PowerShell スクリプトを使用すると、すべての構成を行った環境を準備できます。PowerShell スクリプトを実行して Unified Access Gateway をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

重要:

PowerShell のデプロイでは、すべての設定を INI ファイルで提供することができ、Unified Access Gateway インスタンスは起動するとすぐに本番環境で使用できるようになります。デプロイ後の設定を変更しない場合は、管理ユーザー インターフェイスのパスワードを入力する必要はありません。

ただし、管理ユーザー インターフェイスのパスワードがデプロイ中に提供されない場合は、管理ユーザー インターフェイスと API は両方とも使用することができません。

注:
  • デプロイ時に管理ユーザー インターフェイスのパスワードを提供しないと、後からユーザーを追加して管理ユーザー インターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザー インターフェイスのユーザーを追加する場合は、Unified Access Gateway インスタンスを有効なパスワードで再デプロイする必要があります。

  • Unified Access Gateway 3.5 以降には、オプションの sshEnabled INI プロパティが含まれています。PowerShell INI ファイルの [General] セクションに sshEnabled=true を設定すると、デプロイされたアプライアンスでの ssh アクセスが自動的に有効になります。一般に、特定の状況においてアクセスが制限される場合を除き、Unified Access Gatewayssh を有効にすることはお勧めしません。この機能は主に、代替のコンソール アクセスが利用できない Amazon AWS EC2 デプロイを対象としています。

    sshEnabled=true が指定されていないか、false に設定されている場合、ssh は有効になりません。

    一般に、vSphere、Hyper-V、または Microsoft Azure のデプロイでは Unified Access Gateway で ssh アクセスを有効にする必要はありません。これらのプラットフォームにはコンソール アクセスを使用できます。Amazon AWS EC2 のデプロイに root コンソール アクセスが必要な場合は、sshEnabled=true を設定します。ssh が有効の場合は、ファイアウォールまたはセキュリティ グループで TCP ポート 22 へのアクセスを個々の管理者の送信元 IP アドレスに制限する必要があります。EC2 は、Unified Access Gateway ネットワーク インターフェイスに関連付けられている EC2 セキュリティ グループでこの制限をサポートしています。

前提条件

  • Hyper-V をデプロイするときに固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。

  • システム要件を満たしており、利用可能であることを確認します。

    これは、Unified Access Gateway を自社環境にデプロイするためのサンプル スクリプトです。

    図 1. サンプルの PowerShell スクリプト

手順

  1. My VMware から Windows マシンに Unified Access Gateway OVA をダウンロードします。
  2. uagdeploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。

    この ZIP ファイルは、https://communities.vmware.com/docs/DOC-30835 から入手できます。

  3. PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。
  4. Unified Access Gateway 仮想アプライアンスの INI 構成ファイルを作成します。

    例:新しい Unified Access Gateway アプライアンス AP1 をデプロイします。構成ファイルの名前は、ap1.ini です。このファイルには、AP1 のすべての設定が含まれます。apdeploy.ZIP ファイルにあるサンプルの INI ファイルを使用して INI ファイルを作成し、設定を適切に変更できます。

    注:
    • 自社の複数の Unified Access Gateway デプロイ環境には一意の INI ファイルを関連付けることができます。複数のアプライアンスをデプロイするには、INI ファイルで IP アドレスと名前のパラメータを適切に変更する必要があります。

    • Content Gateway および VMware Tunnel では、healthCheckUrl 設定の favicon.ico 値はサポートされません。

    変更する INI ファイルの例。

    [General]
    netManagementNetwork=
    netInternet=
    netBackendNetwork=
    name=
    dns=10.112.64.1
    ip0=10.108.120.119
    diskMode=
    source=
    defaultGateway=10.108.120.125
    target=
    ds=
    authenticationTimeout=300000
    fipsEnabled=false
    uagName=trustedcert
    locale=en_US
    ipModeforNIC3=DHCPV4_DHCPV6
    tls12Enabled=true
    ipMode=DHCPV4_DHCPV6
    requestTimeoutMsec=10000
    ipModeforNIC2=DHCPV4_DHCPV6
    tls11Enabled=true
    clientConnectionIdleTimeout=180
    tls10Enabled=false
    adminCertRolledBack=false
    honorCipherOrder=false
    cookiesToBeCached=none
    healthCheckUrl=/favicon.ico
    quiesceMode=false
    isCiphersSetByUser=false
    tlsPortSharingEnabled=true
    ceipEnabled=true
    bodyReceiveTimeoutMsec=15000
    monitorInterval=60
    cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
    adminPasswordExpirationDays=90
    httpConnectionTimeout=120
    isTLS11SetByUser=false
    sessionTimeout=36000000
    ssl30Enabled=false
    
    [WebReverseProxy1]
    proxyDestinationUrl=https://10.108.120.21
    trustedCert1=
    instanceId=view
    healthCheckUrl=/favicon.ico
    userNameHeader=AccessPoint-User-ID
    proxyPattern=/(.*)
    landingPagePath=/
    hostEntry1=10.108.120.21 HZNView.uagqe.auto.com
    
    [Horizon]
    proxyDestinationUrl=https://enterViewConnectionServerUrl
    trustedCert1=
    gatewayLocation=external
    disableHtmlAccess=false
    healthCheckUrl=/favicon.ico
    proxyDestinationIPSupport=IPV4
    smartCardHintPrompt=false
    queryBrokerInterval=300
    proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
    matchWindowsUserName=false
    windowsSSOEnabled=false
    
    [SSLCert]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    [SSLCertAdmin]
    pemPrivKey=
    pemCerts=
    pfxCerts=
    pfxCertAlias=
    
    

  5. スクリプトが正しく実行されたことを確認するには、PowerShell の set-executionpolicy コマンドを入力します。
    set-executionpolicy -scope currentuser unrestricted

    現在制限されている場合にのみ、このコマンドを一度だけ実行する必要があります。

    1. (オプション) スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します:unblock-file -path .\uagdeploy.ps1
  6. このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトで ap.ini を使用します。
    .\uagdeploy.ps1 -iniFile uag1.ini
  7. 確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。
    注:

    ターゲット マシンのフィンガープリントを追加するように要求されたら、[yes] と入力します。

    Unified Access Gateway アプライアンスがデプロイされ、本番環境で利用できるようになります。

タスクの結果

PowerShell スクリプトの詳細については、https://communities.vmware.com/docs/DOC-30835 を参照してください。

次のタスク

既存の設定を保持したまま Unified Access Gateway をアップグレードする場合は、.ini ファイルを編集して、ソースの参照先を新しいバージョンに変更し、.ini ファイルを再実行します: uagdeploy.ps1 uag1.ini。このプロセスには、最大で 3 分かかることがあります。

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

サービスを中断せずにアップグレードする方法については、ダウンタイムなしのアップグレードを参照してください。