Sélectionnez un nom et un dossier |
Nom et emplacement |
Entrez un nom pour le dispositif virtuel Unified Access Gateway dans le champ Nom de la machine virtuelle. Il doit être unique dans le dossier de l'inventaire. Les noms sont sensibles à la casse. Sélectionnez un emplacement pour la machine virtuelle dans la liste. |
Sélectionner une ressource de calcul |
Hôte/Cluster |
Sélectionnez l'hôte ou le cluster sur lequel vous souhaitez exécuter le dispositif virtuel. Résultat : des contrôles de compatibilité et de validation sont effectués pour vérifier si la ressource de calcul peut prendre en charge le fichier OVF. |
Examiner les détails Vérifiez les détails du déploiement OVF. |
Configuration |
Sélectionner une configuration de déploiement |
Pour un réseau IPv4 ou IPV6, vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseau). De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Unified Access Gateway en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé. Parallèlement au nombre de cartes réseau, vous pouvez également choisir les options de déploiement Standard ou Grand pour Unified Access Gateway.
Note : Options de VM pour les déploiements
Standard et
Grand :
- Standard - 2 cœurs et 4 Go de RAM
- Grand - 4 cœurs et 16 Go de RAM
- Extra grand : 8 cœurs et 32 Go de RAM
|
Sélectionner le stockage |
Sélectionner le format de disque virtuel |
Pour les environnements d'évaluation et de test, sélectionnez le format Provisionnement fin. Pour les environnements de production, sélectionnez l'un des formats Provisionnement statique. Provisionnement statique immédiatement mis à zéro est un type de format de disque virtuel statique qui prend en charge les fonctionnalités de cluster, telles que la tolérance aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres types de disques virtuels. |
Stratégie de stockage VM |
Banque de données par défaut ou toute autre stratégie de stockage configurée. Pour plus d'informations, reportez-vous à la section Stratégies de stockage de machine virtuelle dans la Documentation de VMware vSphere à l'adresse VMware Docs. |
Sélectionner des réseaux |
|
Si vous utilisez un client Web vSphere, la page Sélectionner des réseaux vous permet de mapper chaque carte réseau à un réseau et de spécifier des paramètres de protocole. Mappez les réseaux utilisés dans ce modèle OVF aux réseaux de votre inventaire.
- Si vous utilisez plusieurs cartes réseau, sélectionnez la ligne Réseau de gestion, sélectionnez le réseau de destination ; vous pouvez ensuite entrer les adresses IP pour le serveur DNS, la passerelle et le masque de réseau pour ce réseau.
Si vous n'utilisez qu'une seule carte réseau, toutes les lignes sont mappées vers le même réseau.
- Si vous avez une troisième carte réseau, sélectionnez la troisième ligne et remplissez les paramètres.
Si vous n'utilisez que deux cartes réseau, pour la ligne Réseau principal, sélectionnez le réseau que vous avez utilisé pour Réseau de gestion.
- Sélectionnez la ligne Internet et cliquez sur la flèche vers le bas pour sélectionner le réseau de destination. Si vous sélectionnez IPv6 comme protocole IP, vous devez sélectionner le réseau avec des capacités IPv6.
Après avoir sélectionné la ligne, vous pouvez également entrer des adresses IP pour le serveur DNS, la passerelle et le masque de réseau dans la partie inférieure de la fenêtre. Cliquez sur SUIVANT.
Note : Si le menu déroulant
Protocole IP s'affiche, ignorez-le et n'y faites aucune sélection. La sélection réelle du protocole IP (IPv4, IPv6 ou les deux) est liée au mode IP qui a été défini dans l'IPMode des cartes réseau 1 (eth0), 2 (eth1) et 3 (eth2) lors de la personnalisation des propriétés de la mise en réseau. Les paramètres du serveur DNS et de la passerelle par défaut sont globaux et ne sont associés à aucune carte réseau spécifique.
