Para implementar el dispositivo de Unified Access Gateway, puede iniciar la sesión en vCenter Server y utilizar el asistente para Implementar plantilla OVF.

Están disponibles dos versiones de OVA para Unified Access Gateway, la básica y una versión FIPS del OVA.

La versión FIPS del OVA admite los siguientes servicios perimetrales:
  • Horizon (autenticación pass-through y autenticación de certificado)
    Nota: La autenticación de certificado incluye autenticación de tarjeta inteligente y autenticación de certificado de dispositivo.
  • Túnel por aplicación de VMware
Importante: La versión FIPS 140-2 se ejecuta con los hashes y el conjunto de cifrados certificados de FIPS, y tiene habilitados servicios restrictivos que admiten las bibliotecas certificadas de FIPS. Cuando Unified Access Gateway se implementa en modo FIPS, no se puede cambiar el dispositivo al modo de implementación de OVA estándar. La autenticación de Horizon Edge no está disponible en la versión FIPS.

Opciones de tamaño de Unified Access Gateway

Para simplificar la implementación del dispositivo de Unified Access Gateway como puerta de enlace de seguridad de Workspace ONE, se agregan opciones de tamaño a las configuraciones de implementación en el dispositivo. La configuración de implementación permite elegir entre una máquina virtual Estándar, Grande y Muy grande.
  • Estándar: esta configuración se recomienda para las implementaciones de Horizon que admiten un máximo de 2000 conexiones de Horizon, en línea con la capacidad del servidor de conexión. También se recomienda para las implementaciones de Workspace ONE UEM (casos prácticos de dispositivos móviles) con hasta 10 000 conexiones simultáneas.
  • Grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM en las que es necesario que Unified Access Gateway admita más de 50.000 conexiones simultáneas. Este tamaño permite que Content Gateway, el túnel por aplicación y proxy y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.
  • Muy grande: esta configuración se recomienda para implementaciones de Workspace ONE UEM. Este tamaño permite que Content Gateway, el túnel por aplicación y proxy y el proxy inverso utilicen el mismo dispositivo de Unified Access Gateway.
  • Nota: Opciones de máquina virtual para las implementaciones Estándar, Grande y Muy grande:
    • Estándar: 2 núcleos y 4 GB de RAM
    • Grande: 4 núcleos y 16 GB de RAM
    • Muy grande: 8 núcleos y 32 GB de RAM

    Para obtener más información sobre las recomendaciones de tamaño de Unified Access Gateway, puede ver la información sobre Valores máximos de configuración de VMware.

Requisitos previos

  • Revise las opciones de implementación que están disponibles en el asistente. Consulte Requisitos de red y del sistema de Unified Access Gateway.
  • Determine el número de interfaces de red y direcciones IP estáticas que se deben configurar para el dispositivo de Unified Access Gateway. Consulte Requisitos de configuración de red.
  • Descargue el archivo del instalador .ova para el dispositivo de Unified Access Gateway desde el sitio web de VMware en la dirección https://my.vmware.com/web/vmware/downloads, o determine la URL que se utilizará (por ejemplo: http://ejemplo.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), donde Y.Y es el número de versión y xxxxxxx el de compilación.
  • Si existe una implementación de Hyper-V, y si va a actualizar Unified Access Gateway con una IP estática, elimine el dispositivo anterior antes de implementar la instancia más reciente de Unified Access Gateway.
  • Para actualizar el dispositivo anterior a una nueva instancia de Unified Access Gateway sin tiempo de inactividad para los usuarios, consulte la sección Actualización sin tiempo de inactividad.

Procedimiento

  1. Utilice el vSphere Client nativo o vSphere Web Client para iniciar la sesión en una instancia de vCenter Server.
    Para una red IPv4, use el vSphere Client nativo o vSphere Web Client. Para una red IPv6, use vSphere Web Client.
  2. Seleccione un comando de menú para iniciar el asistente de implementación de plantillas OVF.
    Opción Comando de menú
    vSphere Client Seleccione Archivo > Implementar plantilla OVF.
    vSphere Web Client Seleccione cualquier objeto de inventario que sea un objeto padre válido de una máquina virtual, como un centro de datos, una carpeta, un clúster, un grupo de recursos o un host, y en el menú Acciones seleccione Implementar plantilla OVF.
  3. En la página de selección de origen, acceda al archivo .ova que descargó o introduzca una URL y haga clic en Siguiente.
    Revise los detalles, la versión y los requisitos de tamaño del producto.
  4. Siga las indicaciones y tenga en cuenta las siguientes directrices al completar los pasos del asistente. Las implementaciones de ESXi y Hyper-V tienen dos opciones para asignar la asignación de IP de Unified Access Gateway. Si está actualizando, en Hyper-V, elimine el cuadro anterior con la misma dirección IP antes de implementar el cuadro con la nueva dirección. Para ESXi, puede desactivar el cuadro anterior e implementar un nuevo cuadro con la misma dirección IP a través de una asignación estática.
    Opción Descripción
    Nombre y ubicación Introduzca un nombre para el dispositivo virtual de Unified Access Gateway. El nombre debe ser único dentro de la carpeta del inventario. Los nombres distinguen entre mayúsculas y minúsculas.

