Vous pouvez déployer le dispositif Unified Access Gateway en ouvrant une session sur vCenter Server et en utilisant l'assistant Déployer le modèle OVF.

Pourquoi et quand exécuter cette tâche

Deux versions du fichier OVA d'Unified Access Gateway sont disponibles, OVA standard et une version FIPS de l'OVA.

La version FIPS de l’OVA prend en charge les services Edge suivants :

  • Horizon (authentification directe uniquement)

  • Tunnel par application avec VMware

Important :

La version FIPS 140-2 s'exécute avec le jeu de chiffrements et de hachages certifié par FIPS et elle dispose de services restrictifs activés qui prennent en charge des bibliothèques certifiées par FIPS. Lorsqu'Unified Access Gateway est déployé en mode FIPS, le dispositif ne peut pas être passé en mode de déploiement OVA standard.

Préambules

  • Examinez les options de déploiement qui sont disponibles dans l'assistant. Reportez-vous à la section Configuration requise pour le système et le réseau Unified Access Gateway.

  • Déterminez le nombre d'interfaces réseau et d'adresses IP statiques à configurer pour le dispositif Unified Access Gateway. Reportez-vous à la section Configuration requise pour le réseau.

  • Téléchargez le fichier de programme d'installation .ova pour le dispositif Unified Access Gateway sur le site Web VMware à l'adresse https://my.vmware.com/web/vmware/downloads ou déterminez l'URL à utiliser (exemple : http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), où Y.Y est le numéro de version et xxxxxxx le numéro de build.

  • Si vous utilisez le client natif vSphere, vérifiez que vous avez affecté un pool IP à chaque réseau. Pour ajouter un pool IP dans vCenter Server au moyen du client natif vSphere, accédez à l'onglet Pools IP du centre de données. Si vous utilisez le client Web vSphere, vous pouvez également créer un profil de protocole réseau. Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocole réseau.

Procédure

  1. Utilisez le client natif vSphere ou le client Web vSphere pour ouvrir une session sur une instance de vCenter Server.

    Pour un réseau IPv4, utilisez le client natif vSphere ou le client Web vSphere. Pour un réseau IPv6, utilisez vSphere Web Client.

  2. Sélectionnez une commande de menu pour lancer l'assistant Déployer le modèle OVF.

    Option

    Commande de menu

    vSphere Client

    Sélectionnez Fichier > Déployer le modèle OVF.

    vSphere Web Client

    Sélectionnez un objet d'inventaire qui est un objet parent valide d'une machine virtuelle, tel qu'un centre de données, un dossier, un cluster, un pool de ressources ou un hôte et, dans le menu Actions, sélectionnez Déployer le modèle OVF.
  3. Sur la page Sélectionner la source, accédez au fichier .ova que vous avez téléchargé ou entrez une URL et cliquez sur Suivant.

    Examinez les détails du produit, la version et les exigences de taille.

  4. Suivez les invites de l'assistant en tenant compte des conseils suivants.

    Option

    Description

    Nom et emplacement

    Saisissez un nom pour le dispositif virtuel Unified Access Gateway. Il doit être unique dans le dossier de l'inventaire. Les noms sont sensibles à la casse.

    Sélectionnez un emplacement pour le dispositif virtuel.

    Configuration de déploiement

    Pour un réseau IPv4, vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseau). Pour un réseau IPv6, utilisez trois cartes réseau. Unified Access Gateway requiert une adresse IP statique séparée pour chaque carte réseau. De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Unified Access Gateway en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé.

    Hôte/Cluster

    Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel.

    Format de disque

    Pour les environnements d'évaluation et de test, sélectionnez le format Provisionnement fin. Pour les environnements de production, sélectionnez l'un des formats Provisionnement statique. Provisionnement statique immédiatement mis à zéro est un type de format de disque virtuel statique qui prend en charge les fonctionnalités de cluster, telles que la tolérance aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres types de disques virtuels.

    Configuration des réseaux/Mappage réseau

    Si vous utilisez vSphere Web Client, la page Configuration des réseaux vous permet de mapper chaque carte réseau vers un réseau et de spécifier des paramètres de protocole.

    Mappez les réseaux utilisés dans ce modèle OVF aux réseaux de votre inventaire.

