若要部署 Unified Access Gateway,您必須使用 vSphere Client 或 vSphere Web Client 部署 OVF 範本,接著開啟應用裝置的電源,然後進行設定。

必要條件

程序

  1. 使用原生 vSphere Client 或 vSphere Web Client 登入 vCenter Server 執行個體。
    針對 IPv4 網路,請使用原生 vSphere Client 或 vSphere Web Client。對於 IPv6 網路,請使用 vSphere Web Client。
  2. 選取功能表命令來啟動部署 OVF 範本精靈。
    選項 功能表命令
    vSphere Client 選取檔案 > 部署 OVF 範本
    vSphere Web Client 選取屬於虛擬機器的有效父系物件的任何詳細目錄物件,例如資料中心、資料夾、叢集、資源集區或主機,並從動作功能表中選取部署 OVF 範本
  3. 1 選取 OVF 範本頁面上,按一下 URL 並輸入 URL,以從網際網路下載並安裝 OVF 範本,或按一下本機檔案,以瀏覽到您下載的 .ova 檔案。按下一步
    檢閱產品詳細資料、版本和大小需求。
  4. 按照提示進行,並參考下列準則以完成精靈。ESXi 和 Hyper-V 部署皆有兩個選項可指派 Unified Access Gateway 的 IP 指派。
    • 如果您打算升級,請先針對 Hyper-V 刪除具有相同 IP 位址的舊機器,然後再部署具有新位址的新機器。
    • 針對 ESXi,您可以關閉舊機器,並使用靜態指派以相同的 IP 位址部署新的機器。
    表 1. OVF 部署選項
    選項 說明
    2 選取名稱和資料夾
    選取名稱和目標位置 虛擬機器名稱欄位中輸入 Unified Access Gateway 虛擬應用裝置的名稱。該名稱在詳細目錄資料夾內必須是唯一的。名稱區分大小寫。

    從清單中選取虛擬機器的位置

    3 選取計算資源
    主機/叢集 選取要在其中執行虛擬應用裝置的主機或叢集。

    結果:執行相容性和驗證檢查以確認計算資源是否可以支援 OVF。

    4 檢閱詳細資料

    驗證 OVF 部署詳細資料。

    5 組態
    選取部署組態 對於 IPv4 或 IPV6 網路,您可以使用一、二或三個網路介面 (NIC)。許多 DMZ 實作使用分開的網路來保護不同的流量類型。請根據 Unified Access Gateway 部署所在之 DMZ 的網路設計來對其設定。連同 NIC 數目,您也可以為 Unified Access Gateway 選擇標準大型部署選項。請參閱《VMware 組態上限》
    備註: 標準大型部署的虛擬機器選項:
    • 標準 - 2 核心和 4 GB RAM
    • 大型 - 4 核心和 16GB RAM
    • 超大型 - 8 核心和 32 GB RAM
    6 選取儲存區
    選取虛擬磁碟格式 選取虛擬磁碟格式。
    1. 對於評估和測試環境,選取 [精簡佈建] 格式。
    2. 對於生產環境,選取其中一個 [完整佈建] 格式。[完整佈建積極式歸零] 是一種完整虛擬磁碟格式,支援容錯之類的叢集功能,但需要的建立時間比其他虛擬磁碟類型還要久。
    虛擬機器儲存區原則

