OVF テンプレートウィザードによる Unified Access Gateway のデプロイ

vCenter Server にログインして OVF テンプレートのデプロイウィザードを使用することで、Unified Access Gateway アプライアンスをデプロイできます。

標準の OVA および FIPS バージョンの OVA という、Unified Access Gateway OVA の 2 つのバージョンが利用できます。

OVA の FIPS バージョンでは次の Edge サービスがサポートされています。

Horizon（パススルー認証と証明書認証）
注：証明書認証には、スマートカード認証とデバイス証明書認証の両方が含まれます。
VMware Per-App トンネル

重要： FIPS 140-2 バージョンは FIPS 認定の暗号とハッシュのセットを使用して実行し、FIPS 認定ライブラリをサポートする制限付きサービスを有効にします。 Unified Access Gateway を FIPS モードでデプロイすると、アプライアンスを標準の OVA デプロイモードに変更することはできません。FIPS バージョンでは Horizon Edge 認証を利用できません。

Unified Access Gateway のサイズ調整オプション

Workspace ONE セキュリティゲートウェイとしての Unified Access Gateway アプライアンスのデプロイを簡素化するため、アプライアンスのデプロイ設定にサイズ調整オプションが追加されています。デプロイの構成では、標準、大規模、特大規模の仮想マシンのいずれかを選択できます。

[標準：]この構成は、接続サーバの容量に合わせて最大 2000 の Horizon 接続をサポートする Horizon のデプロイに推奨されます。また、同時接続数が最大で 10,000 の Workspace ONE UEM デプロイ（モバイルユースケース）にも推奨されます。
[大規模：]この構成は、Unified Access Gateway が 50,000 を超える同時接続をサポートする必要がある Workspace ONE UEM デプロイに推奨されます。このサイズにより、Content Gateway、アプリケーション単位のトンネルとプロキシ、およびリバースプロキシで同じ Unified Access Gateway アプライアンスを使用できます。
[特大]：Workspace ONE UEM の展開ではこの構成が推奨されます。この規模では、Content Gateway、アプリケーション単位のトンネルとプロキシ、およびリバースプロキシで同じ Unified Access Gateway アプライアンスを使用できます。
注：標準、大規模、および特大規模の展開のための仮想マシンオプション：
- 標準 - 2 コアおよび 4 GB の RAM
- 大規模 - 4 コアおよび 16 GB の RAM
- 特大規模 - 8 コアおよび 32 GB の RAM
Unified Access Gateway のサイズの推奨事項の詳細については、「VMware の構成の上限」を参照してください。

前提条件

ウィザードで使用できるデプロイオプションを確認します。Unified Access Gatewayシステムとネットワークの要件を参照してください。
Unified Access Gateway アプライアンスを構成するためのネットワークインターフェイスと静的 IP アドレスの数を決定します。ネットワーク構成の要件を参照してください。
Unified Access Gateway アプライアンスの .ova インストーラファイルを https://my.vmware.com/web/vmware/downloads にある VMware Web サイトからダウンロードするか、使用する http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova などの URL（Y.Y はバージョン番号、xxxxxxx はビルド番号）を判断します。
Hyper-V デプロイがあり、固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。
ユーザーの作業を止めずに古いアプライアンスを Unified Access Gateway の新しいインスタンスにアップグレードするには、「ダウンタイムなしのアップグレード」セクションを参照してください。

手順

ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。
IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6 ネットワークの場合、 vSphere Web Client を使用してください。

[OVF テンプレートのデプロイ] ウィザードを開始するためのメニューコマンドを選択します。

オプション	メニューコマンド
vSphere Client	[ファイル] > [OVF テンプレートのデプロイ] を選択します。
vSphere Web Client	データセンター、フォルダ、クラスタ、リソースプール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリオブジェクトを選択し、[アクション] メニューから [OVF テンプレートのデプロイ] を選択します。

[ソースの選択] 画面で、ダウンロードした .ova ファイルを参照するか、URL を入力して [次へ] をクリックします。
製品の詳細、バージョン、およびサイズ要件を確認します。

要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。ESXi と Hyper-V の両方には、Unified Access Gateway の IP 割り当てを割り当てる 2 つのオプションがあります。アップグレードしている場合、Hyper-V では、新しいアドレスのボックスをデプロイする前に同じ IP アドレスの古いボックスを削除します。ESXi では、古いボックスをオフにして、固定割り当てを使用して同じ IP アドレスの新しいボックスをデプロイできます。

