您可以透過登入 vCenter Server 並使用 [部署 OVF 範本] 精靈來部署 Unified Access Gateway 應用裝置。

有兩個版本的 Unified Access Gateway OVA 可供使用,即標準 OVA 和 FIPS 版本的 OVA。

OVA 的 FIPS 版本支援下列 Edge Service:
  • Horizon (傳遞驗證和憑證驗證)
    備註: 憑證驗證包括智慧卡驗證和裝置憑證驗證。
  • VMware 每一應用程式通道
重要: FIPS 140-2 版本會使用 FIPS 認證的密碼集和雜湊執行,並啟用支援 FIPS 認證資料庫的限制服務。在 FIPS 模式中部署 Unified Access Gateway 時,應用裝置無法變更為標準 OVA 部署模式。在 FIPS 版本中無法使用 Horizon Edge 驗證。

Unified Access Gateway 大小調整選項

若要簡化將 Unified Access Gateway 應用裝置部署為 Workspace ONE 安全閘道的程序,可以將大小調整選項新增至應用裝置中的部署組態。部署組態提供「標準」、「大型」和「超大型」虛擬機器的選擇。
  • 標準:如果 Horizon 部署支援最多 2000 個 Horizon 連線,則建議使用此組態,以配合連線伺服器容量。針對並行連線最多 10,000 個的 Workspace ONE UEM 部署 (行動使用案例),也建議使用此組態。
  • 大型:針對 Unified Access Gateway 需要支援超過 50,000 個並行連線的 Workspace ONE UEM 部署,建議使用此組態。此大小可讓 Content Gateway、每一應用程式通道和 Proxy 以及反向 Proxy 使用相同的 Unified Access Gateway 應用裝置。
  • 超大型:針對 Workspace ONE UEM 部署,建議使用此組態。此大小可讓 Content Gateway、每一應用程式通道和 Proxy 以及反向 Proxy使用相同的 Unified Access Gateway 應用裝置。
  • 備註: 標準、大型和超大型部署的虛擬機器選項:
    • 標準 - 2 核心和 4 GB RAM
    • 大型 - 4 核心和 16 GB RAM
    • 超大型 - 8 核心和 32 GB RAM

    如需 Unified Access Gateway 大小調整建議的詳細資訊,您可以查看 VMware 組態上限

必要條件

  • 檢閱精靈中可用的部署選項。請參閱Unified Access Gateway 系統和網路需求
  • 決定要為 Unified Access Gateway 應用裝置設定的網路介面和靜態 IP 位址數量。請參閱網路功能組態需求
  • 從 VMware 網站 (https://my.vmware.com/web/vmware/downloads) 下載 Unified Access Gateway 應用裝置的 .ova 安裝程式檔案,或決定要使用的 URL (範例:http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova),其中 Y.Y 是版本號碼,而 xxxxxxx 是組建編號。
  • 若有 Hyper-V 部署,且您要升級使用靜態 IP 的 Unified Access Gateway,請先刪除較舊的應用裝置,然後再部署較新的 Unified Access Gateway 執行個體。
  • 若要在使用者不停機的情況下將較舊的應用裝置升級為 Unified Access Gateway 的新執行個體,請參閱不停機升級一節。

程序

  1. 使用原生 vSphere Client 或 vSphere Web Client 登入 vCenter Server 執行個體。
    針對 IPv4 網路,請使用原生 vSphere Client 或 vSphere Web Client。對於 IPv6 網路,請使用 vSphere Web Client。
  2. 選取功能表命令來啟動部署 OVF 範本精靈。
    選項 功能表命令
    vSphere Client 選取檔案 > 部署 OVF 範本
    vSphere Web Client 選取屬於虛擬機器的有效父系物件的任何詳細目錄物件,例如資料中心、資料夾、叢集、資源集區或主機,並從動作功能表中選取部署 OVF 範本
  3. 在 [選取來源] 頁面上,瀏覽至您下載的 .ova 檔案或輸入 URL,然後按下一步
    檢閱產品詳細資料、版本和大小需求。
  4. 按照提示進行,並參考下列準則以完成精靈。ESXi 和 Hyper-V 部署皆有兩個選項可指派 Unified Access Gateway 的 IP 指派。如果您打算升級,請先針對 Hyper-V 刪除具有相同 IP 位址的舊機器,然後再部署具有新位址的新機器。針對 ESXi,您可以關閉舊機器,並使用靜態指派以相同的 IP 位址部署新的機器。
    選項 說明
    名稱和位置 輸入 Unified Access Gateway 虛擬應用裝置的名稱。該名稱在詳細目錄資料夾內必須是唯一的。名稱區分大小寫。