    Seleccione una ubicación para el dispositivo virtual.

    Configuración de implementación Para una red IPv4 o IPV6, puede usar una, dos o tres interfaces de red (NIC). Muchas implementaciones de DMZ utilizan redes diferentes para asegurar los distintos tipos de tráfico. Configure Unified Access Gateway en función del diseño de red de la DMZ en la que se implementó. Junto con la cantidad de NIC, también puede elegir entre las opciones de implementación Estándar o Grande de Unified Access Gateway.
    Nota: Opciones de máquina virtual para las implementaciones Estándar y Grande:
    • Estándar: 2 núcleos y 4 GB de RAM
    • Grande: 4 núcleos y 16 GB de RAM
    Host / Clúster Seleccione el host o clúster en el que se ejecutará el dispositivo virtual.
    Formato del disco En entornos de evaluación y pruebas, seleccione el formato Aprovisionamiento delgado. En entornos de producción, seleccione uno de los formatos de Aprovisionamiento grueso. Thick Provision Eager Zeroed es un tipo de formato de disco virtual compatible con funciones de clúster como la tolerancia a fallos, pero se tarda mucho más en crear que otros tipos de discos virtuales.
    Configuración de redes/Asignación de red Si se utiliza vSphere Web Client, la página Configuración de redes permite asignar cada NIC a una red y especificar la configuración de protocolos.

    Asigne las redes usadas en la plantilla OVF a las redes del inventario.

    1. Seleccione la primera fila de la tabla Internet y, a continuación, haga clic en la flecha abajo para seleccionar la red de destino. Si selecciona IPv6 como el protocolo IP, debe seleccionar la red que tenga capacidades IPv6.

      Después de seleccionar la fila, podrá introducir también las direcciones IP del servidor DNS, la puerta de enlace y la máscara de red en la parte inferior de la ventana.

    2. Si utiliza más de una NIC, seleccione la fila siguiente ManagementNetwork, seleccione la red de destino y, a continuación, podrá introducir las direcciones IP del servidor DNS, la puerta de enlace y la máscara de red de esa red.

      Si solo utiliza una NIC, todas las filas se asignarán a la misma red.

    3. Si dispone de una tercera NIC, seleccione también la tercera fila y complete los ajustes.

      Si solo utiliza dos NIC, en esta tercera fila BackendNetwork, seleccione la misma red utilizada para ManagementNetwork.