オプション	説明
名前と場所	Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリフォルダ内で一意である必要があります。名前は大文字と小文字が区別されます。仮想アプライアンスの場所を選択します。
デプロイの構成	IPv4 または IPV6 ネットワークの場合、1 つ、2 つ、または 3 つのネットワークインターフェイス (NIC) を使用できます。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。NIC の数とともに、Unified Access Gateway の展開オプションとして [標準] または [大規模] を選択することもできます。注： [標準] および [大規模] 展開のための仮想マシンオプション： [標準] - 2 コアおよび 4 GB の RAM [大規模] - 4 コアおよび 16 GB の RAM
ホスト/クラスタ	仮想アプライアンスを実行するホストまたはクラスタを選択します。
ディスクフォーマット	評価およびテスト環境では、シンプロビジョニングフォーマットを選択します。本番環境では、シックプロビジョニングフォーマットを選択します。シックプロビジョニングの Eager Zeroed は、フォールトトレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスクフォーマットのタイプです。
ネットワークのセットアップ/ネットワークマッピング	vSphere Web Client を使用している場合は、[ネットワークのセットアップ] 画面で、各 NIC をネットワークにマッピングしてプロトコル設定を指定できます。 OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。表の最初の行 [インターネット] を選択してから、下向き矢印をクリックして宛先ネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。複数の NIC を使用している場合は、次の行 [管理ネットワーク] を選択して宛先ネットワークを選択すると、そのネットワークの DNS サーバとゲートウェイの IP アドレスと、ネットマスクを入力できます。 NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。 NIC が 3 つある場合は、3 番目の行も選択して設定を完成させます。 NIC を 2 つのみ使用している場合は、この 3 番目の行 [バックエンドネットワーク] には、[管理ネットワーク] に使用したものと同じネットワークを選択します。注： [IP プロトコル] ドロップダウンメニューが表示されている場合は無視し、ここでは何も選択しないでください。実際の IP プロトコルの選択（IPv4/IPv6/両方）は、ネットワークプロパティのカスタマイズ時に NIC 1 (eth0)、NIC 2 (eth1)、NIC 3 (eth2) の IPMode にどの IP モードが指定されているかによって異なります。
ネットワークプロパティのカスタマイズ	プロパティ画面のテキストボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザード画面のテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨てられている場合、右下からドラッグしてウィンドウのサイズを変更します。各 NIC に対して、STATICV4 の場合は NIC の IPv4 アドレスを入力する必要があります。STATICV6 の場合、その NIC については IPv6 アドレスを入力する必要があります。テキストボックスを空のままにすると、IP アドレスの割り当てはデフォルトで DHCPV4+DHCPV6 になります。重要： Unified Access Gateway の最新リリースでは、ネットワークプロトコルプロファイル (NPP) のネットマスクまたはプリフィックス値、およびデフォルトのゲートウェイ設定を受け入れません。固定 IP 割り当てを使用して Unified Access Gateway を構成するには、ネットワークプロパティのネットマスク/プリフィックスを構成する必要があります。これらの値は NPP からは入力されません。注：値は大文字と小文字が区別されます。 [NIC1 (eth0) の IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ] [NIC2(eth1) の IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ] [NIC3 (eth2) の IPMode：STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6 ]. [「{tcp\|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]。たとえば、IPv4 の場合は、tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443 などです。 [NIC 1 (eth0) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。 [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 1 (eth0) 用の IPv4 カスタムルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。注： [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。 [NIC 1 (eth0) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。 [NIC 1 (eth0) IPv4 ネットマスク]：NIC の IPv4 ネットマスクを入力します。 [NIC 1 (eth0) IPv6 プリフィックス]：NIC の IPv6 プリフィックスを入力します。 [DNS サーバアドレス]：Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は 192.0.2.1, 192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。 [IPv4 デフォルトゲートウェイ]。Unified Access Gateway が Unified Access Gateway の NIC のローカルセグメントにない IP アドレスと通信する必要がある場合は、IPv4 デフォルトゲートウェイを入力します。 [IPv6 デフォルトゲートウェイ]。Unified Access Gateway が Unified Access Gateway の NIC のローカルセグメントにない IP アドレスと通信する必要がある場合は、IPv6 デフォルトゲートウェイを入力します。 [NIC 2 (eth1) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。 [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 2 (eth1) 用の IPv4 カスタムルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。注： [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。 [NIC 2 (eth1) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。 [NIC 2 (eth1) IPv4 ネットマスク]：この NIC の IPv4 ネットマスクを入力します。 [NIC 2 (eth1) IPv6 プリフィックス]：この NIC の IPv6 プリフィックスを入力します。 [NIC 3 (eth2) 用 IPv4 アドレス]：NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。 [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC 3 (eth2) 用の IPv4 カスタムルートのカンマ区切りリスト]。たとえば、20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32 などです。注： [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。 [NIC 3 (eth2) 用 IPv6 アドレス]：NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。 [NIC 3 (eth2) IPv4 ネットマスク]：この NIC の IPv4 ネットマスクを入力します。 [NIC 3 (eth2) IPv6 プリフィックス]：この NIC の IPv6 プリフィックスを入力します。 [仮想マシンの root ユーザーパスワード]。root ユーザーが UAG コンソールにログインするためのパスワードを入力します。 [管理ユーザーインターフェイスのパスワード]。管理者ユーザーのパスワードを入力して、管理ユーザーインターフェイスから Unified Access Gateway を設定し、REST API にもアクセスします。その他の設定はオプションの設定であるか、デフォルト設定がすでに入力されています。
SSH を有効にする	Unified Access Gateway にアクセスするための SSH を有効にするオプション。
パスワードを使用した SSH root ログインを許可する	SSH root ログインとパスワードを使用して Unified Access Gateway にアクセスするオプション。デフォルトでは、このオプションの値は `true` です。
キーペアを使用した SSH root ログインを許可する	SSH root ログインとパブリック/プライベートキーペアを使用して Unified Access Gateway にアクセスするオプション。デフォルトでは、この値は `false` です。 Unified Access Gateway 管理ユーザーインターフェイスには、[SSH パブリックキー] というフィールドがあり、管理者はパブリックキーをアップロードして、root ユーザーがパブリック/プライベートキーペアのオプションを使用するときに Unified Access Gateway にアクセスできるようにします。このフィールドを管理ユーザーインターフェイスで使用できるようにするには、このオプションの値と [SSH を有効にする] がデプロイ時に `true` になっている必要があります。これらのオプションのいずれかが `true` でない場合、[SSH パブリックキー] フィールドを管理ユーザーインターフェイスで使用することはできません。 [SSH パブリックキー] フィールドは、管理ユーザーインターフェイスの高度なシステム設定です。Unified Access Gateway システム設定の構成を参照してください。
CEIP に参加	[VMware カスタマエクスペリエンス向上プログラムに参加する] をオンにして CEIP に参加するか、このオプションをオフにして CEIP から脱退します。

