VMWARE Access Point 2.5 User Manual [fr]

Déploiement et configuration d'Access

Point

Access Point 2.5 Access Point 2.6

VMware Horizon

Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit document par une nouvelle édition. Pour rechercher des éditions plus récentes de ce document, rendez-vous sur :

http://www.vmware.com/fr/support/pubs.

FR-001998-00

Déploiement et configuration d'Access Point

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

http://www.vmware.com/fr/support/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

docfeedback@vmware.com

VMware, Inc.

3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com

2 VMware, Inc.

VMware, Inc.

100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr

Table des matières

Déploiement et configuration d' Access Point 5

Présentation de Access Point 7

Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ 8 Topologies d' Access Point 12

Configuration système requise et déploiement 17

Configuration système pour Access Point 17 Préparation du Serveur de connexion View pour l'utiliser avec Access Point 19 Déployer le dispositif Access Point 19 Utilisation de VMware OVF Tool pour déployer le dispositif Access Point 23 Propriétés du déploiement d'Access Point 27

Configuration d' Access Point 31

Utilisation de l'API REST Access Point 31

Réinitialiser le mot de passe administrateur pour l'API REST Access Point 32 Paramètres de configuration pour les paramètres système et les certificats de serveur 33 Paramètres de configuration pour les services Edge 35

Configuration de certificats TLS/SSL pour les dispositifs Access Point 40

Sélection du type de certificat correct 40 Convertir des fichiers de certificat au format PEM sur une ligne 41 Remplacer le certificat de serveur TLS/SSL par défaut pour Access Point 42 Modifier les protocoles de sécurité et les suites de chiffrement utilisés pour la communication

TLS/SSL 43

Configuration des passerelles sécurisées utilisées avec le service View Edge 44

VMware, Inc.

Collecte de journaux depuis le dispositif Access Point 47

Configuration de l'authentification par carte à puce 49

Générer des métadonnées SAML Access Point 50 Création d'un authentificateur SAML pour le Serveur de connexion View 51

Créer un authentificateur SAML sur un Serveur de connexion Horizon 7 51 Créer un authentificateur SAML sur le Serveur de connexion View 6.2 53 Modifier la période d'expiration des métadonnées du fournisseur de services sur le Serveur de

connexion View 54 Copier les métadonnées SAML du fournisseur de services sur Access Point 55 Obtenir des certificats d'autorités de certification 56

Obtenir le certificat d'une autorité de certification de Windows 56

Configurer des paramètres de carte à puce sur le dispositif Access Point 57

Propriétés du certificat de carte à puce pour les options avancées 59

Déploiement et configuration d'Access Point

Configuration de l'authentification à deux facteurs 63

Configurer l'authentification RSA SecurID sur le dispositif Access Point 63 Configurer l'authentification RADIUS sur le dispositif Access Point 65

Index 69

4 VMware, Inc.

Déploiement et configuration d' Access Point

Déploiement et configuration d'Access Point fournit des informations sur la désignation d'un déploiement de VMware Horizon® qui utilise Access Point pour un accès externe sécurisé aux applications de votre entreprise, notamment des applications Windows, des applications SaaS (software as a service) et des postes de travail View. Ce guide contient également des instructions sur le déploiement de dispositifs virtuels Access Point et sur la modification des paramètres de configuration après le déploiement, si nécessaire.

Public visé

Ces informations sont destinées à toute personne souhaitant déployer et utiliser des dispositifs Access Point. Les informations sont rédigées pour des administrateurs système Linux et Windows expérimentés qui connaissent bien la technologie des machines virtuelles et les opérations de centre de données.

Glossaire VMware Technical Publications

Les publications techniques VMware fournissent un glossaire de termes que vous ne connaissez peut-être pas. Pour obtenir la définition des termes tels qu'ils sont utilisés dans la documentation technique de VMware, visitez la page http://www.vmware.com/support/pubs.

VMware, Inc.

Déploiement et configuration d'Access Point

6 VMware, Inc.

Présentation de Access Point 1

Access Point fonctionne comme une passerelle sécurisée pour les utilisateurs qui veulent accéder à des applications et des postes de travail distants depuis l'extérieur du pare-feu d'entreprise.

