Para implementar el dispositivo de Unified Access Gateway, puede iniciar la sesión en vCenter Server y utilizar el asistente para Implementar plantilla OVF.

Opciones de tamaño de Unified Access Gateway

Para simplificar la implementación del dispositivo de Unified Access Gateway como puerta de enlace de seguridad de Workspace ONE, se agregan opciones de tamaño a las configuraciones de implementación en el dispositivo. La configuración de implementación permite elegir entre una máquina virtual Estándar, Grande y Muy grande.
  • Estándar: esta configuración se recomienda para las implementaciones de Horizon que admiten un máximo de 2000 conexiones de Horizon, en línea con la capacidad del servidor de conexión. También se recomienda para las implementaciones de Workspace ONE UEM (casos prácticos de dispositivos móviles) con hasta 10 000 conexiones simultáneas.
  • Grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM en las que es necesario que Unified Access Gateway admita más de 50.000 conexiones simultáneas. Este tamaño permite que Content Gateway, el túnel por aplicación (Per-App Tunnel) y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.
  • Muy grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM . Este tamaño permite que Content Gateway, el túnel por aplicación (Per-App Tunnel) y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.
  • Nota: Opciones de máquina virtual para las implementaciones Estándar, Grande y Muy grande:
    • Estándar: 2 núcleos y 4 GB de RAM
    • Grande: 4 núcleos y 16GB de RAM
    • Muy grande: 8 núcleos y 32GB de RAM

    Puede configurar estos ajustes mediante PowerShell. Para obtener información sobre los parámetros de PowerShell, consulte Utilizar PowerShell para implementar el dispositivo de Unified Access Gateway.

    Para obtener más información sobre las recomendaciones de tamaño de Unified Access Gateway, puede ver la información sobre Valores máximos de configuración de VMware.

Requisitos previos

  • Revise las opciones de implementación que están disponibles en el asistente. Consulte Requisitos de red y del sistema de Unified Access Gateway.
  • Determine el número de interfaces de red y direcciones IP estáticas que se deben configurar para el dispositivo de Unified Access Gateway. Consulte Requisitos de configuración de red.
  • Descargue el archivo del instalador .ova para el dispositivo de Unified Access Gateway desde el sitio web de VMware en la dirección https://my.vmware.com/web/vmware/downloads, o determine la URL que se utilizará (por ejemplo: http://example.com/vapps/euc-unified-access-gateway-YY.MM.0.0-xxxxxxx_OVF10.ova), donde YY.MM es el número de versión y xxxxxxx el de compilación.
  • Si existe una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.
  • Para actualizar el dispositivo anterior a una nueva instancia de Unified Access Gateway sin tiempo de inactividad para los usuarios, consulte la sección Actualización sin tiempo de inactividad.

Procedimiento

  1. Utilice el vSphere Client nativo o vSphere Web Client para iniciar la sesión en una instancia de vCenter Server.
    Para una red IPv4, use el vSphere Client nativo o vSphere Web Client. Para una red IPv6, use vSphere Web Client.
  2. Seleccione un comando de menú para iniciar el asistente de implementación de plantillas OVF.
    Opción Comando de menú
    vSphere Client Seleccione Archivo > Implementar plantilla OVF.
    vSphere Web Client Seleccione cualquier objeto de inventario que sea un objeto padre válido de una máquina virtual, como un centro de datos, una carpeta, un clúster, un grupo de recursos o un host, y en el menú Acciones seleccione Implementar plantilla OVF.
  3. En la página para Seleccionar una plantilla de OVF, haga clic en URL e introduzca una URL para descargar e instalar la plantilla de OVF desde Internet, o bien haga clic en Archivo local para desplazarse hasta el archivo .ova que descargó. Haga clic en SIGUIENTE.
    Revise los detalles, la versión y los requisitos de tamaño del producto.
  4. Siga las indicaciones y tenga en cuenta las siguientes directrices al completar los pasos del asistente. Las implementaciones de ESXi y Hyper-V tienen dos opciones para asignar la asignación de IP de Unified Access Gateway. Si está actualizando, en Hyper-V, elimine el cuadro anterior con la misma dirección IP antes de implementar el cuadro con la nueva dirección. Para ESXi, puede desactivar el cuadro anterior e implementar un nuevo cuadro con la misma dirección IP a través de una asignación estática.
    Tabla 1. Opciones de implementación de OVF
    Opción Descripción
    Seleccionar un nombre y una carpeta
    Nombre y ubicación Escriba un nombre para el dispositivo virtual de Unified Access Gateway en el campo Nombre de máquina virtual. El nombre debe ser único dentro de la carpeta del inventario. Los nombres distinguen entre mayúsculas y minúsculas.

