Déploiement et configuration d'Access
Point
Access Point 2.5
Access Point 2.6
VMware Horizon
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
FR-001998-00
Déploiement et configuration d'Access Point
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2015, 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
Déploiement et configuration d' Access Point 5
Présentation de Access Point 7
1
Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ 8
Topologies d' Access Point 12
Configuration système requise et déploiement 17
2
Configuration système pour Access Point 17
Préparation du Serveur de connexion View pour l'utiliser avec Access Point 19
Déployer le dispositif Access Point 19
Utilisation de VMware OVF Tool pour déployer le dispositif Access Point 23
Propriétés du déploiement d'Access Point 27
Configuration d' Access Point 31
3
Utilisation de l'API REST Access Point 31
Réinitialiser le mot de passe administrateur pour l'API REST Access Point 32
Paramètres de configuration pour les paramètres système et les certificats de serveur 33
Paramètres de configuration pour les services Edge 35
Configuration de certificats TLS/SSL pour les dispositifs Access Point 40
Sélection du type de certificat correct 40
Convertir des fichiers de certificat au format PEM sur une ligne 41
Remplacer le certificat de serveur TLS/SSL par défaut pour Access Point 42
Modifier les protocoles de sécurité et les suites de chiffrement utilisés pour la communication
TLS/SSL 43
Configuration des passerelles sécurisées utilisées avec le service View Edge 44
VMware, Inc.
Collecte de journaux depuis le dispositif Access Point 47
4
Configuration de l'authentification par carte à puce 49
5
Générer des métadonnées SAML Access Point 50
Création d'un authentificateur SAML pour le Serveur de connexion View 51
Créer un authentificateur SAML sur un Serveur de connexion Horizon 7 51
Créer un authentificateur SAML sur le Serveur de connexion View 6.2 53
Modifier la période d'expiration des métadonnées du fournisseur de services sur le Serveur de
connexion View 54
Copier les métadonnées SAML du fournisseur de services sur Access Point 55
Obtenir des certificats d'autorités de certification 56
Obtenir le certificat d'une autorité de certification de Windows 56
Configurer des paramètres de carte à puce sur le dispositif Access Point 57
Propriétés du certificat de carte à puce pour les options avancées 59
3
Déploiement et configuration d'Access Point
Configuration de l'authentification à deux facteurs 63
6
Configurer l'authentification RSA SecurID sur le dispositif Access Point 63
Configurer l'authentification RADIUS sur le dispositif Access Point 65
Index 69
4 VMware, Inc.
Déploiement et configuration d' Access Point
Déploiement et configuration d'Access Point fournit des informations sur la désignation d'un déploiement de
VMware Horizon® qui utilise Access Point pour un accès externe sécurisé aux applications de votre
entreprise, notamment des applications Windows, des applications SaaS (software as a service) et des postes
de travail View. Ce guide contient également des instructions sur le déploiement de dispositifs virtuels
Access Point et sur la modification des paramètres de configuration après le déploiement, si nécessaire.
Public visé
Ces informations sont destinées à toute personne souhaitant déployer et utiliser des dispositifs Access Point.
Les informations sont rédigées pour des administrateurs système Linux et Windows expérimentés qui
connaissent bien la technologie des machines virtuelles et les opérations de centre de données.
Glossaire VMware Technical Publications
Les publications techniques VMware fournissent un glossaire de termes que vous ne connaissez peut-être
pas. Pour obtenir la définition des termes tels qu'ils sont utilisés dans la documentation technique de
VMware, visitez la page http://www.vmware.com/support/pubs.
VMware, Inc.
5
Déploiement et configuration d'Access Point
6 VMware, Inc.
Présentation de Access Point 1
Access Point fonctionne comme une passerelle sécurisée pour les utilisateurs qui veulent accéder à des
applications et des postes de travail distants depuis l'extérieur du pare-feu d'entreprise.
En général, les dispositifs Access Point résident dans une zone DMZ et agissent comme un hôte proxy pour
les connexions à l'intérieur du réseau approuvé de votre entreprise. Cette conception offre une couche
supplémentaire de sécurité en protégeant les postes de travail virtuels View, les hôtes d'application et les
serveurs Horizon Server contre les sites Internet destinés au public.