|
Personnaliser un modèle |
Propriétés de mise en réseau |
Les cases sur la page Propriétés sont spécifiques à Unified Access Gateway et il est probable qu'elles ne soient pas requises pour d'autres types de dispositifs virtuels. Le texte sur la page de l'assistant explique chaque paramètre. Si le texte est tronqué sur le côté droit de l'assistant, redimensionnez la fenêtre en faisant glisser le curseur à partir de l'angle inférieur droit. En regard de chacune des cartes réseau, pour STATICV4, vous devez entrer l'adresse IPv4 de la carte réseau. Pour STATICV6, vous devez entrer l'adresse IPv6 de la carte réseau. Si vous ne renseignez pas les cases, l'allocation d'adresses IP prend par défaut les valeurs DHCPV4 + DHCPV6.
Important : La dernière version d'
Unified Access Gateway n'accepte pas les valeurs de masque de réseau ou de préfixe et les paramètres de passerelle par défaut du profil de protocole réseau (NPP). Pour configurer
Unified Access Gateway avec l'allocation d'adresses IP statiques, vous devez configurer le masque de réseau ou un préfixe sous Propriétés du réseau. Les valeurs suivantes ne sont pas renseignées depuis NPP.
Note :
- Les valeurs sont sensibles à la casse.
- Lors du déploiement d'Unified Access Gateway à l'aide de vSphere Client HTML5 dans vSphere 6.7 ou une version antérieure, seule la carte réseau NIC1 (eth0) est disponible pour la configuration. Plusieurs cartes réseau peuvent être configurées lors de l'utilisation de vSphere Client HTML5 dans vSphere 7.0.
- IPMode de la carte réseau 1 (eth0) : STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6.
- Liste de règles de transfert séparées par une virgule au format {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu. Par exemple, pour IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
- Adresse IPv4 de la carte réseau 1 (eth0). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.
- Adresse IPv6 de la carte réseau 1 (eth0). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.
- Adresses de serveur DNS. Entrez les adresses IPv4 ou IPv6, séparées par des espaces, des serveurs de nom de domaine du dispositif Unified Access Gateway. Exemple d'entrée IPv4 : 192.0.2.1 192.0.2.2. Exemple d'entrée IPv6 : fc00:10:112:54::1
- Domaine de recherche DNS. Entrez la liste des domaines de recherche DNS, séparés par des espaces.
- Masque de réseau IPv4 de la carte réseau 1 (eth0). Entrez le masque de réseau IPv4 de la carte réseau.
- Préfixe IPv6 de la carte réseau 1 (eth0). Entrez le préfixe IPv6 de la carte réseau.
- Configuration personnalisée de la carte réseau NIC1 (eth0). Entrez la valeur de configuration personnalisée de la carte réseau au format
SectionName^Parameter=Value . Exemple d'entrée de configuration personnalisée : DHCP^UseDNS=false . Cette valeur, lorsqu'elle est utilisée, désactive l'utilisation des adresses IP DNS offertes par le serveur DHCP. À l'aide du même format, vous pouvez ajouter plusieurs entrées de configuration telles que system.network séparées par un point-virgule.
- Passerelle IPv4 par défaut. Entrez une passerelle IPv4 par défaut si Unified Access Gateway doit communiquer avec une adresse IP qui ne se trouve pas sur un segment local d'une carte réseau dans Unified Access Gateway.
- Passerelle IPv6 par défaut. Entrez une passerelle IPv6 par défaut si Unified Access Gateway doit communiquer avec une adresse IP qui ne se trouve pas sur un segment local d'une carte réseau dans Unified Access Gateway.
|
Nom du dispositif Unified Gateway |
Entrez le nom d'hôte du dispositif de connexion pour identification. Si vous n'entrez aucun nom, le système génère automatiquement le nom. |
Adhérer au CEIP |
Sélectionnez Participer au programme d'amélioration du produit VMware pour adhérer au CEIP ou désélectionnez l'option pour quitter le CEIP. |
Options de mot de passe |
Nom d'utilisateur de connexion au système d'exploitation |
Entrez le nom d'utilisateur pour accéder à la console locale d'Unified Access Gateway. Une fois configuré, un nouvel utilisateur privilégié sudo avec le nom d'utilisateur donné est créé et la connexion racine est désactivée. Seuls les caractères a-z, 0-9, le trait de soulignement (_) et le trait d'union (-) sont autorisés et la longueur maximale est de 32.
