Pour déployer Unified Access Gateway, déployez le modèle OVF à l'aide de vSphere Client ou de vSphere Web Client, mettez le dispositif sous tension et configurez les paramètres.

Conditions préalables

Procédure

  1. Utilisez le client natif vSphere ou le client Web vSphere pour ouvrir une session sur une instance de vCenter Server.
    Pour un réseau IPv4, utilisez le client natif vSphere ou le client Web vSphere. Pour un réseau IPv6, utilisez vSphere Web Client.
  2. Sélectionnez une commande de menu pour lancer l'assistant Déployer le modèle OVF.
    Option Commande de menu
    vSphere Client Sélectionnez Fichier > Déployer le modèle OVF.
    vSphere Web Client Sélectionnez un objet d'inventaire qui est un objet parent valide d'une machine virtuelle, tel qu'un centre de données, un dossier, un cluster, un pool de ressources ou un hôte et, dans le menu Actions, sélectionnez Déployer le modèle OVF.
  3. Sur la page 1 Sélectionner un modèle OVF, cliquez sur URL et entrez une URL pour télécharger et installer le modèle OVF depuis Internet ou cliquez sur Fichier local pour accéder au fichier .ova que vous avez téléchargé. Cliquez sur SUIVANT.
    Examinez les détails du produit, la version et les exigences de taille.
  4. Suivez les invites de l'assistant en tenant compte des conseils suivants. Les déploiements ESXi et Hyper-V disposent de deux options pour définir l'attribution IP d'Unified Access Gateway.
    • Si vous effectuez une mise à niveau pour Hyper-V, supprimez l'ancienne zone avec la même adresse IP avant de déployer la zone avec la nouvelle adresse.
    • Pour ESXi, vous pouvez désactiver l'ancienne zone et en déployer une nouvelle avec la même adresse IP à l'aide de l'attribution statique.
    Tableau 1. Options de déploiement OVF
    Option Description
    2 Sélectionner un nom et un dossier
    Sélectionnez un nom et un emplacement cible Entrez un nom pour le dispositif virtuel Unified Access Gateway dans le champ Nom de la machine virtuelle. Il doit être unique dans le dossier de l'inventaire. Les noms sont sensibles à la casse.

    Sélectionnez un emplacement pour la machine virtuelle dans la liste.

    3 Sélectionner une ressource de calcul
    Hôte/Cluster Sélectionnez l'hôte ou le cluster sur lequel vous souhaitez exécuter le dispositif virtuel.

    Résultat : des contrôles de compatibilité et de validation sont effectués pour vérifier si la ressource de calcul peut prendre en charge le fichier OVF.

    4 Vérifier les détails

    Vérifiez les détails du déploiement OVF.

    5 Configuration
    Sélectionner une configuration de déploiement Pour un réseau IPv4 ou IPV6, vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseau). De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Unified Access Gateway en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé. Parallèlement au nombre de cartes réseau, vous pouvez également choisir les options de déploiement Standard ou Grand pour Unified Access Gateway. Reportez-vous à la section Valeurs maximales de configuration VMware.
    Note : Options de VM pour les déploiements Standard et Grand :
    • Standard - 2 cœurs et 4 Go de RAM
    • Grand - 4 cœurs et 16 Go de RAM
    • Extra grand : 8 cœurs et 32 Go de RAM
    6 Sélectionner le stockage
    Sélectionner le format de disque virtuel Sélectionnez le format de disque virtuel.
    1. Pour les environnements d'évaluation et de test, sélectionnez le format Provisionnement fin.
    2. Pour les environnements de production, sélectionnez l'un des formats Provisionnement statique. Provisionnement statique immédiatement mis à zéro est un type de format de disque virtuel statique qui prend en charge les fonctionnalités de cluster, telles que la tolérance aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres types de disques virtuels.
    Stratégie de stockage VM

    Banque de données par défaut ou toute autre stratégie de stockage configurée. Pour plus d'informations, reportez-vous à la documentation Stratégies de stockage de machine virtuelle dans la Documentation de VMware vSphere à l'adresse VMware Docs.

    7 Sélectionner des réseaux
    Si vous utilisez un client Web vSphere, la page Sélectionner des réseaux vous permet de mapper chaque carte réseau à un réseau et de spécifier des paramètres de protocole.

    Mappez les réseaux utilisés dans ce modèle OVF aux réseaux de votre inventaire.