    資料存放區預設的或任何其他已設定的儲存區原則。如需詳細資訊,請參閱 VMware Docs 上的 VMware vSphere 說明文件中的虛擬機器儲存區原則

    7 選取網路
    如果您使用 vSphere Web Client,[選取網路] 頁面可讓您將每張 NIC 對應至網路,並指定通訊協定設定。

    將 OVF 範本中使用的網路對應到詳細目錄中的網路。

    1. 選取部署組態 - 單張 NIC、兩張 NIC 或三張 NIC 等。
      • 如果您僅使用一張 NIC,則所有列都會對應到相同網路。
      • 如果您使用多張 NIC,請在 ManagementNetwork 列上選取目的地網路,然後輸入該網路的 DNS 伺服器 IP 位址、預設閘道和網路遮罩。
      • 如果您有第三張 NIC,請選取第三列並完成設定。
      • 如果您只使用兩張 NIC,請在 BackendNetwork 列選取您用於 ManagementNetwork 的相同網路。
    2. 選取網際網路列,然後按向下箭頭以選取目的地網路。如果您選取 IPv6 作為 IP 通訊協定,則必須選取具有 IPv6 功能的網路。
    3. 在您選取該列之後,您也可以在視窗下半部輸入 DNS 伺服器、閘道和網路遮罩的 IP 位址。按下一步
    4. 忽略 IP 通訊協定下拉式功能表 (如果有顯示),且不要在此處進行任何選取。IP 通訊協定 (IPv4/IPv6/兩者) 的實際的選取取決於在自訂網路內容時,對 NIC 1 (eth0)、NIC 2 (eth1) 和 NIC 3 (eth2) 之 IPMode 所指定的 IP 模式。DNS 伺服器和預設閘道設定是全域的,不與任何特定的 NIC 相關聯。
    8 自訂範本
    網路內容 在 [內容] 頁面上的文字方塊是 Unified Access Gateway 專屬的,對於其他類型的虛擬應用裝置來說可能並非必要。精靈頁面中的文字會說明每個設定。如果文字在精靈右側被截斷,請從視窗右下角拖曳以調整其大小。針對 STATICV4 的每張 NIC,您必須輸入 NIC 的 IPv4 位址。針對 STATICV6,您必須輸入 NIC 的 IPv6 位址。如果將文字方塊保留空白,則 IP 位址預設會配置為 DHCPV4+DHCPV6。
    重要: Unified Access Gateway 的最新版本不接受來自網路通訊協定設定檔 (NPP) 的網路遮罩或首碼值和預設閘道設定。若要使用靜態 IP 配置來設定 Unified Access Gateway,您必須在網路內容下設定網路遮罩/首碼。這些值無法從 NPP 填入。
    備註:
    • 這些值均區分大小寫。
    • vSphere 6.7 或更早版本中,使用 vSphere Client HTML5 部署 Unified Access Gateway 時,僅 NIC1 (eth0) 可用於組態。在 vSphere 7.0 中使用 vSphere Client HTML5 時,多張 NIC 可用於組態。
    • NIC1 (eth0) 的 IPMode:STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6。
    • 使用 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu 格式的轉送規則逗號分隔清單。例如針對 IPv4 時為 tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443
    • NIC 1 (eth0) IPv4 位址。如果您已針對 NIC 模式輸入 STATICV4,請輸入 NIC 的 IPv4 位址。
      • NIC (eth0) 的 IPv4 自訂路由逗號分隔清單,格式為 ipv4-network-address/bits ipv4-gateway-address。例如,20.2.0.0/16 10.2.0.120.9.0.0/16 10.2.0.210.2.0.1/32
        備註: 如果未指定 ipv4-gateway-address,則新增的個別路由會具有閘道 0.0.0.0。
    • NIC 1 (eth0) IPv6 位址。如果您已針對 NIC 模式輸入 STATICV6,請輸入 NIC 的 IPv6 位址。
    • DNS 伺服器位址。針對 Unified Access Gateway 應用裝置的網域名稱伺服器,輸入以空格分隔的 IPv4 或 IPv6 位址。IPv4 項目的範例為 192.0.2.1 192.0.2.2。IPv6 項目的範例為 fc00:10:112:54::1
    • DNS 搜尋網域。輸入以空格分隔的 DNS 搜尋清單。
    • NIC 1 (eth0) IPv4 網路遮罩。輸入 NIC 的 IPv4 網路遮罩。
    • NIC 1 (eth0) IPv6 首碼。輸入 NIC 的 IPv6 首碼。
    • NIC1 (eth0) 自訂組態。以 SectionName^Parameter=Value 格式輸入 NIC 的自訂組態值。自訂組態項目的範例為 DHCP^UseDNS=false。此值在使用時,系統會停用 DHCP 伺服器所提供 DNS IP 位址的使用量。您可以使用相同的格式來新增多個此類 systemd.network 組態項目 (以分號分隔)。
    • IPv4 預設閘道。如果 Unified Access Gateway 需要與不在 Unified Access Gateway 中任何 NIC 之本機區段上的 IP 位址進行通訊,請輸入 IPv4 預設閘道。
    • IPv6 預設閘道。如果 Unified Access Gateway 需要與不在 Unified Access Gateway 中任何 NIC 之本機區段上的 IP 位址進行通訊,請輸入 IPv6 預設閘道。
    Unified Gateway 應用裝置名稱 輸入應用裝置的主機名稱以供識別。如果不輸入任何名稱,系統會自動產生名稱。
    加入 CEIP 選取加入 VMware 客戶經驗改進計劃以加入 CEIP,或取消選取此選項以離開 CEIP。
    密碼選項
    作業系統登入使用者名稱 輸入用於存取 Unified Access Gateway 本機主控台的使用者名稱。

