Vous pouvez déployer le dispositif Unified Access Gateway en ouvrant une session sur vCenter Server et en utilisant l'assistant Déployer le modèle OVF.

Deux versions du fichier OVA d'Unified Access Gateway sont disponibles, OVA standard et une version FIPS de l'OVA.

La version FIPS de l'OVA prend en charge les services Edge suivants :
  • Horizon (authentification relais et authentification par certificat)
    Note : L'authentification par certificat inclut l'authentification par carte à puce et l'authentification par certificat de périphérique.
  • Tunnel par application avec VMware
Important : La version FIPS 140-2 s'exécute avec le jeu de chiffrements et de hachages certifié par FIPS et elle dispose de services restrictifs activés qui prennent en charge des bibliothèques certifiées par FIPS. Lorsqu' Unified Access Gateway est déployé en mode FIPS, le dispositif ne peut pas être passé en mode de déploiement OVA standard. L'authentification d'Horizon Edge n'est pas disponible dans la version FIPS.

Options de dimensionnement d'Unified Access Gateway

Pour simplifier le déploiement du dispositif Unified Access Gateway en tant que passerelle de sécurité Workspace ONE, les options de dimensionnement sont ajoutées aux configurations de déploiement dans le dispositif. La configuration de déploiement propose un choix entre une machine virtuelle standard, grande et extra grande.
  • Standard : cette configuration est recommandée pour le déploiement d'Horizon prenant en charge jusqu'à 2 000 connexions d'Horizon, selon la capacité du serveur de connexion. Elle est également recommandée pour les déploiements de Workspace ONE UEM (cas d'utilisation mobiles) jusqu'à 10 000 connexions simultanées.
  • Grand : cette configuration est recommandée pour les déploiements de Workspace ONE UEM, où Unified Access Gateway doit prendre en charge plus de 50 000 connexions simultanées. Cette taille permet à Content Gateway, Tunnel par application et Proxy et Proxy inverse d'utiliser le même dispositif Unified Access Gateway.
  • Extra grand  : cette configuration est recommandée pour les déploiements de Workspace ONE UEM. Cette taille permet à Content Gateway, Tunnel par application et Proxy et Proxy inverse d'utiliser le me^me dispositif Unified Access Gateway.
  • Note : Options de VM pour les déploiements Standard, Grand et Extra grand :
    • Standard : 2 cœurs et 4 Go de RAM
    • Grand : 4 cœurs et 16 Go de RAM
    • Extra grand : 8 cœurs et 32 Go de RAM

    Pour plus d'informations sur les recommandations de dimensionnement d'Unified Access Gateway, vous pouvez afficher l'option Nombre maximal de configurations VMware.

Conditions préalables

  • Examinez les options de déploiement qui sont disponibles dans l'assistant. Reportez-vous à la section Configuration requise pour le système et le réseau Unified Access Gateway.
  • Déterminez le nombre d'interfaces réseau et d'adresses IP statiques à configurer pour le dispositif Unified Access Gateway. Reportez-vous à la section Configuration requise pour le réseau.
  • Téléchargez le fichier de programme d'installation .ova pour le dispositif Unified Access Gateway sur le site Web VMware à l'adresse https://my.vmware.com/web/vmware/downloads ou déterminez l'URL à utiliser (exemple : http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), où Y.Y est le numéro de version et xxxxxxx le numéro de build.
  • En cas de déploiement Hyper-V, si vous mettez à niveau Unified Access Gateway avec une adresse IP statique, supprimez le dispositif antérieur avant de déployer l'instance d'Unified Access Gateway plus récente.
  • Pour mettre à niveau un dispositif antérieur vers une nouvelle instance d'Unified Access Gateway sans interruption de service pour les utilisateurs, reportez-vous à la section Mettre à niveau sans interruption.

