可以使用 PowerShell 指令碼部署 Unified Access Gateway。您必須在用於部署的 .INI 檔案中設定基本參數。

[一般] 區段的參數

[一般] 區段中的參數適用於所有 Hypervisor。

INI 參數 說明
adminMaxConcurrentSessions

允許您設定並行管理員工作階段數限制。

預設值為 5

支援的範圍為 1-50

如果將此值設定為 1,則不允許並行工作階段。

如果您要在並行工作階段數已達到限制時,建立新工作階段,則系統會讓最近使用次數最少的工作階段失效。
adminpasswordPolicyUnlockTime 到達設定的管理員使用者登入失敗嘗試次數後,Unified Access Gateway 管理員 UI 遭到鎖定的持續時間 (以分鐘為單位)。

鎖定過後,Unified Access Gateway 管理員 UI 會解除鎖定,而管理員使用者可以存取 UI。

預設值是 5 分鐘。
adminSessionIdleTimeoutMinutes Unified Access Gateway 管理員 UI 工作階段閒置的持續時間 (以分鐘為單位)。在此逾時後,管理員 UI 會自動登出。

預設值是 10 分鐘。

最大值是 1440 分鐘。

如果參數值是 0,則即使處於閒置狀態,工作階段仍不會到期。
ceipEnabled 如果設定為 TRUE,會將客戶經驗改進計劃 (「CEIP」) 資訊傳送給 VMware。如需詳細資訊,請參閱〈加入或退出客戶經驗改進計劃〉。
communityName 有效的 communityName 區分大小寫,並且可包含特殊字元。
CustomConfig (eth0CustomConfig, eth1CustomConfig, eth2CustomConfig) 必須新增至 systemd.network 檔案的自訂組態值可使用 SectionName^Parameter=Value 格式來提供

目前支援的組態選項如下。如果需要多個選項,必須用分號來分隔這些選項:

  • DHCP^UseDNS=false

    當使用此值時,會停用 DHCP 伺服器所提供 DNS IP 位址的使用量。

  • Network^DNSOverTLS=yes;Network^DNS=192.168.1.153#dns.example.com;Network^Domains=~.;DHCP^UseDNS=false;DHCP^UseDomains=false;

    使用此值時,會允許透過 TLS 將 DNS 查詢傳送到特定 DNS 伺服器。

eth (0、1 和 2) 的自訂組態值範例包含在範例 .ini 檔案的 [一般] 區段中。
deploymentoption 可以使用一張、兩張或三張網路介面卡 (NIC) 建立 UAG。指定 onenic、twonic 或 threenic。預設值為 onenic。這適用於 2 個 vCPU 和 4 GB RAM 的標準部署。

還可以指定 onenic-large、twonic-large、threenic-large、onenic-XL、twonic-XL、threenic-XL。大型選項將 UAG 部署為 4 個 vCPU 和 8 GB RAM,超大型 (XL) 選項將 UAG 部署為 8 個 vCPU 和 32 GB RAM。
dsComplianceOS

預設值為 false

如果設定為 true,此布林值旗標會將作業系統組態設定為遵循目前的《Photon OS 4.0 DISA STIG 就绪指南》。密碼複雜性和其他 STIG 需求將自動設定。

備註: 如果需要達成 DISA STIG 作業系統符合性,則此設定必須與 FIPS 版本搭配使用。
headersToBeLogged

輸入要記錄的自訂標頭清單 (以逗號分隔)。

範例:X-Forwarded-Host,host,X-Forwarded-For,X-Forwarded-Proto

此欄位的預設值設定為 X-Forwarded-For,並且包含 UsernameClient buildClient version 的詳細資料。

osLoginUsername

Unified Access Gateway 部署期間,輸入高權限使用者的自訂使用者名稱。

使用者名稱的長度上限是 32 個字元,可以是 a-z0-9、底線 _ 和連字號 - 的組合。

設定此使用者後,將停用根使用者登入。

osMaxLoginLimit

 允許您以高權限非根使用者身分,來設定 Unified Access Gateway 本機主控台的並行登入數限制。

預設值為 10

備註: 只有在設定非根使用者 (osLoginUsername) 以登入 Unified Access Gateway 本機主控台時,此組態才有效。對於根使用者的並行登入數,則無任何限制。
passwordPolicyFailedLockout 允許根使用者存取 Unified Access Gateway 主控台的登入嘗試失敗次數。

預設值為 3
passwordPolicyMinClass 可用來設定根密碼複雜性的字元類型類別最小數目。

字元類型的類別如下所示:大寫、小寫、數字及其他。

預設值為 1

可以使用下列值設定此參數:1234

如果參數具有預設值,則您可以使用全部四個類別的字元。如果參數值為 1,您可以使用任一類別的字元。
passwordPolicyMinLen 根使用者密碼的最小長度。

此參數的預設值為 6

此參數的最大值為 64
passwordPolicyUnlockTime 到達設定的根使用者登入嘗試失敗次數後,Unified Access Gateway 主控台遭到鎖定的持續時間。

