Pour déployer le dispositif Unified Access Gateway, assurez-vous que votre système répond à la configuration matérielle et logicielle requise.
Versions de produits prises en charge par VMware
Vous devez utiliser des versions spécifiques des produits VMware avec des versions spécifiques d'Unified Access Gateway. Consultez les notes de mise à jour des produits pour voir les dernières informations sur la compatibilité et consultez la matrice d'interopérabilité des produits VMware à l'adresse http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Pour plus d'informations sur la stratégie de prise en charge du cycle de vie d'Unified Access Gateway, consultez le site https://kb.vmware.com/s/article/2147313.
Configuration requise pour l'hyperviseur
- VMware vSphere (ESXi avec vCenter)
- Microsoft Azure
- Microsoft Hyper-V (services Edge Tunnel, Secure Email Gateway et Content Gateway uniquement)
- Amazon AWS EC2
- Google Cloud GCE
Configuration matérielle requise pour le serveur ESXi
Le dispositif Unified Access Gateway doit être déployé sur une version de VMware vSphere identique à celle prise en charge pour les produits et versions de VMware, respectivement.
Si vous prévoyez d'utiliser vSphere Web client, vérifiez que le plug-in d'intégration de client est installé. Pour plus d'informations, reportez-vous à la documentation vSphere. Si vous n'installez pas ce plug-in avant de démarrer l'assistant de déploiement, ce dernier vous invite à le faire. Pour cela, vous devez fermer le navigateur et quitter l'assistant.
Configuration requise pour le dispositif virtuel
Le package OVF du dispositif Unified Access Gateway sélectionne automatiquement la configuration de machine virtuelle dont Unified Access Gateway a besoin. Bien que vous puissiez modifier ces paramètres, il est recommandé de ne pas modifier le CPU, la mémoire ou l'espace disque par des valeurs inférieures aux paramètres OVF par défaut.
- Vitesse d'horloge minimale du CPU : 2 000 MHz
- Mémoire minimale : 4 Go
Vérifiez que la banque de données que vous utilisez pour le dispositif a un espace disque libre suffisant et qu'elle répond aux autres spécifications système.
- Taille de téléchargement du dispositif virtuel (dépend de la version d'Unified Access Gateway)
- Espace disque minimal requis à provisionnement dynamique : 3,5 Go
- Espace disque minimal requis à provisionnement statique : 20 Go
Si la réservation de mémoire n'est pas configurée, vSphere crée un fichier d'échange par machine virtuelle (.vswp) de la taille de la mémoire de la machine virtuelle. Cet espace d'échange est destiné à toute mémoire de machine virtuelle non réservée. Par exemple, un dispositif Unified Access Gateway disposant d'une mémoire RAM de 4 Go avec un disque vSphere à provisionnement statique utilise un fichier ESXi .vmdk de 20 Go et le dispositif peut utiliser un fichier d'échange ESXi de 4 Go. Il en résulte un espace disque total requis de 24 Go. De la même façon, pour un dispositif Unified Access Gateway disposant d'une mémoire RAM de 16 Go, l'espace disque total requis peut être de 36 Go.
Pour plus d'informations sur l'espace d'échange et la surcharge de mémoire, reportez-vous à la documentation Gestion des ressources vSphere.
Les informations suivantes sont requises pour déployer le dispositif virtuel.
- Adresse IP statique (recommandé)
- Adresse IP du serveur DNS
- Mot de passe de l'utilisateur racine
- Mot de passe de l'utilisateur administrateur
- URL de l'instance de serveur de l'équilibrage de charge vers laquelle le dispositif Unified Access Gateway pointe
Options de dimensionnement d'Unified Access Gateway
- Standard : cette configuration est recommandée pour le déploiement d'Horizon prenant en charge jusqu'à 2 000 connexions Horizon, selon la capacité du Serveur de connexion. Elle est également recommandée pour les déploiements de Workspace ONE UEM (cas d'utilisation mobiles) jusqu'à 10 000 connexions simultanées.
- Grande : cette configuration est recommandée pour les déploiements de Workspace ONE UEM, où Unified Access Gateway doit prendre en charge jusqu'à 150 000 connexions simultanées. Cette taille permet à Content Gateway, Tunnel par application et Proxy inverse d'utiliser le même dispositif Unified Access Gateway.