Procédure

  1. Utilisez le client natif vSphere ou le client Web vSphere pour ouvrir une session sur une instance de vCenter Server.
    Pour un réseau IPv4, utilisez le client natif vSphere ou le client Web vSphere. Pour un réseau IPv6, utilisez vSphere Web Client.
  2. Sélectionnez une commande de menu pour lancer l'assistant Déployer le modèle OVF.
    Option Commande de menu
    vSphere Client Sélectionnez Fichier > Déployer le modèle OVF.
    vSphere Web Client Sélectionnez un objet d'inventaire qui est un objet parent valide d'une machine virtuelle, tel qu'un centre de données, un dossier, un cluster, un pool de ressources ou un hôte et, dans le menu Actions, sélectionnez Déployer le modèle OVF.
  3. Sur la page Sélectionner la source, accédez au fichier .ova que vous avez téléchargé ou entrez une URL et cliquez sur Suivant.
    Examinez les détails du produit, la version et les exigences de taille.
  4. Suivez les invites de l'assistant en tenant compte des conseils suivants. Les déploiements ESXi et Hyper-V disposent de deux options pour définir l'attribution IP d'Unified Access Gateway. Si vous effectuez une mise à niveau pour Hyper-V, supprimez l'ancienne zone avec la même adresse IP avant de déployer la zone avec la nouvelle adresse. Pour ESXi, vous pouvez désactiver l'ancienne zone et en déployer une nouvelle avec la même adresse IP à l'aide de l'attribution statique.
    Option Description
    Nom et emplacement Saisissez un nom pour le dispositif virtuel Unified Access Gateway. Il doit être unique dans le dossier de l'inventaire. Les noms sont sensibles à la casse.

    Sélectionnez un emplacement pour le dispositif virtuel.

    Configuration de déploiement Pour un réseau IPv4 ou IPV6, vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseau). De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Unified Access Gateway en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé. Parallèlement au nombre de cartes réseau, vous pouvez également choisir les options de déploiement Standard ou Grand pour Unified Access Gateway.
    Note : Options de VM pour les déploiements Standard et Grand :
    • Standard - 2 cœurs et 4 Go de RAM
    • Grand - 4 cœurs et 16 Go de RAM
    Hôte/Cluster Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel.
    Format de disque Pour les environnements d'évaluation et de test, sélectionnez le format Provisionnement fin. Pour les environnements de production, sélectionnez l'un des formats Provisionnement statique. Provisionnement statique immédiatement mis à zéro est un type de format de disque virtuel statique qui prend en charge les fonctionnalités de cluster, telles que la tolérance aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres types de disques virtuels.
    Configuration des réseaux/Mappage réseau Si vous utilisez vSphere Web Client, la page Configuration des réseaux vous permet de mapper chaque carte réseau à un réseau et de spécifier des paramètres de protocole.

    Mappez les réseaux utilisés dans ce modèle OVF aux réseaux de votre inventaire.

    1. Sélectionnez la première ligne du tableau Internet et cliquez sur la flèche vers le bas pour sélectionner le réseau de destination. Si vous sélectionnez IPv6 comme protocole IP, vous devez sélectionner le réseau avec des capacités IPv6.

      Après avoir sélectionné la ligne, vous pouvez également entrer des adresses IP pour le serveur DNS, la passerelle et le masque de réseau dans la partie inférieure de la fenêtre.

    2. Si vous utilisez plusieurs cartes réseau, sélectionnez la ligne suivante ManagementNetwork, sélectionnez le réseau de destination ; vous pouvez ensuite entrer les adresses IP pour le serveur DNS, la passerelle et le masque de réseau pour ce réseau.

      Si vous n'utilisez qu'une seule carte réseau, toutes les lignes sont mappées vers le même réseau.

    3. Si vous avez une troisième carte réseau, sélectionnez également la troisième ligne et remplissez les paramètres.

      Si vous n'utilisez que deux cartes réseau, pour cette troisième ligne BackendNetwork, sélectionnez le réseau que vous avez utilisé pour ManagementNetwork.