En général, les dispositifs Access Point résident dans une zone DMZ et agissent comme un hôte proxy pour les connexions à l'intérieur du réseau approuvé de votre entreprise. Cette conception offre une couche supplémentaire de sécurité en protégeant les postes de travail virtuels View, les hôtes d'application et les serveurs Horizon Server contre les sites Internet destinés au public.

Access Point dirige les demandes d'authentification au serveur approprié et ignore les demandes non authentifiées. Le seul trafic d'application et de poste de travail à distance qui peut entrer dans le centre de données de l'entreprise est le trafic au nom d'un utilisateur dont l'authentification est renforcée. Les utilisateurs ne peuvent accéder qu'aux ressources dont l'accès leur est autorisé.

Avec Access Point 2.6 et versions ultérieures, le dispositif Access Point peut également servir de proxy inverse pour VMware Identity Manager.

Les mécanismes d'authentification suivants sont disponibles :

Informations d'identification Active Directory

RSA SecurID

RADIUS

VMware, Inc.

Cartes à puce

SAML (Security Assertion Markup Language)

Pour le composant View de VMware Horizon, les dispositifs Access Point jouent le même rôle que celui précédemment joué par les serveurs de sécurité View, mais Access Point offre plus d'avantages :

Un dispositif Access Point peut être configuré pour pointer vers une instance du Serveur de connexion

View ou vers un équilibrage de charge qui fait face à un groupe d'instances du Serveur de connexion View. Cette conception signifie que vous pouvez combiner le trafic distant et le trafic local.

La configuration d'Access Point est indépendante des instances du Serveur de connexion View.

Contrairement aux serveurs de sécurité, aucun mot de passe de couplage n'est requis pour coupler chaque serveur de sécurité avec une instance du Serveur de connexion View.

Les dispositifs Access Point sont déployés en tant que dispositifs virtuels renforcés, qui sont basés sur

un dispositif Linux qui a été personnalisé pour fournir un accès sécurisé. Les modules étrangers ont été supprimés pour réduire les accès dangereux potentiels.

Access Point utilise un protocole HTTP(S) standard pour les communications avec le Serveur de

connexion View. JMS, IPsec et AJP13 ne sont pas utilisés.

Déploiement et configuration d'Access Point

Ce chapitre aborde les rubriques suivantes :

« Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ », page 8

« Topologies d'Access Point », page 12

Règles de pare-feu pour les dispositifs Access Point basés sur une zone DMZ

Les dispositifs Access Point basés sur une zone DMZ requièrent certaines règles de pare-feu sur les pare-feu frontaux et principaux. Lors de l'installation, les services Access Point sont configurés pour écouter sur certains ports réseau par défaut.

En général, un déploiement de dispositif Access Point basé sur une zone DMZ inclut deux pare-feu.

Un pare-feu frontal externe en réseau est nécessaire pour protéger la zone DMZ et le réseau interne.

Vous configurez ce pare-feu pour permettre au trafic réseau externe d'atteindre la zone DMZ.

Un pare-feu principal, entre la zone DMZ et le réseau interne, est requis pour fournir un deuxième

niveau de sécurité. Vous configurez ce pare-feu pour accepter uniquement le trafic qui provient des services dans la zone DMZ.

Par exemple, la figure suivante indique les protocoles que chaque composant View utilise pour les communications. Cette configuration peut être utilisée dans un déploiement WAN classique si vous utilisez des dispositifs Access Point avec le composant View de VMware Horizon.

8 VMware, Inc.

Figure 1‑1. Composants View et protocoles avec Access Point

Périphériques clients

Client

RDP

Dispositif Access Point

Gestionnaires de

protocoles sécurisés View

Serveur de connexion View

View

Agent

Machine virtuelle de poste de travail View ou hôte RDS

HTTP(S)HTTP(S)PColP

Horizon

Client

Blast

HTTP(S)

View

Administrator

HTTP(S)

vCenter

Server

SOAP

View Secure GW Server &

PColP Secure GW

View

Messaging

View Broker et

serveur admin

View

LDAP

Blast

RDP, Framework, MMR, CDR...