重要： SSH オプションは、デプロイ時にのみ構成できます。セキュリティ関連の理由により、これらのオプションは、デプロイ後に Unified Access Gateway 管理ユーザーインターフェイスまたは API を使用して変更することはできません。

準備完了画面で [デプロイ後にパワーオン] を選択し、[完了] をクリックします。
OVF テンプレートのデプロイタスクが vCenter Server のステータスエリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソールメッセージを確認することもできます。これらのメッセージのログは、 /var/log/boot.msg ファイルにも記録されます。
デプロイが完了したら、エンドユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。
```
https://FQDN-of-UAG-appliance
```
この URL で、FQDN-of-UAG-appliance は Unified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。
デプロイが成功した場合、 Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデプロイできます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

結果

Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。

次のタスク

Unified Access Gateway の管理ユーザーインターフェイス (UI) にログインし、デスクトップとアプリケーションリソースを設定し、Unified Access Gateway を介したインターネットからのリモートアクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html となります。
重要：管理ユーザーインターフェイスを使用して、デプロイ後の Unified Access Gateway 設定を完了する必要があります。管理ユーザーインターフェイスのパスワードを入力しないと、後から管理ユーザーインターフェイスのユーザーを追加して、管理ユーザーインターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザーインターフェイスのユーザーを追加する場合は、 Unified Access Gateway インスタンスを有効な管理ユーザーインターフェイスのパスワードで再デプロイする必要があります。

注：管理ユーザーインターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザーインターフェイスで説明した VAMI コマンドを使用して NIC を再設定します。 "cd /opt/vmware/share/vami" としてコマンドを実行し、次にコマンド "./vami_config_net" を実行します。