    選取虛擬應用裝置的位置。

    部署組態 對於 IPv4 或 IPV6 網路,您可以使用一、二或三個網路介面 (NIC)。許多 DMZ 實作使用分開的網路來保護不同的流量類型。請根據 Unified Access Gateway 部署所在之 DMZ 的網路設計來對其設定。連同 NIC 數目,您也可以為 Unified Access Gateway 選擇標準大型部署選項。
    備註: 標準大型部署的虛擬機器選項:
    • 標準 - 2 核心和 4 GB RAM
    • 大型 - 4 核心和 16 GB RAM
    主機/叢集 選取要在其中執行虛擬應用裝置的主機或叢集。
    磁碟格式 對於評估和測試環境,選取 [精簡佈建] 格式。對於生產環境,選取其中一個 [完整佈建] 格式。[完整佈建積極式歸零] 是一種完整虛擬磁碟格式,支援容錯之類的叢集功能,但需要的建立時間比其他虛擬磁碟類型還要久。
    設定網路/網路對應 如果您使用 vSphere Web Client,[設定網路] 頁面可讓您將每個 NIC 對應至網路,並指定通訊協定設定。

    將 OVF 範本中使用的網路對應到詳細目錄中的網路。

    1. 選取表格中的第一列網際網路,然後按一下向下箭頭來選取目的地網路。如果您選取 IPv6 作為 IP 通訊協定,則必須選取具有 IPv6 功能的網路。

      在您選取該列之後,您也可以在視窗下半部輸入 DNS 伺服器、閘道和網路遮罩的 IP 位址。

    2. 如果您使用多個 NIC,請選取下一列 ManagementNetwork,接著選取目的地網路,然後您可以為該網路輸入 DNS 伺服器、閘道和網路遮罩的 IP 位址。