    Seleccione una ubicación para la máquina virtual de imagen maestra en la lista.

    Seleccione un recurso informático
    Host / Clúster Seleccione el host o clúster en el que quiere ejecutar el dispositivo virtual.

    Resultado: se realizan comprobaciones de compatibilidad y validación para comprobar si el recurso informático puede admitir el OVF.

    Revisar detalles

    Compruebe los detalles de implementación de OVF.

    Configuración
    Seleccione una configuración de implementación Para una red IPv4 o IPV6, puede usar una, dos o tres interfaces de red (NIC). Muchas implementaciones de DMZ utilizan redes diferentes para asegurar los distintos tipos de tráfico. Configure Unified Access Gateway en función del diseño de red de la DMZ en la que se implementó. Junto con la cantidad de NIC, también puede elegir entre las opciones de implementación Estándar o Grande de Unified Access Gateway.
    Nota: Opciones de máquina virtual para las implementaciones Estándar y Grande:
    • Estándar: 2 núcleos y 4 GB de RAM
    • Grande: 4 núcleos y 16GB de RAM
    • Muy grande: 8 núcleos y 32 GB de RAM
    Seleccionar almacenamiento
    Seleccionar formato de disco virtual En entornos de evaluación y pruebas, seleccione el formato Aprovisionamiento delgado. En entornos de producción, seleccione uno de los formatos de Aprovisionamiento grueso.

    Thick Provision Eager Zeroed es un tipo de formato de disco virtual compatible con funciones de clúster como la tolerancia a fallos, pero se tarda mucho más en crear que otros tipos de discos virtuales.

    Directiva de almacenamiento de VM

    Valor predeterminado del almacén de datos o cualquier otra directiva de almacenamiento configurada. Para obtener más información, consulte Directivas de almacenamiento de máquinas virtuales en la documentación de VMware vSphere en VMware Docs.

    Seleccionar redes
    Si se utiliza vSphere Web Client, la página Seleccionar redes permite asignar cada NIC a una red y especificar la configuración de protocolos.

    Asigne las redes usadas en la plantilla OVF a las redes del inventario.

    1. Si utiliza más de una NIC, en la fila ManagementNetwork, seleccione la red de destino y, a continuación, introduzca las direcciones IP del servidor DNS, la puerta de enlace y la máscara de red de esa red.

      Si solo utiliza una NIC, todas las filas se asignarán a la misma red.

    2. Si dispone de una tercera NIC, seleccione la tercera fila y complete los ajustes.

      Si solo utiliza dos NIC, para la fila BackendNetwork, seleccione la misma red utilizada para ManagementNetwork.

    3. Seleccione la fila Internet y haga clic en la flecha hacia abajo para seleccionar la red de destino. Si selecciona IPv6 como el protocolo IP, debe seleccionar la red que tenga capacidades IPv6.

      Después de seleccionar la fila, podrá introducir también las direcciones IP del servidor DNS, la puerta de enlace y la máscara de red en la parte inferior de la ventana. Haga clic en SIGUIENTE.

