PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ

PowerShell スクリプトを使用すると、すべての構成を行った環境を準備できます。PowerShell スクリプトを実行して Unified Access Gateway をデプロイすると、初めてシステムを起動したときからこのソリューションを本番環境で利用できるようになります。

重要： PowerShell デプロイでは、すべての設定を INI ファイルで提供することができ、 Unified Access Gateway インスタンスは起動するとすぐに本番環境で使用できるようになります。デプロイ後の設定を変更しない場合は、管理ユーザーインターフェイスのパスワードを入力する必要はありません。

ただし、管理ユーザーインターフェイスのパスワードがデプロイ中に提供されない場合は、管理ユーザーインターフェイスと API は両方とも使用することができません。

注：

デプロイ時に管理ユーザーインターフェイスのパスワードを提供しないと、後からユーザーを追加して管理ユーザーインターフェイスまたは API へのアクセスを有効にすることはできません。管理ユーザーインターフェイスのユーザーを追加する場合は、Unified Access Gateway インスタンスを有効なパスワードで再デプロイする必要があります。
Unified Access Gateway 3.5 以降には、オプションの sshEnabled INI プロパティが含まれています。PowerShell INI ファイルの [General] セクションに sshEnabled=true を設定すると、デプロイされたアプライアンスでの ssh アクセスが自動的に有効になります。一般に、特定の状況においてアクセスが制限される場合を除き、 Unified Access Gateway で ssh を有効にすることはお勧めしません。この機能は主に、代替のコンソールアクセスが利用できない Amazon AWS EC2 デプロイを対象としています。
注： Amazon AWS EC2 の詳細については、 Amazon Web Services への Unified Access Gateway の PowerShell デプロイを参照してください。

sshEnabled=true が指定されていないか、false に設定されている場合、ssh は有効になりません。

一般に、vSphere、Hyper-V、または Microsoft Azure のデプロイでは Unified Access Gateway で ssh アクセスを有効にする必要はありません。これらのプラットフォームにはコンソールアクセスを使用できます。Amazon AWS EC2 のデプロイに root コンソールアクセスが必要な場合は、sshEnabled=true を設定します。ssh が有効の場合は、ファイアウォールまたはセキュリティグループで TCP ポート 22 へのアクセスを個々の管理者の送信元 IP アドレスに制限する必要があります。EC2 は、Unified Access Gateway ネットワークインターフェイスに関連付けられている EC2 セキュリティグループでこの制限をサポートしています。

前提条件

Hyper-V をデプロイするときに固定 IP アドレスを使用して Unified Access Gateway をアップグレードする場合は、Unified Access Gateway の新しいインスタンスをデプロイする前に古いアプライアンスを削除します。
システム要件を満たしており、利用可能であることを確認します。
これは、Unified Access Gateway を自社環境にデプロイするためのサンプルスクリプトです。

図 1. サンプルの PowerShell スクリプト

手順

My VMware から Windows マシンに Unified Access Gateway OVA をダウンロードします。
uagdeploy-XXX.zip ファイルを Windows マシンのフォルダにダウンロードします。
この ZIP ファイルは、 https://communities.vmware.com/docs/DOC-30835 から入手できます。
PowerShell スクリプトを開いて、ディレクトリをスクリプトの場所に変更します。

Unified Access Gateway 仮想アプライアンスの INI 構成ファイルを作成します。

例：新しい Unified Access Gateway アプライアンス AP1 をデプロイします。構成ファイルの名前は、 ap1.ini です。このファイルには、AP1 のすべての設定が含まれます。 apdeploy.ZIP ファイルにあるサンプルの INI ファイルを使用して INI ファイルを作成し、設定を適切に変更できます。

注：

自社の複数の Unified Access Gateway デプロイ環境には一意の INI ファイルを関連付けることができます。複数のアプライアンスをデプロイするには、INI ファイルで IP アドレスと名前のパラメータを適切に変更する必要があります。

変更する INI ファイルの例。

[General]
netManagementNetwork=
netInternet=
netBackendNetwork=
name=
dns = 192.0.2.1 192.0.2.2
dnsSearch = example1.com example2.com
ip0=10.108.120.119
diskMode=
source=
defaultGateway=10.108.120.125
target=
ds=
deploymentOption=onenic
authenticationTimeout=300000
fipsEnabled=false
uagName=UAG1
locale=en_US
ipModeforNIC3=DHCPV4_DHCPV6
tls12Enabled=true
ipMode=DHCPV4_DHCPV6
requestTimeoutMsec=10000
ipModeforNIC2=DHCPV4_DHCPV6
tls11Enabled=true
clientConnectionIdleTimeout=180
tls10Enabled=false
adminCertRolledBack=false
honorCipherOrder=false
cookiesToBeCached=none
healthCheckUrl=/favicon.ico
quiesceMode=false
syslogUrl=10.108.120.108:514
isCiphersSetByUser=false
tlsPortSharingEnabled=true
ceipEnabled=true
bodyReceiveTimeoutMsec=15000
monitorInterval=60
cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
adminPasswordExpirationDays=90
httpConnectionTimeout=120
isTLS11SetByUser=false
sessionTimeout=36000000
ssl30Enabled=false
snmpEnabled= TRUE | FALSE
ntpServers=ipOrHostname1 ipOrHostname2
fallBackNtpServers=ipOrHostname1 ipOrHostname2

