Para implementar el dispositivo de Unified Access Gateway, su sistema debe cumplir los requisitos de hardware y software.
Versiones de productos compatibles de VMware
Debe utilizar versiones específicas de los productos de VMware con versiones concretas de Unified Access Gateway. Consulte las notas de la versión del producto si desea ver la información más reciente sobre compatibilidad, así como la sección Matrices de interoperabilidad de productos de VMware en la página http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Para obtener información sobre la directiva de compatibilidad del ciclo de vida de Unified Access Gateway, consulte https://kb.vmware.com/s/article/2147313.
Requisitos de hipervisor
- VMware vSphere (ESXi con vCenter)
- Microsoft Azure
- Microsoft Hyper-V (solo los servicios de Edge de Tunnel, Secure Email Gateway y Content Gateway)
- Amazon AWS EC2
- Google Cloud GCE
Requisitos de hardware del servidor ESXi
El dispositivo de Unified Access Gateway se debe implementar en una versión de VMware vSphere que sea la misma que la versión compatible con los productos de VMware y sus versiones respectivas.
Si tiene previsto utilizar vSphere Web client, verifique que el complemento de integración de clientes esté instalado. Para obtener más información, consulte la documentación de vSphere. Si no instala este complemento antes de iniciar el asistente de implementación, este le indicará que lo haga. Para ello, deberá cerrar el navegador y salir del asistente.
Requisitos del dispositivo virtual
El paquete de OVF para el dispositivo de Unified Access Gateway selecciona automáticamente la configuración de la máquina virtual que Unified Access Gateway necesita. Aunque esta configuración se puede modificar, se recomienda no cambiar los valores de espacio en disco, memoria o CPU a valores inferiores a los predeterminados de OVF.
- El requisito mínimo de CPU es 2000 MHz
- Memoria mínima: 4 GB
Verifique que el almacén de datos que utiliza para el dispositivo tenga suficiente espacio en disco y cumpla los demás requisitos del sistema.
- Tamaño de descarga del dispositivo virtual (depende de la versión de Unified Access Gateway)
- El requisito mínimo de disco de aprovisionamiento fino es 3,5 GB
- El requisito mínimo de disco de aprovisionamiento grueso es 20 GB
Si la reserva de memoria no está configurada, vSphere crea un archivo de intercambio por máquina virtual (.vswp) con un tamaño máximo equivalente a la memoria de la máquina virtual. Este espacio de intercambio es para cualquier memoria de máquina virtual no reservada. Por ejemplo, un dispositivo de Unified Access Gateway de 4 GB de RAM con un disco de aprovisionamiento grueso vSphere utiliza un archivo .vmdk ESXi de 20 GB, mientras que el dispositivo puede utilizar un archivo de intercambio ESXi de 4 GB. Esto da como resultado un requisito de espacio total de disco de 24 GB. De forma similar, para un dispositivo de Unified Access Gateway de 16 GB de RAM, el requisito de espacio total de disco puede ser de 36 GB.
Para obtener más información sobre el espacio de intercambio y la sobreasignación de memoria, consulte la documentación siguiente: Administrar recursos de vSphere.
La siguiente información es necesaria para implementar el dispositivo virtual.
- Dirección IP estática (recomendada)
- Dirección IP del servidor DNS
- Contraseña para el usuario raíz
- Contraseña para el usuario administrador
- URL de la instancia del servidor o el equilibrador de carga al que el dispositivo de Unified Access Gateway se dirige
Opciones de tamaño de Unified Access Gateway
- Estándar: esta configuración se recomienda en implementaciones de Horizon que admiten un máximo de 2000 conexiones de Horizon, en línea con la capacidad del servidor de conexión. También se recomienda para las implementaciones de Workspace ONE UEM (casos prácticos de dispositivos móviles) con hasta 10 000 conexiones simultáneas.