鎖定過後,Unified Access Gateway 主控台會解除鎖定,而根使用者可以存取主控台。

預設值為 900 秒。
rootPasswordExpirationDays 根使用者的密碼到期原則。

預設的密碼到期時間為 365 days

若要防止密碼到期,可以將到期時間設定為 0
rootSessionIdleTimeoutSeconds Unified Access Gateway 主控台工作階段閒置的持續時間 (以秒為單位)。在此逾時後,主控台會自動登出。

在 Microsoft Azure 上使用 SSH 登入 Unified Access Gateway 時,此參數的預設值為 180 秒,若為其他平台,預設值為 300 秒。

對於序列主控台工作階段,預設值為 900 秒。

此參數的最大值為 3600 秒。
secureRandomSource 允許您設定 Java 程序用於加密函數的安全隨機位元產生器來源。

此選項只能在部署時進行設定。

支援的值包括:/dev/random/dev/urandom。依預設,/dev/random 用於非 FIPS 模式下,/dev/urandom 用於 FIPS 模式下。
sshEnabled 設定為 true 時,此參數會自動在已部署應用裝置上啟用 SSH 存取。

設定為 false 時,SSH 不會啟用。

備註: 除非在某些特定且可限制存取的情況下,否則 VMware 通常不建議在 Unified Access Gateway 上啟用 SSH。

針對 vSphere、Hyper-V 或 Microsoft Azure 通常不需要在 Unified Access Gateway 上啟用 SSH 存取,因為在這些平台上可以使用主控台存取。

在啟用 SSH 的情況下,必須在防火牆或安全群組中將 TCP 連接埠 22 存取限定於個別管理員的來源 IP 位址。

sshInterface

設定啟用了 SSH 登入的網路介面。

依預設,將在所有介面上啟用 SSH。

根據組態,支援的值包括 eth0eth1eth2
sshLoginBannerText 用於自訂在使用 SSH 或 Unified Access Gateway Client 的 Web 主控台登入 vSphere 時顯示的橫幅文字的選項。

此選項只能在部署時進行設定。如果未設定此參數,則顯示的預設文字將為 VMware EUC Unified Access Gateway

自訂文字中僅支援 ASCII 字元。對於多行橫幅文字,必須使用 \n 作為換行符號。

sshPort

設定啟用了 SSH 的連接埠。

預設值為 22

用於 vSphere 或 Hyper-V 部署的參數

僅當您在 vSphere 或 Hyper-V 上部署 Unified Access Gateway 時,才設定這些其他參數。

INI 參數 說明
defaultGateway
指定 UAG 應用裝置的預設閘道位址。在下列情況下使用:
  • vSphere 中的網路通訊協定設定檔不包含預設閘道。
  • 為避免使用多個網路通訊協定設定檔時出現歧義,每個設定檔會指定不同的閘道。一個應用裝置只能有一個預設閘道,此值可用於明確指定該閘道。

除了 defaultGateway 之外,還可以使用 routes0、routes1 和 routes2 設定為每張 NIC 新增其他閘道的路由。

範例:10.108.168.xxx
ds 應用裝置部署到的資料存放區名稱。

範例:ds=Local Disk 1
folder
記住: 此設定僅適用於 vSphere 部署。
指定建立虛擬機器的資料夾。在具名的 VMs and Templates 資料夾中部署 應用裝置。vCenter 中的資料夾顯示在 [虛擬機器和範本] 下。在部署之前,必須存在指定的資料夾。
ip0 NIC0 的 IPv4 位址。
ipmode0 NIC1 (eth0)、NIC2 (eth1) 和 NIC3 (eth2) 的 IPMode。支援的模式為: 
STATICV4/ STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/
STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/
DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
netBackendNetwork UAG 後端網路的名稱。
netInternet UAG 主要網路的名稱。
netManagementNetwork UAG 管理介面網路的名稱。
netmask0 NIC0 的 IPv4 網路遮罩 (onenic、twonic 或 threenic)。
source

從 Customer Connect 入口網站下載來源檔案。

  • vSphere - UAG 的完整路徑檔案名稱。ova 虛擬機器映像。
  • Hyper-V - UAG 的完整路徑檔案名稱。vhdx 虛擬機器映像。

範例:

  • vSphere C:\Users\Administrator\Desktop\UAG Resources\euc-unified-access-gateway-21.00.0.0-13578272_OVF.ova
  • Hyper-V C:\Users\Administrator\VHDX\euc-unified-access-gateway-21.00.0.0-13578272_OVF10.vhdx
target
記住: 此設定僅適用於 vSphere 部署。

指定 vCenter Server 資訊和目標 ESX 主機。如需有關目標語法的詳細資料,請參閱《OVF Tool 使用者指南》

請注意,目標必須參考 vCenter 主機或叢集。不支援直接部署到 vSphere 主機。在此範例中,192.168.0.21 是 vCenter 主機的 IP 位址,[email protected] 是 vCenter 管理員使用者名稱。

目標值中使用的資料夾名稱、主機名稱和叢集名稱有區分大小寫。

如果您不確定要用於目標的值,則可以忽略資料夾名稱等。然後,OVF Tool 將提供下一層級的可能值清單。這樣,您便可以一次準確地建置一個層級的完整目標規格。

範例:

target=vi://[email protected]@192.168.0.21/DC1/host/my folder/esx1.myco.int