Note : Laissez ce champ vide pour utiliser l'utilisateur racine.
|
Mot de passe pour la connexion au système d'exploitation |
Entrez le mot de passe pour la connexion au système d'exploitation. Ce mot de passe s'applique à l'utilisateur racine ou à l'utilisateur personnalisé tel que configuré dans le champ Nom d'utilisateur de connexion au système d'exploitation. |
Expiration du mot de passe en jours pour l'utilisateur du système d'exploitation |
Entrez la stratégie d'expiration du mot de passe pour l'utilisateur du système d'exploitation. S'il est défini sur zéro, le mot de passe n'expire jamais. La valeur par défaut est de 365 jours. |
Longueur minimale de la stratégie de mot de passe |
Entrez la longueur minimale du mot de passe. La valeur par défaut est 6. |
Stratégie de mot de passe pour les classes de caractères minimales |
Entrez la stratégie de mot de passe pour le nombre minimal (1, 2, 3, 4) de classes de type de caractère (majuscules, minuscules, chiffres, autres). |
Stratégie de mot de passe pour le nombre maximal de tentatives infructueuses |
Entrez le nombre maximal de tentatives infructueuses autorisées. La valeur par défaut est 3. |
Stratégie de mot de passe pour le délai de déverrouillage en secondes après le nombre maximal de tentatives infructueuses |
Entrez le délai en secondes pour déverrouiller le mot de passe lorsque vous avez atteint le nombre maximal de tentatives infructueuses. La valeur par défaut est 900. |
Délai d'inactivité de la session pour l'utilisateur du système d'exploitation en secondes |
Entrez le délai d'inactivité de la session pour l'utilisateur du système d'exploitation. La plage est comprise entre 30 et 3 600 secondes. L'expiration de la session est désactivée si elle est définie sur zéro (0). La valeur par défaut est 300. |
Limite maximale de sessions de connexion simultanées pour l'utilisateur sudo |
Entrez la limite maximale de sessions de connexion simultanées pour l'utilisateur sudo. Si l'utilisateur sudo n'est pas configuré, ce paramètre est ignoré. La valeur par défaut est 10 et la valeur minimale configurable est 1. Il n'y a pas de limite maximale. |
Mot de passe de l'utilisateur Admin, qui active l'accès à REST API. |
Stratégie de mot de passe administrateur pour la longueur minimale |
Entrez la longueur minimale du mot de passe administrateur. La valeur par défaut est 6. |
Stratégie de mot de passe administrateur pour le nombre maximal de tentatives infructueuses |
Entrez le nombre maximal de tentatives infructueuses autorisées. La valeur par défaut est 3. |
Stratégie de mot de passe administrateur pour le délai de déverrouillage en minutes après le nombre maximal de tentatives infructueuses |
Entrez le délai en minutes pour déverrouiller le mot de passe administrateur lorsque vous avez atteint le nombre maximal de tentatives infructueuses. La valeur par défaut est de 5 minutes. |
Délai d'inactivité de la session d'administrateur en minutes |
Entrez le délai d'inactivité de la session pour l'administrateur. La valeur par défaut est de 10 et la valeur maximale est de 1 440 minutes. |
Nombre maximal de sessions simultanées pour les utilisateurs de la console d'administration |
Entrez la limite maximale de sessions de connexion simultanées pour l'administrateur. La valeur par défaut est 5 et la valeur maximale est 50. Lorsque le nombre maximal de sessions dépasse pour un utilisateur, la session utilisée la moins récemment est expirée. |
Conformité |
Activer la conformité DISA STIG |
Définit la configuration du système d'exploitation pour qu'elle soit conforme aux directives de préparation DISA STIG de Photon OS 3.0. Cochez cette case pour configurer automatiquement la complexité du mot de passe et d'autres exigences STIG.