    設定後,系統會建立具有給定使用者名稱的新 sudo 特殊權限使用者,並停用根使用者登入。僅允許 a-z、0-9、底線 (_) 和連字號 (-),長度上限為 32。

    備註: 將此欄位保留空白可使用根使用者。
    作業系統登入的密碼 輸入作業系統登入的密碼。此密碼適用於 root 或作業系統登入使用者名稱欄位中設定的自訂使用者。
    作業系統使用者的密碼到期時間 (以天為單位) 輸入作業系統使用者的密碼到期原則。如果設定為零,則密碼永不到期。預設值為 365 天。
    密碼長度下限 輸入密碼的長度下限。預設值為 6。
    字元類別數目下限的密碼原則 輸入字元類型類別 (大寫、小寫、數字及其他) 數目下限 (1、2、3、4) 的密碼原則。
    針對嘗試失敗次數上限的密碼原則 輸入允許的嘗試失敗次數上限。預設值為 3。
    針對達到嘗試失敗次數上限時的解除鎖定時間的密碼原則 (以秒為單位) 輸入達到嘗試失敗次數上限時解除鎖定密碼的時間 (以秒為單位)。預設值為 900。
    作業系統使用者的工作階段閒置逾時 (以秒為單位) 輸入作業系統使用者的工作階段閒置逾時。範圍為 30-3600 秒。如果將此選項設定為零 (0),則會停用工作階段到期。預設值為 300。
    sudo 並行登入工作階段的上限 輸入 sudo 使用者的同時登入工作階段數上限。如果未設定 sudo 使用者,則會忽略此設定。

    預設值為 10,最小可設定為 1。沒有上限。

    管理員使用者的密碼,可啟用 REST API 存取
    密碼和確認密碼 密碼長度至少必須有 8 個字元,至少包含一個大寫字母和一個小寫字母、一個數字和一個特殊字元,其中包括 ! @ # $ % * ( )。警告:如果將密碼留空,將不會建立管理 UI 使用者,也無法在應用裝置上設定任何設定。您必須使用密碼重新部署 UAG 應用裝置,才能使用管理員 UI。
    管理員密碼長度下限 輸入管理員密碼的長度下限。預設值為 8。
    針對嘗試失敗次數上限的管理員密碼原則 輸入允許的嘗試失敗次數上限。預設值為 3。
    針對達到嘗試失敗次數上限時的解除鎖定時間的管理員密碼原則 (以分鐘為單位) 輸入達到嘗試失敗次數上限時解除鎖定管理員密碼的時間 (以分鐘為單位)。預設值是 5 分鐘。
    管理員工作階段閒置逾時 (以分鐘為單位) 輸入管理員的工作階段閒置逾時。預設值為 10,上限為 1440 分鐘。
    管理主控台使用者的同時工作階段數上限 輸入管理員的同時登入工作階段數上限。

    預設值為 5,最大值為 50。

    當使用者超過工作階段計數上限時,最近最少使用的工作階段將到期。

    符合性
    啟用 DISA STIG 合規性

    將作業系統組態設定為符合目前的 Photon OS 4.0 DISA STIG 就緒準則。

    選取此核取方塊以自動設定密碼複雜性和其他 STIG 需求。

    備註: 如果需要達成 DISA STIG 作業系統合規性,則應該搭配 FIPS 版本使用此設定。
    系統內容
    啟用 SSH 啟用 SSH 以存取 Unified Access Gateway 虛擬機器的選項。
    允許使用密碼的 SSH 根使用者登入 使用 SSH 根使用者登入和密碼存取 Unified Access Gateway 虛擬機器的選項。

    依預設,此選項的值為 true

    允許使用金鑰配對進行 SSH 登入 使用 SSH 根使用者登入和公開-私密金鑰配對存取 Unified Access Gateway 虛擬機器的選項。

    依預設,此值為 false

    Unified Access Gateway 管理員 UI 具有 SSH 公開金鑰欄位,在使用金鑰-私密金鑰配對選項時,可供管理員上傳公開金鑰,以允許已設定的或根使用者存取 Unified Access Gateway。若要讓此欄位成為管理員 UI 上的可用欄位,在部署時此選項和啟用 SSH 的值必須是 true。若有任選項的值不是 true,管理員 UI 上的 SSH 公開金鑰欄位即無法使用。

