfeil, um das Zielnetzwerk auszuwählen. Wenn Sie als IP-Protokoll IPv6 ausgewählt haben, müssen Sie das Netzwerk mit IPv6-Funktion auswählen.

      Nach der Auswahl der Zeile können Sie auch die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske im unteren Fensterabschnitt eingeben.

    3. Wenn Sie mehr als eine NIC verwenden, wählen Sie die nächste Zeile ManagementNetwork und anschließend das Zielnetzwerk aus. Dann können Sie die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske für dieses Netzwerk eingeben.

      Wenn Sie nur eine NIC verwenden, werden alle Zeilen demselben Netzwerk zugeordnet.

    4. Wenn Sie über eine dritte NIC verfügen, müssen Sie auch die dritte Zeile auswählen und die Einstellungen vornehmen.

      Wenn Sie nur zwei NICs verwenden, wählen Sie für die dritte Zeile BackendNetwork dasselbe Netzwerk aus, das Sie bereits für ManagementNetwork verwendet haben.

    Falls kein Netzwerkprotokollprofil vorhanden ist, wird mit dem vSphere Web Client automatisch eines erstellt, nachdem Sie den Assistenten abgeschlossen haben.

    Wenn Sie den systemeigenen vSphere Client verwenden, können Sie auf der Seite „Netzwerkzuordnung“ jede NIC einem Netzwerk zuordnen. Es gibt dort jedoch keine Felder zur Angabe der Adressen für den DNS-Server, das Gateway und die Netzmaske. Wie bei den Voraussetzungen beschrieben wurde, müssen Sie bereits jedem Netzwerk einen IP-Pool zugewiesen oder ein Netzwerkprotokollprofil erstellt haben.

    Anpassen von Netzwerkeigenschaften Die Textfelder auf der Eigenschaftenseite sind speziell für Unified Access Gateway vorgesehen und für andere Typen von virtuellen Appliances möglicherweise nicht erforderlich. Der Text auf der Seite des Assistenten erläutert jede Einstellung. Wird der Text auf der rechten Seite des Assistenten abgeschnitten, vergrößern Sie das Fenster durch Ziehen an der Ecke rechts unten.
    • IPMode:STATICV4/STATICV6. Wenn Sie STATICV4 eingeben, müssen Sie für die NIC die IPv4-Adresse angeben. Wenn Sie STATICV6 eingeben, müssen Sie für die NIC die IPv6-Adresse angeben.
    • Kommagetrennte Liste mit weitergegebenen Regeln im Formular {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu
    • NIC 1 (ETH0) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.
    • Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 1 (eth0) im Formular ipv4-network-address/bits.ipv4-gateway-address
    • NIC 1 (eth0) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.
    • NIC 1 (eth0) IPv4-Netzmaske überschreiben. Geben Sie die IPv4-Netzmaske für die Netzwerkkarte (NIC) ein, die die Standardnetzmaske eth0 aus dem Netzwerkprotokollprofil (NPP) überschreiben würde.
    • NIC 1 (eth0) IPv6-Präfix überschreiben. Geben Sie das IPv6-Präfix für die Netzwerkkarte ein, die das Standardpräfix eth0 aus dem Netzwerkprotokollprofil (NPP) überschreiben würde.
    • DNS-Server-Adressen. Geben Sie IPv4- oder IPv6-Adressen der Domänennamensserver für die Unified Access Gateway-Appliance ein. Trennen Sie diese jeweils durch Leerzeichen. Beispiel für einen IPv4-Eintrag: 192.0.2.1 192.0.2.2. Beispiel für einen IPv6-Eintrag: fc00:10:112:54::1
    • Standard-Gateway. Geben Sie einen von den vSphere-Netzwerkprotokollprofilen festgelegten Standardwert ein (Hinweis: Geben Sie einen Wert für das Standard-Gateway nur dann ein, wenn für den IP-Modus STATICV4/STATICV6 gilt).
    • NIC 2 (eth1) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.
    • Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 2 (eth1) im Formular ipv4-network-address/bits.ipv4-gateway-address
    • NIC 2 (eth1) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.
    • NIC 2 (eth1) IPv4-Netzmaske überschreiben. Geben Sie die IPv4-Netzmaske für die Netzwerkkarte (NIC) ein, die die Standardnetzmaske eth1 aus dem Netzwerkprotokollprofil (NPP) überschreiben würde.
    • NIC 2 (eth1) IPv6-Präfix überschreiben. Geben Sie das IPv6-Präfix für die Netzwerkkarte ein, die das Standardpräfix eth1 aus dem Netzwerkprotokollprofil (NPP) überschreiben würde.
    • NIC 3 (eth2) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.
    • Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 3 (eth2) im Formular ipv4-network-address/bits.ipv4-gateway-address
    • NIC 3 (eth2) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.
    • NIC 3 (eth2) IPv4-Netzmaske überschreiben. Geben Sie die IPv4-Netzmaske für die Netzwerkkarte (NIC) ein, die die Standardnetzmaske eth2 aus dem Netzwerkprotokollprofil (NPP) überschreiben würde.
    • NIC 3 (eth2) IPv6-Präfix überschreiben. Geben Sie das IPv6-Präfix für die Netzwerkkarte ein, die das Standardpräfix eth2 aus dem Netzwerkprotokollprofil (NPP) überschreiben würde.
    • Kennwortoptionen. Geben Sie das Kennwort für den Root-Benutzer dieser VM und das Kennwort für den Admin-Benutzer ein, der auf die Verwaltungskonsole zugreift und den REST-API-Zugriff aktiviert.
    • Kennwortoptionen. Geben Sie das Kennwort für den Admin-Benutzer ein, der sich zum Konfigurieren von Unified Access Gateway bei der Verwaltungsoberfläche anmeldet und den REST-API-Zugriff aktivieren kann.
    • TLS-Port 443 für gemeinsame Nutzung Aktivieren Sie dieses Kontrollkästchen, um Port 443 für die gemeinsame Nutzung mit HA-Proxy zu aktivieren. Ist dieses Kontrollkästchen aktiviert, kann dieser Wert über die Admin-UI später nicht mehr geändert werden. Sie können die TLS-SNI-Regeln über die Admin UI entweder über die VMware-Tunnel- und die Content Gateway-Einstellungen anzeigen.
      Hinweis: Sie müssen dieses Kontrollkästchen für Content Gateway zur Verwendung von Port 443 aktivieren, auch wenn dieser Port nicht mit anderen Komponenten gemeinsam verwendet wird.