- Grande: esta configuración se recomienda en implementaciones de Workspace ONE UEM en las que es necesario que Unified Access Gateway admita un máximo de 150 000 conexiones simultáneas. Este tamaño permite que Content Gateway, el túnel por aplicación (Per-App Tunnel) y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.
- Muy grande: esta configuración se recomienda en implementaciones de Workspace ONE UEM en las que es necesario que Unified Access Gateway admita un máximo de 200 000 conexiones simultáneas. Este tamaño permite que Content Gateway, el túnel por aplicación (Per-App Tunnel) y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.
Opciones de máquina virtual para las implementaciones Estándar, Grande y Muy grande:
- Estándar: 2 núcleos y 4 GB de RAM
- Grande: 4 núcleos y 16GB de RAM
- Muy grande: 8 núcleos y 32GB de RAM
Puede configurar estos ajustes mediante PowerShell. Para obtener información sobre los parámetros de PowerShell, consulte Preparación del archivo INI para implementar Unified Access Gateway.
Para obtener más información sobre las recomendaciones de tamaño de Unified Access Gateway, consulte Valores máximos de configuración de VMware.
Versiones de navegador compatibles
Los navegadores compatibles para iniciar la IU del administrador son Internet Explorer, Chrome y Firefox. Utilice la versión más reciente del navegador.
Requisitos de hardware de Windows Hyper-V Server
Cuando utilice Unified Access Gateway para una implementación de túnel por aplicación de Workspace ONE UEM, puede instalar el dispositivo de Unified Access Gateway en Microsoft Hyper-V Server.
Los servidores compatibles con Microsoft son Windows Server 2012 R2 y Windows Server 2016.
Requisitos de configuración de redes: opciones de implementación
Puede utilizar una, dos o tres interfaces de red y Unified Access Gateway necesitará una dirección IP estática para cada una de ellas. Muchas implementaciones de DMZ utilizan redes diferentes para asegurar los distintos tipos de tráfico. Configure Unified Access Gateway en función del diseño de red de la DMZ en la que se implementó.
- 1 NIC: las interfaces de red son adecuadas para las POC (pruebas de concepto) de las pruebas. Con una NIC, el tráfico de administración (tanto interno como externo), fluyen todo por la misma subred.
- 2 NIC: con dos interfaces de red, el tráfico externo fluye por una subred y el tráfico de administración e interno fluye por otra.
- 3 NIC: la opción más segura es utilizar tres interfaces de red. Con una tercera NIC, el tráfico de administración, el interno y el externo tendrán cada uno su propia subred.
DNS de multidifusión y nombres de host .local
UAG (Unified Access Gateway) 3.7 y las versiones posteriores admiten DNS de multidifusión, además de los DNS de unidifusión. Los nombres de varias etiquetas con el sufijo de dominio .local se enrutan a todas las interfaces locales que pueden realizar multidifusión IP mediante el protocolo DNS de multidifusión.
Evite definir .local en un servidor DNS de unidifusión, ya que RFC6762 reserva el uso de este dominio para el DNS de multidifusión. Por ejemplo, si utiliza un nombre de host nombrehost.ejemplo.local en un ajuste de configuración, como URL de destino del proxy en UAG, el nombre de host no se resolverá con el DNS de unidifusión porque .local está reservado para el DNS de multidifusión.
Como alternativa, puede utilizar uno de los siguientes métodos en los que no se requiere el sufijo de dominio .local:
- Especifique una dirección IP en lugar de un nombre de host .local.
- Se puede agregar otro registro alternativo de DNS A al servidor DNS.
En el ejemplo anterior de nombre de host, se puede agregar nombrehost.ejemplo.int a la misma dirección IP que nombrehost.ejemplo.local y utilizarlo en la configuración de UAG.
- Se puede definir una entrada de archivo hosts local.
En el ejemplo anterior, se puede definir una entrada hosts local para nombrehost.ejemplo.local.
