Sie können die Unified Access Gateway-Appliance bereitstellen, indem Sie sich in vCenter Server anmelden und den Assistenten zum Bereitstellen von OVF-Vorlagen verwenden.

Zwei Versionen der Unified Access Gateway-OVA-Datei sind verfügbar: eine standardmäßige OVA und eine FIPS-Version der OVA.

Die FIPS-Version der OVA unterstützt die folgenden Edge-Dienste:

  • Horizon (nur bei Passthrough-Authentifizierung)

  • VMware per-App-Tunnel

Wichtig:

Die FIPS 140-2-Version wird mit einem Satz durch FIPS zertifizierter Verschlüsselungen und Hashes ausgeführt, wobei einschränkende Dienste aktiviert sind, die durch FIPS zertifizierte Bibliotheken unterstützen. Wenn Unified Access Gateway im FIPS-Modus bereitgestellt wird, kann die Appliance nicht in den standardmäßigen OVA-Bereitstellungsmodus wechseln.

Unified Access Gateway-Größenoptionen

Um die Bereitstellung der Unified Access Gateway-Appliance als Workspace ONE-Sicherheits-Gateway zu vereinfachen, werden Größenoptionen zu den Bereitstellungskonfigurationen in der Appliance hinzugefügt. Die Bereitstellungskonfiguration bietet die Wahl zwischen einer standardmäßigen oder einer großen virtuellen Maschine.

  • Standard: Diese Konfiguration wird für eine Horizon-Bereitstellung für bis zu 2000 Horizon-Verbindungen entsprechend der Verbindungsserver-Kapazität empfohlen. Sie wird auch für Workspace ONE UEM-Bereitstellungen (mobile Anwendungsfälle) für bis zu 10.000 gleichzeitige Verbindungen empfohlen.

  • Groß: Diese Konfiguration wird für Workspace ONE UEM-Bereitstellungen empfohlen, bei denen Unified Access Gateway über 10.000 gleichzeitige Verbindungen unterstützen muss. Bei dieser Größe können Content Gateway, app-spezifischer Tunnel und Proxy und Reverse-Proxy dieselbe Unified Access Gateway-Appliance verwenden.

    Hinweis:

    VM-Optionen für die Bereitstellungen Standard und Groß:

    • Standard – 2-Kern und 4 GB RAM

    • Groß – 4-Kern und 16 GB RAM

Voraussetzungen

  • Überprüfen Sie die Bereitstellungsoptionen, die im Assistenten verfügbar sind. Siehe System- und Netzwerkanforderungen von Unified Access Gateway.

  • Legen Sie fest, wie viele Netzwerkschnittstellen und statische IP-Adressen für die Unified Access Gateway-Appliance konfiguriert werden sollen. Siehe Anforderungen an die Netzwerkkonfiguration.

  • Laden Sie die OVA-Installationsdatei für die Unified Access Gateway-Appliance von dieser VMware-Website unter https://my.vmware.com/web/vmware/downloads herunter oder geben Sie die URL an, die Sie verwenden möchten (Beispiel: http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), wobei Y.Y die Versionsnummer ist und xxxxxxx die Build-Nummer.

  • Löschen Sie bei einer Hyper-V-Bereitstellung und bei einem Upgrade von Unified Access Gateway mit statischer IP die vorherige Appliance, bevor Sie die neuere Unified Access Gateway-Instanz bereitstellen.

  • Informationen zum Upgrade Ihrer vorherigen Appliance auf eine neue Unified Access Gateway-Instanz ohne Ausfall für Benutzer finden Sie im Abschnitt Upgrade ohne Ausfallzeit.

Prozedur

  1. Melden Sie sich mit dem nativen vSphere Client oder vSphere Web Client bei einer vCenter Server-Instanz an.

    Für ein IPv4-Netzwerk verwenden Sie den nativen vSphere Client oder den vSphere Web Client. Für ein IPv6-Netzwerk verwenden Sie den vSphere Web Client.

  2. Wählen Sie einen Menübefehl für den Start des Assistenten zum Bereitstellen von OVF-Vorlagen aus.

    Option

    Menübefehl

    vSphere Client

    Wählen Sie Datei > OVF-Vorlage bereitstellen.

    vSphere Web Client

    Wählen Sie ein Bestandslistenobjekt aus, das ein gültiges übergeordnetes Objekt einer virtuellen Maschine ist, z. B. ein Datencenter, einen Ordner, Cluster, Ressourcenpool oder Host, und wählen Sie aus dem Menü Aktionen die Option OVF-Vorlage bereitstellen aus.

