vCenter Server にログインして OVF テンプレートのデプロイ ウィザードを使用することで、Unified Access Gateway アプライアンスをデプロイできます。

Unified Access Gateway のサイズ調整オプション

Workspace ONE セキュリティ ゲートウェイとしての Unified Access Gateway アプライアンスのデプロイを簡素化するため、アプライアンスのデプロイ設定にサイズ調整オプションが追加されています。デプロイの構成では、標準、大規模、特大規模の仮想マシンのいずれかを選択できます。
  • [標準:]この構成は、接続サーバの容量に合わせて最大 2000 の Horizon 接続をサポートする Horizon のデプロイに推奨されます。また、同時接続数が最大で 10,000 の Workspace ONE UEM デプロイ(モバイル ユースケース)にも推奨されます。
  • [大規模:]この構成は、Unified Access Gateway が 50,000 を超える同時接続をサポートする必要がある Workspace ONE UEM デプロイに推奨されます。このサイズにより、Content Gateway、アプリケーション単位のトンネル、およびリバース プロキシで同じ Unified Access Gateway アプライアンスを使用できます。
  • [特大]Workspace ONE UEM の展開ではこの構成が推奨されます。このサイズにより、Content Gateway、アプリケーション単位のトンネル、およびリバース プロキシで同じ Unified Access Gateway アプライアンスを使用できます。
  • 注: 標準、大規模、および特大規模の展開のための仮想マシン オプション:
    • 標準 - 2 コアおよび 4 GB の RAM
    • 大規模 - 4 コアおよび 16GB の RAM
    • 特大規模 - 8 コアおよび 32GB の RAM

    これらは、PowerShell を使用して設定できます。PowerShell パラメータの詳細については、PowerShell を使用した Unified Access Gateway アプライアンスのデプロイを参照してください。

    Unified Access Gateway のサイズの推奨事項の詳細については、「VMware の構成の上限」を参照してください。

前提条件

  • ウィザードで使用できるデプロイ オプションを確認します。Unified Access Gatewayシステムとネットワークの要件を参照してください。
  • Unified Access Gateway アプライアンスを構成するためのネットワーク インターフェイスと静的 IP アドレスの数を決定します。ネットワーク構成の要件を参照してください。
  • Unified Access Gateway アプライアンスの .ova インストーラ ファイルを VMware Web サイト(https://my.vmware.com/web/vmware/downloads)からダウンロードするか、使用する http://example.com/vapps/euc-unified-access-gateway-YY.MM.0.0-xxxxxxx_OVF10.ova などの URL(YY.MM はバージョン番号、xxxxxxx はビルド番号)を判断します。
  • Hyper-V デプロイがあり、固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。
  • ユーザーの作業を止めずに古いアプライアンスを Unified Access Gateway の新しいインスタンスにアップグレードするには、「ダウンタイムなしのアップグレード」セクションを参照してください。

手順

  1. ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。
    IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6 ネットワークの場合、 vSphere Web Client を使用してください。
  2. [OVF テンプレートのデプロイ] ウィザードを開始するためのメニュー コマンドを選択します。
    オプション メニュー コマンド
    vSphere Client [ファイル] > [OVF テンプレートのデプロイ] を選択します。
    vSphere Web Client データセンター、フォルダ、クラスタ、リソース プール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリ オブジェクトを選択し、[アクション] メニューから [OVF テンプレートのデプロイ] を選択します。
  3. [OVF テンプレートの選択] ページで、[URL] をクリックして URL を入力し、インターネットから OVF テンプレートをダウンロードしてインストールするか、[ローカル ファイル] をクリックして、ダウンロードした .ova ファイルを参照します。[次へ] をクリックします。
    製品の詳細、バージョン、およびサイズ要件を確認します。
  4. 要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。ESXi と Hyper-V の両方には、Unified Access Gateway の IP 割り当てを割り当てる 2 つのオプションがあります。アップグレードしている場合、Hyper-V では、新しいアドレスのボックスをデプロイする前に同じ IP アドレスの古いボックスを削除します。ESXi では、古いボックスをオフにして、固定割り当てを使用して同じ IP アドレスの新しいボックスをデプロイできます。
    表 1. OVF のデプロイ オプション
    オプション 説明
    名前とフォルダの選択
    名前と場所 [仮想マシン名] フィールドに、Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリ フォルダ内で一意である必要があります。名前は大文字と小文字が区別されます。