PColP

Chapitre 1 Présentation de Access Point

VMware, Inc. 9

DMZ

Réseau interne

Trafic

HTTPS

Trafic

HTTPS

Mécanisme

d'équilibrage de charge

tolérant aux pannes

Périphérique

client

dispositif

Access

Point

dispositif Access Point

Horizon

Server

Horizon Server

VMware

vCenter

Active Directory

serveurs VMware

ESXi

pare-feu principal

pare-feu frontal

Périphérique

client

Déploiement et configuration d'Access Point

La règle de pare-feu contrôle exclusivement les communications entrantes provenant des services de la zone DMZ, ce qui réduit considérablement le risque que le réseau interne soit compromis.

La figure suivante montre un exemple de configuration qui comporte des pare-feu frontal et principal.

Figure 1‑2. Topologie de double pare-feu

Règles de pare-feu frontal

Pour autoriser des périphériques client externes à se connecter à un dispositif Access Point dans la zone DMZ, le pare-feu frontal doit autoriser le trafic sur certains ports TCP et UDP.

10 VMware, Inc.

Tableau 1‑1. Règles de pare-feu frontal

Port par

Source

Horizon Client

Horizon Client ou navigateur Web client

Horizon Client

Dispositif Access Point

défaut Protocole Destination

Tout port TCP

Tout port UDP

UDP 4172 PCoIP Horizon Client Tout port

HTTP Dispositif

Access Point

HTTPS Dispositif

Access Point

PCoIP Dispositif

Access Point

Chapitre 1 Présentation de Access Point

Port de destination Remarques

TCP 80 (Facultatif) Des périphériques client externes se

connectent à un dispositif Access Point dans la zone DMZ sur le port TCP 80 et sont automatiquement dirigés vers HTTPS.

TCP 443 UDP 443

(pour Blast)

TCP 4172 UDP 4172

UDP

Les périphériques clients externes et les clients Web externes (HTML Access) se connectent à un dispositif Access Point dans la zone DMZ sur le port TCP 443.

Des périphériques client externes se connectent à un dispositif Access Point dans la zone DMZ sur le port TCP 4172 et sur le port UDP 4172 pour communiquer avec une application ou un poste de travail distant sur PCoIP.

Des dispositifs Access Point renvoient des données PCoIP à un périphérique client externe à partir du port UDP 4172. Le port UDP de destination est le port source des paquets UDP reçus. Comme ces paquets contiennent des données de réponse, il est normalement inutile d'ajouter une règle de pare-feu explicite pour ce trafic.

Règles de pare-feu principal

Pour autoriser un dispositif Access Point à communiquer avec Horizon Server ou un équilibrage de charge qui réside sur le réseau interne, le pare-feu principal doit autoriser le trafic entrant sur certains ports TCP. Derrière le pare-feu principal, les pare-feu internes doivent être configurés de la même manière pour autoriser les applications et postes de travail distants et Horizon Server à communiquer entre eux.

Tableau 1‑2. Règles de pare-feu principal

Port par

Port source

Dispositif Access Point

Application ou poste de travail distant

défaut Protocole Destination

Tout port TCP

Tout port UDP

UDP 4172 PCoIP Dispositif

HTTPS Horizon Server

ou équilibrage de charge

RDP Poste de travail

distant

MMR ou CDR

PCoIP Application ou

Poste de travail distant

poste de travail distant

Access Point

Port de destination Remarques

TCP 443 Des dispositifs Access Point se connectent sur le

port TCP 443 pour communiquer avec Horizon Server ou un équilibrage de charge devant plusieurs instances d'Horizon Server.

TCP 3389 Des dispositifs Access Point se connectent à des

postes de travail distants sur le port TCP 3389 pour échanger du trafic RDP.

TCP 9427 Des dispositifs Access Point se connectent à des

postes de travail distants sur le port TCP 9427 pour recevoir le trafic MMR (redirection multimédia) ou CDR (redirection de lecteur client).

TCP 4172 UDP 4172

Tout port UDP

Des dispositifs Access Point se connectent aux applications et postes de travail distants sur le port TCP 4172 et le port UDP 4172 pour échanger du trafic PCoIP.