    Nota: Ignore el menú desplegable Protocolo IP, si se muestra, y no haga ninguna selección aquí. La selección real del protocolo IP (IPv4, IPv6 o ambos) depende del modo de IP que se haya especificado para IPMode de la NIC 1 (eth0), la NIC 2 (eth1) y la NIC 3 (eth2) al personalizar las propiedades de redes. La configuración del servidor DNS y la puerta de enlace predeterminada es global y no está asociada con ninguna NIC específica.
    Personalizar plantilla
    Propiedades de red Los cuadros de texto de la página Propiedades son específicos de Unified Access Gateway y puede que no sean necesarios para otros tipos de dispositivos virtuales. El texto de la página del asistente explica el uso de cada ajuste. Si el texto aparece recortado en la parte derecha del asistente, redimensione la ventana arrastrando desde la esquina inferior izquierda. Para cada una de las NIC, en STATICV4, debe introducir la dirección IPv4 para la NIC. Para STATICV6, debe introducir la dirección IPv6 para la NIC. Si deja los cuadros de texto en blanco, el valor predeterminado de la asignación de dirección IP será DHCPV4+DHCPV6.
    Importante: La versión más reciente de Unified Access Gateway no acepta los valores de máscara de red o prefijo ni la configuración de la puerta de enlace predeterminada del perfil de protocolo de red. Para configurar Unified Access Gateway con asignación de direcciones IP estáticas, debe configurar la máscara de red o el prefijo en las propiedades de red. Estos valores no se rellenan a partir de NPP.
    Nota:
    • Los valores distinguen entre mayúsculas y minúsculas.
    • Al implementar Unified Access Gateway mediante vSphere Client HTML5 en vSphere 6.7 o versiones anteriores, solo NIC1 (eth0) está disponible para la configuración. Hay varias NIC disponibles para la configuración cuando se utiliza vSphere Client HTML5 en vSphere 7.0.
    • IPMode para NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6.
    • Lista de reglas de reenvío separadas por comas con el formato {tcp|udp}/número-de-puerto-de-escucha/dirección-ip-de-destino:número-de-puerto-de-destino. Por ejemplo, para IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
    • Dirección IPv4 para la NIC 1 (eth0). Introduzca la dirección IPv4 para la NIC si introdujo STATICV4 como modo de NIC.
      • Lista de rutas personalizadas de IPv4 separadas por comas para la NIC (eth0) con el formato dirección-red-ipv4/bits-dirección-puerta-de-enlace-ipv4. Por ejemplo, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        Nota: Si no se especifica el valor de dirección-puerta-de-enlace-ipv4, la ruta correspondiente que se agrega tiene una puerta de enlace con valor 0.0.0.0.
    • Dirección IPv6 para la NIC 1 (eth0). Introduzca la dirección IPv6 para la NIC si introdujo STATICV6 como modo de NIC.
    • Direcciones de servidor DNS. Introduzca separadas por espacios las direcciones IPv4 o IPv6 de los servidores de nombres de dominio para el dispositivo de Unified Access Gateway. Un ejemplo de una entrada IPv4 es 192.0.2.1 192.0.2.2. Un ejemplo de una entrada IPv6 es fc00:10:112:54::1
    • Dominio de búsqueda de DNS. Introduzca la lista de búsqueda de DNS separada por espacios.
    • Máscara de red IPv4 para la NIC 1 (eth0). Introduzca la máscara de red IPv4 para la NIC.
    • Prefijo IPv6 para la NIC 1 (eth0). Introduzca el prefijo IPv6 para la NIC.
    • Configuración personalizada de NIC1 (eth0). Introduzca el valor de configuración personalizada para la NIC con el formato SectionName^Parameter=Value. Una entrada de configuración personalizada de ejemplo es DHCP^UseDNS=false. Este valor, cuando se utiliza, deshabilita el uso de las direcciones IP de DNS proporcionadas por el servidor DHCP. Con el mismo formato, puede agregar varias entradas de configuración, como systemd.network, separadas por punto y coma.
    • Puerta de enlace predeterminada IPv4. Escriba una puerta de enlace predeterminada IPv4 si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.
    • Puerta de enlace predeterminada IPv6. Introduzca la puerta de enlace predeterminada IPv6 si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.
    Nombre del dispositivo de Unified Gateway Introduzca el nombre de host del dispositivo, para su identificación. Si no introduce ningún nombre, el sistema lo generará automáticamente.
    Unirse a CEIP Seleccione Unirse al Programa de mejora de la experiencia de cliente de VMware para unirse al CEIP o desmarque la opción para abandonar el CEIP.
    Opciones de contraseña
    Nombre de usuario de inicio de sesión del SO Introduzca el nombre de usuario para acceder a la consola local de Unified Access Gateway.

    Cuando se configura, se crea un nuevo usuario con privilegios sudo con el nombre de usuario especificado y se deshabilita el inicio de sesión raíz. Solo se permiten a-z, 0-9, guion bajo (_) y guion (-) y la longitud máxima es de 32 caracteres.