  3. Gehen Sie auf der Seite „Quelle auswählen“ zur OVA-Datei, die Sie heruntergeladen haben, oder geben Sie eine URL ein und klicken Sie auf Weiter.

    Überprüfen Sie die Produktdetails, Version und Größenanforderungen.

  4. Folgen Sie den Aufforderungen und beachten Sie die folgenden Anleitungen für den Abschluss des Assistenten. Sowohl ESXi- als auch Hyper-V-Bereitstellungen verfügen über zwei Optionen zur IP-Zuweisung für Unified Access Gateway. Wenn Sie ein Upgrade durchführen, löschen Sie anschließend für Hyper-V das vorherige Feld mit derselben IP-Adresse, bevor Sie das Feld mit der neuen Adresse bereitstellen. Für ESXi können Sie das vorherige Feld deaktivieren und ein neues Feld mit derselben IP-Adresse durch statische Zuweisung bereitstellen.

    Option

    Beschreibung

    Name und Speicherort

    Geben Sie den Namen der virtuellen Unified Access Gateway-Appliance ein. Der Name muss innerhalb des Bestandsordners eindeutig sein. Bei Namen wird die Groß- und Kleinschreibung beachtet.

    Wählen Sie einen Speicherort für die virtuelle Appliance aus.

    Bereitstellungskonfiguration

    Für ein IPv4- oder IPV6-Netzwerk können Sie eine, zwei oder drei Netzwerkschnittstellen (NICs) verwenden. Viele DMZ-Implementierungen verwenden getrennte Netzwerke zur Sicherung der verschiedenen Datenverkehrstypen. Konfigurieren Sie Unified Access Gateway entsprechend dem Netzwerkdesign der DMZ, in der die Bereitstellung erfolgt. Zusammen mit der Anzahl der Netzwerkkarten können Sie für Unified Access Gateway auch die Bereitstellungsoption Standard oder Groß auswählen.

    Hinweis:

    VM-Optionen für die Bereitstellungen Standard und Groß:

    • Standard – 2-Kern und 4 GB RAM

    • Groß – 4-Kern und 16 GB RAM

    Host/Cluster

    Wählen Sie den Host oder Cluster aus, auf dem die virtuelle Appliance ausgeführt werden soll.

    Festplattenformat

    Für Evaluierungs- und Testumgebungen wählen Sie das Format für eine schlanke Speicherzuweisung („Thin Provisioning“). Für Produktionsumgebungen wählen Sie eines der Formate für eine starke Speicherzuweisung („Thick Provisioning“). „Thick Provision Eager Zeroed“ ist ein Typ eines Thick-Formats virtueller Festplatten, das Clustering-Funktionen wie die Fehlertoleranz unterstützt, aber sehr viel mehr Zeit benötigt, um andere Typen virtueller Festplatten zu erstellen.

    Einrichten von Netzwerken/Netzwerkzuordnung

    Wenn Sie einen vSphere Web Client verwenden, können Sie auf der Seite „Netzwerke einrichten“ jede Netzwerkschnittstelle (NIC) einem Netzwerk zuordnen und die Protokolleinstellungen festlegen.

    Ordnen Sie die Netzwerke in der OVF-Vorlage den Netzwerken in Ihrer Bestandsliste zu.

    1. Wählen Sie die erste Zeile in der Tabelle Internet aus und klicken Sie dann auf den Abwärtspfeil, um das Zielnetzwerk auszuwählen. Wenn Sie als IP-Protokoll IPv6 ausgewählt haben, müssen Sie das Netzwerk mit IPv6-Funktion auswählen.

      Nach der Auswahl der Zeile können Sie auch die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske im unteren Fensterabschnitt eingeben.

    2. Wenn Sie mehr als eine NIC verwenden, wählen Sie die nächste Zeile ManagementNetwork und anschließend das Zielnetzwerk aus. Dann können Sie die IP-Adressen für den DNS-Server, das Gateway und die Netzmaske für dieses Netzwerk eingeben.

      Wenn Sie nur eine NIC verwenden, werden alle Zeilen demselben Netzwerk zugeordnet.

    3. Wenn Sie über eine dritte NIC verfügen, müssen Sie auch die dritte Zeile auswählen und die Einstellungen vornehmen.

      Wenn Sie nur zwei NICs verwenden, wählen Sie für die dritte Zeile BackendNetwork dasselbe Netzwerk aus, das Sie bereits für ManagementNetwork verwendet haben.

