Workspace ONE UEMで提供されている様々なゲートウェイ機能が集約されているUnified Access Gateway(UAG)ですが、仮想アプライアンスとして以下の仮想基盤向けに、環境ごとに個別の仮想マシンイメージが提供されています。
- VMware vSphere
- Microsoft Hype-V
- Microsoft Azure
- Amazon Web Services(AWS)
vSphere環境デプロイ用のマシンイメージは昔から提供されていましたが、去年あたり、バージョンで言うとUAG 3.5からAzureやAWSといったクラウド環境へのデプロイもサポートされるようになりました。
最近割とクラウド環境へデプロイすることも増えてきたり、今後もおそらく増えていくだろうなという感じはするのですが、当然ながらvSphere環境へのデプロイとはかなり勝手が違うので、改めてAWSへのデプロイを検証してみます。
まずは、デプロイする作業用マシンとしてWindows 10を用意し、Powershellで以下のコマンド実行してPowerShellモジュールをインストールしておきます。
>Install-Module -Name AWSPowerShell -Force
>Install-Package 7Zip4PowerShell
次に、以下のコマンドを実行して、UAGのOVAファイルを解凍しておきます。
>expand-7zip C:\uag\euc-unified-access-gateway-3.9.1.0-15851887_OVF10.ova C:\uag\
「VMware {code}」 というサイトで、AWSへ仮想マシンイメージをインポートするためのありがたいスクリプトが公開されていたので、これを使うことにします。
まずは、AMIインポートスクリプト実行時のオプションの値をかき集めます。
オプション |
説明 |
-accessKey |
AWS管理者アカウントのアクセスキー |
-secretKey |
AWS管理者アカウントのシークレットキー |
-vmdkImage |
作業用マシン上のUAGのVMDKファイルのフルパス |
-bucketName |
UAGのVMDKファイルをアップロードするAWS上のバケット名 |
-region |
UAGのAMIをインポートするリージョン |
情報が集め終わったら、AMIインポートスクリプトを実行します。
>C:\uag\ImportUAGasAMI\ImportUAGasAMI.ps1 -accessKey <アクセスキー> -secretKey <シークレットキー> -vmdkImage <UAGのVMDKファイルのフルパス> -bucketName <S3のバケット名> -region <リージョン名>
スクリプトの実行が正常に完了すると、AMI IDが出力されますので、控えておきます。
画像の例で言うと、「ami-0c5ec718c4512ea13」ですね。
最終的にはインポートしたAMIからUAGをデプロイするスクリプトを実行することになるのですが、次はデプロイスクリプトの構成ファイルを準備する必要があります。デプロイスクリプトと構成ファイルはUAGの仮想マシンイメージとともに提供されてます。
AWS環境デプロイ用の構成ファイルは「uag11-ec2.ini」というファイルなのですが、この中にUAGのインスタンス名など諸々のパラメータを入力して保存しておきます。
■構成ファイルの例:
----------------------
[General]
name=UAGonAWS391
deploymentOption=onenic
sshEnabled=true
[AmazonEC2]
# authentication
credentialProfileName=awsCredentialProfile
# type, region and image
instanceType=c4.large
region=ap-northeast-1
amiId=ami-0c5ec7xxxx
# eth0 settings
subnetId0=subnet-dd61erxxxx
securityGroupId0=sg-028831xxxx
publicIPId0=eipalloc-07af4exxxx
----------------------
【補足】
[General]セクションの「sshEnabled=true」は必須属性ではなく、指定しない場合はfalse(つまりSSHはオフ)になりますが、トラブルシュートや動作確認時に必要になるため、trueにしておきました。
次に、作業用PCでPowerShellを起動して以下のコマンドを実行します。
>Set-AWSCredential -AccessKey <アクセスキー> -SecretKey <シークレットキー> -StoreAs awsCredentialProfile
【補足】
StoreAsの「awsCredentialProfile」の値はiniファイルの中に記載している値のため決め打ちです。
続けて、以下のコマンドを実行します。
>C:\uag\uagdeploy\uagdeployec2.ps1 C:\uag\uagdeploy\uag11-ec2.ini <仮想マシンのrootパスワード> <UAGのWeb GUIログイン時のadminパスワード> no
【補足】
最後の「no」は「CEIPに参加しない」という意味で「no」です。
以下は実行例ですが、デプロイに成功するとオレンジ枠内のように成功を示すメッセージとインスタンスIDが出力されます。
コマンドの実行が完了後、AWS管理コンソールでも見てみると、構成ファイル内で指定した名前でUAGのインスタンスが作成されていることが確認できます。
UAGのWeb GUIにアクセスすると、vSphere環境にデプロイした場合と全く同じコンソールが表示されますので、ログインして各エッジサービスを設定します。ちなみに、ログイン後の画面もvSphere環境のものと全く同じです。
自社のオンプレ仮想基盤をAWSやAzureといったクラウドに移行している企業も多いかと思いますが、そんな場合でもUAGをデプロイして社内システムへのセキュアなアクセスを実現することができそうです。
コメント
コメントを投稿