Des applications et des postes de travail distants renvoient des données PCoIP à un dispositif Access Point à partir du port UDP 4172.

Le port UDP de destination sera le port source des paquets UDP reçus. Comme ces paquets sont des données de réponse, il est normalement inutile d'ajouter une règle de pare-feu explicite pour cela.

VMware, Inc. 11

Déploiement et configuration d'Access Point

Tableau 1‑2. Règles de pare-feu principal (suite)

Port par

Port source

Dispositif Access Point

défaut Protocole Destination

Tout port TCP

Tout port TCP or UDP

Tout port TCP

USB-R Poste de travail

distant

Blast Extreme

HTTPS Poste de travail

Application ou poste de travail distant

distant

REMARQUE Access Point peut éventuellement écouter sur le port TCP 9443 le trafic de l'API REST d'administrateur et envoyer les événements Syslog sur le port UDP 514 par défaut. Si un pare-feu est en place pour cette communication, ces ports ne doivent pas être bloqués.

Topologies d' Access Point

Vous pouvez implémenter plusieurs topologies différentes.

Un dispositif Access Point dans la zone DMZ peut être configuré pour pointer vers un serveur Horizon Server ou vers un équilibrage de charge qui fait face à un groupe de serveurs Horizon Server. Les dispositifs Access Point fonctionnent avec des solutions d'équilibrage de charge tierces standard qui sont configurées pour HTTPS.

Port de destination Remarques

TCP 32111 Des dispositifs Access Point se connectent à des

postes de travail distants sur le port TCP 32111 pour échanger le trafic de redirection USB entre un périphérique client externe et le poste de travail distant.

TCP ou UDP 22443

TCP 22443 Si vous utilisez HTML Access, des dispositifs

Des dispositifs Access Point se connectent à des applications et postes de travail distants sur le port TCP et UDP 22443 pour échanger du trafic Blast Extreme.

Access Point se connectent à des postes de travail distants sur le port HTTPS 22443 pour communiquer avec l'agent VMware Blast.

Si le dispositif Access Point pointe vers un équilibrage de charge devant des serveurs Horizon Server, la sélection de l'instance d'Horizon Server est dynamique. Par exemple, l’équilibrage de charge peut faire une sélection en fonction de la disponibilité et de sa connaissance du nombre de sessions en cours sur chaque instance d'Horizon Server. En général, les instances d'Horizon Server dans le pare-feu d'entreprise contiennent déjà un équilibrage de charge pour prendre en charge l'accès interne. Avec Access Point, vous pouvez pointer le dispositif Access Point vers ce même équilibrage de charge qui est souvent déjà en cours d'utilisation.

12 VMware, Inc.

Figure 1‑3. Dispositif Access Point pointant vers un équilibrage de charge

équilibrage de charge

Horizon

Server

Microsoft

Active

Configuration système pour Access Point

Pour déployer le dispositif Access Point, assurez-vous que votre système répond à la configuration matérielle et logicielle requise.

Exigences logicielles VMware

Vous devez utiliser des versions spécifiques des produits VMware avec des versions spécifiques d' Access Point.

Horizon 6 et Horizon 7

VMware Horizon Air Hybrid-mode 1.0

Au moment de la publication de ce document, Horizon 6 et Horizon 7 ont été certifiés pour prendre en charge Access Point 2.5. Consultez les notes de mise à jour des produits pour voir les dernières informations sur la compatibilité et consultez la matrice d'interopérabilité des produits VMware à l'adresse

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Les informations dans les notes de mise à jour et la matrice d'interopérabilité remplacent les informations contenues dans ce guide.

Lors d'une mise à niveau, vérifiez que les instances du Serveur de connexion View sont mises à niveau vers la version 6.2 ou ultérieure avant d'utiliser des dispositifs Access Point. Access Point n'est pas conçu pour interagir avec des versions antérieures du Serveur de connexion.

Au moment de la publication de ce document, Horizon Air Hybrid-mode 1.0 a été certifié pour prendre en charge Access Point 2.5. Consultez les notes de mise à jour des produits pour voir les dernières informations sur la compatibilité et consultez la matrice d'interopérabilité des produits VMware

VMware, Inc. 17

Déploiement et configuration d'Access Point

à l'adresse

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Les informations dans les notes de mise à jour et la matrice d'interopérabilité remplacent les informations contenues dans ce guide.