    リストから [仮想マシンの場所を選択] します。

    コンピューティング リソースの選択
    ホスト/クラスタ 仮想アプライアンスを実行するホストまたはクラスタを選択します。

    結果:互換性と検証のチェックが実行され、コンピューティング リソースが OVF をサポートできるかどうかが検証されます。

    詳細の確認

    OVF デプロイの詳細を確認します。

    構成
    デプロイ構成の選択 IPv4 または IPV6 ネットワークの場合、1 つ、2 つ、または 3 つのネットワーク インターフェイス (NIC) を使用できます。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。NIC の数とともに、Unified Access Gateway の展開オプションとして [標準] または [大規模] を選択することもできます。
    注: [標準] および [大規模] 展開のための仮想マシン オプション:
    • [標準] - 2 コアおよび 4 GB の RAM
    • [大規模] - 4 コアおよび 16 GB の RAM
    • [特大規模] - 8 コアおよび 32 GB の RAM
    ストレージの選択
    仮想ディスク フォーマットの選択 評価およびテスト環境では、シン プロビジョニング フォーマットを選択します。本番環境では、シック プロビジョニング フォーマットを選択します。

    シック プロビジョニングの Eager Zeroed は、フォールト トレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスク フォーマットのタイプです。

    仮想マシン ストレージ ポリシー

    データストアのデフォルトまたはその他の構成済みストレージ ポリシー。詳細については、VMware DocsVMware vSphere のドキュメント の「仮想マシン ストレージ ポリシー」を参照してください。

    ネットワークの選択
    vSphere Web Client を使用している場合は、[ネットワークの選択] 画面で、各 NIC をネットワークにマッピングしてプロトコル設定を指定できます。

    OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。

    1. 複数の NIC を使用している場合は、[ManagementNetwork] 行で、接続先のネットワークを選択し、そのネットワークの DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスを入力します。

      NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。

    2. NIC が 3 つある場合は、3 番目の行を選択して設定を完成させます。

      NIC を 2 つのみ使用している場合は、[BackendNetwork] 行には [ManagementNetwork] に使用したものと同じネットワークを選択します。

    3. [Internet] 行を選択し、下矢印をクリックして接続先のネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。

      行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。[次へ] をクリックします。

    注: [IP プロトコル] ドロップダウン メニューが表示されている場合は無視し、ここでは何も選択しないでください。実際の IP プロトコルの選択(IPv4/IPv6/両方)は、ネットワーク プロパティのカスタマイズ時に NIC 1 (eth0)、NIC 2 (eth1)、NIC 3 (eth2) の IPMode にどの IP モードが指定されているかによって異なります。DNS サーバとデフォルト ゲートウェイの設定はグローバルであり、特定の NIC には関連付けられていません。
    テンプレートのカスタマイズ
    ネットワーク プロパティ プロパティ画面のテキスト ボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザード画面のテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨てられている場合、右下からドラッグしてウィンドウのサイズを変更します。各 NIC に対して、STATICV4 の場合は NIC の IPv4 アドレスを入力する必要があります。STATICV6 の場合、その NIC については IPv6 アドレスを入力する必要があります。テキスト ボックスを空のままにすると、IP アドレスの割り当てはデフォルトで DHCPV4+DHCPV6 になります。
    重要: Unified Access Gateway の最新リリースでは、ネットワーク プロトコル プロファイル (NPP) のネットマスクまたはプリフィックス値、およびデフォルトのゲートウェイ設定を受け入れません。固定 IP 割り当てを使用して Unified Access Gateway を構成するには、ネットワーク プロパティのネットマスク/プリフィックスを構成する必要があります。これらの値は NPP からは入力されません。
    注:
    • 値は大文字と小文字が区別されます。
    • vSphere 6.7 以前で vSphere Client HTML5 を使用して Unified Access Gateway をデプロイする場合、構成に使用できるのは NIC1 (eth0) のみです。vSphere 7.0 で vSphere Client HTML5 を使用する場合、複数の NIC を構成に利用できます。
    • [NIC1 (eth0) の IPMode:]STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6。
    • [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]。たとえば、IPv4 の場合は、tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443 などです。
    • [NIC 1 (eth0) 用 IPv4 アドレス]:NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。
      • [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC (eth0) 用の IPv4 カスタム ルートのカンマ区切りリスト。]例:20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
        注: [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。
    • [NIC 1 (eth0) 用 IPv6 アドレス]:NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。
    • [DNS サーバ アドレス]:Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は 192.0.2.1 192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。
    • [DNS 検索ドメイン]:スペース区切りの DNS 検索リストを入力します。
    • [NIC 1 (eth0) IPv4 ネットマスク]:NIC の IPv4 ネットマスクを入力します。
    • [NIC 1 (eth0) IPv6 プリフィックス]:NIC の IPv6 プリフィックスを入力します。
    • [NIC 1 (eth0) カスタム構成]:NIC のカスタム構成値を SectionName^Parameter=Value の形式で入力します。カスタム構成エントリの例は DHCP^UseDNS=false です。この値を使用すると、DHCP サーバによって提供される DNS IP アドレスの使用が無効になります。同じ形式を使用すると、このような複数の systemd.network 構成エントリをセミコロンで区切って追加できます。
    • [IPv4 デフォルト ゲートウェイ]Unified Access GatewayUnified Access Gateway の NIC のローカル セグメントにない IP アドレスと通信する必要がある場合は、IPv4 デフォルト ゲートウェイを入力します。
    • [IPv6 デフォルト ゲートウェイ]Unified Access GatewayUnified Access Gateway の NIC のローカル セグメントにない IP アドレスと通信する必要がある場合は、IPv6 デフォルト ゲートウェイを入力します。
    Unified Access Gateway アプライアンス名 識別のためにアプライアンスのホスト名を入力します。名前を入力しない場合は、システムによって名前が自動的に生成されます。
    CEIP に参加 [VMware カスタマ エクスペリエンス向上プログラムに参加する] をオンにして CEIP に参加するか、このオプションをオフにして CEIP から脱退します。
    パスワード オプション
    OS ログイン ユーザー名 Unified Access Gateway のローカル コンソールにアクセスするためのユーザー名を入力します。