- Très grande : cette configuration est recommandée pour les déploiements de Workspace ONE UEM, où Unified Access Gateway doit prendre en charge jusqu'à 200 000 connexions simultanées. Cette taille permet à Content Gateway, Tunnel par application et Proxy inverse d'utiliser le même dispositif Unified Access Gateway.
Options de VM pour les déploiements Standard, Grand et Extra grand :
- Standard : 2 cœurs et 4 Go de RAM
- Grand : 4 cœurs et 16 Go de RAM
- Extra grand : 8 cœurs et 32 Go de RAM
Vous pouvez configurer ces paramètres à l'aide de PowerShell. Pour plus d'informations sur les paramètres PowerShell, reportez-vous à la section Préparer le fichier INI pour déployer Unified Access Gateway.
Pour plus d'informations sur les recommandations de dimensionnement d'Unified Access Gateway, reportez-vous à la section Valeurs maximales de configuration de VMware.
Versions de navigateurs prises en charge
Chrome, Firefox et Internet Explorer sont les navigateurs permettant de lancer l'interface utilisateur d'administration. Utilisez la version la plus récente du navigateur.
Configuration matérielle requise pour Windows Hyper-V Server
Lorsque vous utilisez Unified Access Gateway pour un déploiement de tunnel par application de Workspace ONE UEM, vous pouvez installer le dispositif Unified Access Gateway sur Microsoft Hyper-V Server.
Les serveurs Microsoft pris en charge sont Windows Server 2012 R2 et Windows Server 2016.
Configuration requise pour la mise en réseau : options de déploiement
Vous pouvez utiliser une, deux ou trois interfaces réseau, et Unified Access Gateway requiert une adresse IP statique séparée pour chacune d'entre elles. De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Unified Access Gateway en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé.
- Carte réseau 1 : une interface réseau est appropriée pour la validation de principe ou les tests. Avec une carte réseau, les trafics externe, interne et de gestion sont tous sur le même sous-réseau.
- Carte réseau 2 : avec deux interfaces réseau, le trafic externe est sur un sous-réseau, et les trafics interne et de gestion sont sur un autre sous-réseau.
- Carte réseau 3 : l'option la plus sûre consiste à utiliser les trois interfaces réseau. Avec une troisième carte réseau, les trafics externe, interne et de gestion ont chacun leur propre sous-réseau.
DNS multidiffusion et noms d'hôte .local
UAG (Unified Access Gateway) 3.7 et les versions ultérieures prennent en charge le DNS multidiffusion ainsi que le DNS monodiffusion. Les noms d'appellations multiples ayant le suffixe de domaine .local sont routés vers toutes les interfaces locales compatibles avec la multidiffusion IP en utilisant le protocole DNS multidiffusion.
Évitez de définir .local dans un serveur DNS monodiffusion, car RFC6762 réserve l'utilisation de ce domaine pour le DNS multidiffusion. Par exemple, si vous utilisez un nom d'hôte hostname.example.local dans un paramètre de configuration, tel qu'URL de destination du proxy sur UAG, le nom d'hôte n'est pas résolu à l'aide du DNS monodiffusion, car .local est réservé pour le DNS multidiffusion.
Vous pouvez également utiliser l'une des méthodes suivantes dans lesquelles le suffixe de domaine .local n'est pas requis :
- Spécifiez une adresse IP au lieu d'un nom d'hôte .local.
- Vous pouvez ajouter un autre enregistrement DNS A secondaire dans le serveur DNS.
Dans l'exemple précédent de nom d'hôte, vous pouvez ajouter hostname.example.int à la même adresse IP que hostname.example.local et l'utiliser dans la configuration d'UAG.
- Vous pouvez définir une entrée du fichier hosts locale.
Dans l'exemple précédent, une entrée hosts locale peut être définie pour hostname.example.local.