VMware Identity Manager 2.6

VMware Identity Manager 2.6 a été certifié pour prendre en charge Access Point 2.6. Consultez les notes de mise à jour des produits pour voir les dernières informations sur la compatibilité et consultez la matrice d'interopérabilité des produits VMware à l'adresse

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Les informations dans les notes de mise à jour et la matrice d'interopérabilité remplacent les informations contenues dans ce guide.

Hôtes VMware vSphere ESXi et vCenter Server

Les dispositifs Access Point doivent être déployés sur une version de vSphere qui est la même qu'une version prise en charge pour les produits et les versions d'Horizon que vous utilisez.

Pour plus d'informations sur la compatibilité entre vos produits Horizon et vCenter Server et ESXi, consultez la matrice d'interopérabilité des produits VMware à l'adresse

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Horizon Client

Même si VMware vous recommande d'effectuer la mise à niveau vers la dernière version des clients pour obtenir de nouvelles fonctionnalités et améliorer les performances, Access Point est conçu pour fonctionner avec toutes les versions de client prises en charge avec les versions prises en charge d'Horizon Server.

Configuration matérielle requise

Le package OVF du dispositif Access Point sélectionne automatiquement la configuration de machine virtuelle dont Access Point a besoin. Même si vous pouvez modifier ces paramètres, VMware vous recommande de ne pas modifier le CPU, la mémoire ou l'espace disque par des valeurs inférieures aux paramètres OVF par défaut.

Exigences requises pour la mise en réseau

Vous pouvez utiliser une, deux ou trois interfaces réseau, et Access Point requiert une adresse IP statique séparée pour chacune d'entre elles. De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Access Point en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé.

Une interface réseau est appropriée pour la validation de principe ou les tests. Avec une carte réseau,

les trafics externe, interne et de gestion sont tous sur le même sous-réseau.

Avec deux interfaces réseau, le trafic externe est sur un sous-réseau, et les trafics interne et de gestion

sont sur un autre sous-réseau.

L'option la plus sûre consiste à utiliser les trois interfaces réseau. Avec une troisième carte réseau, les

trafics externe, interne et de gestion ont chacun leur propre sous-réseau.

IMPORTANT Vérifiez que vous avez attribué un pool IP à chaque réseau. Le dispositif Access Point peut choisir les paramètres du masque de sous-réseau et de la passerelle au moment du déploiement. Pour ajouter un pool IP, dans vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet Pools IP du centre de données. Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de protocole réseau. Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocole réseau. Pour plus d'informations, reportez-vous à Configurer les profils de protocole pour la mise en réseau

des machines virtuelles.

18 VMware, Inc.

Chapitre 2 Configuration système requise et déploiement

Exigences de conservation des journaux

Les fichiers journaux sont configurés par défaut pour utiliser une certaine quantité d'espace qui est inférieure à la taille totale de disque dans l'agrégation. Les journaux pour Access Point sont restaurés par défaut. Vous devez utiliser Syslog pour conserver ces entrées de journal.

Préparation du Serveur de connexion View pour l'utiliser avec Access Point

Si vous prévoyez d'utiliser Access Point avec Horizon 6, Horizon 7 ou Horizon Air Hybrid-mode, vous devez effectuer des tâches spécifiques pour vérifier que le Serveur de connexion View fonctionne correctement avec Access Point.

REMARQUE Si vous prévoyez d'utiliser Access Point uniquement en tant que proxy Web inverse, une fonctionnalité disponible avec Access Point 2.6 et versions ultérieures, n'effectuez pas les tâches répertoriées dans cette rubrique. Cette rubrique ne s'applique pas.

Si vous prévoyez d'utiliser une connexion par tunnel sécurisé pour les périphériques client, désactivez

le tunnel sécurisé pour le Serveur de connexion View. Dans View Administrator, accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la case nommée Utiliser une connexion par tunnel sécurisé à la machine. Par défaut, le tunnel sécurisé est activé sur le dispositif Access Point.

