Unified Access Gateway をデプロイするには、vSphere Client または vSphere Web Client を使用して OVF テンプレートをデプロイし、アプライアンスをパワーオンして設定を行います。
-
これらは、PowerShell を使用して設定できます。PowerShell パラメータの詳細については、デプロイするための PowerShell スクリプトの実行を参照してください。
前提条件
- ウィザードで使用できるデプロイ オプションを確認します。システムとネットワークの要件を参照してください。
- デプロイのサイジングに関する推奨事項を確認します。「VMware Configuration Maximums」および「Unified Access Gateway のサイジング オプション」を参照してください。
- Unified Access Gateway アプライアンスを構成するためのネットワーク インターフェイスと静的 IP アドレスの数を決定します。ネットワーク構成の要件 - デプロイ オプションを参照してください。
- Customer Connect ポータルから OVF Tool 4.4.3 以降をダウンロードしてインストールします。
- Customer Connect ポータルからマシンに Unified Access Gateway OVA をダウンロードします。
- Hyper-V デプロイがあり、固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。
- ユーザーの作業を止めずに古いアプライアンスを Unified Access Gateway の新しいインスタンスにアップグレードするには、「ダウンタイムなしのアップグレード」セクションを参照してください。
手順
- ネイティブ vSphere Client または vSphere Web Client を使用して vCenter Server インスタンスにログインします。
IPv4 ネットワークの場合、ネイティブ vSphere Client または vSphere Web Client を使用してください。IPv6 ネットワークの場合、 vSphere Web Client を使用してください。
- [OVF テンプレートのデプロイ] ウィザードを開始するためのメニュー コマンドを選択します。
オプション メニュー コマンド vSphere Client [ファイル] > [OVF テンプレートのデプロイ] を選択します。 vSphere Web Client データセンター、フォルダ、クラスタ、リソース プール、ホストなど、仮想マシンの有効な親オブジェクトであるインベントリ オブジェクトを選択し、[アクション] メニューから [OVF テンプレートのデプロイ] を選択します。 - [1 OVF テンプレートの選択] ページで、[URL] をクリックして URL を入力し、インターネットから OVF テンプレートをダウンロードしてインストールするか、[ローカル ファイル] をクリックして、ダウンロードした .ova ファイルを参照します。[次へ] をクリックします。
製品の詳細、バージョン、およびサイズ要件を確認します。
- 要求に従い、ウィザードを完了したときに次のガイドラインに従うことを考慮に入れます。ESXi と Hyper-V の両方のデプロイには、Unified Access Gateway の IP 割り当てを割り当てる 2 つのオプションがあります。
- アップグレードしている場合、Hyper-V では、新しいアドレスのボックスをデプロイする前に同じ IP アドレスの古いボックスを削除します。
- ESXi では、古いボックスをオフにして、固定割り当てを使用して同じ IP アドレスの新しいボックスをデプロイできます。
表 1. OVF のデプロイ オプション オプション 説明 2 名前とフォルダの選択 名前とターゲットの場所を選択します。 [仮想マシン名] フィールドに、Unified Access Gateway 仮想アプライアンスの名前を入力します。この名前は、インベントリ フォルダ内で一意である必要があります。名前は大文字と小文字が区別されます。 リストから [仮想マシンの場所を選択] します。
3 コンピューティング リソースの選択 ホスト/クラスタ 仮想アプライアンスを実行するホストまたはクラスタを選択します。 結果:互換性と検証のチェックが実行され、コンピューティング リソースが OVF をサポートできるかどうかが検証されます。
4 詳細の確認 OVF デプロイの詳細を確認します。
5 構成 デプロイ構成の選択 IPv4 または IPV6 ネットワークの場合、1 つ、2 つ、または 3 つのネットワーク インターフェイス (NIC) を使用できます。DMZ 実装の多くは、個別のネットワークを使用してさまざまな種類のトラフィックを保護します。デプロイする DMZ のネットワーク設計に従って Unified Access Gateway を構成してください。NIC の数とともに、Unified Access Gateway の展開オプションとして [標準] または [大規模] を選択することもできます。VMware Configuration Maximums を参照してください。 注: [標準] および [大規模] 展開のための仮想マシン オプション:- [標準] - 2 コアおよび 4 GB の RAM