Las entradas de archivo hosts especifican nombres y direcciones IP, y se pueden establecer mediante la interfaz de usuario de administrador de UAG o mediante la configuración del archivo .ini de PowerShell.Importante: El archivo /etc/hosts de UAG no se debe editar.En UAG, se busca en las entradas de archivo hosts locales antes de realizar una búsqueda de DNS. Con este tipo de búsqueda se garantiza que, si el nombre de host figura en el archivo hosts, se puedan utilizar los nombres de .local y no sea necesario realizar una búsqueda de DNS.
Requisitos de retención de registro
Los archivos de registro se configuran de forma predeterminada para que ocupen menos espacio que el que ocupa el disco en su totalidad. Los registros de Unified Access Gateway van rotando de forma predeterminada. Syslog permite conservar estas entradas de registro. Consulte Recopilar registros del dispositivo Unified Access Gateway.
Requisitos del sistema para implementar VMware Tunnel
Para implementar VMware Tunnel con Unified Access Gateway, asegúrese de que el sistema cumpla los siguientes requisitos:
Hipervisores compatibles
Unified Access Gateway que implementa VMware Tunnel requiere un hipervisor para implementar el dispositivo virtual. Debe tener una cuenta de administración dedicada con todos los privilegios para implementar OVF.
- VMware vSphere Web Client
Nota: Debe utilizar versiones específicas de productos VMware con versiones específicas de Unified Access Gateway. El dispositivo Unified Access Gateway se debe implementar en una versión de VMware vSphere que sea la misma versión que la que es compatible con los productos VMware y sus versiones respectivas.
- Microsoft Hyper-V en Windows Server 2012 R2 o Windows Server 2016
Requisitos de software
Asegúrese de que tiene la versión más reciente de Unified Access Gateway. VMware Tunnel admite la compatibilidad con versiones anteriores entre Unified Access Gateway y Workspace ONE UEM console. La compatibilidad con versiones anteriores le permite actualizar el servidor VMware Tunnel poco después de actualizar la Workspace ONE UEM Console. Para garantizar la paridad entre Workspace ONE UEM console y VMware Tunnel, considere la posibilidad de planificar una actualización temprana.
Requisitos de hardwareEl paquete de OVF para Unified Access Gateway selecciona automáticamente la configuración de la máquina virtual que VMware Tunnel necesita. Aunque esta configuración se puede cambiar, no se modifican los valores de espacio en disco, memoria o CPU a valores inferiores a los predeterminados de OVF.
Para cambiar la configuración predeterminada, desconecte la máquina virtual en vCenter. Haga clic con el botón secundario en la máquina virtual y seleccione Editar configuración.
La configuración predeterminada usa 4 GB de RAM y 2 CPU. Debe cambiar la configuración predeterminada para cumplir con los requisitos de hardware. Para gestionar todos los requisitos de carga y mantenimiento del dispositivo, considere la posibilidad de ejecutar un mínimo de dos servidores de VMware Tunnel.
Número de dispositivos | Hasta 40 000 | 40 000 a 80 000 | 80 000 a 120 000 | 120 000 a 160 000 |
---|---|---|---|---|
Número de servidores | 2 | 3 | 4 | 5 |
Núcleos de CPU | 4 núcleos de CPU* | 4 núcleos de CPU cada uno | 4 núcleos de CPU cada uno | 4 núcleos de CPU cada uno |
RAM (GB) | 8 | 8 | 8 | 8 |
Espacio de disco (GB) | 10 GB para distro (Linux solamente) 400 MB para el instalador ~ 10 GB de espacio del archivo de registro** |
|||
* Es posible implementar solo un dispositivo de VMware Tunnel como parte de una implementación más pequeña. Sin embargo, para fines de tiempo de actividad y rendimiento, considere la posibilidad de implementar al menos dos servidores con equilibrio de carga con cuatro núcleos de CPU cada uno, independientemente del número de dispositivos. ** 10 GB para una implementación típica. Escale el tamaño del archivo de registro según el uso que haga del registro y los requisitos para almacenar los registros. |