Access Point dirige les demandes d'authentification au serveur approprié et ignore les demandes non
authentifiées. Le seul trafic d'application et de poste de travail à distance qui peut entrer dans le centre de
données de l'entreprise est le trafic au nom d'un utilisateur dont l'authentification est renforcée. Les
utilisateurs ne peuvent accéder qu'aux ressources dont l'accès leur est autorisé.
Avec Access Point 2.6 et versions ultérieures, le dispositif Access Point peut également servir de proxy
inverse pour VMware Identity Manager.
Les mécanismes d'authentification suivants sont disponibles :
Informations d'identification Active Directory
n
RSA SecurID
n
RADIUS
n
VMware, Inc.
Cartes à puce
n
SAML (Security Assertion Markup Language)
n
Pour le composant View de VMware Horizon, les dispositifs Access Point jouent le même rôle que celui
précédemment joué par les serveurs de sécurité View, mais Access Point offre plus d'avantages :
Un dispositif Access Point peut être configuré pour pointer vers une instance du Serveur de connexion
n
View ou vers un équilibrage de charge qui fait face à un groupe d'instances du Serveur de connexion
View. Cette conception signifie que vous pouvez combiner le trafic distant et le trafic local.
La configuration d'Access Point est indépendante des instances du Serveur de connexion View.
n
Contrairement aux serveurs de sécurité, aucun mot de passe de couplage n'est requis pour coupler
chaque serveur de sécurité avec une instance du Serveur de connexion View.
Les dispositifs Access Point sont déployés en tant que dispositifs virtuels renforcés, qui sont basés sur
n
un dispositif Linux qui a été personnalisé pour fournir un accès sécurisé. Les modules étrangers ont été
supprimés pour réduire les accès dangereux potentiels.
Access Point utilise un protocole HTTP(S) standard pour les communications avec le Serveur de
n
connexion View. JMS, IPsec et AJP13 ne sont pas utilisés.
7
Déploiement et configuration d'Access Point
Ce chapitre aborde les rubriques suivantes :
« Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ », page 8
n
« Topologies d'Access Point », page 12
n
Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ
Les dispositifs Access Point basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu
frontaux et principaux. Lors de l'installation, les services Access Point sont configurés pour écouter sur
certains ports réseau par défaut.
En général, un déploiement de dispositif Access Point basé sur une zone DMZ inclut deux pare-feu.
Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne.
n
Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.
Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième
n
niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des
services dans la zone DMZ.
Par exemple, la figure suivante indique les protocoles que chaque composant View utilise pour les
communications. Cette configuration peut être utilisée dans un déploiement WAN classique si vous utilisez
des dispositifs Access Point avec le composant View de VMware Horizon.
8 VMware, Inc.
Figure 1‑1. Composants View et protocoles avec Access Point
Périphériques clients
Client
RDP
Dispositif Access Point
Gestionnaires de
protocoles sécurisés View
Serveur de connexion View
View
Agent
Machine virtuelle de poste de travail View ou hôte RDS
HTTP(S)HTTP(S)PColP
Horizon
Client
Blast
HTTP(S)
View
Administrator
HTTP(S)
vCenter
Server
SOAP
View Secure GW Server &
PColP Secure GW
View
Messaging
View Broker et
serveur admin
View
LDAP
Blast
RDP, Framework, MMR, CDR...
PColP
Chapitre 1 Présentation de Access Point
VMware, Inc. 9
DMZ
Réseau
interne
Trafic
HTTPS
Trafic
HTTPS
Mécanisme
d'équilibrage de charge
tolérant aux pannes
Périphérique
client
dispositif
Access
Point
dispositif
Access
Point
Horizon
Server
Horizon
Server
VMware
vCenter
Active
Directory
serveurs VMware
ESXi
pare-feu
principal
pare-feu
frontal
Périphérique
client
Déploiement et configuration d'Access Point
La règle de pare-feu contrôle exclusivement les communications entrantes provenant des services de la zone
DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.
La figure suivante montre un exemple de configuration qui comporte des pare-feu frontal et principal.
Figure 1‑2. Topologie de double pare-feu
Règles de pare-feu frontal
Pour autoriser des périphériques client externes à se connecter à un dispositif Access Point dans la zone
DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports TCP et UDP.