    1. Sélectionnez IPv4 ou IPv6 dans la liste déroulante Protocole IP.

    2. Sélectionnez la première ligne du tableau Internet et cliquez sur la flèche vers le bas pour sélectionner le réseau de destination. Si vous sélectionnez IPv6 comme protocole IP, vous devez sélectionner le réseau avec des capacités IPv6.

      Après avoir sélectionné la ligne, vous pouvez également entrer des adresses IP pour le serveur DNS, la passerelle et le masque de réseau dans la partie inférieure de la fenêtre.

    3. Si vous utilisez plusieurs cartes réseau, sélectionnez la ligne suivante ManagementNetwork, sélectionnez le réseau de destination ; vous pouvez ensuite entrer les adresses IP pour le serveur DNS, la passerelle et le masque de réseau pour ce réseau.

      Si vous n'utilisez qu'une seule carte réseau, toutes les lignes sont mappées vers le même réseau.

    4. Si vous avez une troisième carte réseau, sélectionnez également la troisième ligne et remplissez les paramètres.

      Si vous n'utilisez que deux cartes réseau, pour cette troisième ligne BackendNetwork, sélectionnez le réseau que vous avez utilisé pour ManagementNetwork.

    Avec le client Web vSphere, s'il n'existe pas encore de profil de protocole réseau, il est automatiquement créé lorsque l'assistant est terminé.

    Si vous utilisez le client natif vSphere, la page Mappage réseau vous permet de mapper chaque carte réseau à un réseau, mais il n'y a pas de champ pour spécifier les adresses du serveur DNS, de la passerelle et du masque de réseau. Comme décrit dans les conditions préalables, vous devez déjà avoir attribué un pool IP à chaque réseau ou avoir créé un profil de protocole réseau.

    Personnaliser les propriétés réseau

    Les cases sur la page Propriétés sont spécifiques à Unified Access Gateway et il est probable qu'elles ne soient pas requises pour d'autres types de dispositifs virtuels. Le texte sur la page de l'assistant explique chaque paramètre. Si le texte est tronqué sur le côté droit de l'assistant, redimensionnez la fenêtre en faisant glisser le curseur à partir de l'angle inférieur droit.

    • IPMode:STATICV4/STATICV6. Si vous entrez STATICV4, vous devez entrer l'adresse IPv4 de la carte réseau. Si vous entrez STATICV6, vous devez entrer l'adresse IPv6 de la carte réseau.

    • Liste de règles de transfert séparées par une virgule au format {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu

    • Adresse IPv4 de la carte réseau 1 (ETH0). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.

    • Liste d'itinéraires personnalisés IPv4 séparés par une virgule pour la carte réseau 1 (eth0) au format ipv4-network-address/bits.ipv4-gateway-address

    • Adresse IPv6 de la carte réseau 1 (eth0). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.

    • Masque de réseau de remplacement IPv4 de la carte réseau 1 (eth0). Entrez le masque de réseau IPv4 de la carte réseau qui remplacerait le masque de réseau par défaut eth0 du profil de protocole réseau (NPP).

    • Préfixe de remplacement IPv6 de la carte réseau 1 (eth0). Entrez le préfixe IPv6 de la carte réseau qui remplacerait le préfixe par défaut eth0 du profil de protocole réseau (NPP).

    • Adresses de serveur DNS. Entrez les adresses IPv4 ou IPv6, séparées par des espaces, des serveurs de nom de domaine du dispositif Unified Access Gateway. Exemple d'entrée IPv4 : 192.0.2.1 192.0.2.2. Exemple d'entrée IPv6 : fc00:10:112:54::1

    • Passerelle par défaut. Entrez une valeur par défaut définie par les profils de protocole réseau vSphere (Remarque : entrez une valeur de passerelle par défaut uniquement si le mode IP est STATICV4/STATICV6).

    • Adresse IPv4 de la carte réseau 2 (eth1). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.

    • Liste d'itinéraires personnalisés IPv4 séparés par une virgule pour la carte réseau 2 (eth1) au format ipv4-network-address/bits.ipv4-gateway-address

    • Adresse IPv6 de la carte réseau 2 (eth1). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.

    • Masque de réseau de remplacement IPv4 de la carte réseau 2 (eth1). Entrez le masque de réseau IPv4 de la carte réseau qui remplacerait le masque de réseau par défaut eth1 du profil de protocole réseau (NPP).