    Nota: Ignore el menú desplegable Protocolo IP, si se muestra, y no haga ninguna selección aquí. La selección real del protocolo IP (IPv4, IPv6 o ambos) depende del modo de IP que se haya especificado para IPMode de la NIC 1 (eth0), la NIC 2 (eth1) y la NIC 3 (eth2) al personalizar las propiedades de redes.
    Personalizar las propiedades de red Los cuadros de texto de la página Propiedades son específicos de Unified Access Gateway y puede que no sean necesarios para otros tipos de dispositivos virtuales. El texto de la página del asistente explica el uso de cada ajuste. Si el texto aparece recortado en la parte derecha del asistente, redimensione la ventana arrastrando desde la esquina inferior izquierda. Para cada una de las NIC, en STATICV4, debe introducir la dirección IPv4 para la NIC. Para STATICV6, debe introducir la dirección IPv6 para la NIC. Si deja los cuadros de texto en blanco, el valor predeterminado de la asignación de dirección IP será DHCPV4+DHCPV6.
    Importante: La versión más reciente de Unified Access Gateway no acepta los valores de máscara de red o prefijo ni la configuración de la puerta de enlace predeterminada del perfil de protocolo de red. Para configurar Unified Access Gateway con asignación de direcciones IP estáticas, debe configurar la máscara de red o el prefijo en las propiedades de red. Estos valores no se rellenan a partir de NPP.
    Nota: Los valores distinguen entre mayúsculas y minúsculas.
    • IPMode para la NIC1 (eth0): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • IPMode para la NIC2 (eth1): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • IPMode para la NIC3 (eth2): STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • Lista de reglas de reenvío separadas por comas con el formato {tcp|udp}/número-de-puerto-de-escucha/dirección-ip-de-destino:número-de-puerto-de-destino. Por ejemplo, para IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
    • Dirección IPv4 para la NIC 1 (eth0). Introduzca la dirección IPv4 para la NIC si introdujo STATICV4 como modo de NIC.
      • Lista de rutas personalizadas de IPv4 separadas por comas para la NIC 1 (eth0) con el formato dirección-red-ipv4/bits-dirección-puerta-de-enlace-ipv4. Por ejemplo, 20.2.0.0/16 10.2.0.120.9.0.0/16 10.2.0.2,10.2.0.1/32
        Nota: Si no se especifica el valor de dirección-puerta-de-enlace-ipv4, la ruta correspondiente que se agrega tiene una puerta de enlace con valor 0.0.0.0.
    • Dirección IPv6 para la NIC 1 (eth0). Introduzca la dirección IPv6 para la NIC si introdujo STATICV6 como modo de NIC.
    • Máscara de red IPv4 para la NIC 1 (eth0). Introduzca la máscara de red IPv4 para la NIC.
    • Prefijo IPv6 para la NIC 1 (eth0). Introduzca el prefijo IPv6 para la NIC.
    • Direcciones de servidor DNS. Introduzca separadas por espacios las direcciones IPv4 o IPv6 de los servidores de nombres de dominio para el dispositivo Unified Access Gateway. Un ejemplo de una entrada IPv4 es 192.0.2.1 192.0.2.2. Un ejemplo de una entrada IPv6 es fc00:10:112:54::1
    • Puerta de enlace predeterminada IPv4. Escriba una puerta de enlace predeterminada IPv4 si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.
    • Puerta de enlace predeterminada IPv6. Introduzca la puerta de enlace predeterminada IPv6 si Unified Access Gateway debe comunicarse con una dirección IP que no está en un segmento local de cualquier NIC en Unified Access Gateway.
    • Dirección IPv4 para la NIC 2 (eth1). Introduzca la dirección IPv4 para la NIC si introdujo STATICV4 como modo de NIC.
    • Lista de rutas personalizadas de IPv4 separadas por comas para la NIC 2 (eth1) con el formato dirección-red-ipv4/bits-dirección-puerta-de-enlace-ipv4. Por ejemplo, 20.2.0.0/16 10.2.0.120.9.0.0/16 10.2.0.2,10.2.0.1/32
      Nota: Si no se especifica el valor de dirección-puerta-de-enlace-ipv4, la ruta correspondiente que se agrega tiene una puerta de enlace con valor 0.0.0.0
    • Dirección IPv6 para la NIC 2 (eth1). Introduzca la dirección IPv6 para la NIC si introdujo STATICV6 como modo de NIC.
    • Máscara de red IPv4 para la NIC 2 (eth1). Introduzca la máscara de red IPv4 para esta NIC.
    • Prefijo IPv6 para la NIC 2 (eth1). Introduzca el prefijo IPv6 para esta NIC.
    • Dirección IPv4 para la NIC 3 (eth2). Introduzca la dirección IPv4 para la NIC si introdujo STATICV4 como modo de NIC.
    • Lista de rutas personalizadas de IPv4 separadas por comas para la NIC 3 (eth2) con el formato dirección-red-ipv4/bits-dirección-puerta-de-enlace-ipv4. Por ejemplo, 20.2.0.0/16 10.2.0.120.9.0.0/16 10.2.0.2,10.2.0.1/32
      Nota: Si no se especifica el valor de dirección-puerta-de-enlace-ipv4, la ruta correspondiente que se agrega tiene una puerta de enlace con valor 0.0.0.0
    • Dirección IPv6 para la NIC 3 (eth2). Introduzca la dirección IPv6 para la NIC si introdujo STATICV6 como modo de NIC.
    • Máscara de red IPv4 para la NIC 3 (eth2). Introduzca la máscara de red IPv4 para esta NIC.
    • Prefijo IPv6 para la NIC 3 (eth2). Introduzca el prefijo IPv6 para esta NIC.
    • Contraseña del usuario raíz de la máquina virtual. Introduzca la contraseña para el usuario raíz para iniciar sesión en la consola de UAG.
    • Contraseña de la IU del administrador. Introduzca la contraseña para el usuario administrador para configurar Unified Access Gateway desde la IU del administrador y también acceder a la REST API.