- [大規模] - 4 コアおよび 16 GB の RAM
- [特大規模] - 8 コアおよび 32 GB の RAM
6 ストレージの選択 仮想ディスク フォーマットの選択 仮想ディスク フォーマットを選択します。 - 評価およびテスト環境では、シン プロビジョニング フォーマットを選択します。
- 本番環境では、シック プロビジョニング フォーマットを選択します。シック プロビジョニングの Eager Zeroed は、フォールト トレランスなどのクラスタ化機能はサポートしますが、他のタイプの仮想ディスクよりも作成するのにかなりの時間がかかるシック仮想ディスク フォーマットのタイプです。
仮想マシン ストレージ ポリシー データストアのデフォルトまたはその他の構成済みストレージ ポリシー。詳細については、VMware Docs の VMware vSphere のドキュメント の「仮想マシン ストレージ ポリシー」を参照してください。
7 ネットワークの選択 vSphere Web Client を使用している場合は、[ネットワークの選択] 画面で、各 NIC をネットワークにマッピングしてプロトコル設定を指定できます。 OVF テンプレートで使用されるネットワークをインベントリ内のネットワークにマッピングします。
- デプロイ構成(単一の NIC、2 つの NIC、または 3 つの NIC など)を選択します。
- NIC を 1 つのみ使用している場合、すべての行は同じネットワークにマッピングされます。
- 複数の NIC を使用している場合は、[ManagementNetwork] 行で、[接続先のネットワーク] を選択し、そのネットワークの DNS サーバ、デフォルト ゲートウェイ、ネットマスクの IP アドレスを入力します。
- NIC が 3 つある場合は、3 番目の行を選択して設定を完成させます。
- NIC を 2 つのみ使用している場合は、[BackendNetwork] 行には [ManagementNetwork] に使用したものと同じネットワークを選択します。
- [Internet] 行を選択し、下矢印をクリックして接続先のネットワークを選択します。IPv6 を IP プロトコルとして選択するには、IPv6 に対応するネットワークを選択する必要があります。
- 行を選択したら、DNS サーバ、ゲートウェイ、ネットマスクの IP アドレスもウィンドウの下の部分で入力できます。[次へ] をクリックします。
- [IP プロトコル] ドロップダウン メニューが表示されている場合は無視し、ここでは何も選択しないでください。実際の IP プロトコルの選択(IPv4/IPv6/両方)は、ネットワーク プロパティのカスタマイズ時に NIC 1 (eth0)、NIC 2 (eth1)、NIC 3 (eth2) の IPMode にどの IP モードが指定されているかによって異なります。DNS サーバとデフォルト ゲートウェイの設定はグローバルであり、特定の NIC には関連付けられていません。
8 テンプレートのカスタマイズ ネットワーク プロパティ プロパティ画面のテキスト ボックスは Unified Access Gateway に固有であり、その他の種類の仮想アプライアンスには不要な場合があります。ウィザード画面のテキストは、各設定について説明しています。テキストがウィザードの右側で切り捨てられている場合、右下からドラッグしてウィンドウのサイズを変更します。各 NIC に対して、STATICV4 の場合は NIC の IPv4 アドレスを入力する必要があります。STATICV6 の場合、その NIC については IPv6 アドレスを入力する必要があります。テキスト ボックスを空のままにすると、IP アドレスの割り当てはデフォルトで DHCPV4+DHCPV6 になります。 重要: Unified Access Gateway の最新リリースでは、ネットワーク プロトコル プロファイル (NPP) のネットマスクまたはプリフィックス値、およびデフォルトのゲートウェイ設定を受け入れません。固定 IP 割り当てを使用して Unified Access Gateway を構成するには、ネットワーク プロパティのネットマスク/プリフィックスを構成する必要があります。これらの値は NPP からは入力されません。注:- 値は大文字と小文字が区別されます。
- vSphere 6.7 以前で vSphere Client HTML5 を使用して Unified Access Gateway をデプロイする場合、構成に使用できるのは NIC1 (eth0) のみです。vSphere 7.0 で vSphere Client HTML5 を使用する場合、複数の NIC を構成に利用できます。
- [NIC1 (eth0) の IPMode:]STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6。