    1. Sélectionnez une configuration de déploiement : carte réseau unique, deux cartes réseau, trois cartes réseau, etc.
      • Si vous n'utilisez qu'une seule carte réseau, toutes les lignes sont mappées vers le même réseau.
      • Si vous utilisez plusieurs cartes réseau, sélectionnez la ligne Réseau de gestion, sélectionnez le réseau de destination, puis entrez les adresses IP pour le serveur DNS, la passerelle par défaut et le masque de réseau pour ce réseau.
      • Si vous avez une troisième carte réseau, sélectionnez la troisième ligne et remplissez les paramètres.
      • Si vous n'utilisez que deux cartes réseau, pour la ligne Réseau principal, sélectionnez le réseau que vous avez utilisé pour Réseau de gestion.
    2. Sélectionnez la ligne Internet et cliquez sur la flèche vers le bas pour sélectionner le réseau de destination. Si vous sélectionnez IPv6 comme protocole IP, vous devez sélectionner le réseau avec des capacités IPv6.
    3. Après avoir sélectionné la ligne, vous pouvez également entrer des adresses IP pour le serveur DNS, la passerelle et le masque de réseau dans la partie inférieure de la fenêtre. Cliquez sur SUIVANT.
    4. Si le menu déroulant Protocole IP s'affiche, ignorez-le et n'y faites aucune sélection. La sélection réelle du protocole IP (IPv4, IPv6 ou les deux) est liée au mode IP qui a été défini dans l'IPMode des cartes réseau 1 (eth0), 2 (eth1) et 3 (eth2) lors de la personnalisation des propriétés de la mise en réseau. Les paramètres du serveur DNS et de la passerelle par défaut sont globaux et ne sont associés à aucune carte réseau spécifique.
    8 Personnaliser le modèle
    Propriétés de mise en réseau Les cases sur la page Propriétés sont spécifiques à Unified Access Gateway et il est probable qu'elles ne soient pas requises pour d'autres types de dispositifs virtuels. Le texte sur la page de l'assistant explique chaque paramètre. Si le texte est tronqué sur le côté droit de l'assistant, redimensionnez la fenêtre en faisant glisser le curseur à partir de l'angle inférieur droit. En regard de chacune des cartes réseau, pour STATICV4, vous devez entrer l'adresse IPv4 de la carte réseau. Pour STATICV6, vous devez entrer l'adresse IPv6 de la carte réseau. Si vous ne renseignez pas les cases, l'allocation d'adresses IP prend par défaut les valeurs DHCPV4 + DHCPV6.
    Important : La dernière version d' Unified Access Gateway n'accepte pas les valeurs de masque de réseau ou de préfixe et les paramètres de passerelle par défaut du profil de protocole réseau (NPP). Pour configurer Unified Access Gateway avec l'allocation d'adresses IP statiques, vous devez configurer le masque de réseau ou un préfixe sous Propriétés du réseau. Les valeurs suivantes ne sont pas renseignées depuis NPP.
    Note :
    • Les valeurs sont sensibles à la casse.
    • Lors du déploiement d'Unified Access Gateway à l'aide de vSphere Client HTML5 dans vSphere 6.7 ou une version antérieure, seule la carte réseau NIC1 (eth0) est disponible pour la configuration. Plusieurs cartes réseau peuvent être configurées lors de l'utilisation de vSphere Client HTML5 dans vSphere 7.0.
    • IPMode de la carte réseau 1 (eth0) : STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6.
    • Liste de règles de transfert séparées par une virgule au format {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu. Par exemple, pour IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
    • Adresse IPv4 de la carte réseau 1 (eth0). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.
      • Liste de routes personnalisées IPv4 séparées par une virgule pour la carte réseau (eth0) au format ipv4-network-address/bits ipv4-gateway-address. Par exemple : 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        Note : Si la valeur adresse-passerelle-ipv4 n'est pas spécifiée, la route respective qui est ajoutée dispose d'une passerelle de 0.0.0.0.
    • Adresse IPv6 de la carte réseau 1 (eth0). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.
    • Adresses de serveur DNS. Entrez les adresses IPv4 ou IPv6, séparées par des espaces, des serveurs de nom de domaine du dispositif Unified Access Gateway. Exemple d'entrée IPv4 : 192.0.2.1 192.0.2.2. Exemple d'entrée IPv6 : fc00:10:112:54::1
    • Domaine de recherche DNS. Entrez la liste des domaines de recherche DNS, séparés par des espaces.
    • Masque de réseau IPv4 de la carte réseau 1 (eth0). Entrez le masque de réseau IPv4 de la carte réseau.
    • Préfixe IPv6 de la carte réseau 1 (eth0). Entrez le préfixe IPv6 de la carte réseau.
    • Configuration personnalisée de la carte réseau NIC1 (eth0). Entrez la valeur de configuration personnalisée de la carte réseau au format SectionName^Parameter=Value. Exemple d'entrée de configuration personnalisée : DHCP^UseDNS=false. Cette valeur, lorsqu'elle est utilisée, désactive l'utilisation des adresses IP DNS offertes par le serveur DHCP. À l'aide du même format, vous pouvez ajouter plusieurs entrées de configuration telles que system.network séparées par un point-virgule.
    • Passerelle IPv4 par défaut. Entrez une passerelle IPv4 par défaut si Unified Access Gateway doit communiquer avec une adresse IP qui ne se trouve pas sur un segment local d'une carte réseau dans Unified Access Gateway.
    • Passerelle IPv6 par défaut. Entrez une passerelle IPv6 par défaut si Unified Access Gateway doit communiquer avec une adresse IP qui ne se trouve pas sur un segment local d'une carte réseau dans Unified Access Gateway.
    Nom du dispositif Unified Gateway Entrez le nom d'hôte du dispositif de connexion pour identification. Si vous n'entrez aucun nom, le système génère automatiquement le nom.
    Adhérer au CEIP Sélectionnez Participer au programme d'amélioration du produit VMware pour adhérer au CEIP ou désélectionnez l'option pour quitter le CEIP.
    Options de mot de passe
    Nom d'utilisateur de connexion au système d'exploitation Entrez le nom d'utilisateur pour accéder à la console locale d'Unified Access Gateway.