10 VMware, Inc.
Tableau 1‑1. Règles de pare-feu frontal
Port par
Source
Horizon
Client
Horizon
Client ou
navigateur
Web client
Horizon
Client
Dispositif
Access
Point
défaut Protocole Destination
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
UDP
UDP 4172 PCoIP Horizon Client Tout port
HTTP Dispositif
Access Point
HTTPS Dispositif
Access Point
PCoIP Dispositif
Access Point
Chapitre 1 Présentation de Access Point
Port de
destination Remarques
TCP 80 (Facultatif) Des périphériques client externes se
connectent à un dispositif Access Point dans la zone
DMZ sur le port TCP 80 et sont automatiquement
dirigés vers HTTPS.
TCP 443
UDP 443
(pour Blast)
TCP 4172
UDP 4172
UDP
Les périphériques clients externes et les clients Web
externes (HTML Access) se connectent à un dispositif
Access Point dans la zone DMZ sur le port TCP 443.
Des périphériques client externes se connectent à un
dispositif Access Point dans la zone DMZ sur le port
TCP 4172 et sur le port UDP 4172 pour communiquer
avec une application ou un poste de travail distant sur
PCoIP.
Des dispositifs Access Point renvoient des données
PCoIP à un périphérique client externe à partir du port
UDP 4172. Le port UDP de destination est le port
source des paquets UDP reçus. Comme ces paquets
contiennent des données de réponse, il est
normalement inutile d'ajouter une règle de pare-feu
explicite pour ce trafic.
Règles de pare-feu principal
Pour autoriser un dispositif Access Point à communiquer avec Horizon Server ou un équilibrage de charge
qui réside sur le réseau interne, le pare-feu principal doit autoriser le trafic entrant sur certains ports TCP.
Derrière le pare-feu principal, les pare-feu internes doivent être configurés de la même manière pour
autoriser les applications et postes de travail distants et Horizon Server à communiquer entre eux.
Tableau 1‑2. Règles de pare-feu principal
Port par
Port source
Dispositif
Access Point
Dispositif
Access Point
Dispositif
Access Point
Dispositif
Access Point
Application
ou poste de
travail distant
défaut Protocole Destination
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
TCP
Tout port
UDP
UDP 4172 PCoIP Dispositif
HTTPS Horizon Server
ou équilibrage
de charge
RDP Poste de travail
distant
MMR ou
CDR
PCoIP Application ou
Poste de travail
distant
poste de travail
distant
Access Point
Port de
destination Remarques
TCP 443 Des dispositifs Access Point se connectent sur le
port TCP 443 pour communiquer avec Horizon
Server ou un équilibrage de charge devant plusieurs
instances d'Horizon Server.
TCP 3389 Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 3389 pour
échanger du trafic RDP.
TCP 9427 Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 9427 pour
recevoir le trafic MMR (redirection multimédia) ou
CDR (redirection de lecteur client).
TCP 4172
UDP 4172
Tout port
UDP
Des dispositifs Access Point se connectent aux
applications et postes de travail distants sur le port
TCP 4172 et le port UDP 4172 pour échanger du
trafic PCoIP.
Des applications et des postes de travail distants
renvoient des données PCoIP à un dispositif
Access Point à partir du port UDP 4172.
Le port UDP de destination sera le port source des
paquets UDP reçus. Comme ces paquets sont des
données de réponse, il est normalement inutile
d'ajouter une règle de pare-feu explicite pour cela.
VMware, Inc. 11
Déploiement et configuration d'Access Point
Tableau 1‑2. Règles de pare-feu principal (suite)
Port par
Port source
Dispositif
Access Point
Dispositif
Access Point
Dispositif
Access Point
défaut Protocole Destination
Tout port
TCP
Tout port
TCP or
UDP
Tout port
TCP
USB-R Poste de travail
distant
Blast
Extreme
HTTPS Poste de travail
Application ou
poste de travail
distant
distant
REMARQUE Access Point peut éventuellement écouter sur le port TCP 9443 le trafic de l'API REST
d'administrateur et envoyer les événements Syslog sur le port UDP 514 par défaut. Si un pare-feu est en
place pour cette communication, ces ports ne doivent pas être bloqués.
Topologies d' Access Point
Vous pouvez implémenter plusieurs topologies différentes.
Un dispositif Access Point dans la zone DMZ peut être configuré pour pointer vers un serveur Horizon
Server ou vers un équilibrage de charge qui fait face à un groupe de serveurs Horizon Server. Les dispositifs
Access Point fonctionnent avec des solutions d'équilibrage de charge tierces standard qui sont configurées
pour HTTPS.