    構成すると、指定したユーザー名を持つ sudo 権限を持つ新しいユーザーが作成され、root ログインが無効になります。a ~ z、0 ~ 9、アンダースコア (_)、ハイフン (-) のみが許可され、最大長は 32 文字です。

    注: root ユーザーを使用するには、このフィールドを空白のままにします。
    OS ログインのパスワード OS ログインのパスワードを入力します。このパスワードは、root ユーザーまたは [OS ログイン ユーザー名] フィールドで構成されたカスタム ユーザーに適用されます。
    OS ユーザーのパスワード有効期限(日) OS ユーザーのパスワード有効期限ポリシーを入力します。ゼロに設定すると、パスワード有効期限が切れることはありません。デフォルト値は 365 日です。
    最小文字数のパスワード ポリシー パスワードの最小文字数を入力します。デフォルト値は 6 です。
    最小文字クラスのパスワード ポリシー 文字タイプ(大文字、小文字、数字、その他)の最小クラス数(1、2、3、4)のパスワード ポリシーを入力します。
    最大試行失敗回数のパスワード ポリシー 許容される最大試行失敗回数を入力します。デフォルト値は 3 です。
    最大試行失敗回数でのロック解除時間(秒)のパスワード ポリシー 最大試行失敗回数に達したときにパスワードのロックを解除する時間を秒単位で入力します。デフォルト値は 900 です。
    OS ユーザーのセッション アイドル タイムアウト(秒) OS ユーザーのセッション アイドル タイムアウトを入力します。範囲は 30 ~ 3600 秒です。ゼロ (0) に設定すると、セッションの有効期限が無効になります。デフォルト値は 300 です。
    sudo ユーザーの同時ログイン セッションの上限 sudo ユーザーの同時ログイン セッションの上限を入力します。sudo ユーザーが構成されていない場合、この設定は無視されます。

    デフォルト値は 10 で、構成可能な最小値は 1 です。上限はありません。

    REST API アクセスを有効にする管理者ユーザーのパスワード
    最小文字数の管理者パスワード ポリシー 管理者パスワードの最小文字数を入力します。デフォルト値は 6 です。
    最大試行失敗回数の管理者パスワード ポリシー 許容される最大試行失敗回数を入力します。デフォルト値は 3 です。
    最大試行失敗回数でのロック解除時間(分)の管理者パスワード ポリシー 最大試行失敗回数に達したときに管理者パスワードのロックを解除する時間を分単位で入力します。デフォルト値は 5 分です。
    管理者のセッション アイドル タイムアウト(分) 管理者のセッション アイドル タイムアウトを入力します。デフォルト値は 10 で、最大値は 1440(分)です。
    管理コンソール ユーザーの最大同時セッション数 管理者の同時ログイン セッションの上限を入力します。

    デフォルト値は 5 で、最大値は 50 です。

    ユーザーの最大セッション数を超えると、最近の使用頻度が最も低いセッションが期限切れになります。

    コンプライアンス
    DISA STIG コンプライアンスを有効にする

    現在の Photon OS 3.0 DISA STIG Readiness Guidelines に準拠するように OS 構成を設定します。

    パスワードの複雑さやその他の STIG 要件を自動的に構成するには、このチェック ボックスをオンにします。

    注: DISA STIG OS コンプライアンスが必要な場合は、FIPS バージョンでこの設定を使用する必要があります。
    システム プロパティ
    SSH を有効にする Unified Access Gateway 仮想マシンにアクセスするための SSH を有効にするオプション。
    パスワードを使用した SSH root ログインを許可する SSH root ログインとパスワードを使用して Unified Access Gateway 仮想マシンにアクセスするオプション。