Désactivez PCoIP Secure Gateway pour le Serveur de connexion View. Dans View Administrator,

accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la case nommée Utiliser PCoIP Secure Gateway pour les connexions PCoIP à la machine. Par défaut, PCoIP Secure Gateway est activé sur le dispositif Access Point.

Désactivez Blast Secure Gateway pour le Serveur de connexion View. Dans View Administrator,

accédez à la boîte de dialogue Modifier les paramètres du Serveur de connexion View et décochez la case nommée Utiliser Blast Secure Gateway pour un HTML Access à la machine. Par défaut, Blast Secure Gateway est activé sur le dispositif Access Point.

Pour utiliser l'authentification directe afin que l'authentification à deux facteurs, telle que

l'authentification RSA SecurID ou RADIUS, soit effectuée sur le Serveur de connexion View plutôt que sur Access Point, vous devez activer cette fonctionnalité sur le Serveur de connexion View. Consultez les rubriques concernant l'authentification à deux facteurs dans le document Administration de View.

Déployer le dispositif Access Point

Vous pouvez déployer le dispositif Access Point en ouvrant une session sur vCenter Server et en utilisant l'assistant Déployer le modèle OVF. L'ouverture de session directement sur un hôte ESXi pour utiliser l'assistant de déploiement n'est pas prise en charge.

Il est également possible d'utiliser l'outil VMware OVF Tool de ligne de commande pour déployer le dispositif. Pour cela, reportez-vous à la section « Utilisation de VMware OVF Tool pour déployer le

dispositif Access Point », page 23. Avec cet outil, vous pouvez définir des propriétés avancées qui ne sont

pas disponibles dans l'assistant de déploiement.

VMware, Inc. 19

Déploiement et configuration d'Access Point

Lorsque des dispositifs Access Point sont déployés, vous devez vérifier que les instances du Serveur de connexion View derrière eux sont configurées correctement. Pour plus d'informations, consultez le document Installation de View.

IMPORTANT Pour les environnements de production, VMware vous recommande d'utiliser l'exemple de script PowerShell joint à l'article de blog « Using PowerShell to Deploy VMware Access Point » (Utilisation de PowerShell pour déployer VMware Access Point) disponible sur la page

https://communities.vmware.com/docs/DOC-30835. L'utilisation du script PowerShell pour déployer Access

Point résout les principales difficultés liées à l'utilisation d'OVF Tool directement sur la ligne de commande. Le script appelle la commande OVF Tool, mais valide les paramètres et crée automatiquement la bonne syntaxe de ligne de commande. Cette méthode permet de définir des paramètres avancés, tels que la configuration du certificat de serveur TLS/SSL à appliquer au moment du déploiement.

Prérequis

Familiarisez-vous avec les options de déploiement disponibles dans l'assistant. Reportez-vous à

« Propriétés du déploiement d'Access Point », page 27. Les options suivantes sont requises : adresse IP

statique du dispositif Access Point, adresse IP du serveur DNS, mot de passe de l'utilisateur racine et URL de l'instance d'Horizon Server ou de l'équilibrage de charge vers lequel pointera ce dispositif Access Point.

Déterminez combien d'interfaces réseau et d'adresses IP statiques configurer pour le dispositif

Access Point. Reportez-vous à la section « Exigences requises pour la mise en réseau », page 18.

IMPORTANT Si vous utilisez vSphere Web Client, vous pouvez également spécifier les adresses du serveur DNS, de la passerelle et du masque réseau pour chaque réseau. Si vous utilisez le vSphere Client natif, vérifiez que vous avez affecté un pool IP à chaque réseau. Pour ajouter un pool IP, dans vCenter Server, si vous utilisez le vSphere Client natif, accédez à l'onglet Pools IP du centre de données. Si vous utilisez vSphere Web Client, vous pouvez également créer un profil de protocole réseau. Accédez à l'onglet Gérer du centre de données et sélectionnez l'onglet Profils de protocole réseau. Pour plus d'informations, reportez-vous à Configurer les profils de protocole pour la mise en réseau des

machines virtuelles.

Vérifiez que vous pouvez ouvrir une session sur vSphere Client ou vSphere Web Client en tant

qu'utilisateur avec des privilèges d'administrateur système. Par exemple, vous pouvez ouvrir une session en tant que l'utilisateur administrator@vsphere.local.

