vCenter Server にログインして OVF テンプレートのデプロイ ウィザードを使用することで、Unified Access Gateway アプライアンスをデプロイできます。

標準の OVA および FIPS バージョンの OVA という、Unified Access Gateway OVA の 2 つのバージョンが利用できます。

OVA の FIPS バージョンでは次の Edge サービスがサポートされています。
  • Horizon(パススルー認証と証明書認証)
    注: 証明書認証には、スマートカード認証とデバイス証明書認証の両方が含まれます。
  • VMware Per-App トンネル
重要: FIPS 140-2 バージョンは FIPS 認定の暗号とハッシュのセットを使用して実行し、FIPS 認定ライブラリをサポートする制限付きサービスを有効にします。 Unified Access Gateway を FIPS モードでデプロイすると、アプライアンスを標準の OVA デプロイ モードに変更することはできません。FIPS バージョンでは Horizon Edge 認証を利用できません。

Unified Access Gateway のサイズ調整オプション

Workspace ONE セキュリティ ゲートウェイとしての Unified Access Gateway アプライアンスのデプロイを簡素化するため、アプライアンスのデプロイ設定にサイズ調整オプションが追加されています。デプロイの構成では、標準、大規模、特大規模の仮想マシンのいずれかを選択できます。
  • [標準:]この構成は、接続サーバの容量に合わせて最大 2000 の Horizon 接続をサポートする Horizon のデプロイに推奨されます。また、同時接続数が最大で 10,000 の Workspace ONE UEM デプロイ(モバイル ユースケース)にも推奨されます。
  • [大規模:]この構成は、Unified Access Gateway が 50,000 を超える同時接続をサポートする必要がある Workspace ONE UEM デプロイに推奨されます。このサイズにより、Content Gateway、アプリケーション単位のトンネルとプロキシ、およびリバース プロキシで同じ Unified Access Gateway アプライアンスを使用できます。
  • [特大]:Workspace ONE UEM の展開ではこの構成が推奨されます。この規模では、Content Gateway、アプリケーション単位のトンネルとプロキシ、およびリバース プロキシで同じ Unified Access Gateway アプライアンスを使用できます。
  • 注: 標準、大規模、および特大規模の展開のための仮想マシン オプション:
    • 標準 - 2 コアおよび 4 GB の RAM
    • 大規模 - 4 コアおよび 16 GB の RAM
    • 特大規模 - 8 コアおよび 32 GB の RAM

    Unified Access Gateway のサイズの推奨事項の詳細については、「VMware の構成の上限」を参照してください。

前提条件

  • ウィザードで使用できるデプロイ オプションを確認します。Unified Access Gatewayシステムとネットワークの要件を参照してください。
  • Unified Access Gateway アプライアンスを構成するためのネットワーク インターフェイスと静的 IP アドレスの数を決定します。ネットワーク構成の要件を参照してください。
  • Unified Access Gateway アプライアンスの .ova インストーラ ファイルを https://my.vmware.com/web/vmware/downloads にある VMware Web サイトからダウンロードするか、使用する http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova などの URL(Y.Y はバージョン番号、xxxxxxx はビルド番号)を判断します。
  • Hyper-V デプロイがあり、固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。
  • ユーザーの作業を止めずに古いアプライアンスを Unified Access Gateway の新しいインスタンスにアップグレードするには、「ダウンタイムなしのアップグレード」セクションを参照してください。

手順

  1. ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。
    IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6 ネットワークの場合、 vSphere Web Client を使用してください。
  2. [OVF テンプレートのデプロイ] ウィザードを開始するためのメニュー コマンドを選択します。
    オプション メニュー コマンド
    vSphere Client [ファイル] > [OVF テンプレートのデプロイ] を選択します。
    vSphere Web Client データセンター、フォルダ、クラスタ、リソース プール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリ オブジェクトを選択し、[アクション] メニューから [OVF テンプレートのデプロイ] を選択します。
  3. [ソースの選択] 画面で、ダウンロードした .ova ファイルを参照するか、URL を入力して [次へ] をクリックします。
    製品の詳細、バージョン、およびサイズ要件を確認します。
  4. 要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。ESXi と Hyper-V の両方には、Unified Access Gateway の IP 割り当てを割り当てる 2 つのオプションがあります。アップグレードしている場合、Hyper-V では、新しいアドレスのボックスをデプロイする前に同じ IP アドレスの古いボックスを削除します。ESXi では、古いボックスをオフにして、固定割り当てを使用して同じ IP アドレスの新しいボックスをデプロイできます。
    オプション 説明
    名前と場所 Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリ フォルダ内で一意である必要があります。名前は大文字と小文字が区別されます。