    • Préfixe de remplacement IPv6 de la carte réseau 2 (eth1). Entrez le préfixe IPv6 de la carte réseau qui remplacerait le préfixe par défaut eth1 du profil de protocole réseau (NPP).

    • Adresse IPv4 de la carte réseau 3 (eth2). Entrez l'adresse IPv4 de la carte réseau si vous avez entré STATICV4 pour le mode de carte réseau.

    • Liste d'itinéraires personnalisés IPv4 séparés par une virgule pour la carte réseau 3 (eth2) au format ipv4-network-address/bits.ipv4-gateway-address

    • Adresse IPv6 de la carte réseau 3 (eth2). Entrez l'adresse IPv6 de la carte réseau si vous avez entré STATICV6 pour le mode de carte réseau.

    • Masque de réseau de remplacement IPv4 de la carte réseau 3 (eth2). Entrez le masque de réseau IPv4 de la carte réseau qui remplacerait le masque de réseau par défaut eth2 du profil de protocole réseau (NPP).

    • Préfixe de remplacement IPv6 de la carte réseau 3 (eth2). Entrez le préfixe IPv6 de la carte réseau qui remplacerait le préfixe par défaut eth2 du profil de protocole réseau (NPP).

    • Options de mot de passe. Entrez le mot de passe de l'utilisateur racine de cette VM et le mot de passe de l'administrateur qui accède à la console d'administration et qui active l'accès à l'API REST.

    • Options de mot de passe. Entrez le mot de passe de l'administrateur qui se connecte à l'interface utilisateur d'administration pour configurer Unified Access Gateway et qui peut activer l'accès à l'API REST.

    • Partage de port TLS 443. Cochez cette case pour activer le partage de port 443 avec un proxy HA. Si elle est sélectionnée ici, cette valeur ne peut pas être modifiée dans l'interface utilisateur d'administration. Vous pouvez afficher les règles TLS SNI dans l'interface utilisateur d'administration dans les paramètres Content Gateway ou du tunnel VMware.

    Les autres paramètres sont facultatifs ou ont déjà un paramètre par défaut.

    Adhérer au CEIP

    Sélectionnez Participer au programme d'amélioration du produit VMware pour adhérer au CEIP ou désélectionnez l'option pour quitter le CEIP.
  5. Sur la page Prêt à terminer, sélectionnez Mettre sous tension après le déploiement et cliquez sur Terminer.

    Une tâche Déployer le modèle OVF apparaît dans la zone d'état de vCenter Server pour que vous puissiez contrôler le déploiement. Vous pouvez également ouvrir une console sur la machine virtuelle pour afficher les messages de console qui sont affichés lors du démarrage du système. Un journal de ces messages est également disponible dans le fichier /var/log/boot.msg.

  6. Lorsque le déploiement est terminé, vérifiez que les utilisateurs finaux peuvent se connecter au dispositif en ouvrant un navigateur et en entrant l'URL suivante : 
    https://FQDN-of-UAG-appliance

    Dans cette URL, FQDN-of-UAG-appliance est le nom de domaine complet pouvant être résolu par DNS du dispositif Unified Access Gateway.

    En cas de réussite du déploiement, la page Web fournie par le serveur vers laquelle pointe Unified Access Gateways'affiche. Si le déploiement échoue, vous pouvez supprimer la machine virtuelle de dispositif et déployer de nouveau le dispositif. L'erreur la plus courante est l'entrée erronée des empreintes numériques de certificat.

Résultats

Le dispositif Unified Access Gateway est déployé et démarre automatiquement.

Que faire ensuite

Connectez-vous à l'interface utilisateur d'administration d'Unified Access Gateway et configurez les ressources de poste de travail et d'application pour permettre un accès distant à partir d'Internet par le biais d'Unified Access Gateway et les méthodes d'authentification à utiliser dans la zone DMZ. L'URL de la console d'administration présente le format https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html.

Remarque :

Si vous ne pouvez pas accéder à l'écran de connexion de l'interface utilisateur d'administration, vérifiez si l'adresse IP de la machine virtuelle est affichée lors de l'installation du fichier OVA. Si l'adresse IP n'est pas configurée, utilisez la commande VAMI mentionnée dans l'interface utilisateur pour reconfigurer les cartes réseau. Exécutez la commande " cd /opt/vmware/share/vami", puis la commande "./vami_config_net".