    Die anderen Einstellungen sind entweder optional oder bereits mit einer Standardeinstellung vorausgefüllt.

    Am CEIP teilnehmen Wählen Sie Programm zur Verbesserung der Benutzerfreundlichkeit beitreten aus, um am CEIP teilzunehmen. Deaktivieren Sie die Option, um das CEIP zu verlassen.
  5. Auf der Seite „Bereit zum Abschließen“ wählen Sie Nach Bereitstellung einschalten aus und klicken Sie auf Fertig stellen.
    Im Statusbereich von vCenter Server wird eine Aufgabe für den Assistenten zum Bereitstellen von OVF-Vorlagen zur Überwachung der Bereitstellung angezeigt. Sie haben auch die Möglichkeit, auf der virtuellen Maschine eine Konsole zur Darstellung der Konsolenmeldungen zu öffnen, die während des Systemstarts eingeblendet werden. Ein Protokoll dieser Meldungen ist auch in der Datei /var/log/boot.msg verfügbar.
  6. Wenn die Bereitstellung abgeschlossen ist, müssen Sie sich vergewissern, dass Endbenutzer mit der Appliance durch Öffnen eines Browsers und Eingabe der folgenden URL eine Verbindung herstellen können. 
    https://FQDN-of-UAG-appliance

    In dieser URL ist FQDN-of-UAG-appliance der durch das DNS auflösbare, vollqualifizierte Domänenname (FQDN) der Unified Access Gateway-Appliance.

    Wenn die Bereitstellung erfolgreich war, erscheint die bereitgestellte Webseite des Servers, auf den Unified Access Gateway verweist. War die Bereitstellung nicht erfolgreich, können Sie die virtuelle Appliance-Maschine löschen und die Appliance erneut bereitstellen. Der häufigste Fehler ist die falsche Eingabe von Zertifikatfingerabdrücken.

Ergebnisse

Die Unified Access Gateway-Appliance ist bereitgestellt und startet automatisch.

Nächste Maßnahme

Melden Sie sich bei der Verwaltungsoberfläche von Unified Access Gateway an und konfigurieren Sie die Desktop- und Anwendungsressourcen, um den Remote-Zugriff aus dem Internet über Unified Access Gateway und die in der DMZ verwendeten Authentifizierungsmethoden zuzulassen. Die URL der Verwaltungskonsole hat das Format https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Hinweis: Wenn Sie nicht auf die Verwaltungsoberfläche zugreifen können, überprüfen Sie, ob die virtuelle Maschine die IP-Adresse aufweist, die während der Installation der OVA angezeigt wurde. Wenn die IP-Adresse nicht konfiguriert wurde, verwenden Sie den auf der Benutzeroberfläche angegebenen VAMI-Befehl, um die NICs neu zu konfigurieren. Führen Sie den Befehl " cd /opt/vmware/share/vami" und dann den Befehl "./vami_config_net" aus.