    仮想アプライアンスの場所を選択します。

    デプロイの構成 IPv4 または IPV6 ネットワークの場合、1 つ、2 つ、または 3 つのネットワーク インターフェイス (NIC) を使用できます。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。NIC の数とともに、Unified Access Gateway の展開オプションとして [標準] または [大規模] を選択することもできます。
    注: [標準] および [大規模] 展開のための仮想マシン オプション:
    • [標準] - 2 コアおよび 4 GB の RAM
    • [大規模] - 4 コアおよび 16 GB の RAM
    ホスト/クラスタ 仮想アプライアンスを実行するホストまたはクラスタを選択します。
    ディスク フォーマット 評価およびテスト環境では、シン プロビジョニング フォーマットを選択します。本番環境では、シック プロビジョニング フォーマットを選択します。シック プロビジョニングの Eager Zeroed は、フォールト トレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスク フォーマットのタイプです。
    ネットワークのセットアップ/ネットワーク マッピング vSphere Web Client を使用している場合は、[ネットワークのセットアップ] 画面で、各 NIC をネットワークにマッピングしてプロトコル設定を指定できます。

    OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。

    1. 表の最初の行 [インターネット] を選択してから、下向き矢印をクリックして宛先ネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。

      行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。

    2. 複数の NIC を使用している場合は、次の行 [管理ネットワーク] を選択して宛先ネットワークを選択すると、そのネットワークの DNS サーバとゲートウェイの IP アドレスと、ネットマスクを入力できます。

      NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。

    3. NIC が 3 つある場合は、3 番目の行も選択して設定を完成させます。

      NIC を 2 つのみ使用している場合は、この 3 番目の行 [バックエンド ネットワーク] には、[管理ネットワーク] に使用したものと同じネットワークを選択します。

    注: [IP プロトコル] ドロップダウン メニューが表示されている場合は無視し、ここでは何も選択しないでください。実際の IP プロトコルの選択(IPv4/IPv6/両方)は、ネットワーク プロパティのカスタマイズ時に NIC 1 (eth0)、NIC 2 (eth1)、NIC 3 (eth2) の IPMode にどの IP モードが指定されているかによって異なります。
    ネットワーク プロパティのカスタマイズ プロパティ画面のテキスト ボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザード画面のテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨てられている場合、右下からドラッグしてウィンドウのサイズを変更します。各 NIC に対して、STATICV4 の場合は NIC の IPv4 アドレスを入力する必要があります。STATICV6 の場合、その NIC については IPv6 アドレスを入力する必要があります。テキスト ボックスを空のままにすると、IP アドレスの割り当てはデフォルトで DHCPV4+DHCPV6 になります。
    重要: Unified Access Gateway の最新リリースでは、ネットワーク プロトコル プロファイル (NPP) のネットマスクまたはプリフィックス値、およびデフォルトのゲートウェイ設定を受け入れません。固定 IP 割り当てを使用して Unified Access Gateway を構成するには、ネットワーク プロパティのネットマスク/プリフィックスを構成する必要があります。これらの値は NPP からは入力されません。
    注: 値は大文字と小文字が区別されます。
    • [NIC1 (eth0) の IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ]
    • [NIC2(eth1) の IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ]
    • [NIC3 (eth2) の IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ].
    • [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]。たとえば、IPv4 の場合は、tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443 などです。
    • [NIC 1 (eth0) 用 IPv4 アドレス]:NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。
      • [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 1 (eth0) 用の IPv4 カスタム ルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。
        注: [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。
    • [NIC 1 (eth0) 用 IPv6 アドレス]:NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。
    • [NIC 1 (eth0) IPv4 ネットマスク]:NIC の IPv4 ネットマスクを入力します。
    • [NIC 1 (eth0) IPv6 プリフィックス]:NIC の IPv6 プリフィックスを入力します。
    • [DNS サーバ アドレス]Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は 192.0.2.1, 192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。
    • [IPv4 デフォルト ゲートウェイ]Unified Access GatewayUnified Access Gateway の NIC のローカル セグメントにない IP アドレスと通信する必要がある場合は、IPv4 デフォルト ゲートウェイを入力します。
    • [IPv6 デフォルト ゲートウェイ]Unified Access GatewayUnified Access Gateway の NIC のローカル セグメントにない IP アドレスと通信する必要がある場合は、IPv6 デフォルト ゲートウェイを入力します。
    • [NIC 2 (eth1) 用 IPv4 アドレス]:NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。
    • [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 2 (eth1) 用の IPv4 カスタム ルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。
      注: [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。
    • [NIC 2 (eth1) 用 IPv6 アドレス]:NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。
    • [NIC 2 (eth1) IPv4 ネットマスク]:この NIC の IPv4 ネットマスクを入力します。
    • [NIC 2 (eth1) IPv6 プリフィックス]:この NIC の IPv6 プリフィックスを入力します。
    • [NIC 3 (eth2) 用 IPv4 アドレス]:NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。
    • [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 3 (eth2) 用の IPv4 カスタム ルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。
      注: [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。
    • [NIC 3 (eth2) 用 IPv6 アドレス]:NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。
    • [NIC 3 (eth2) IPv4 ネットマスク]:この NIC の IPv4 ネットマスクを入力します。
    • [NIC 3 (eth2) IPv6 プリフィックス]:この NIC の IPv6 プリフィックスを入力します。
    • [仮想マシンの root ユーザー パスワード]。root ユーザーが UAG コンソールにログインするためのパスワードを入力します。
    • [管理ユーザー インターフェイスのパスワード]。管理者ユーザーのパスワードを入力して、管理ユーザー インターフェイスから Unified Access Gateway を設定し、REST API にもアクセスします。