Port de
destination Remarques
TCP 32111 Des dispositifs Access Point se connectent à des
postes de travail distants sur le port TCP 32111 pour
échanger le trafic de redirection USB entre un
périphérique client externe et le poste de travail
distant.
TCP ou
UDP 22443
TCP 22443 Si vous utilisez HTML Access, des dispositifs
Des dispositifs Access Point se connectent à des
applications et postes de travail distants sur le port
TCP et UDP 22443 pour échanger du trafic Blast
Extreme.
Access Point se connectent à des postes de travail
distants sur le port HTTPS 22443 pour
communiquer avec l'agent VMware Blast.
Si le dispositif Access Point pointe vers un équilibrage de charge devant des serveurs Horizon Server, la
sélection de l'instance d'Horizon Server est dynamique. Par exemple, l’équilibrage de charge peut faire une
sélection en fonction de la disponibilité et de sa connaissance du nombre de sessions en cours sur chaque
instance d'Horizon Server. En général, les instances d'Horizon Server dans le pare-feu d'entreprise
contiennent déjà un équilibrage de charge pour prendre en charge l'accès interne. Avec Access Point, vous
pouvez pointer le dispositif Access Point vers ce même équilibrage de charge qui est souvent déjà en cours
d'utilisation.
12 VMware, Inc.
Figure 1‑3. Dispositif Access Point pointant vers un équilibrage de charge
équilibrage
de charge
équilibrage
de charge
Horizon
Server
Microsoft
Active
Directory
Hôtes ESXi exécutant
des machines virtuelles
de poste de travail virtuel
Réseau
externe
vCenter
Management
Server
dispositif
Access
Point
Périphérique
client
DMZ
Chapitre 1 Présentation de Access Point
Vous pouvez également avoir un ou plusieurs dispositifs Access Point qui pointent vers une instance
individuelle d'Horizon Server. Avec les deux approches, utilisez un équilibrage de charge devant deux
dispositifs Access Point ou plus dans la zone DMZ.
VMware, Inc. 13
Horizon
Server
Microsoft
Active
Directory
Hôtes ESXi exécutant
des machines virtuelles
de poste de travail virtuel
Réseau
externe
vCenter
Management
Server
équilibrage
de charge
Périphérique
client
DMZ
dispositif
Access
Point
Déploiement et configuration d'Access Point
Figure 1‑4. Dispositif Access Point pointant vers une instance d'Horizon Server
La figure suivante illustre l'intégration d'Access Point à VMware Identity Manager. Vous pouvez configurer
le service Web Reverse Proxy pour utiliser Access Point 2.6 avec VMware Identity Manager.
14 VMware, Inc.
Figure 1‑5. Composants de VMware Identity Manager avec Access Point
Équilibrage de charge interne
myconnector.mycompany.com
Zone d'entreprise
DMZ
HTTPS (443)
HTTPS (443)
HTTPS (443)
Ordinateur
portable
Ordinateur portable
PC
PC
Connector-va
cluster
Utilisateurs du réseau LAN
d'entreprise
DNS/NTP
services
RSA
SecurID
AD/services
d'annuaire
Dispositif Access
Point
mycompany.vmwareidentity.com
HTTPS (443)
Chapitre 1 Présentation de Access Point
VMware, Inc. 15
Déploiement et configuration d'Access Point
16 VMware, Inc.
Configuration système requise et
déploiement 2
Vous déployez un dispositif Access Point à peu près comme vous déployez d'autres dispositifs virtuels
VMware.
Ce chapitre aborde les rubriques suivantes :
« Configuration système pour Access Point », page 17
n
« Préparation du Serveur de connexion View pour l'utiliser avec Access Point », page 19
n
« Déployer le dispositif Access Point », page 19
n
« Utilisation de VMware OVF Tool pour déployer le dispositif Access Point », page 23
n
« Propriétés du déploiement d'Access Point », page 27
n
Configuration système pour Access Point
Pour déployer le dispositif Access Point, assurez-vous que votre système répond à la configuration
matérielle et logicielle requise.
Exigences logicielles VMware
Vous devez utiliser des versions spécifiques des produits VMware avec des versions spécifiques d'
Access Point.
Horizon 6 et Horizon 7
VMware Horizon Air
Hybrid-mode 1.0
Au moment de la publication de ce document, Horizon 6 et Horizon 7 ont été
certifiés pour prendre en charge Access Point 2.5. Consultez les notes de mise
à jour des produits pour voir les dernières informations sur la compatibilité
et consultez la matrice d'interopérabilité des produits VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Les informations dans les notes de mise à jour et la matrice d'interopérabilité
remplacent les informations contenues dans ce guide.
