このセクションで概説する手順の詳細については、Amazon AWS PowerShell の公式ドキュメントを参照してください。

前提条件

Amazon AWS アカウントがない場合は作成します。

手順

  1. AWS コンソールで、アクセス キーを作成し、アクセス キー ID とシークレット アクセス キーを取得します。これは、デフォルトのプロファイルで設定します。
    この手順は、アクセス キー ID とシークレット アクセス キーがない場合にのみ適用されます。 
    Set-AWSCredential -AccessKey AKIAI6428NKYOEXAMPLE `
-SecretKey bvfhkvvfhsbvhsdbhfbvfhfhvfhdskvbhfvbfhEXAMPLE ` 
-StoreAs default
  2. Amazon S3 にバケットを作成して(存在しない場合)、Unified Access Gateway .vmdk イメージを保存します。 
    $bucket="uag-images"
New-S3Bucket -BucketName $bucket -Region us-east-2
  3. Amazon AWS で vmimport と呼ばれる IAM ロールを作成し、そのロールにポリシーを適用します。 
    $importPolicyDocument = @"
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"vmie.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"sts:ExternalId":"vmimport"
}
}
}
]
}
"@

New-IAMRole -RoleName vmimport -AssumeRolePolicyDocument $importPolicyDocument

$bucket="uag-images"
$rolePolicyDocument = @"
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::$bucket",
"arn:aws:s3:::$bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute",
"ec2:CopySnapshot",
"ec2:RegisterImage",
"ec2:Describe*"
],
"Resource": "*"
}
]
}
"@

Write-IAMRolePolicy -RoleName vmimport -PolicyName vmimport -PolicyDocument $rolePolicyDocument
  4. EC2 でネットワーク環境を準備します。これらの手順は、EC2 管理コンソールまたは PowerShell から実行できます。Unified Access Gateway のデプロイ用に EC2 環境を準備する場合に一度だけ実行する必要があります。これには、少なくとも 1 つのサブネットが必要です。複数の NIC を持つ Unified Access Gateway をデプロイする場合、各 NIC は同じサブネット上に配置することも、異なるサブネットに配置することもできます。
  5. NIC のタイプごとにセキュリティ グループを作成します。
    セキュリティ グループには、TCP および UDP ポート アクセスを制限する一連のファイアウォール ルールが含まれています。セキュリティ グループは、複数の Unified Access Gateway アプライアンス間で共有できます。たとえば、 eth0 用に [UAG-Internet] というセキュリティ グループを作成し、 Unified Access Gateway アプライアンスの作成時に最初の NIC に自動的に関連付けることができます。Horizon を使用する場合、最初の (UAG-Internet) は、任意のクライアントから TCP ポート 80、443、8443、4172、および UDP ポート 443、8443、4172 を許可できます。 Unified Access Gateway への ssh アクセスを許可する場合は、各 .ini ファイルの [General] セクションで sshEnabled=true を指定する必要があります。SSH は通常、テスト目的でのみ有効にする必要があり、本番環境では有効にしないでください。また、TCP ポート 22 で ssh へのアクセスがセキュリティ グループ内で個々の送信元 IP アドレスに制限され、すべてのアドレスに対して開かないようにする必要もあります。
    AWS 管理コンソールを使用して、ファイアウォール ルールを使用して TCP および UDP ポート アクセスを制限するためのセキュリティ グループを [ネットワークとセキュリティ] 設定に作成します。
  6. Unified Access Gateway アプライアンスにインターネットから直接アクセスできる場合、アクセスを必要とする各 NIC には、Elastic IP アドレスと呼ばれるパブリック IP アドレスも関連付けられている必要があります。
  7. NIC ごとに、サブネット ID、セキュリティ グループ ID、パブリック IP アドレス割り当て ID を決定します。NIC にセキュリティ グループ ID を指定しない場合は、デフォルトのセキュリティ グループが使用されます。パブリック IP アドレス ID を指定しない場合、その NIC のパブリック IP アドレスは存在せず、インターネットから直接アクセスすることはできません。これは、Unified Access Gateway アプライアンスのグループの前でロード バランサが使用されている場合に発生する可能性があります。