    Hinweis:

    Ignorieren Sie das Dropdown-Menü IP-Protokoll, wenn es angezeigt wird, und treffen Sie hier keine Auswahl. Die tatsächliche Auswahl des IP-Protokolls (IPv4/IPv6/beide) hängt davon ab, welcher IP-Modus bei der Anpassung der Netzwerkeigenschaften für „IPModus“ der NIC 1 (eth0), NIC 2 (eth1) und NIC 3 (eth2) angegeben ist.

    Anpassen von Netzwerkeigenschaften

    Die Textfelder auf der Eigenschaftenseite sind speziell für Unified Access Gateway vorgesehen und für andere Typen von virtuellen Appliances möglicherweise nicht erforderlich. Der Text auf der Seite des Assistenten erläutert jede Einstellung. Wird der Text auf der rechten Seite des Assistenten abgeschnitten, vergrößern Sie das Fenster durch Ziehen an der Ecke rechts unten. Bei STATICV4 müssen Sie für jede Netzwerkkarte die IPv4-Adresse für die Netzwerkkarte eingeben. Bei STATICV6 müssen Sie für die Netzwerkkarte die IPv6-Adresse angeben. Wenn Sie die Textfelder leer lassen, wird standardmäßig die IP-Adresszuweisung DHCPV4+DHCPV6 verwendet.

    Wichtig:

    Die neueste Version von Unified Access Gateway akzeptiert keine Netzmasken- oder Präfixwerte und Standard-Gateway-Einstellungen vom Netzwerkprotokollprofil (NPP). Um Unified Access Gateway mit statischer IP-Zuweisung zu konfigurieren, müssen Sie die Netzmaske/das Präfix in den Netzwerkeigenschaften konfigurieren. Diese Werte werden nicht vom NPP aufgefüllt.

    • IPModus für NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

    • IPModus für NIC2(eth1): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

    • IPModus für NIC3 (eth2): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .

    • Kommagetrennte Liste mit weitergegebenen Regeln im Formular {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu Beispielsweise für IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.

    • NIC 1 (eth0) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.

      • Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 1 (eth0) im Formular ipv4-network-address/bits ipv4-gateway-address Beispielsweise 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

        Hinweis:

        Wenn die ipv4-Gateway-Adresse nicht angegeben wird, ist das Gateway der entsprechenden Route, die hinzugefügt wird, 0.0.0.0.

    • NIC 1 (eth0) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.

    • NIC 1 (eth0) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für die Netzwerkkarte ein.

    • NIC 1 (eth0) IPv6-Präfix. Geben Sie das IPv6-Präfix für die Netzwerkkarte ein.

    • DNS-Server-Adressen. Geben Sie IPv4- oder IPv6-Adressen der Domänennamensserver für die Unified Access Gateway-Appliance ein. Trennen Sie diese jeweils durch Leerzeichen. Beispiel für einen IPv4-Eintrag: 192.0.2.1 192.0.2.2. Beispiel für einen IPv6-Eintrag: fc00:10:112:54::1

    • IPv4-Standard-Gateway. Geben Sie ein IPv4-Standard-Gateway ein, wenn Unified Access Gateway mit einer IP-Adresse kommunizieren muss, die sich nicht auf einem lokalen Segment einer Netzwerkkarte in Unified Access Gateway befindet.

    • IPv6-Standard-Gateway. Geben Sie ein IPv6-Standard-Gateway ein, wenn Unified Access Gateway mit einer IP-Adresse kommunizieren muss, die sich nicht auf einem lokalen Segment einer Netzwerkkarte in Unified Access Gateway befindet.

    • NIC 2 (eth1) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.

    • Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 2 (eth1) im Formular ipv4-network-address/bits ipv4-gateway-address. Beispielsweise 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

      Hinweis:

      Wenn die ipv4-Gateway-Adresse nicht angegeben wird, ist das Gateway der entsprechenden Route, die hinzugefügt wird, 0.0.0.0.

    • NIC 2 (eth1) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.

    • NIC 2 (eth1) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für diese Netzwerkkarte ein.

    • NIC 2 (eth1) IPv6-Präfix. Geben Sie das IPv6-Präfix für diese Netzwerkkarte ein.

    • NIC 3 (eth2) IPv4-Adresse. Geben Sie die IPv4-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV4 festgelegt haben.

    • Kommagetrennte Liste mit benutzerdefinierten IPv4-Routen für NIC 3 (eth2) im Formular ipv4-network-address/bits ipv4-gateway-address. Beispielsweise 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32

      Hinweis:

      Wenn die ipv4-Gateway-Adresse nicht angegeben wird, ist das Gateway der entsprechenden Route, die hinzugefügt wird, 0.0.0.0.

    • NIC 3 (eth2) IPv6-Adresse. Geben Sie die IPv6-Adresse für die NIC ein, wenn Sie für den NIC-Modus STATICV6 festgelegt haben.