    デフォルトでは、このオプションの値は true です。

    キー ペアを使用した SSH ログインを許可する SSH root ログインとパブリック/プライベート キー ペアを使用して Unified Access Gateway 仮想マシンにアクセスするオプション。

    デフォルトでは、この値は false です。

    Unified Access Gateway 管理ユーザー インターフェイスには、[SSH パブリック キー] というフィールドがあり、管理者はパブリック キーをアップロードして、構成済みのユーザーまたは root ユーザーがパブリック/プライベート キー ペアのオプションを使用するときに Unified Access Gateway にアクセスできるようにします。このフィールドを管理ユーザー インターフェイスで使用できるようにするには、このオプションの値と [SSH を有効にする] がデプロイ時に true になっている必要があります。これらのオプションのいずれかが true でない場合、[SSH パブリック キー] フィールドを管理ユーザー インターフェイスで使用することはできません。

    [SSH パブリック キー] フィールドは、管理ユーザー インターフェイスの高度なシステム設定です。Unified Access Gateway システム設定の構成を参照してください。

    ログイン シェル バナー テキスト SSH または vSphere Client の Web コンソールを使用して Unified Access Gateway にログインするときに表示されるバナー テキストをカスタマイズするオプション。

    このオプションは、デプロイ時にのみ設定できます。このオプションを設定しない場合、表示されるデフォルトのテキストは VMware EUC Unified Access Gateway です。

    カスタマイズされたテキストでは、ASCII 文字のみがサポートされます。複数行のバナー テキストの場合、\n を行区切り文字として使用する必要があります。

    注: Unified Access Gateway が OVF テンプレートを使用してデプロイされ、ログイン バナー テキストが設定されている場合は、 Unified Access Gateway の初回起動時の vSphere Client の Web コンソールではデフォルトのバナー テキストが表示され、カスタマイズされたバナー テキストは無視されます。それ以降は、起動時にカスタマイズされたバナー テキストが表示されます。
    SSH インターフェイス

    SSH ログインが有効になっているネットワーク インターフェイスを構成します。

    デフォルトでは、SSH はすべてのインターフェイスで有効になっています。

    サポートされている値は、構成に基づいて eth0eth1、および eth2 です。

    SSH ポート

    SSH が有効になっているポートを構成します。

    デフォルト値は 22 です。

    初回起動時に実行するコマンド Unified Access Gateway の初回起動時に実行するプレーン テキストまたは base64 エンコード形式のコマンドのリストをセミコロンで区切って入力します。最大サイズは 8 KB です。詳細については、初回の起動および毎回の起動ごとに構成可能な起動時間コマンドを参照してください。
    毎回の起動時に実行するコマンド Unified Access Gateway の毎回の起動時に実行するプレーン テキストまたは base64 エンコード形式のコマンドのリストをセミコロンで区切って入力します。最大サイズは 8 KB です。詳細については、初回の起動および毎回の起動ごとに構成可能な起動時間コマンドを参照してください。
    SecureRandom ソース Java プロセスで暗号化機能に使用されるセキュアなランダム ビット ジェネレータ ソースを設定できます。

    このオプションは、デプロイ時にのみ設定できます。

    サポートされる値は、/dev/random および /dev/urandom です。デフォルトでは、/dev/random は非 FIPS モードで使用され、/dev/urandom は FIPS モードで使用されます。

  5. [設定内容の確認] ページで情報を確認し、[完了] をクリックします。
    OVF テンプレートのデプロイ タスクが vCenter Server のステータス エリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソール メッセージを確認することもできます。これらのメッセージのログは、 /var/log/boot.msg ファイルにも記録されます。
  6. 仮想マシンをパワーオンします。
  7. アプライアンスがパワーオンされたときに、エンド ユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。
    https://FQDN-of-UAG-appliance

    この URL で、FQDN-of-UAG-applianceUnified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。

    デプロイが成功した場合、 Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデプロイできます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。

結果

Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。

次のタスク

  • Unified Access Gateway の管理ユーザー インターフェイス (UI) にログインし、デスクトップとアプリケーション リソースを設定し、Unified Access Gateway を介したインターネットからのリモート アクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、https://<UAG-fqdn>:9443/admin/index.html となります。
    重要: 管理ユーザー インターフェイスを使用して、デプロイ後の Unified Access Gateway 設定を完了する必要があります。管理ユーザー インターフェイスのパスワードを入力しないと、後から管理ユーザー インターフェイスのユーザーを追加して、管理ユーザー インターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザー インターフェイスのユーザーを追加する場合は、 Unified Access Gateway インスタンスを有効な管理ユーザー インターフェイスのパスワードで再デプロイする必要があります。
    注: 管理ユーザー インターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザー インターフェイスで説明した VAMI コマンドを使用して NIC を再設定します。 "cd /opt/vmware/share/vami" としてコマンドを実行し、次にコマンド "./vami_config_net" を実行します。