今日も引き続き VMware Unified Access Gateway ( UAG ) についてブログを書かせて頂きます。
前日は UAG の概要について書きました。
今日は UAG の構成など、デプロイする前に確認しておきたい情報を項目ごとに紹介します。
■UAG を使用できる環境
UAG は OVF 形式で提供され、VMware vSphere 環境 (Ver5.5 以降)と Windows Server 2012 R2 、または Windows Server 2016の Hyper-V 環境に仮想マシンとしてデプロイして使用することができます。
※参考リンク
■UAG に必要なスペック (リソース)
UAG は OVF 形式からのデプロイ時に、自動的に CPU、メモリ、DIsk などがの構成が選択されます。最小要件は以下となっており、基本的にデプロイ時のデフォルト設定から構成を縮小しないこと、とマニュアルに記載されています。なお、割当リソースを増やすことは問題ないようです。
[最小要件]
・CPU : 2,000 MHz
・メモリ : 4GB
・Disk : シン プロビジョニング 2.6 GB (シックの場合20GB)
※参考リンク
■UAG の NIC ( Network Interface Card )構成
NIC 構成は、3つの選択肢があります。
NIC の構成の選択は、導入するネットワークの環境にあわせて下記種別のトラフィックをどのように分離するのかによって構成が異なります。
「インターネットからのトラフィック」
「内部へのトラフィック ( UAG を経由して外部に公開するサービスへの通信)」
「 UAG への管理トラフィック」
例えば”③ NIC が3つの構成”にした場合は、UAG の管理画面にアクセスできるのは、Management NW に接続した NIC からのみになります。どの構成にするかは UAG のデプロイ時に選択します。
※参考リンク
■通信要件(プロトコル/ポート番号)
UAG の利用用途毎に通信許可が必要な TCP/UDP ポートは以下の URL ページにまとまっています。
使用する機能に必要ポートの穴あけが必要ですね。
■ Security Server との構成の違い
前回の” UAG 〜概要編〜”のブログで記載したとおり、Windows にインストールする形式の Security Server の代わりとして使用できるのが UAG ですが、 構成の面で大きく異なる点があります。
それは、 Horizon の Connection Server とペアリングする必要が無い、という点です。
従来の Security Server は Connection Server と1対1でペアリングする設定をする必要がありました。(Security Server と Connection Server 間で IPsec のトンネルが構成されます)
UAG はペアリングの必要ない仕様になっているため、Connection Server 側の設定でセキュリティサーバーのペアリング設定をする必要がありません。
■高可用性とロード バランシング
UAG の冗長構成・トラフィックの分散を行いたい場合は、外部ネットワークと UAG との間にロードバランサーを導入します。また、下記イメージ図のように UAG 経由で外部に公開するサービスの構成によっては、UAG の内部にもロードバランサーが必要になる場合もあります。
ロードバランサーの構成に関する注意点ですが、多くのロードバランサーが機能として持っている”SSLオフロード機能”は、 UAG との間で使用できません。
SSL 通信をロードバランサーでパススルーするか、ロードバランサーで SSL 証明書の管理をしたい場合は UAG と ロードバランサー間で再SSL化する必要があります。
※参考リンク
※新情報
ちょうどこのブログを準備している2018年12月4日に、UAG ver3.4 がリリースされたのですが、新しい機能として「Unified Access Gateway での高可用性」の機能が追加されたそうです。UAG 自身で高可用性機能を持つようになり、外部ロードバランサーが不要になるらしいです。検証せねば・・・!
・VMware Unified Access Gateway 3.4 のリリース ノート
構成・要件について調べ始めると終わらないですね。だいたい構成がイメージができてきたところで〜詳細編〜は終わりにしたいと思います。
次は実際に UAG デプロイしてみたいと思います。
それでは。