    SSH 公開金鑰欄位是管理員 UI 中的進階系統設定。請參閱設定 Unified Access Gateway 系統設定

    登入 Shell 橫幅文字 用於自訂在使用 SSH 或 Unified Access Gateway Client 的 Web 主控台登入 vSphere 時顯示的橫幅文字的選項。

    此選項只能在部署時進行設定。如果未設定此選項,則顯示的預設文字將為:VMware EUC Unified Access Gateway

    自訂文字中僅支援 ASCII 字元。對於多行橫幅文字,必須使用 \n 作為換行符號。

    備註: 使用 OVF 範本部署 Unified Access Gateway 並且設定了登入橫幅文字後,在第一次啟動 Unified Access Gateway 時, vSphere Client 的 Web 主控台將顯示預設橫幅文字,並忽略自訂橫幅文字。在後續啟動時,將會顯示自訂橫幅文字。
    SSH 介面

    設定啟用了 SSH 登入的網路介面。

    依預設,將在所有介面上啟用 SSH。

    根據組態,支援的值包括 eth0eth1eth2

    SSH 連接埠

    設定啟用了 SSH 的連接埠。

    預設值為 22

    要在第一次開機期間執行的命令 以純文字或 base64 編碼格式輸入要在 Unified Access Gateway 第一次開機期間執行的命令 (分號分隔清單)。大小上限為 8 KB。如需詳細資訊,請參閱第一次開機和每次開機時可供設定的開機時間命令
    要在每次開機期間執行的命令 以純文字或 base64 編碼格式輸入要在 Unified Access Gateway 每次開機期間執行的命令 (分號分隔清單)。大小上限為 8 KB。如需詳細資訊,請參閱第一次開機和每次開機時可供設定的開機時間命令
    SecureRandom 來源 允許您設定 Java 程序用於加密函數的安全隨機位元產生器來源。

    此選項只能在部署時進行設定。

    支援的值包括:/dev/random/dev/urandom。依預設,/dev/random 用於非 FIPS 模式下,/dev/urandom 用於 FIPS 模式下。

  5. 即將完成頁面上,檢閱相關的資訊並按一下完成
    vCenter Server 狀態區域會出現 [部署 OVF 範本] 工作,以供您監控部署。您也可以在虛擬機器上開啟主控台,檢視在系統啟動期間顯示的主控台訊息。檔案 /var/log/boot.msg 中也會記錄這些訊息。
  6. 開啟虛擬機器電源。
  7. 開啟應用裝置電源後,確認使用者可以透過開啟瀏覽器並輸入下列 URL 來連線至應用裝置:
    https://FQDN-of-UAG-appliance

    在此 URL 中,FQDN-of-UAG-applianceUnified Access Gateway 應用裝置的 DNS 可解析完整網域名稱。

    如果部署成功,您會看到 Unified Access Gateway 所指向之伺服器所提供的網頁。如果部署不成功,您可以刪除應用裝置虛擬機器,然後重新部署應用裝置。最常見的錯誤是未正確輸入憑證指紋。

結果

Unified Access Gateway 應用裝置會自動部署並啟動。

下一步

  • 登入 Unified Access Gateway 管理員使用者介面 (UI) 並設定桌面平台和應用程式資源,允許透過 Unified Access Gateway 以及要在 DMZ 中使用的驗證方法,進行網際網路的遠端存取。管理主控台 URL 的格式為 https://<UAG-fqdn>:9443/admin/index.html
    重要: 您必須使用管理員 UI 來完成部署後 Unified Access Gateway 組態。如果並未提供管理員 UI 密碼,則您稍後將無法新增管理員 UI 使用者來啟用對管理員 UI 或 API 的存取。如果想要新增管理員 UI 使用者,則必須使用有效的管理員 UI 密碼來重新部署您的 Unified Access Gateway 執行個體。
    備註: 如果您無法存取管理員 UI 登入畫面,請檢查虛擬機器是否在 OVA 安裝期間顯示 IP 位址。如果未設定 IP 位址,請使用 UI 中提及的 VAMI 命令來重新設定 NIC。以 "cd /opt/vmware/share/vami" 形式執行命令,然後執行命令 "./vami_config_net"