Lors d'une mise à niveau, vérifiez que les instances du Serveur de connexion
View sont mises à niveau vers la version 6.2 ou ultérieure avant d'utiliser des
dispositifs Access Point. Access Point n'est pas conçu pour interagir avec des
versions antérieures du Serveur de connexion.
Au moment de la publication de ce document, Horizon Air Hybrid-mode 1.0
a été certifié pour prendre en charge Access Point 2.5. Consultez les notes de
mise à jour des produits pour voir les dernières informations sur la
compatibilité et consultez la matrice d'interopérabilité des produits VMware
VMware, Inc. 17
Déploiement et configuration d'Access Point
à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Les informations dans les notes de mise à jour et la matrice d'interopérabilité
remplacent les informations contenues dans ce guide.
VMware Identity
Manager 2.6
VMware Identity Manager 2.6 a été certifié pour prendre en charge
Access Point 2.6. Consultez les notes de mise à jour des produits pour voir
les dernières informations sur la compatibilité et consultez la matrice
d'interopérabilité des produits VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Les informations dans les notes de mise à jour et la matrice d'interopérabilité
remplacent les informations contenues dans ce guide.
Hôtes VMware vSphere
ESXi et vCenter Server
Les dispositifs Access Point doivent être déployés sur une version de
vSphere qui est la même qu'une version prise en charge pour les produits et
les versions d'Horizon que vous utilisez.
Pour plus d'informations sur la compatibilité entre vos produits Horizon et
vCenter Server et ESXi, consultez la matrice d'interopérabilité des produits
VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Horizon Client
Même si VMware vous recommande d'effectuer la mise à niveau vers la
dernière version des clients pour obtenir de nouvelles fonctionnalités et
améliorer les performances, Access Point est conçu pour fonctionner avec
toutes les versions de client prises en charge avec les versions prises en
charge d'Horizon Server.
Configuration matérielle requise
Le package OVF du dispositif Access Point sélectionne automatiquement la configuration de machine
virtuelle dont Access Point a besoin. Même si vous pouvez modifier ces paramètres, VMware vous
recommande de ne pas modifier le CPU, la mémoire ou l'espace disque par des valeurs inférieures aux
paramètres OVF par défaut.
Exigences requises pour la mise en réseau
Vous pouvez utiliser une, deux ou trois interfaces réseau, et Access Point requiert une adresse IP statique
séparée pour chacune d'entre elles. De nombreuses implémentations de zone DMZ utilisent des réseaux
distincts pour sécuriser les différents types de trafic. Configurez Access Point en fonction de la conception
de réseau de la zone DMZ dans laquelle il est déployé.
Une interface réseau est appropriée pour la validation de principe ou les tests. Avec une carte réseau,
n
les trafics externe, interne et de gestion sont tous sur le même sous-réseau.
Avec deux interfaces réseau, le trafic externe est sur un sous-réseau, et les trafics interne et de gestion
n
sont sur un autre sous-réseau.
L'option la plus sûre consiste à utiliser les trois interfaces réseau. Avec une troisième carte réseau, les
n
trafics externe, interne et de gestion ont chacun leur propre sous-réseau.
IMPORTANT Vérifiez que vous avez attribué un pool IP à chaque réseau. Le dispositif Access Point peut
choisir les paramètres du masque de sous-réseau et de la passerelle au moment du déploiement. Pour
ajouter un pool IP, dans vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet Pools IP
du centre de données. Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de
protocole réseau. Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocole
réseau. Pour plus d'informations, reportez-vous à Configurer les profils de protocole pour la mise en réseau
des machines virtuelles.
18 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
Exigences de conservation des journaux
Les fichiers journaux sont configurés par défaut pour utiliser une certaine quantité d'espace qui est
inférieure à la taille totale de disque dans l'agrégation. Les journaux pour Access Point sont restaurés par
défaut. Vous devez utiliser Syslog pour conserver ces entrées de journal.
Préparation du Serveur de connexion View pour l'utiliser avec Access Point
Si vous prévoyez d'utiliser Access Point avec Horizon 6, Horizon 7 ou Horizon Air Hybrid-mode, vous
devez effectuer des tâches spécifiques pour vérifier que le Serveur de connexion View fonctionne
correctement avec Access Point.