    • NIC 3 (eth2) IPv4-Netzmaske. Geben Sie die IPv4-Netzmaske für diese Netzwerkkarte ein.

    • NIC 3 (eth2) IPv6-Präfix. Geben Sie das IPv6-Präfix für diese Netzwerkkarte ein.

    • Kennwort für VM-Root-Benutzer. Geben Sie das Kennwort für den Root-Benutzer zur Anmeldung bei der VM-Konsole ein.

    • Kennwort für Verwaltungsoberfläche. Geben Sie das Kennwort für den Admin-Benutzer ein, um Unified Access Gateway über die Verwaltungsoberfläche zu konfigurieren und auch auf die REST-APIs zuzugreifen.

    Die anderen Einstellungen sind entweder optional oder bereits mit einer Standardeinstellung vorausgefüllt.

    Am CEIP teilnehmen

    Wählen Sie Programm zur Verbesserung der Benutzerfreundlichkeit beitreten aus, um am CEIP teilzunehmen. Deaktivieren Sie die Option, um das CEIP zu verlassen.

  5. Auf der Seite „Bereit zum Abschließen“ wählen Sie Nach Bereitstellung einschalten aus und klicken Sie auf Fertig stellen.

    Im Statusbereich von vCenter Server wird eine Aufgabe für den Assistenten zum Bereitstellen von OVF-Vorlagen zur Überwachung der Bereitstellung angezeigt. Sie haben auch die Möglichkeit, auf der virtuellen Maschine eine Konsole zur Darstellung der Konsolenmeldungen zu öffnen, die während des Systemstarts eingeblendet werden. Ein Protokoll dieser Meldungen ist auch in der Datei /var/log/boot.msg verfügbar.

  6. Wenn die Bereitstellung abgeschlossen ist, müssen Sie sich vergewissern, dass Endbenutzer mit der Appliance durch Öffnen eines Browsers und Eingabe der folgenden URL eine Verbindung herstellen können.
    https://FQDN-of-UAG-appliance

    In dieser URL ist FQDN-of-UAG-appliance der durch das DNS auflösbare, vollqualifizierte Domänenname (FQDN) der Unified Access Gateway-Appliance.

    Wenn die Bereitstellung erfolgreich war, erscheint die bereitgestellte Webseite des Servers, auf den Unified Access Gateway verweist. War die Bereitstellung nicht erfolgreich, können Sie die virtuelle Appliance-Maschine löschen und die Appliance erneut bereitstellen. Der häufigste Fehler ist die falsche Eingabe von Zertifikatfingerabdrücken.

Ergebnisse

Die Unified Access Gateway-Appliance ist bereitgestellt und startet automatisch.

Nächste Maßnahme

  • Melden Sie sich bei der Verwaltungsoberfläche von Unified Access Gateway an und konfigurieren Sie die Desktop- und Anwendungsressourcen, um den Remote-Zugriff aus dem Internet über Unified Access Gateway und die in der DMZ verwendeten Authentifizierungsmethoden zuzulassen. Die URL der Verwaltungskonsole hat das Format https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

    Wichtig:

    Sie müssen die Unified Access Gateway-Konfiguration nach der Bereitstellung mithilfe der Verwaltungsoberfläche abschließen. Wenn Sie das Kennwort für die Verwaltungsoberfläche nicht angeben, können Sie später keinen Benutzer für die Verwaltungsoberfläche hinzufügen, um den Zugriff auf die Verwaltungsoberfläche oder die API zu ermöglichen. Sie müssen Ihre Unified Access Gateway-Instanz erneut mit einem gültigen Kennwort für die Verwaltungsoberfläche bereitstellen, wenn Sie einen Benutzer für die Verwaltungsoberfläche hinzufügen möchten.

    Hinweis:

    Wenn Sie nicht auf das Anmeldefenster der Verwaltungsoberfläche zugreifen können, überprüfen Sie, ob die virtuelle Maschine die IP-Adresse aufweist, die während der Installation der OVA angezeigt wurde. Wenn die IP-Adresse nicht konfiguriert wurde, verwenden Sie den auf der Benutzeroberfläche angegebenen VAMI-Befehl, um die NICs neu zu konfigurieren. Führen Sie den Befehl "cd /opt/vmware/share/vami" und dann den Befehl "./vami_config_net" aus.

  • Führen Sie bei Bereitstellung mit vSphere oder PowerShell eine Systemdiagnose durch und stellen Sie sicher, dass die neu bereitgestellte Instanz eine „200 OK“-Antwort zurückgibt.