    その他の設定はオプションの設定であるか、デフォルト設定がすでに入力されています。

    SSH を有効にする Unified Access Gateway にアクセスするための SSH を有効にするオプション。
    パスワードを使用した SSH root ログインを許可する SSH root ログインとパスワードを使用して Unified Access Gateway にアクセスするオプション。

    デフォルトでは、このオプションの値は true です。

    キー ペアを使用した SSH root ログインを許可する SSH root ログインとパブリック/プライベート キー ペアを使用して Unified Access Gateway にアクセスするオプション。

    デフォルトでは、この値は false です。

    Unified Access Gateway 管理ユーザー インターフェイスには、[SSH パブリック キー] というフィールドがあり、管理者はパブリック キーをアップロードして、root ユーザーがパブリック/プライベート キー ペアのオプションを使用するときに Unified Access Gateway にアクセスできるようにします。このフィールドを管理ユーザー インターフェイスで使用できるようにするには、このオプションの値と [SSH を有効にする] がデプロイ時に true になっている必要があります。これらのオプションのいずれかが true でない場合、[SSH パブリック キー] フィールドを管理ユーザー インターフェイスで使用することはできません。

    [SSH パブリック キー] フィールドは、管理ユーザー インターフェイスの高度なシステム設定です。Unified Access Gateway システム設定の構成を参照してください。

    CEIP に参加 [VMware カスタマ エクスペリエンス向上プログラムに参加する] をオンにして CEIP に参加するか、このオプションをオフにして CEIP から脱退します。
    重要: SSH オプションは、デプロイ時にのみ構成できます。セキュリティ関連の理由により、これらのオプションは、デプロイ後に Unified Access Gateway 管理ユーザー インターフェイスまたは API を使用して変更することはできません。
  5. 準備完了画面で [デプロイ後にパワーオン] を選択し、[完了] をクリックします。
    OVF テンプレートのデプロイ タスクが vCenter Server のステータス エリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソール メッセージを確認することもできます。これらのメッセージのログは、 /var/log/boot.msg ファイルにも記録されます。
  6. デプロイが完了したら、エンド ユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。
    https://FQDN-of-UAG-appliance

    この URL で、FQDN-of-UAG-applianceUnified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。

    デプロイが成功した場合、 Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデプロイできます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

結果

Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。

次のタスク

  • Unified Access Gateway の管理ユーザー インターフェイス (UI) にログインし、デスクトップとアプリケーション リソースを設定し、Unified Access Gateway を介したインターネットからのリモート アクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html となります。
    重要: 管理ユーザー インターフェイスを使用して、デプロイ後の Unified Access Gateway 設定を完了する必要があります。管理ユーザー インターフェイスのパスワードを入力しないと、後から管理ユーザー インターフェイスのユーザーを追加して、管理ユーザー インターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザー インターフェイスのユーザーを追加する場合は、 Unified Access Gateway インスタンスを有効な管理ユーザー インターフェイスのパスワードで再デプロイする必要があります。
    注: 管理ユーザー インターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザー インターフェイスで説明した VAMI コマンドを使用して NIC を再設定します。 "cd /opt/vmware/share/vami" としてコマンドを実行し、次にコマンド "./vami_config_net" を実行します。