REMARQUE Si vous prévoyez d'utiliser Access Point uniquement en tant que proxy Web inverse, une
fonctionnalité disponible avec Access Point 2.6 et versions ultérieures, n'effectuez pas les tâches répertoriées
dans cette rubrique. Cette rubrique ne s'applique pas.
Si vous prévoyez d'utiliser une connexion par tunnel sécurisé pour les périphériques client, désactivez
n
le tunnel sécurisé pour le Serveur de connexion View. Dans View Administrator, accédez à la boîte de
dialogue Modifier les paramètres du Serveur de connexion View et décochez la case nommée Utiliser
une connexion par tunnel sécurisé à la machine. Par défaut, le tunnel sécurisé est activé sur le
dispositif Access Point.
Désactivez PCoIP Secure Gateway pour le Serveur de connexion View. Dans View Administrator,
n
accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la
case nommée Utiliser PCoIP Secure Gateway pour les connexions PCoIP à la machine. Par défaut,
PCoIP Secure Gateway est activé sur le dispositif Access Point.
Désactivez Blast Secure Gateway pour le Serveur de connexion View. Dans View Administrator,
n
accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la
case nommée Utiliser Blast Secure Gateway pour un HTML Access à la machine. Par défaut, Blast
Secure Gateway est activé sur le dispositif Access Point.
Pour utiliser l'authentification directe afin que l'authentification à deux facteurs, telle que
n
l'authentification RSA SecurID ou RADIUS, soit effectuée sur le Serveur de connexion View plutôt que
sur Access Point, vous devez activer cette fonctionnalité sur le Serveur de connexion View. Consultez
les rubriques concernant l'authentification à deux facteurs dans le document Administration de View.
Déployer le dispositif Access Point
Vous pouvez déployer le dispositif Access Point en ouvrant une session sur vCenter Server et en utilisant
l'assistant Déployer le modèle OVF. L'ouverture de session directement sur un hôte ESXi pour utiliser
l'assistant de déploiement n'est pas prise en charge.
Il est également possible d'utiliser l'outil VMware OVF Tool de ligne de commande pour déployer le
dispositif. Pour cela, reportez-vous à la section « Utilisation de VMware OVF Tool pour déployer le
dispositif Access Point », page 23. Avec cet outil, vous pouvez définir des propriétés avancées qui ne sont
pas disponibles dans l'assistant de déploiement.
VMware, Inc. 19
Déploiement et configuration d'Access Point
Lorsque des dispositifs Access Point sont déployés, vous devez vérifier que les instances du Serveur de
connexion View derrière eux sont configurées correctement. Pour plus d'informations, consultez le
document Installation de View.
IMPORTANT Pour les environnements de production, VMware vous recommande d'utiliser l'exemple de
script PowerShell joint à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation
de PowerShell pour déployer VMware Access Point) disponible sur la page
https://communities.vmware.com/docs/DOC-30835. L'utilisation du script PowerShell pour déployer Access
Point résout les principales difficultés liées à l'utilisation d'OVF Tool directement sur la ligne de commande.
Le script appelle la commande OVF Tool, mais valide les paramètres et crée automatiquement la bonne
syntaxe de ligne de commande. Cette méthode permet de définir des paramètres avancés, tels que la
configuration du certificat de serveur TLS/SSL à appliquer au moment du déploiement.
Prérequis
Familiarisez-vous avec les options de déploiement disponibles dans l'assistant. Reportez-vous à
n
« Propriétés du déploiement d'Access Point », page 27. Les options suivantes sont requises : adresse IP
statique du dispositif Access Point, adresse IP du serveur DNS, mot de passe de l'utilisateur racine et
URL de l'instance d'Horizon Server ou de l'équilibrage de charge vers lequel pointera ce dispositif
Access Point.
Déterminez combien d'interfaces réseau et d'adresses IP statiques configurer pour le dispositif
n
Access Point. Reportez-vous à la section « Exigences requises pour la mise en réseau », page 18.
IMPORTANT Si vous utilisez vSphere Web Client, vous pouvez également spécifier les adresses du
serveur DNS, de la passerelle et du masque réseau pour chaque réseau. Si vous utilisez le vSphere
Client natif, vérifiez que vous avez affecté un pool IP à chaque réseau. Pour ajouter un pool IP, dans
vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet Pools IP du centre de données.
Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de protocole réseau.
Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocole réseau. Pour
plus d'informations, reportez-vous à Configurer les profils de protocole pour la mise en réseau des
machines virtuelles.
Vérifiez que vous pouvez ouvrir une session sur vSphere Client ou vSphere Web Client en tant
n
qu'utilisateur avec des privilèges d'administrateur système. Par exemple, vous pouvez ouvrir une
session en tant que l'utilisateur administrator@vsphere.local.
Si vous utilisez vSphere Web Client, utilisez un navigateur pris en charge. Consultez la rubrique
« Configuration logicielle requise pour le plug-in d'intégration du client » dans le centre de
documentation vSphere pour votre version de vSphere.
Vérifiez que la banque de données que vous prévoyez d'utiliser pour le dispositif a un espace disque
n
libre suffisant et qu'elle répond aux autres spécifications système. La taille de téléchargement du
dispositif virtuel est de 2,5 Go. Par défaut, pour un disque à provisionnement fin, le dispositif requiert
2,5 Go et un disque à provisionnement statique requiert 20 Go. Reportez-vous également à la section
« Configuration système pour Access Point », page 17.
Téléchargez le fichier de programme d'installation .ova pour le dispositif Access Point sur le site Web
n
VMware à l'adresse https://my.vmware.com/web/vmware/downloads ou déterminez l'URL à utiliser
(exemple : http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), où Y.Y est le
numéro de version et xxxxxxx le numéro de build.
Si vous prévoyez d'utiliser vSphere Web Client, vérifiez que le plug-in d'intégration du client est
n
installé. Pour plus d'informations, voir la documentation vSphere. Par exemple, pour vSphere 6, voir
Installer le plug-in d'intégration du client. Si vous n'installez pas ce plug-in avant de démarrer
l'assistant de déploiement, l'assistant vous invite à installer le plug-in, ce qui implique la fermeture de
votre navigateur et de l'assistant.
20 VMware, Inc.
Chapitre 2 Configuration système requise et déploiement
Procédure
1 Utilisez le vSphere Client natif ou vSphere Web Client pour ouvrir une session sur une instance de
vCenter Server.
2 Sélectionnez une commande de menu pour lancer l'assistant Déployer le modèle OVF.
Option Commande de menu
vSphere Client
vSphere Web Client
Sélectionnez Fichier > Déployer le modèle OVF.
Sélectionnez un objet d'inventaire qui est un objet parent valide d'une
machine virtuelle, tel qu'un centre de données, un dossier, un cluster, un
pool de ressources ou un hôte et, dans le menu Actions, sélectionnez
Déployer le modèle OVF.
3 Sur la page Sélectionner la source de l'assistant, accédez à l'emplacement du fichier .ova que vous avez
téléchargé ou entrez une URL et cliquez sur Suivant.
Une page de détails apparaît qui indique l'espace disque dont le dispositif a besoin.
4 Suivez les invites de l'assistant en tenant compte des conseils suivants.
Le texte sur chaque page de l'assistant explique chaque contrôle. Dans certains cas, le texte change de
façon dynamique à mesure que vous sélectionnez diverses options.
REMARQUE Si vous utilisez vSphere Web Client, pour vous aider, vous pouvez également cliquer sur le
bouton d'aide contextuelle, qui est une icône de point d'interrogation (?) dans le coin supérieur droit de
l'assistant.
Option Description
Sélectionner une configuration de
déploiement
Format de disque
Stratégie de stockage VM
Vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseaux),
et Access Point requiert une adresse IP statique séparée pour chacune
d'entre elles. De nombreuses implémentations de zone DMZ utilisent des
réseaux distincts pour sécuriser les différents types de trafic. Configurez
Access Point en fonction de la conception de réseau de la zone DMZ dans
laquelle il est déployé.
Pour les environnements d'évaluation et de test, sélectionnez le format
Provisionnement fin. Pour les environnements de production, sélectionnez
l'un des formats Provisionnement statique. Provisionnement statique
immédiatement mis à zéro est un type de format de disque virtuel statique
qui prend en charge les fonctionnalités de cluster, telles que la tolérance
aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres
types de disques virtuels.
(vSphere Web Client uniquement) Cette option est disponible si des
stratégies de stockage sont activées sur la ressource de destination.
VMware, Inc. 21
Loading...