    Une fois configuré, un nouvel utilisateur privilégié sudo avec le nom d'utilisateur donné est créé et la connexion racine est désactivée. Seuls les caractères a-z, 0-9, le trait de soulignement (_) et le trait d'union (-) sont autorisés et la longueur maximale est de 32.

    Note : Laissez ce champ vide pour utiliser l'utilisateur racine.
    Mot de passe pour la connexion au système d'exploitation Entrez le mot de passe pour la connexion au système d'exploitation. Ce mot de passe s'applique à l'utilisateur racine ou à l'utilisateur personnalisé tel que configuré dans le champ Nom d'utilisateur de connexion au système d'exploitation.
    Expiration du mot de passe en jours pour l'utilisateur du système d'exploitation Entrez la stratégie d'expiration du mot de passe pour l'utilisateur du système d'exploitation. S'il est défini sur zéro, le mot de passe n'expire jamais. La valeur par défaut est de 365 jours.
    Longueur minimale du mot de passe Entrez la longueur minimale du mot de passe. La valeur par défaut est 6.
    Stratégie de mot de passe pour les classes de caractères minimales Entrez la stratégie de mot de passe pour le nombre minimal (1, 2, 3, 4) de classes de type de caractère (majuscules, minuscules, chiffres, autres).
    Stratégie de mot de passe pour le nombre maximal de tentatives infructueuses Entrez le nombre maximal de tentatives infructueuses autorisées. La valeur par défaut est 3.
    Stratégie de mot de passe pour le délai de déverrouillage en secondes après le nombre maximal de tentatives infructueuses Entrez le délai en secondes pour déverrouiller le mot de passe lorsque vous avez atteint le nombre maximal de tentatives infructueuses. La valeur par défaut est 900.
    Délai d'inactivité de la session pour l'utilisateur du système d'exploitation en secondes Entrez le délai d'inactivité de la session pour l'utilisateur du système d'exploitation. La plage est comprise entre 30 et 3 600 secondes. L'expiration de la session est désactivée si elle est définie sur zéro (0). La valeur par défaut est 300.
    Limite maximale pour les sessions de connexion sudo simultanées Entrez la limite maximale de sessions de connexion simultanées pour l'utilisateur sudo. Si l'utilisateur sudo n'est pas configuré, ce paramètre est ignoré.

    La valeur par défaut est 10 et la valeur minimale configurable est 1. Il n'y a pas de limite maximale.