[WebReverseProxy1]
proxyDestinationUrl=https://10.108.120.21
trustedCert1=
instanceId=view
healthCheckUrl=/favicon.ico
userNameHeader=AccessPoint-User-ID
proxyPattern=/(.*)
landingPagePath=/
hostEntry1=10.108.120.21 HZNView.uagqe.auto.com

[Horizon]
proxyDestinationUrl=https://enterViewConnectionServerUrl
trustedCert1=
gatewayLocation=external
disableHtmlAccess=false
healthCheckUrl=/favicon.ico
proxyDestinationIPSupport=IPV4
smartCardHintPrompt=false
queryBrokerInterval=300
proxyPattern=(/|/view-client(.*)|/portal(.*)|/appblast(.*))
matchWindowsUserName=false
windowsSSOEnabled=false

[Airwatch]
tunnelGatewayEnabled=true
apiServerUsername=domain\apiusername
apiServerPassword=*****
proxyDestinationUrl=https://null
ntlmAuthentication=false
healthCheckUrl=/favicon.ico
organizationGroupCode=
apiServerUrl=https://null
airwatchOutboundProxy=false
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=tunnel.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
hostEntry1=1.3.5.7 backend.acme.com

[AirwatchSecureEmailGateway]
memConfigurationId=abc123
apiServerUsername=domain\apiusername
healthCheckUrl=/favicon.ico
apiServerUrl=https://null
outboundProxyHost=1.2.3.4
outboundProxyPort=3128
outboundProxyUsername=proxyuser
outboundProxyPassword=****
reinitializeGatewayProcess=false
airwatchServerHostname=serverNameForSNI
apiServerPassword=****
trustedCert1=c:\temp\CA-Cert-A.pem
pfxCerts=C:\Users\admin\My Certs\mycacerts.pfx
hostEntry1=1.3.5.7 exchange.acme.com

[AirWatchContentGateway]
cgConfigId=abc123
apiServerUrl=https://null
apiServerUsername=domain\apiusername
apiServerPassword=*****
outboundProxyHost=
outboundProxyPort=
outboundProxyUsername=proxyuser
outboundProxyPassword=*****
airwatchOutboundProxy=false
hostEntry1=192.168.1.1 cgbackend.acme.com
trustedCert1=c:\temp\CA-Cert-A.pem
ntlmAuthentication=false
reinitializeGatewayProcess=false
airwatchServerHostname=cg.acme.com

[SSLCert]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[SSLCertAdmin]
pemPrivKey=
pemCerts=
pfxCerts=
pfxCertAlias=

[JWTSettings1]
publicKey1=
publicKey2=
publicKey3=
name=JWT_1

[JWTSettings2]
publicKey1=
publicKey2=
name=JWT_2

スクリプト実行が制限されていないことを確認するには、PowerShell の set-executionpolicy コマンドを入力します。
```
set-executionpolicy -scope currentuser unrestricted
```
この操作は、制限を削除するために 1 回だけ行う必要があります。
1. （オプション） スクリプトの警告が表示される場合、次のコマンドを実行して、警告のブロックを解除します：unblock-file -path .\uagdeploy.ps1
このコマンドを実行してデプロイを開始します。.INI ファイルを指定しない場合、スクリプトはデフォルトで ap.ini を使用します。
```
.\uagdeploy.ps1 -iniFile uag1.ini
```
確認の画面が表示されたら、認証情報を入力し、スクリプトの実行を完了します。

注：ターゲットマシンのフィンガープリントを追加するように要求されたら、 [yes] と入力します。

Unified Access Gateway アプライアンスがデプロイされ、本番環境で利用できるようになります。

結果

PowerShell スクリプトの詳細については、 https://communities.vmware.com/docs/DOC-30835 を参照してください。

次のタスク

既存の設定を保持したまま Unified Access Gateway をアップグレードする場合は、 .ini ファイルを編集して、ソースの参照先を新しいバージョンに変更し、 .ini ファイルを再実行します： uagdeploy.ps1 uag1.ini。このプロセスには、最大で 3 分かかることがあります。

[General]
name=UAG1
source=C:\temp\euc-unified-access-gateway-3.2.1-7766089_OVF10.ova

サービスを中断せずにアップグレードする方法については、ダウンタイムなしのアップグレードを参照してください。