- [「{tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu」形式で記載された転送ルールのカンマ区切りリスト]。たとえば、IPv4 の場合は、tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443 などです。
- [NIC 1 (eth0) 用 IPv4 アドレス]:NIC モードに STATICV4 と入力した場合、NIC の IPv4 アドレスを入力します。
- [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC (eth0) 用の IPv4 カスタム ルートのカンマ区切りリスト。]例:20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
注: [ipv4-gateway-address] が指定されていない場合、追加されるそれぞれのルートのゲートウェイは 0.0.0.0 です。
- [「ipv4-network-address/bits ipv4-gateway-address」形式で記載された、NIC (eth0) 用の IPv4 カスタム ルートのカンマ区切りリスト。]例:20.2.0.0/16 10.2.0.1,20.9.0.0/16 10.2.0.2,10.2.0.1/32
- [NIC 1 (eth0) 用 IPv6 アドレス]:NIC モードに STATICV6 と入力した場合、NIC の IPv6 アドレスを入力します。
- [DNS サーバ アドレス]:Unified Access Gateway アプライアンスのドメイン名サーバのスペース区切り IPv4 または IPv6 アドレスを入力します。IPv4 の入力例は 192.0.2.1 192.0.2.2 です。IPv6 の入力例は fc00:10:112:54::1 です。
- [DNS 検索ドメイン]:スペース区切りの DNS 検索リストを入力します。
- [NIC 1 (eth0) IPv4 ネットマスク]:NIC の IPv4 ネットマスクを入力します。
- [NIC 1 (eth0) IPv6 プリフィックス]:NIC の IPv6 プリフィックスを入力します。
- [NIC 1 (eth0) カスタム構成]:NIC のカスタム構成値を
SectionName^Parameter=Value
の形式で入力します。カスタム構成エントリの例はDHCP^UseDNS=false
です。この値を使用すると、DHCP サーバによって提供される DNS IP アドレスの使用が無効になります。同じ形式を使用すると、このような複数の systemd.network 構成エントリをセミコロンで区切って追加できます。 - [IPv4 デフォルト ゲートウェイ]。Unified Access Gateway が Unified Access Gateway の NIC のローカル セグメントにない IP アドレスと通信する必要がある場合は、IPv4 デフォルト ゲートウェイを入力します。
- [IPv6 デフォルト ゲートウェイ]。Unified Access Gateway が Unified Access Gateway の NIC のローカル セグメントにない IP アドレスと通信する必要がある場合は、IPv6 デフォルト ゲートウェイを入力します。
Unified Access Gateway アプライアンス名 識別のためにアプライアンスのホスト名を入力します。名前を入力しない場合は、システムによって名前が自動的に生成されます。 CEIP に参加 [VMware カスタマ エクスペリエンス向上プログラムに参加する] をオンにして CEIP に参加するか、このオプションをオフにして CEIP から脱退します。 パスワード オプション OS ログイン ユーザー名 Unified Access Gateway のローカル コンソールにアクセスするためのユーザー名を入力します。 構成すると、指定したユーザー名を持つ sudo 権限を持つ新しいユーザーが作成され、root ログインが無効になります。a ~ z、0 ~ 9、アンダースコア (_)、ハイフン (-) のみが許可され、最大長は 32 文字です。
注: root ユーザーを使用するには、このフィールドを空白のままにします。OS ログインのパスワード OS ログインのパスワードを入力します。このパスワードは、root ユーザーまたは [OS ログイン ユーザー名] フィールドで構成されたカスタム ユーザーに適用されます。 OS ユーザーのパスワード有効期限(日) OS ユーザーのパスワード有効期限ポリシーを入力します。ゼロに設定すると、パスワード有効期限が切れることはありません。デフォルト値は 365 日です。 パスワードの最小文字数 パスワードの最小文字数を入力します。デフォルト値は 6 です。 最小文字クラスのパスワード ポリシー 文字タイプ(大文字、小文字、数字、その他)の最小クラス数(1、2、3、4)のパスワード ポリシーを入力します。 最大試行失敗回数のパスワード ポリシー 許容される最大試行失敗回数を入力します。デフォルト値は 3 です。 