    Mot de passe de l'utilisateur Admin, qui active l'accès à REST API.
    Mot de passe et Confirmer le mot de passe Les mots de passe doivent contenir au moins 8 caractères, au moins une majuscule et une minuscule, un chiffre et un caractère spécial, qui inclut ! @ # $ % * ( ). Avertissement : SI VOUS LAISSEZ LE MOT DE PASSE VIDE, AUCUN UTILISATEUR DE L'INTERFACE UTILISATEUR ADMIN NE SERA CRÉÉ ET VOUS NE POURREZ CONFIGURER AUCUN PARAMÈTRE SUR LE DISPOSITIF. VOUS DEVREZ REDÉPLOYER LE DISPOSITIF UAG AVEC UN MOT DE PASSE POUR UTILISER L'INTERFACE UTILISATEUR D'ADMINISTRATION.
    Longueur minimale du mot de passe administrateur Entrez la longueur minimale du mot de passe administrateur. La valeur par défaut est 8.
    Stratégie de mot de passe administrateur pour le nombre maximal de tentatives infructueuses Entrez le nombre maximal de tentatives infructueuses autorisées. La valeur par défaut est 3.
    Stratégie de mot de passe administrateur pour le délai de déverrouillage en minutes après le nombre maximal de tentatives infructueuses Entrez le délai en minutes pour déverrouiller le mot de passe administrateur lorsque vous avez atteint le nombre maximal de tentatives infructueuses. La valeur par défaut est de 5 minutes.
    Délai d'inactivité de la session d'administrateur en minutes Entrez le délai d'inactivité de la session pour l'administrateur. La valeur par défaut est de 10 et la valeur maximale est de 1 440 minutes.
    Nombre maximal de sessions simultanées pour les utilisateurs de la console d'administration Entrez la limite maximale de sessions de connexion simultanées pour l'administrateur.

    La valeur par défaut est 5 et la valeur maximale est 50.

    Lorsque le nombre maximal de sessions dépasse pour un utilisateur, la session utilisée la moins récemment est expirée.

    Conformité
    Activer la conformité DISA STIG

    Définit la configuration du système d'exploitation pour qu'elle soit conforme aux directives de préparation DISA STIG de Photon OS 4.0.

    Cochez cette case pour configurer automatiquement la complexité du mot de passe et d'autres exigences STIG.

    Note : Ce paramètre doit être utilisé avec la version FIPS lorsque la conformité du système d'exploitation STIG DISA est requise.
    Propriétés système
    Activer SSH Option permettant d'activer SSH pour l'accès à la machine virtuelle Unified Access Gateway.
    Autoriser la connexion racine SSH à l'aide du mot de passe Option permettant d'accéder à la machine virtuelle Unified Access Gateway à l'aide d'une connexion racine SSH et d'un mot de passe.

    Par défaut, la valeur de cette option est true.

    Autoriser la connexion SSH à l'aide d'une paire de clés Option permettant d'accéder à la machine virtuelle Unified Access Gateway à l'aide d'une connexion racine SSH et d'une paire de clés publique-privée.

    Par défaut, cette valeur est false.

    L'interface utilisateur d'administration Unified Access Gateway dispose d'un champ Clés publiques SSH, où un administrateur peut charger des clés publiques pour autoriser l'accès d'un utilisateur racine à Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique-privée. Pour que ce champ soit disponible dans l'interface utilisateur d'administration, la valeur de cette option et Activer SSH doivent être true au moment du déploiement. Si l'une de ces options n'est pas true, le champ Clés publiques SSH n'est pas disponible dans l'interface utilisateur d'administration.

    Le champ Clés publiques SSH est un paramètre système avancé dans l'interface utilisateur d'administration. Reportez-vous à la section Configuration système.

    Texte de la bannière du shell de connexion Option permettant de personnaliser le texte de la bannière affichée lors de la connexion à Unified Access Gateway vSphere à l'aide de SSH ou de la console Web du client.

    Cette option ne peut être configurée qu'au moment du déploiement. Si vous ne configurez pas cette option, le texte par défaut s'affiche : VMware EUC Unified Access Gateway.

    Seuls les caractères ASCII sont pris en charge dans le texte personnalisé. Pour les textes de bannière sur plusieurs lignes, \n doit être utilisé comme séparateur de ligne.

    Note : Lorsque le dispositif Unified Access Gateway est déployé à l'aide du modèle OVF et que le texte de la bannière de connexion est configuré, lors du premier lancement de Unified Access Gateway, la console Web du client vSphere affiche le texte de la bannière par défaut et le texte de la bannière personnalisée est ignoré. Lors des lancements suivants, le texte personnalisé de la bannière s'affiche.
    Interface SSH

    Configurez l'interface réseau sur laquelle la connexion SSH est activée.