Note : Ce paramètre doit être utilisé avec la version FIPS lorsque la conformité du système d'exploitation STIG DISA est requise.
|
Propriétés système |
Activer SSH |
Option permettant d'activer SSH pour l'accès à la machine virtuelle Unified Access Gateway. |
Autoriser la connexion racine SSH à l'aide du mot de passe |
Option permettant d'accéder à la machine virtuelle Unified Access Gateway à l'aide d'une connexion racine SSH et d'un mot de passe. Par défaut, la valeur de cette option est true . |
Autoriser la connexion SSH à l'aide d'une paire de clés |
Option permettant d'accéder à la machine virtuelle Unified Access Gateway à l'aide d'une connexion racine SSH et d'une paire de clés publique-privée. Par défaut, cette valeur est false . L'interface utilisateur d'administration Unified Access Gateway dispose d'un champ Clés publiques SSH, où un administrateur peut charger des clés publiques pour autoriser l'accès d'un utilisateur racine à Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique-privée. Pour que ce champ soit disponible dans l'interface utilisateur d'administration, la valeur de cette option et Activer SSH doivent être true au moment du déploiement. Si l'une de ces options n'est pas true , le champ Clés publiques SSH n'est pas disponible dans l'interface utilisateur d'administration. Le champ Clés publiques SSH est un paramètre système avancé dans l'interface utilisateur d'administration. Reportez-vous à la section Configurer les paramètres système d'Unified Access Gateway. |
Texte de la bannière du shell de connexion |
Option permettant de personnaliser le texte de la bannière affichée lors de la connexion à Unified Access Gateway vSphere à l'aide de SSH ou de la console Web du client. Cette option ne peut être configurée qu'au moment du déploiement. Si vous ne configurez pas cette option, le texte par défaut s'affiche : VMware EUC Unified Access Gateway. Seuls les caractères ASCII sont pris en charge dans le texte personnalisé. Pour les textes de bannière sur plusieurs lignes, \n doit être utilisé comme séparateur de ligne.
Note : Lorsque le dispositif
Unified Access Gateway est déployé à l'aide du modèle OVF et que le texte de la bannière de connexion est configuré, lors du premier lancement de
Unified Access Gateway, la console Web du client
vSphere affiche le texte de la bannière par défaut et le texte de la bannière personnalisée est ignoré. Lors des lancements suivants, le texte de la bannière personnalisée s'affiche.
|
Interface SSH |
Configurez l'interface réseau sur laquelle la connexion SSH est activée. Par défaut, SSH est activé sur toutes les interfaces. Les valeurs prises en charge sont eth0 , eth1 et eth2 en fonction de la configuration. |
Port SSH |
Configurez le port sur lequel SSH est activé. La valeur par défaut est 22 . |
Commandes à exécuter lors du premier démarrage |
Entrez une liste de commandes, séparées par des points-virgules, au format texte brut ou codé en Base64 à exécuter lors du premier démarrage de Unified Access Gateway. La taille maximale est de 8 Ko. Pour plus d'informations, reportez-vous à la section Commandes d'heure de démarrage configurables pour le premier démarrage et chaque démarrage. |
Commandes à exécuter à chaque démarrage |
Entrez une liste de commandes, séparées par des points-virgules, au format de texte brut ou codé en Base64 à exécuter lors de chaque démarrage de Unified Access Gateway. La taille maximale est de 8 Ko. Pour plus d'informations, reportez-vous à la section Commandes d'heure de démarrage configurables pour le premier démarrage et chaque démarrage. |
Source SecureRandom |
Vous permet de configurer la source de génération de bits aléatoires sécurisée utilisée par les processus Java pour les fonctions de chiffrement. Cette option ne peut être configurée qu'au moment du déploiement. Les valeurs prises en charge sont : /dev/random et /dev/urandom . Par défaut, /dev/random est utilisé en mode non-FIPS et /dev/urandom en mode FIPS. |