Pour déployer le dispositif Unified Access Gateway, assurez-vous que votre système répond à la configuration matérielle et logicielle requise.
Versions de produit VMware prises en charge
Vous devez utiliser des versions spécifiques des produits VMware avec des versions spécifiques d'Unified Access Gateway. Consultez les notes de mise à jour des produits pour voir les dernières informations sur la compatibilité et consultez la matrice d'interopérabilité des produits VMware à l'adresse http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Pour plus d'informations sur la stratégie de prise en charge du cycle de vie d'Unified Access Gateway, consultez le site https://kb.vmware.com/s/article/2147313.
Exigences de l'hyperviseur
- VMware vSphere (ESXi avec vCenter)
- Microsoft Azure
- Microsoft Hyper-V (services Edge Tunnel, Secure Email Gateway et Content Gateway uniquement)
- Amazon AWS EC2
- Google Cloud GCE
Exigences matérielles d'ESXi Server
Le dispositif Unified Access Gateway doit être déployé sur une version de VMware vSphere identique à celle prise en charge pour les produits et versions de VMware, respectivement.
Si vous prévoyez d'utiliser vSphere Web client, vérifiez que le plug-in d'intégration de client est installé. Pour plus d'informations, consultez la documentation vSphere. Si vous n'installez pas ce plug-in avant de démarrer l'assistant de déploiement, ce dernier vous invite à le faire. Pour cela, vous devez fermer le navigateur et quitter l'assistant.
Exigences du dispositif virtuel
Le package OVF du dispositif Unified Access Gateway sélectionne automatiquement la configuration de machine virtuelle dont Unified Access Gateway a besoin. Bien que vous puissiez modifier ces paramètres, il est recommandé de ne pas modifier le CPU, la mémoire ou l'espace disque par des valeurs inférieures aux paramètres OVF par défaut.
- Vitesse d'horloge minimale du CPU : 2 000 MHz
- Mémoire minimale : 4 Go
Vérifiez que la banque de données que vous utilisez pour le dispositif a un espace disque libre suffisant et qu'elle répond aux autres spécifications système.
- Taille de téléchargement du dispositif virtuel (dépend de la version d'Unified Access Gateway)
- Espace disque minimal requis à provisionnement dynamique : 3,5 Go
- Espace disque minimal requis à provisionnement statique : 20 Go
Si la réservation de mémoire n'est pas configurée, vSphere crée un fichier d'échange par machine virtuelle (.vswp) de la taille de la mémoire de la machine virtuelle. Cet espace d'échange est destiné à toute mémoire de machine virtuelle non réservée. Par exemple, un dispositif Unified Access Gateway disposant d'une mémoire RAM de 4 Go avec un disque vSphere à provisionnement statique utilise un fichier ESXi .vmdk de 20 Go et le dispositif peut utiliser un fichier d'échange ESXi de 4 Go. Il en résulte un espace disque total requis de 24 Go. De la même façon, pour un dispositif Unified Access Gateway disposant d'une mémoire RAM de 16 Go, l'espace disque total requis peut être de 36 Go.
Pour plus d'informations sur l'espace d'échange et la surcharge de mémoire, reportez-vous à la documentation Gestion des ressources vSphere.
Les informations suivantes sont requises pour déployer le dispositif virtuel.
- Adresse IP statique (recommandé)
- Adresse IP du serveur DNS
- Mot de passe de l'utilisateur racine
- Mot de passe de l'utilisateur administrateur
- URL de l'instance de serveur de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe
Options de dimensionnement d'Unified Access Gateway
- Standard : cette configuration est recommandée pour le déploiement d'Horizon prenant en charge jusqu'à 2 000 connexions Horizon, selon la capacité du Serveur de connexion. Elle est également recommandée pour les déploiements de Workspace ONE UEM (cas d'utilisation mobiles) jusqu'à 10 000 connexions simultanées.
- Grand : cette configuration est recommandée pour les déploiements de Workspace ONE UEM, où Unified Access Gateway doit prendre en charge plus de 50 000 connexions simultanées. Cette taille permet à Content Gateway, Tunnel par application et Proxy inverse d'utiliser le même dispositif Unified Access Gateway.
- Extra grand : cette configuration est recommandée pour les déploiements de Workspace ONE UEM. Cette taille permet à Content Gateway, Tunnel par application et Proxy inverse d'utiliser le même dispositif Unified Access Gateway.