    Par défaut, SSH est activé sur toutes les interfaces.

    Les valeurs prises en charge sont eth0, eth1 et eth2 en fonction de la configuration.

    Port SSH

    Configurez le port sur lequel SSH est activé.

    La valeur par défaut est 22.

    Commandes à exécuter lors du premier démarrage Entrez une liste de commandes, séparées par des points-virgules, au format texte brut ou codé en Base64 à exécuter lors du premier démarrage de Unified Access Gateway. La taille maximale est de 8 Ko. Pour plus d'informations, reportez-vous à la documentation Commandes d'heure de démarrage configurables pour le premier démarrage et chaque démarrage.
    Commandes à exécuter à chaque démarrage Entrez une liste de commandes, séparées par des points-virgules, au format de texte brut ou codé en Base64 à exécuter lors de chaque démarrage de Unified Access Gateway. La taille maximale est de 8 Ko. Pour plus d'informations, reportez-vous à la documentation Commandes d'heure de démarrage configurables pour le premier démarrage et chaque démarrage.
    Source SecureRandom Vous permet de configurer la source de génération de bits aléatoires sécurisée utilisée par les processus Java pour les fonctions de chiffrement.

    Cette option ne peut être configurée qu'au moment du déploiement.

    Les valeurs prises en charge sont : /dev/random et /dev/urandom. Par défaut, /dev/random est utilisé en mode non-FIPS et /dev/urandom en mode FIPS.

  5. Sur la page Prêt à terminer, vérifiez les informations et cliquez sur TERMINER.
    Une tâche Déployer le modèle OVF apparaît dans la zone d'état de vCenter Server pour que vous puissiez contrôler le déploiement. Vous pouvez également ouvrir une console sur la machine virtuelle pour afficher les messages de la console qui sont affichés lors du démarrage du système. Un journal de ces messages est également disponible dans le fichier /var/log/boot.msg.
  6. Activez la machine virtuelle.
  7. Lorsque le dispositif est sous tension, vérifiez que les utilisateurs finaux peuvent se connecter à celui-ci en ouvrant un navigateur et en entrant l'URL suivante :
    https://FQDN-of-UAG-appliance

    Dans cette URL, FQDN-of-UAG-appliance est le nom de domaine complet pouvant être résolu par DNS du dispositif Unified Access Gateway.

    En cas de réussite du déploiement, la page Web fournie par le serveur vers laquelle pointe Unified Access Gateways'affiche. Si le déploiement échoue, vous pouvez supprimer la machine virtuelle de dispositif et déployer de nouveau le dispositif. L'erreur la plus courante est l'entrée erronée des empreintes numériques de certificat.

Résultats

Le dispositif Unified Access Gateway est déployé et démarre automatiquement.

Que faire ensuite

  • Connectez-vous à l'interface utilisateur d'administration d'Unified Access Gateway et configurez les ressources de poste de travail et d'application pour permettre un accès distant à partir d'Internet par le biais d'Unified Access Gateway et les méthodes d'authentification à utiliser dans la zone DMZ. L'URL de la console d'administration présente le format https://<UAG-fqdn>:9443/admin/index.html .
    Important : Vous devez terminer la configuration d' Unified Access Gateway après le déploiement à l'aide de l'interface utilisateur d'administration. Si vous ne fournissez pas le mot de passe de l'interface utilisateur d'administration, vous ne pouvez pas ajouter ultérieurement un utilisateur de l'interface utilisateur d'administration pour permettre l'accès à celle-ci ou à l'API. Vous devez redéployer votre instance Unified Access Gateway avec un mot de passe de l'interface utilisateur d'administration valide si vous souhaitez ajouter un utilisateur de l'interface utilisateur d'administration.
    Note : Si vous ne pouvez pas accéder à l'écran de connexion de l'interface utilisateur d'administration, vérifiez si l'adresse IP de la machine virtuelle est affichée lors de l'installation du fichier OVA. Si l'adresse IP n'est pas configurée, utilisez la commande mentionnée dans l'interface utilisateur pour reconfigurer les cartes réseau. Exécutez la commande cd /opt/vmware/gateway/scripts, puis la commande ./configureNetwork.sh.