最大試行失敗回数でのロック解除時間(秒)のパスワード ポリシー 最大試行失敗回数に達したときにパスワードのロックを解除する時間を秒単位で入力します。デフォルト値は 900 です。 OS ユーザーのセッション アイドル タイムアウト(秒) OS ユーザーのセッション アイドル タイムアウトを入力します。範囲は 30 ~ 3600 秒です。ゼロ (0) に設定すると、セッションの有効期限が無効になります。デフォルト値は 300 です。 同時 sudo ログイン セッションの上限 sudo ユーザーの同時ログイン セッションの上限を入力します。sudo ユーザーが構成されていない場合、この設定は無視されます。 デフォルト値は 10 で、構成可能な最小値は 1 です。上限はありません。
REST API アクセスを有効にする管理者ユーザーのパスワード パスワード と パスワード再入力 パスワードは 8 文字以上で、大文字と小文字が 1 文字以上、数字が 1 文字以上、特殊文字(!、@、#、$、%、*、(、))が 1 文字以上含まれている必要があります。警告:パスワードを空白のままにすると、管理ユーザー インターフェイスのユーザーは作成されず、アプライアンスで設定を構成することができなくなります。管理ユーザー インターフェイスを使用するには、パスワードを設定して UAG アプライアンスを再デプロイする必要があります。 管理者パスワードの最小文字数 管理者パスワードの最小文字数を入力します。デフォルト値は 8 です。 最大試行失敗回数の管理者パスワード ポリシー 許容される最大試行失敗回数を入力します。デフォルト値は 3 です。 最大試行失敗回数でのロック解除時間(分)の管理者パスワード ポリシー 最大試行失敗回数に達したときに管理者パスワードのロックを解除する時間を分単位で入力します。デフォルト値は 5 分です。 管理者のセッション アイドル タイムアウト(分) 管理者のセッション アイドル タイムアウトを入力します。デフォルト値は 10 で、最大値は 1440(分)です。 管理コンソール ユーザーの最大同時セッション数 管理者の同時ログイン セッションの上限を入力します。 デフォルト値は 5 で、最大値は 50 です。
ユーザーの最大セッション数を超えると、最近の使用頻度が最も低いセッションが期限切れになります。
コンプライアンス DISA STIG コンプライアンスを有効にする 現在の Photon OS 4.0 DISA STIG Readiness Guidelines に準拠するように OS 構成を設定します。
パスワードの複雑さやその他の STIG 要件を自動的に構成するには、このチェック ボックスをオンにします。
注: DISA STIG OS コンプライアンスが必要な場合は、FIPS バージョンでこの設定を使用する必要があります。システム プロパティ SSH を有効にする Unified Access Gateway 仮想マシンにアクセスするための SSH を有効にするオプション。 パスワードを使用した SSH root ログインを許可する SSH root ログインとパスワードを使用して Unified Access Gateway 仮想マシンにアクセスするオプション。 デフォルトでは、このオプションの値は
true
です。キー ペアを使用した SSH ログインを許可する SSH root ログインとパブリック/プライベート キー ペアを使用して Unified Access Gateway 仮想マシンにアクセスするオプション。 デフォルトでは、この値は
false
です。Unified Access Gateway 管理ユーザー インターフェイスには、[SSH パブリック キー] というフィールドがあり、管理者はパブリック キーをアップロードして、構成済みのユーザーまたは root ユーザーがパブリック/プライベート キー ペアのオプションを使用するときに Unified Access Gateway にアクセスできるようにします。このフィールドを管理ユーザー インターフェイスで使用できるようにするには、このオプションの値と [SSH を有効にする] がデプロイ時に
true
になっている必要があります。これらのオプションのいずれかがtrue
でない場合、[SSH パブリック キー] フィールドを管理ユーザー インターフェイスで使用することはできません。[SSH パブリック キー] フィールドは、管理ユーザー インターフェイスの高度なシステム設定です。システム構成を参照してください。
ログイン シェル バナー テキスト SSH または vSphere Client の Web コンソールを使用して Unified Access Gateway にログインするときに表示されるバナー テキストをカスタマイズするオプション。 このオプションは、デプロイ時にのみ設定できます。このオプションを設定しない場合、表示されるデフォルトのテキストは VMware EUC Unified Access Gateway です。
カスタマイズされたテキストでは、ASCII 文字のみがサポートされます。複数行のバナー テキストの場合、
\n