      如果您僅使用一個 NIC,則所有列都會對應到相同網路。

    3. 如果您有第三個 NIC,則也請選取第三列並完成設定。

      如果您僅使用兩個 NIC,對於這個第三列 BackendNetwork,請選取您用於 ManagementNetwork 的相同網路。

    備註: 忽略 IP 通訊協定下拉式功能表 (如果有顯示),且不要在此處進行任何選取。IP 通訊協定 (IPv4/IPv6/兩者) 的實際的選取取決於在自訂網路內容時,對 NIC 1 (eth0)、NIC 2 (eth1) 和 NIC 3 (eth2) 之 IPMode 所指定的 IP 模式。
    自訂網路內容 在 [內容] 頁面上的文字方塊是 Unified Access Gateway 專屬的,對於其他類型的虛擬應用裝置來說可能並非必要。精靈頁面中的文字會說明每個設定。如果文字在精靈右側被截斷,請從視窗右下角拖曳以調整其大小。針對 STATICV4 的每個 NIC,您必須輸入 NIC 的 IPv4 位址。針對 STATICV6,您必須輸入 NIC 的 IPv6 位址。如果將文字方塊保留空白,則 IP 位址預設會配置為 DHCPV4+DHCPV6。
    重要: Unified Access Gateway 的最新版本不接受來自網路通訊協定設定檔 (NPP) 的網路遮罩或首碼值和預設閘道設定。若要使用靜態 IP 配置來設定 Unified Access Gateway,您必須在網路內容下設定網路遮罩/首碼。這些值無法從 NPP 填入。
    備註: 這些值均區分大小寫。
    • NIC1 的 IPMode (eth0):STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
    • NIC2 的 IPMode (eth1):STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
    • NIC3 的 IPMode (eth2):STATICV4/STATICV6/DHCPV4/DHCPV6/AUTOV6/STATICV4+STATICV6/STATICV4+DHCPV6/STATICV4+AUTOV6/DHCPV4+AUTOV6/DHCPV4+STATICV6/DHCPV4+DHCPV6/DHCPV4+AUTOV6
    • 使用 {tcp|udp}/listening-port-number/destination-ip-address:destination-port-nu 格式的轉送規則逗號分隔清單。例如針對 IPv4 時為 tcp/5262/10.110.92.129:9443, tcp/5263/10.20.30.50:7443
    • NIC 1 (eth0) IPv4 位址。如果您已針對 NIC 模式輸入 STATICV4,請輸入 NIC 的 IPv4 位址。
      • 使用 ipv4-network-address/bits ipv4-gateway-address 格式之 NIC 1 (eth0) 的 IPv4 自訂路由逗號分隔清單。例如,20.2.0.0/16 10.2.0.1, 20.9.0.0/16 10.2.0.2, 10.2.0.1/32
        備註: 如果未指定 ipv4-gateway-address,則新增的個別路由會具有閘道 0.0.0.0。
    • NIC 1 (eth0) IPv6 位址。如果您已針對 NIC 模式輸入 STATICV6,請輸入 NIC 的 IPv6 位址。
    • NIC 1 (eth0) IPv4 網路遮罩。輸入 NIC 的 IPv4 網路遮罩。
    • NIC 1 (eth0) IPv6 首碼。輸入 NIC 的 IPv6 首碼。
    • DNS 伺服器位址。針對 Unified Access Gateway 應用裝置的網域名稱伺服器輸入以空格分隔的 IPv4 或 IPv6 位址。IPv4 項目的範例為 192.0.2.1 192.0.2.2。IPv6 項目的範例為 fc00:10:112:54::1
    • IPv4 預設閘道。如果 Unified Access Gateway 需要與不在 Unified Access Gateway 中任何 NIC 之本機區段上的 IP 位址進行通訊,請輸入 IPv4 預設閘道。
    • IPv6 預設閘道。如果 Unified Access Gateway 需要與不在 Unified Access Gateway 中任何 NIC 之本機區段上的 IP 位址進行通訊,請輸入 IPv6 預設閘道。
    • NIC 2 (eth1) IPv4 位址。如果您已針對 NIC 模式輸入 STATICV4,請輸入 NIC 的 IPv4 位址。
    • 使用 ipv4-network-address/bits ipv4-gateway-address 格式之 NIC 2 (eth1) 的 IPv4 自訂路由逗號分隔清單。例如,20.2.0.0/16 10.2.0.1, 20.9.0.0/16 10.2.0.2, 10.2.0.1/32
      備註: 如果未指定 ipv4-gateway-address,所新增個別路由的閘道為 0.0.0.0
    • NIC 2 (eth1) IPv6 位址。如果您已針對 NIC 模式輸入 STATICV6,請輸入 NIC 的 IPv6 位址。
    • NIC 2 (eth1) IPv4 網路遮罩。輸入此 NIC 的 IPv4 網路遮罩。
    • NIC 2 (eth1) IPv6 首碼。輸入此 NIC 的 IPv6 首碼。
    • NIC 3 (eth2) IPv4 位址。如果您已針對 NIC 模式輸入 STATICV4,請輸入 NIC 的 IPv4 位址。
    • 使用 ipv4-network-address/bits ipv4-gateway-address 格式之 NIC 3 (eth2) 的 IPv4 自訂路由逗號分隔清單。例如,20.2.0.0/16 10.2.0.1, 20.9.0.0/16 10.2.0.2, 10.2.0.1/32
      備註: 如果未指定 ipv4-gateway-address,所新增個別路由的閘道為 0.0.0.0
    • NIC 3 (eth2) IPv6 位址。如果您已針對 NIC 模式輸入 STATICV6,請輸入 NIC 的 IPv6 位址。
    • NIC 3 (eth2) IPv4 網路遮罩。輸入此 NIC 的 IPv4 網路遮罩。
    • NIC 3 (eth2) IPv6 首碼。輸入此 NIC 的 IPv6 首碼。
    • 虛擬機器根使用者密碼。輸入可供根使用者用來登入 UAG 主控台的密碼。
    • 管理員 UI 密碼。輸入管理員使用者的密碼,以便從管理員 UI 設定 Unified Access Gateway 以及存取 REST API。

