Consulte la documentación oficial de PowerShell de Amazon AWS para obtener más información sobre los pasos descritos en esta sección.
Requisitos previos
Cree una cuenta de Amazon AWS si aún no tiene una.
Procedimiento
- En la consola de AWS, cree una clave de acceso y obtenga el identificador de clave de acceso y la clave de acceso secreta. Establézcalos en el perfil predeterminado.
Este paso solo se aplica si no tiene un identificador de clave de acceso ni una clave de acceso secreta
Set-AWSCredential -AccessKey AKIAI6428NKYOEXAMPLE `
-SecretKey bvfhkvvfhsbvhsdbhfbvfhfhvfhdskvbhfvbfhEXAMPLE `
-StoreAs default
- Cree un depósito en Amazon S3 para almacenar imágenes de Unified Access Gateway .vmdk si aún no existe ninguna.
$bucket="uag-images"
New-S3Bucket -BucketName $bucket -Region us-east-2
- Cree una función de IAM en Amazon AWS llamada vmimport y aplique una directiva a la función.
$importPolicyDocument = @"
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"vmie.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"sts:ExternalId":"vmimport"
}
}
}
]
}
"@
New-IAMRole -RoleName vmimport -AssumeRolePolicyDocument $importPolicyDocument
$bucket="uag-images"
$rolePolicyDocument = @"
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::$bucket",
"arn:aws:s3:::$bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute",
"ec2:CopySnapshot",
"ec2:RegisterImage",
"ec2:Describe*"
],
"Resource": "*"
}
]
}
"@
Write-IAMRolePolicy -RoleName vmimport -PolicyName vmimport -PolicyDocument $rolePolicyDocument
- Prepare el entorno de red en EC2. Estos pasos se pueden realizar desde la consola de administración de EC2 o con PowerShell. Solo se deben realizar una vez para preparar el entorno de EC2 para las implementaciones de Unified Access Gateway. Para ello, se necesita al menos una subred. Para implementaciones de Unified Access Gateway de varias NIC, cada NIC puede estar en la misma subred o en subredes diferentes.
- Cree un grupo de seguridad para cada tipo de NIC.
Un grupo de seguridad contiene un conjunto de reglas de firewall para restringir el acceso a los puertos TCP y UDP. Un grupo de seguridad se puede compartir entre varios dispositivos de
Unified Access Gateway. Por ejemplo, puede crear un grupo de seguridad denominado
UAG-Internet para
eth0 y asociarlo con la primera NIC automáticamente cuando se crea el dispositivo de
Unified Access Gateway. Para el uso de Horizon, el primer (UAG-Internet) podría permitir los puertos TCP 80, 443, 8443, 4172 y los puertos UDP 443, 8443 y 4172 desde cualquier cliente. Si desea permitir el acceso
ssh a
Unified Access Gateway, debe especificar
sshEnabled=true en la sección General de cada archivo
.ini. Por lo general, SSH solo debe habilitarse para fines de prueba y no para una implementación de producción. También debe asegurarse de que el acceso a
ssh en el puerto TCP 22 esté restringido en el grupo de seguridad a direcciones IP de origen individuales, de modo que no esté abierto a todos.
- Si se puede acceder directamente al dispositivo de Unified Access Gateway desde Internet, cada NIC que requiera acceso también debe tener una dirección IP pública asociada, conocida como IP elástica.
- Para cada NIC, determine el identificador de subred, el identificador del grupo de seguridad y el identificador de asignación de IP pública. Si no especifica un identificador de grupo de seguridad para cualquier NIC, se utilizará el grupo de seguridad predeterminado. Si no especifica un identificador de IP pública, no habrá una dirección IP pública para la NIC y no se podrá acceder directamente a ella desde Internet. Este puede ser el caso si se utiliza un equilibrador de carga frente a un grupo de dispositivos de Unified Access Gateway.