    Nota: Deje este campo en blanco para usar el usuario raíz.
    Contraseña para iniciar sesión en el SO Introduzca la contraseña para iniciar sesión en el SO. Esta contraseña se aplica tanto al usuario raíz como al usuario personalizado tal como se configuró en el campo Nombre de usuario de inicio de sesión del SO.
    Caducidad de la contraseña en días para el usuario del SO Introduzca la directiva de caducidad de contraseñas para el usuario del SO. Si se establece en cero, la contraseña no caduca nunca. El valor predeterminado es 365 días.
    Longitud mínima de la directiva de contraseñas Introduzca la longitud mínima de la contraseña. El valor predeterminado es 6.
    Directiva de contraseñas para mínimo de clases de caracteres Introduzca la directiva de contraseñas para el número mínimo (1,2,3,4) de clases de tipo de carácter (mayúsculas, minúsculas, dígitos y otros).
    Directiva de contraseñas para el número máximo de intentos fallidos Introduzca el número máximo de intentos fallidos permitidos. El valor predeterminado es 3.
    Directiva de contraseñas para el tiempo de desbloqueo en segundos en el número máximo de intentos fallidos Introduzca el tiempo en segundos para desbloquear la contraseña cuando haya alcanzado el máximo de intentos fallidos. El valor predeterminado es 900.
    Tiempo de espera de inactividad de la sesión para el usuario del SO en segundos Introduzca el tiempo de espera de sesión inactiva para el usuario del SO. El rango es 30-3600 segundos. La caducidad de la sesión se deshabilita si se establece en cero (0). El valor predeterminado es 300.
    Límite máximo de sesiones de inicio de sesión simultáneas para el usuario sudo Introduzca el límite máximo de sesiones de inicio de sesión simultáneas para el usuario sudo. Si el usuario sudo no está configurado; esta opción se ignora.

    El valor predeterminado es 10 y el mínimo configurable es 1. No hay ningún límite máximo.

    Contraseña del usuario administrador, que habilita el acceso de REST API
    Directiva de contraseñas de administrador para longitud mínima Introduzca la longitud mínima de la contraseña de administrador. El valor predeterminado es 6.
    Directiva de contraseñas de administrador para el máximo de intentos fallidos Introduzca el número máximo de intentos fallidos permitidos. El valor predeterminado es 3.
    Directiva de contraseñas de administrador para el tiempo de desbloqueo en minutos en el número máximo de intentos fallidos Introduzca el tiempo en minutos para desbloquear la contraseña de administrador cuando haya alcanzado el máximo de intentos fallidos. El valor predeterminado es 5 minutos.
    Tiempo de espera de inactividad de la sesión de administrador en minutos Introduzca el tiempo de espera de inactividad de la sesión para el administrador. El valor predeterminado es 10 y el máximo es 1440 minutos.
    Máximo de sesiones simultáneas para usuarios de la consola administrativa Introduzca el límite máximo de sesiones de inicio de sesión actuales para el administrador.

    El valor predeterminado es 5 y el valor máximo es 50.

    Cuando se supere el número máximo de sesiones para un usuario, la sesión utilizada menos recientemente caducará.

    Conformidad
    Habilitar cumplimiento de STIG de DISA

    Establece la configuración del sistema operativo para que cumpla con las directrices de preparación de STIG de DISA de Photon OS 3.0 actual.

    Seleccione esta casilla de verificación para configurar automáticamente la complejidad de la contraseña y otros requisitos de STIG.

    Nota: Esta opción debe utilizarse con la versión FIPS cuando se requiera la conformidad de SO con la STIG de DISA.
    Propiedades del sistema
    Habilitar SSH Opción para habilitar SSH para acceder a la máquina virtual de Unified Access Gateway.
    Permitir inicio de sesión root de SSH mediante contraseña Opción para acceder a la máquina virtual de Unified Access Gateway mediante un inicio de sesión root de SSH y una contraseña.

    De forma predeterminada, el valor de esta opción es true.

    Permitir inicio de sesión de SSH mediante par de claves Opción para acceder a la máquina virtual de Unified Access Gateway mediante un inicio de sesión root de SSH y un par de claves pública-privada.

    De forma predeterminada, este valor es false.

    La interfaz de usuario del administrador de Unified Access Gateway tiene un campo, Claves públicas SSH, donde un administrador puede cargar claves públicas para permitir el acceso del usuario raíz o configurado a Unified Access Gateway al utilizar la opción de par de claves pública-privada. Para que este campo esté disponible en la interfaz de usuario del administrador, el valor de esta opción y de Habilitar SSH debe ser true en el momento de la implementación. Si alguna de estas opciones no es true, el campo Claves públicas SSH no está disponible en la interfaz de usuario del administrador.

    El campo Claves públicas SSH es un ajuste avanzado del sistema en la interfaz de usuario del administrador. Consulte Configurar los parámetros del sistema de Unified Access Gateway.

    Texto del banner de shell de inicio de sesión Opción para personalizar el texto del banner que se muestra al iniciar sesión en Unified Access Gateway mediante SSH o la consola web de vSphere Client.