Options de VM pour les déploiements Standard, Grand et Extra grand :
- Standard : 2 cœurs et 4 Go de RAM
- Grand : 4 cœurs et 16 Go de RAM
- Extra grand : 8 cœurs et 32 Go de RAM
Vous pouvez configurer ces paramètres à l'aide de PowerShell. Pour plus d'informations sur les paramètres PowerShell, reportez-vous à la section Préparer le fichier INI pour déployer Unified Access Gateway.
Pour plus d'informations sur les recommandations de dimensionnement d'Unified Access Gateway, reportez-vous à la section Valeurs maximales de configuration de VMware.
Versions de navigateurs prises en charge
Chrome, Firefox et Internet Explorer sont les navigateurs permettant de lancer l'interface utilisateur d'administration. Utilisez la version la plus récente du navigateur.
Exigences matérielles lors de l'utilisation de Windows Hyper-V Server
Lorsque vous utilisez Unified Access Gateway pour un déploiement de tunnel par application de Workspace ONE UEM, vous pouvez installer le dispositif Unified Access Gateway sur Microsoft Hyper-V Server.
Les serveurs Microsoft pris en charge sont Windows Server 2012 R2 et Windows Server 2016.
Configuration requise pour la mise en réseau (options de déploiement)
Vous pouvez utiliser une, deux ou trois interfaces réseau, et Unified Access Gateway requiert une adresse IP statique séparée pour chacune d'entre elles. De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Unified Access Gateway en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé.
- Carte réseau 1 : une interface réseau est appropriée pour la validation de principe ou les tests. Avec une carte réseau, les trafics externe, interne et de gestion sont tous sur le même sous-réseau.
- Carte réseau 2 : avec deux interfaces réseau, le trafic externe est sur un sous-réseau, et les trafics interne et de gestion sont sur un autre sous-réseau.
- Carte réseau 3 : l'option la plus sûre consiste à utiliser les trois interfaces réseau. Avec une troisième carte réseau, les trafics externe, interne et de gestion ont chacun leur propre sous-réseau.
DNS multidiffusion et noms d'hôte .local
UAG (Unified Access Gateway) 3.7 et les versions ultérieures prennent en charge le DNS multidiffusion ainsi que le DNS monodiffusion. Les noms d'appellations multiples ayant le suffixe de domaine .local sont routés vers toutes les interfaces locales compatibles avec la multidiffusion IP en utilisant le protocole DNS multidiffusion.
Évitez de définir .local dans un serveur DNS monodiffusion, car RFC6762 réserve l'utilisation de ce domaine pour le DNS multidiffusion. Par exemple, si vous utilisez un nom d'hôte hostname.example.local dans un paramètre de configuration, tel qu'URL de destination du proxy sur UAG, le nom d'hôte n'est pas résolu à l'aide du DNS monodiffusion, car .local est réservé pour le DNS multidiffusion.
Vous pouvez également utiliser l'une des méthodes suivantes dans lesquelles le suffixe de domaine .local n'est pas requis :
- Spécifiez une adresse IP au lieu d'un nom d'hôte .local.
- Vous pouvez ajouter un autre enregistrement DNS A secondaire dans le serveur DNS.
Dans l'exemple précédent de nom d'hôte, vous pouvez ajouter hostname.example.int à la même adresse IP que hostname.example.local et l'utiliser dans la configuration d'UAG.
- Vous pouvez définir une entrée du fichier hosts locale.
Dans l'exemple précédent, une entrée hosts locale peut être définie pour hostname.example.local.
Les entrées du fichier hosts spécifient les noms et adresses IP et peuvent être définies à l'aide de l'interface utilisateur d'administration d'UAG via les paramètres du fichier .ini de PowerShell.Important : Vous ne devez pas modifier le fichier /etc/hosts sur UAG.Sur UAG, les entrées du fichier hosts locales sont recherchées avant d'effectuer une recherche DNS. Cette recherche vérifie que si le nom d'hôte se trouve dans le fichier hosts, vous pouvez utiliser les noms .local sans effectuer de recherche DNS.
Exigences de conservation des journaux
Les fichiers journaux sont configurés par défaut pour utiliser une certaine quantité d'espace qui est inférieure à la taille totale de disque dans l'agrégation. Les journaux pour Unified Access Gateway sont alternés par défaut. Vous devez utiliser Syslog pour conserver ces entrées de journal. Reportez-vous à la section Collecte de journaux depuis le dispositif Unified Access Gateway.