    其他設定皆為選用或已輸入預設設定。

    啟用 SSH 啟用 SSH 以存取 Unified Access Gateway 的選項。
    允許使用密碼的 SSH 根使用者登入 使用 SSH 根使用者登入和密碼存取 Unified Access Gateway 的選項。

    依預設,此選項的值為 true

    允許使用金鑰配對的 SSH 根使用者登入 使用 SSH 根使用登入和金鑰-私密金鑰配對存取 Unified Access Gateway 的選項。

    依預設,此值為 false

    Unified Access Gateway 管理員 UI 具有 SSH 公開金鑰欄位,管理員在使用金鑰-私密金鑰配對選項時,可透過此欄位上傳公開金鑰,以允許根使用者存取 Unified Access Gateway。若要讓此欄位成為管理員 UI 上的可用欄位,在部署時此選項和啟用 SSH 的值必須是 true。若有任選項的值不是 true,管理員 UI 上的 SSH 公開金鑰欄位即無法使用。

    SSH 公開金鑰欄位是管理員 UI 中的進階系統設定。請參閱設定 Unified Access Gateway 系統設定

    加入 CEIP 選取加入 VMware 客戶經驗改進計劃以加入 CEIP,或取消選取此選項以離開 CEIP。
    重要: SSH 選項只能在部署期間進行設定。基於安全性相關原因,在部署後,無法透過 Unified Access Gateway 管理員 UI 或 API 來修改這些選項。
  5. 在 [即將完成] 頁面上,選取部署後開啟電源,然後按一下完成
    vCenter Server 狀態區域會出現 [部署 OVF 範本] 工作,以供您監控部署。您也可以在虛擬機器上開啟主控台,檢視在系統啟動期間顯示的主控台訊息。檔案 /var/log/boot.msg 中也會記錄這些訊息。
  6. 部署完成後,確認使用者可以透過開啟瀏覽器並輸入下列 URL 來連線至應用裝置:
    https://FQDN-of-UAG-appliance

    在此 URL 中,FQDN-of-UAG-applianceUnified Access Gateway 應用裝置的 DNS 可解析完整網域名稱。

    如果部署成功,您會看到 Unified Access Gateway 所指向之伺服器所提供的網頁。如果部署不成功,您可以刪除應用裝置虛擬機器,然後重新部署應用裝置。最常見的錯誤是未正確輸入憑證指紋。

結果

Unified Access Gateway 應用裝置會自動部署並啟動。

下一步

  • 登入 Unified Access Gateway 管理員使用者介面 (UI) 並設定桌面平台和應用程式資源,允許透過 Unified Access Gateway 以及要在 DMZ 中使用的驗證方法,進行網際網路的遠端存取。管理主控台 URL 的格式為 https://<mycoUnified Access Gatewayappliance.com:9443/admin/index.html
    重要: 您必須使用管理員 UI 來完成部署後 Unified Access Gateway 組態。如果並未提供管理員 UI 密碼,則您稍後將無法新增管理員 UI 使用者來啟用對管理員 UI 或 API 的存取。如果想要新增管理員 UI 使用者,則必須使用有效的管理員 UI 密碼來重新部署您的 Unified Access Gateway 執行個體。
    備註: 如果您無法存取管理員 UI 登入畫面,請檢查以確認虛擬機器是否在 OVA 的安裝期間顯示 IP 位址。如果未設定 IP 位址,請使用 UI 中提及的 VAMI 命令來重新設定 NIC。以 "cd /opt/vmware/share/vami" 形式執行命令,然後執行命令 "./vami_config_net"