    Esta opción solo se puede configurar en el momento de la implementación. Si no configura esta opción, se muestra el texto predeterminado: VMware EUC Unified Access Gateway.

    Solo se admiten caracteres ASCII en el texto personalizado. Para los textos de banner de varias líneas, \n debe utilizarse como el separador de líneas.

    Nota: Cuando se implementa Unified Access Gateway mediante la plantilla de OVF y se configura el texto del banner de inicio de sesión, en el primer inicio de Unified Access Gateway, la consola web del cliente de vSphere muestra el texto del banner predeterminado y se ignora el texto del banner personalizado. En los inicios posteriores, se muestra el texto del banner personalizado.
    Interfaz SSH

    Configure la interfaz de red en la que está habilitado el inicio de sesión SSH.

    De forma predeterminada, SSH está habilitado en todas las interfaces.

    Los valores admitidos son eth0, eth1 y eth2 en función de la configuración.

    Puerto SSH

    Configure el puerto en el que SSH está habilitado.

    El valor predeterminado es 22.

    Comandos que se ejecutarán durante el primer arranque Introduzca una lista de comandos separados por punto y coma en formato de texto sin formato o codificado en base64 para que se ejecuten durante el primer arranque de Unified Access Gateway. El tamaño máximo es de 8 kB. Para obtener más información, consulte Comandos de tiempo de arranque configurables para el primer arranque y cada arranque.
    Comandos que se ejecutarán durante cada arranque Introduzca una lista de comandos separados por punto y coma en formato de texto sin formato o codificado en base64 para que se ejecuten durante cada arranque de Unified Access Gateway. El tamaño máximo es de 8 kB. Para obtener más información, consulte Comandos de tiempo de arranque configurables para el primer arranque y cada arranque.
    Origen de SecureRandom Permite configurar el origen de generador de bits aleatorios seguro que utilizan los procesos Java para las funciones criptográficas.

    Esta opción solo se puede configurar en el momento de la implementación.

    Los valores admitidos son: /dev/random y /dev/urandom. De forma predeterminada, se utiliza /dev/random en el modo no FIPS y /dev/urandom en el modo FIPS.

  5. En la página Listo para completar, revise la información y haga clic en Finalizar.
    En el área de estado de vCenter Server, aparecerá una tarea de implementar plantilla OVF que permite supervisar la implementación. También se puede abrir una consola en la máquina virtual para ver los mensajes de la consola que se muestran durante el inicio del sistema. También hay disponible un registro de esos mensajes en el archivo /var/log/boot.msg.
  6. Encienda la máquina virtual.
  7. Después de encender el dispositivo, verifique que los usuarios finales se puedan conectar a él. Para ello, abra una ventana del navegador e introduzca la URL siguiente:
    https://FQDN-of-UAG-appliance

    En esta URL, FQDN-de-dispositivo-UAG es el nombre completo de dominio del dispositivo Unified Access Gateway que el servidor DNS puede resolver.

    Si la implementación se realizó correctamente, aparecerá la página web proporcionada por el servidor al que Unified Access Gateway se dirige. Si la implementación no se realizó correctamente, se puede borrar la máquina virtual del dispositivo y volver a implementar el dispositivo. El error más habitual es no introducir correctamente las huellas del certificado.

Resultados

El dispositivo de Unified Access Gateway se implementa e inicia automáticamente.

Qué hacer a continuación

  • Inicie sesión en la IU del administrador de Unified Access Gateway y configure los recursos de los escritorios y de las aplicaciones para permitir el acceso remoto desde Internet mediante Unified Access Gateway, así como los métodos de autenticación que se van a utilizar en la DMZ. La URL de la consola de administración tiene el formato https://<UAG-fqdn>:9443/admin/index.html .
    Importante: Debe completar la configuración posterior a la implementación de Unified Access Gateway mediante la IU del administrador. Si no se proporciona la contraseña de la IU del administrador, después no se podrá agregar un usuario de la IU del administrador para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida de la IU del administrador.
    Nota: Si no puede acceder a la pantalla de inicio de sesión de la IU del administrador, compruebe si la máquina virtual tiene la dirección IP que aparecía durante la instalación del OVA. Si la dirección IP no está configurada, use el comando VAMI mencionado en la IU para volver a configurar las NIC. Ejecute el comando "cd /opt/vmware/share/vami" y, a continuación, el comando "./vami_config_net".