Les entrées du fichier hosts spécifient les noms et adresses IP et peuvent être définies à l'aide de l'interface utilisateur d'administration d'UAG via les paramètres du fichier .ini de PowerShell.Important : Vous ne devez pas modifier le fichier /etc/hosts sur UAG.Sur UAG, les entrées du fichier hosts locales sont recherchées avant d'effectuer une recherche DNS. Cette recherche vérifie que si le nom d'hôte se trouve dans le fichier hosts, vous pouvez utiliser les noms .local sans effectuer de recherche DNS.
Configuration requise pour la rétention des journaux
Les fichiers journaux sont configurés par défaut pour utiliser une certaine quantité d'espace qui est inférieure à la taille totale de disque dans l'agrégation. Les journaux pour Unified Access Gateway sont alternés par défaut. Vous devez utiliser Syslog pour conserver ces entrées de journal. Reportez-vous à la section Collecte de journaux depuis le dispositif Unified Access Gateway.
Configuration système requise pour le déploiement de VMware Tunnel
Pour déployer VMware Tunnel avec Unified Access Gateway, assurez-vous que votre système répond à la configuration requise suivante :
Hyperviseurs pris en charge
L'instance de Unified Access Gateway qui déploie VMware Tunnel nécessite un hyperviseur pour déployer le dispositif virtuel. Vous devez disposer d'un compte d'administration dédié avec des privilèges complets pour déployer le modèle OVF.
- VMware vSphere web client
Note : Vous devez utiliser des versions spécifiques des produits VMware avec des versions spécifiques d'Unified Access Gateway. Le dispositif Unified Access Gateway doit être déployé sur une version de VMware vSphere identique à celle prise en charge pour les produits et versions de VMware, respectivement.
- Microsoft Hyper-V sur Windows Server 2012 R2 ou Windows Server 2016
Configuration logicielle requise
Vérifiez que vous disposez de la version la plus récente d'Unified Access Gateway. VMware Tunnel prend en charge la compatibilité en amont entre Unified Access Gateway et Workspace ONE UEM console. La compatibilité en amont vous permet de mettre à niveau votre serveur VMware Tunnel peu après la mise à niveau de votre dispositif Workspace ONE UEM Console. Pour garantir la parité entre Workspace ONE UEM console et VMware Tunnel, envisagez de planifier une mise à niveau anticipée.
Configuration matérielle requiseLe package OVF pour Unified Access Gateway sélectionne automatiquement la configuration de machine virtuelle dont VMware Tunnel a besoin. Même si vous pouvez modifier ces paramètres, ne remplacez pas les valeurs de CPU, de mémoire ou d'espace disque par des valeurs inférieures aux paramètres OVF par défaut.
Pour modifier les paramètres par défaut, mettez la machine virtuelle hors tension dans vCenter. Cliquez avec le bouton droit sur la machine virtuelle et sélectionnez Modifier les paramètres.
La configuration par défaut utilise 4 Go de RAM et de 2 CPU. Vous devez modifier la configuration par défaut pour répondre à la configuration matérielle requise. Pour gérer toutes les charges des périphériques et les exigences de maintenance, envisagez d'exécuter un minimum de deux serveurs de VMware Tunnel.
Nombre de périphériques | Jusqu'à 40 000 | 40 000 à 80 000 | 80 000 à 120 000 | 120 000 à 160 000 |
---|---|---|---|---|
Nombre de serveurs | 2 | 3 | 4 | 5 |
Cœurs de CPU | 4 cœurs de CPU* | 4 cœurs de CPU chacun | 4 cœurs de CPU chacun | 4 cœurs de CPU chacun |
RAM (GO) | 8 | 8 | 8 | 8 |
Espace disponible sur le disque dur (Go) | 10 Go pour la distribution (Linux uniquement) 400 Mo pour le programme d'installation ~ 10 Go d'espace de fichier journal** |
|||
*Il est possible de ne déployer qu'un seul dispositif VMware Tunnel dans le cadre d'un déploiement plus petit. Toutefois, envisagez de déployer au moins deux serveurs équilibrés en charge avec quatre cœurs de CPU chacun, quel que soit le nombre de périphériques, pour optimiser les performances et les temps d'activité. **10 Go pour un déploiement standard. Redimensionnez le fichier journal en fonction de votre utilisation du journal et de la configuration requise pour stocker les journaux. |