    Note : Si le menu déroulant Protocole IP s'affiche, ignorez-le et n'y faites aucune sélection. La sélection réelle du protocole IP (IPv4, IPv6 ou les deux) est liée au mode IP qui a été défini dans l'IPMode des cartes réseau 1 (eth0), 2 (eth1) et 3 (eth2) lors de la personnalisation des propriétés de la mise en réseau.
    Personnaliser les propriétés réseau Les cases sur la page Propriétés sont spécifiques à Unified Access Gateway et il est probable qu'elles ne soient pas requises pour d'autres types de dispositifs virtuels. Le texte sur la page de l'assistant explique chaque paramètre. Si le texte est tronqué sur le côté droit de l'assistant, redimensionnez la fenêtre en faisant glisser le curseur à partir de l'angle inférieur droit. En regard de chacune des cartes réseau, pour STATICV4, vous devez entrer l'adresse IPv4 de la carte réseau. Pour STATICV6, vous devez entrer l'adresse IPv6 de la carte réseau. Si vous ne renseignez pas les cases, l'allocation d'adresses IP prend par défaut les valeurs DHCPV4 + DHCPV6.
    Important : La dernière version d' Unified Access Gateway n'accepte pas les valeurs de masque de réseau ou de préfixe et les paramètres de passerelle par défaut du profil de protocole réseau (NPP). Pour configurer Unified Access Gateway avec l'allocation d'adresses IP statiques, vous devez configurer le masque de réseau ou un préfixe sous Propriétés du réseau. Les valeurs suivantes ne sont pas renseignées depuis NPP.
    Note : Les valeurs sont sensibles à la casse.
    • IPMode de la carte réseau 1 (eth0) : STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • IPMode de la carte réseau 2 (eth1) : STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • IPMode de la carte réseau 3 (eth2) : STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 .
    • Liste de règles de transfert séparées par une virgule au format {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu. Par exemple, pour IPv4, tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443.
    • Adresse IPv4 de la carte réseau 1 (eth0). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.
      • Liste de routes personnalisées IPv4 séparées par une virgule pour la carte réseau 1 (eth0) au format ipv4-network-address/bits ipv4-gateway-address. Par exemple, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        Note : Si la valeur adresse-passerelle-ipv4 n'est pas spécifiée, la route respective qui est ajoutée dispose d'une passerelle de 0.0.0.0.
    • Adresse IPv6 de la carte réseau 1 (eth0). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.
    • Masque de réseau IPv4 de la carte réseau 1 (eth0). Entrez le masque de réseau IPv4 de la carte réseau.
    • Préfixe IPv6 de la carte réseau 1 (eth0). Entrez le préfixe IPv6 de la carte réseau.
    • Adresses de serveur DNS. Entrez les adresses IPv4 ou IPv6, séparées par des espaces, des serveurs de nom de domaine du dispositif Unified Access Gateway. Exemple d'entrée IPv4 : 192.0.2.1, 192.0.2.2. Exemple d'entrée IPv6 : fc00:10:112:54::1
    • Passerelle par défaut IPv4. Entrez une passerelle IPv4 par défaut si Unified Access Gateway doit communiquer avec une adresse IP qui ne se trouve pas sur un segment local d'une carte réseau dans Unified Access Gateway.
    • Passerelle par défaut IPv6. Entrez une passerelle IPv6 par défaut si Unified Access Gateway doit communiquer avec une adresse IP qui ne se trouve pas sur un segment local d'une carte réseau dans Unified Access Gateway.
    • Adresse IPv4 de la carte réseau 2 (eth1). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.
    • Liste d'itinéraires personnalisés IPv4 séparés par une virgule pour la carte réseau 2 (eth1) au format ipv4-network-address/bits ipv4-gateway-address. Par exemple, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
      Note : Si la valeur adresse-passerelle-ipv4 n'est pas spécifiée, la route respective qui est ajoutée dispose d'une passerelle de 0.0.0.0
    • Adresse IPv6 de la carte réseau 2 (eth1). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.
    • Masque de réseau IPv4 de la carte réseau 2 (eth1). Entrez le masque de réseau IPv4 de cette carte réseau.
    • Préfixe IPv6 de la carte réseau 2 (eth1). Entrez le préfixe IPv6 de cette carte réseau.
    • Adresse IPv4 de la carte réseau 3 (eth2). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.
    • Liste d'itinéraires personnalisés IPv4 séparés par une virgule pour la carte réseau 3 (eth2) au format ipv4-network-address/bits ipv4-gateway-address. Par exemple, 20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
      Note : Si la valeur adresse-passerelle-ipv4 n'est pas spécifiée, la route respective qui est ajoutée dispose d'une passerelle de 0.0.0.0
    • Adresse IPv6 de la carte réseau 3 (eth2). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.
    • Masque de réseau IPv4 de la carte réseau 3 (eth2). Entrez le masque de réseau IPv4 de cette carte réseau.
    • Préfixe IPv6 de la carte réseau 3 (eth2). Entrez le préfixe IPv6 de cette carte réseau.
    • Mot de passe de l'utilisateur racine de la VM. Entrez le mot de passe de l'utilisateur racine pour vous connecter à la console UAG.
    • Mot de passe de l'interface utilisateur d'administration. Entrez le mot de passe de l'utilisateur Admin pour configurer Unified Access Gateway à partir de l'interface utilisateur d'administration et également accéder aux REST API.

    Les autres paramètres sont facultatifs ou ont déjà un paramètre par défaut.