Si vous utilisez vSphere Web Client, utilisez un navigateur pris en charge. Consultez la rubrique « Configuration logicielle requise pour le plug-in d'intégration du client » dans le centre de documentation vSphere pour votre version de vSphere.

Vérifiez que la banque de données que vous prévoyez d'utiliser pour le dispositif a un espace disque

libre suffisant et qu'elle répond aux autres spécifications système. La taille de téléchargement du dispositif virtuel est de 2,5 Go. Par défaut, pour un disque à provisionnement fin, le dispositif requiert 2,5 Go et un disque à provisionnement statique requiert 20 Go. Reportez-vous également à la section

« Configuration système pour Access Point », page 17.

Téléchargez le fichier de programme d'installation .ova pour le dispositif Access Point sur le site Web

VMware à l'adresse https://my.vmware.com/web/vmware/downloads ou déterminez l'URL à utiliser (exemple : http://example.com/vapps/euc-access-point-Y.Y.0.0-xxxxxxx_OVF10.ova), où Y.Y est le numéro de version et xxxxxxx le numéro de build.

Si vous prévoyez d'utiliser vSphere Web Client, vérifiez que le plug-in d'intégration du client est

installé. Pour plus d'informations, voir la documentation vSphere. Par exemple, pour vSphere 6, voir

Installer le plug-in d'intégration du client. Si vous n'installez pas ce plug-in avant de démarrer

l'assistant de déploiement, l'assistant vous invite à installer le plug-in, ce qui implique la fermeture de votre navigateur et de l'assistant.

20 VMware, Inc.

Chapitre 2 Configuration système requise et déploiement

Procédure

1 Utilisez le vSphere Client natif ou vSphere Web Client pour ouvrir une session sur une instance de

vCenter Server.

2 Sélectionnez une commande de menu pour lancer l'assistant Déployer le modèle OVF.

Option Commande de menu

vSphere Client vSphere Web Client

Sélectionnez Fichier > Déployer le modèle OVF. Sélectionnez un objet d'inventaire qui est un objet parent valide d'une

machine virtuelle, tel qu'un centre de données, un dossier, un cluster, un pool de ressources ou un hôte et, dans le menu Actions, sélectionnez Déployer le modèle OVF.

3 Sur la page Sélectionner la source de l'assistant, accédez à l'emplacement du fichier .ova que vous avez

téléchargé ou entrez une URL et cliquez sur Suivant.

Une page de détails apparaît qui indique l'espace disque dont le dispositif a besoin.

4 Suivez les invites de l'assistant en tenant compte des conseils suivants.

Le texte sur chaque page de l'assistant explique chaque contrôle. Dans certains cas, le texte change de façon dynamique à mesure que vous sélectionnez diverses options.

REMARQUE Si vous utilisez vSphere Web Client, pour vous aider, vous pouvez également cliquer sur le bouton d'aide contextuelle, qui est une icône de point d'interrogation (?) dans le coin supérieur droit de l'assistant.

Option Description

Sélectionner une configuration de déploiement

Format de disque

Stratégie de stockage VM

Vous pouvez utiliser une, deux ou trois interfaces réseau (cartes réseaux), et Access Point requiert une adresse IP statique séparée pour chacune d'entre elles. De nombreuses implémentations de zone DMZ utilisent des réseaux distincts pour sécuriser les différents types de trafic. Configurez Access Point en fonction de la conception de réseau de la zone DMZ dans laquelle il est déployé.

Pour les environnements d'évaluation et de test, sélectionnez le format Provisionnement fin. Pour les environnements de production, sélectionnez l'un des formats Provisionnement statique. Provisionnement statique immédiatement mis à zéro est un type de format de disque virtuel statique qui prend en charge les fonctionnalités de cluster, telles que la tolérance aux pannes, mais qui prend beaucoup plus de temps pour créer d'autres types de disques virtuels.

(vSphere Web Client uniquement) Cette option est disponible si des stratégies de stockage sont activées sur la ressource de destination.

VMware, Inc. 21

+ 49 hidden pages