    El resto de valores son opcionales o ya tienen un valor predeterminado.

    Habilitar SSH Opción para habilitar SSH para acceder a Unified Access Gateway.
    Permitir inicio de sesión root de SSH mediante contraseña Opción para acceder a Unified Access Gateway mediante una contraseña y un inicio de sesión root de SSH.

    De forma predeterminada, el valor de esta opción es true.

    Permitir inicio de sesión root de SSH mediante par de claves Opción para acceder a Unified Access Gateway mediante un inicio de sesión root de SSH y un par de claves pública-privada.

    De forma predeterminada, este valor es false.

    La IU de administrador de Unified Access Gateway tiene un campo, Claves públicas SSH, donde un administrador puede cargar claves públicas para permitir el acceso del usuario root a Unified Access Gateway al utilizar la opción de par de claves pública-privada. Para que este campo esté disponible en la IU de administrador, el valor de esta opción y de Habilitar SSH debe ser true en el momento de la implementación. Si alguna de estas opciones no es true, el campo Claves públicas SSH no está disponible en la IU de administrador.

    El campo Claves públicas SSH es un ajuste avanzado del sistema en la IU de administrador. Consulte Configurar los parámetros del sistema de Unified Access Gateway.

    Unirse a CEIP Seleccione Unirse al Programa de mejora de la experiencia de cliente de VMware para unirse al CEIP o desmarque la opción para abandonar el CEIP.
    Importante: Las opciones de SSH solo se pueden configurar durante la implementación. Por motivos de seguridad, estas opciones no se pueden modificar después de la implementación a través de la IU o la API de administrador de Unified Access Gateway.
  5. En la página Listo para completar, seleccione Encender después de la implementación y haga clic en Finalizar.
    En el área de estado de vCenter Server, aparecerá una tarea de implementar plantilla OVF que permite supervisar la implementación. También se puede abrir una consola en la máquina virtual para ver los mensajes de la consola que se muestran durante el inicio del sistema. También hay disponible un registro de esos mensajes en el archivo /var/log/boot.msg.
  6. Después de completar la implementación, verifique que los usuarios finales se puedan conectar al dispositivo. Para ello, abra una ventana del navegador e introduzca la URL siguiente:
    https://FQDN-de-dispositivo-UAG

    En esta URL, FQDN-de-dispositivo-UAG es el nombre completo de dominio del dispositivo Unified Access Gateway que el servidor DNS puede resolver.

    Si la implementación se realizó correctamente, aparecerá la página web proporcionada por el servidor al que Unified Access Gateway se dirige. Si la implementación no se realizó correctamente, se puede borrar la máquina virtual del dispositivo y volver a implementar el dispositivo. El error más habitual es no introducir correctamente las huellas del certificado.

Resultados

El dispositivo de Unified Access Gateway se implementa e inicia automáticamente.

Qué hacer a continuación

  • Inicie sesión en la IU del administrador de Unified Access Gateway y configure los recursos de los escritorios y de las aplicaciones para permitir el acceso remoto desde Internet mediante Unified Access Gateway, así como los métodos de autenticación que se van a utilizar en la DMZ. La URL de la consola de administración tiene el formato https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.
    Importante: Debe completar la configuración posterior a la implementación de Unified Access Gateway mediante la IU del administrador. Si no se proporciona la contraseña de la IU del administrador, después no se podrá agregar un usuario de la IU del administrador para habilitar el acceso a la IU del administrador o la API. Si desea agregar un usuario de la IU del administrador, debe volver a implementar la instancia de Unified Access Gateway con una contraseña válida de la IU del administrador.
    Nota: Si no puede acceder a la pantalla de inicio de sesión de la IU del administrador, compruebe si la máquina virtual tiene la dirección IP que aparecía durante la instalación del OVA. Si la dirección IP no está configurada, use el comando VAMI mencionado en la IU para volver a configurar las NIC. Ejecute el comando "cd /opt/vmware/share/vami" y, a continuación, el comando "./vami_config_net".