を行区切り文字として使用する必要があります。注: Unified Access Gateway が OVF テンプレートを使用してデプロイされ、ログイン バナー テキストが設定されている場合は、 Unified Access Gateway の初回起動時の vSphere Client の Web コンソールではデフォルトのバナー テキストが表示され、カスタマイズされたバナー テキストは無視されます。それ以降は、起動時にカスタマイズされたバナー テキストが表示されます。SSH インターフェイス SSH ログインが有効になっているネットワーク インターフェイスを構成します。
デフォルトでは、SSH はすべてのインターフェイスで有効になっています。
サポートされている値は、構成に基づいて
eth0
、eth1
、およびeth2
です。SSH ポート SSH が有効になっているポートを構成します。
デフォルト値は
22
です。初回起動時に実行するコマンド Unified Access Gateway の初回起動時に実行するプレーン テキストまたは base64 エンコード形式のコマンドのリストをセミコロンで区切って入力します。最大サイズは 8 KB です。詳細については、初回の起動および毎回の起動ごとに構成可能な起動時間コマンドを参照してください。 毎回の起動時に実行するコマンド Unified Access Gateway の毎回の起動時に実行するプレーン テキストまたは base64 エンコード形式のコマンドのリストをセミコロンで区切って入力します。最大サイズは 8 KB です。詳細については、初回の起動および毎回の起動ごとに構成可能な起動時間コマンドを参照してください。 SecureRandom ソース Java プロセスで暗号化機能に使用されるセキュアなランダム ビット ジェネレータ ソースを設定できます。 このオプションは、デプロイ時にのみ設定できます。
サポートされる値は、
/dev/random
および/dev/urandom
です。デフォルトでは、/dev/random
は非 FIPS モードで使用され、/dev/urandom
は FIPS モードで使用されます。 - [設定内容の確認] ページで情報を確認し、[完了] をクリックします。
OVF テンプレートのデプロイ タスクが vCenter Server のステータス エリアに表示され、デプロイを監視できます。仮想マシンでコンソールを開き、システム起動中に表示されるコンソール メッセージを確認することもできます。これらのメッセージのログは、 /var/log/boot.msg ファイルにも記録されます。
- 仮想マシンをパワーオンします。
- アプライアンスがパワーオンされたときに、エンド ユーザーがブラウザを開いて次の URL を入力することでアプライアンスに接続できることを確認します。
https://FQDN-of-UAG-appliance
この URL で、FQDN-of-UAG-appliance は Unified Access Gateway アプライアンスの DNS 解決可能な完全修飾ドメイン名です。
デプロイが成功した場合、 Unified Access Gateway が参照しているサーバによって提供される Web ページが表示されます。デプロイが成功しなかった場合、アプライアンス仮想マシンを削除して再びアプライアンスをデプロイできます。最も一般的なエラーは、証明書サムプリントを正しく入力していないことです。
結果
Unified Access Gateway アプライアンスがデプロイされ、自動的に起動されます。
次のタスク
- Unified Access Gateway の管理ユーザー インターフェイス (UI) にログインし、デスクトップとアプリケーション リソースを設定し、Unified Access Gateway を介したインターネットからのリモート アクセスと、DMZ で使用する認証方法を許可します。管理コンソールの URL の形式は、
https://<UAG-fqdn>:9443/admin/index.html
となります。重要: 管理ユーザー インターフェイスを使用して、デプロイ後の Unified Access Gateway 設定を完了する必要があります。管理ユーザー インターフェイスのパスワードを入力しないと、後から管理ユーザー インターフェイスのユーザーを追加して、管理ユーザー インターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザー インターフェイスのユーザーを追加する場合は、 Unified Access Gateway インスタンスを有効な管理ユーザー インターフェイスのパスワードで再デプロイする必要があります。注: 管理ユーザー インターフェイスのログイン画面にアクセスできない場合は、OVA のインストール中に仮想マシンに IP アドレスが表示されているかどうかを確認してください。IP アドレスが設定されていない場合は、ユーザー インターフェイスで説明したコマンドを使用して NIC を再設定します。cd /opt/vmware/gateway/scripts
としてコマンドを実行し、次にコマンド./configureNetwork.sh
を実行します。