    Activer SSH Option permettant d'activer SSH pour l'accès à Unified Access Gateway.
    Autoriser la connexion racine SSH à l'aide du mot de passe Option permettant d'accéder à Unified Access Gateway à l'aide d'une connexion racine SSH et d'un mot de passe.

    Par défaut, la valeur de cette option est true.

    Autoriser la connexion racine SSH à l'aide d'une paire de clés Option permettant d'accéder à Unified Access Gateway à l'aide d'une connexion racine SSH et d'une paire de clés publique-privée.

    Par défaut, cette valeur est false.

    L'interface utilisateur d'administration d'Unified Access Gateway dispose d'un champ Clés publiques SSH, où un administrateur peut télécharger des clés publiques pour autoriser l'accès d'un utilisateur racine à Unified Access Gateway lors de l'utilisation de l'option de paire de clés publique-privée. Pour que ce champ soit disponible dans l'interface utilisateur d'administration, la valeur de cette option et Activer SSH doivent être true au moment du déploiement. Si l'une de ces options n'est pas true, le champ Clés publiques SSH n'est pas disponible dans l'interface utilisateur d'administration.

    Le champ Clés publiques SSH est un paramètre système avancé dans l'interface utilisateur d'administration. Reportez-vous à la section Configurer les paramètres système d'Unified Access Gateway.

    Adhérer au CEIP Sélectionnez Participer au programme d'amélioration du produit VMware pour adhérer au CEIP ou désélectionnez l'option pour quitter le CEIP.
    Important : Vous ne pouvez configurer les options SSH que lors du déploiement. Pour des raisons liées à la sécurité, vous ne pouvez pas modifier ces options après le déploiement via l'interface utilisateur d'administration ou l'API d' Unified Access Gateway.
  5. Sur la page Prêt à terminer, sélectionnez Mettre sous tension après le déploiement et cliquez sur Terminer.
    Une tâche Déployer le modèle OVF apparaît dans la zone d'état de vCenter Server pour que vous puissiez contrôler le déploiement. Vous pouvez également ouvrir une console sur la machine virtuelle pour afficher les messages de la console qui sont affichés lors du démarrage du système. Un journal de ces messages est également disponible dans le fichier /var/log/boot.msg.
  6. Lorsque le déploiement est terminé, vérifiez que les utilisateurs finaux peuvent se connecter au dispositif en ouvrant un navigateur et en entrant l'URL suivante :
    https://FQDN-of-UAG-appliance

    Dans cette URL, FQDN-of-UAG-appliance est le nom de domaine complet pouvant être résolu par DNS du dispositif Unified Access Gateway.

    En cas de réussite du déploiement, la page Web fournie par le serveur vers laquelle pointe Unified Access Gateways'affiche. Si le déploiement échoue, vous pouvez supprimer la machine virtuelle de dispositif et déployer de nouveau le dispositif. L'erreur la plus courante est l'entrée erronée des empreintes numériques de certificat.

Résultats

Le dispositif Unified Access Gateway est déployé et démarre automatiquement.

Que faire ensuite

  • Connectez-vous à l'interface utilisateur d'administration d'Unified Access Gateway et configurez les ressources de poste de travail et d'application pour permettre un accès distant à partir d'Internet par le biais d'Unified Access Gateway et les méthodes d'authentification à utiliser dans la zone DMZ. L'URL de la console d'administration présente le format https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.
    Important : Vous devez terminer la configuration d' Unified Access Gateway après le déploiement à l'aide de l'interface utilisateur d'administration. Si vous ne fournissez pas le mot de passe de l'interface utilisateur d'administration, vous ne pouvez pas ajouter ultérieurement un utilisateur de l'interface utilisateur d'administration pour permettre l'accès à celle-ci ou à l'API. Vous devez redéployer votre instance Unified Access Gateway avec un mot de passe de l'interface utilisateur d'administration valide si vous souhaitez ajouter un utilisateur de l'interface utilisateur d'administration.
    Note : Si vous ne pouvez pas accéder à l'écran de connexion de l'interface utilisateur d'administration, vérifiez si l'adresse IP de la machine virtuelle est affichée lors de l'installation du fichier OVA. Si l'adresse IP n'est pas configurée, utilisez la commande VAMI mentionnée dans l'interface utilisateur pour reconfigurer les cartes réseau. Exécutez la commande "cd /opt/vmware/share/vami", puis la commande "./vami_config_net".