Развертывание UserGate на платформе Облако VMware

Создание подсетей

Чтобы развернуть UserGate на платформе Облако VMware, нужно cоздать четыре подсети согласно целевой схеме.

1. Войдите в VMware Cloud Director.

2. Создайте подсеть Management со следующими параметрами:

   • В поле Scope выберите Organization VDC.

   • В поле Network Type выберите Isolated.

   • В поле Name введите «subnet-mgmt».

   • В поле Gateway CIDR введите «10.20.32.0/24».

   • В поле Static IP Pools введите «10.20.32.0/24».

   • В поле Primary DNS введите «77.88.8.8».

   • В поле Secondary DNS введите «1.1.1.1».

3. Создайте подсеть External со следующими параметрами:

   • В поле Scope выберите Organization VDC.

   • В поле Network Type выберите Routed.

   • В поле Edge Connection выберите существующий Edge Gateway/T1.

   • В поле Name введите «subnet-external».

   • В поле Gateway CIDR введите «10.20.88.0/24».

   • В поле Static IP Pools введите «10.20.88.0/24».

   • В поле Primary DNS введите «77.88.8.8».

   • В поле Secondary DNS введите «1.1.1.1».

   Если вы планируете использовать белый IP-адрес, создание подсети External опционально. При создании ВМ достаточно указать подсеть, выделенную под IP-адрес.

4. Создайте подсеть Internal со следующими параметрами:

   • В поле Scope выберите Organization VDC.

   • В поле Network Type выберите Isolated.

   • В поле Name введите «subnet-internal».

   • В поле Gateway CIDR введите «10.20.33.0/24».

   • В поле Static IP Pools введите «10.20.33.0/24».

   • В поле Primary DNS введите «77.88.8.8».

   • В поле Secondary DNS введите «1.1.1.1».

5. При использовании отказоустойчивой конфигурации UserGate из двух и более ВМ создайте подсеть Cluster со следующими параметрами:

   • В поле Scope выберите Organization VDC.

   • В поле Network Type выберите Isolated.

   • В поле Name введите «subnet-cluster».

   • В поле Gateway CIDR введите «10.20.34.0/24».

   • В поле Static IP Pools введите «10.20.34.0/24».

   • В поле Primary DNS введите «77.88.8.8».

   • В поле Secondary DNS введите «1.1.1.1».

Создание ВМ UserGate

По умолчанию ВМ UserGate разворачивается в минимальной конфигурации: 2 ядра vCPU и 8 ГБ RAM. Параметры определяют производительность ВМ и тип лицензии. Изменить количество выделяемых системных ресурсов можно после развертывания ВМ до ее первого запуска. Подробнее техническую спецификацию смотрите у вендора.

В настройках VDC нужно предварительно создать сетевые сегменты типа Isolated, а значение шлюза Gateway CIDR должно соответствовать IP-адресам, настраиваемым на интерфейсах UserGate, которые будут выступать шлюзом по умолчанию для всех внутренних хостов.

Чтобы создать ВМ UserGate:

1. В VMware Cloud Director выберите VDC, в котором требуется развернуть образ UserGate.

2. Перейдите в Compute → Virtual Machines и нажмите New VM.

3. В разделе Name введите имя ВМ на английском языке.

4. В разделе Type установите значение From Template и выберите ВМ «UserGate_*».

   Например, «UserGate_6.1.9».

5. Если вам нужна ВМ не минимальной конфигурации UserGate, отключите Power On.

   Опция Power On автоматически запускает ВМ после развертывания.

6. В разделе NICs, в столбце Network, на сетевые интерфейсы назначьте необходимые вам сетевые сегменты VDC.

   В образе UserGate доступно 10 сетевых интерфейсов с нумерацией от 0 до 9. Удалять сетевые интерфейсы при разворачивании образа ВМ запрещено.

   При установке ВМ Usergate облачная платформа изменяет нумерацию сетевых интересов, в результате чего интерфейсы ВМ могут быть назначены в неверную подсеть. Для того чтобы этого избежать, выполните следующие действия:

   1. После завершения процедуры установки Usergate в разделе веб-интерфейса Сеть → Интерфейсы соотнесите корректность нумерации интерфейсов Usergate с их назначением на облачной платформе, ориентируясь по их МАС-адресам.

   2. Если вы обнаружили неверное распределение интерфейсов, выключите ВМ Usergate в пункте Usergate → Управление устройством → Операции с сервером → Выключить сервер.

   3. Переназначьте подсети на интерфейсы ВМ на облачной платформе.

   4. Заново включите ВМ.

   

7. Нажмите ОК.

   В течение минуты образ UserGate с заданным именем ВМ появится в списке Virtual Machines вашего VDC.

8. В списке ВМ выберите развернутый образ UserGate и в разделе Hardware → Compute установите необходимые значение параметров Virtual CPUs и Memory с помощью Edit.

9. Дополнительно отключите следующие параметры виртуализации ВМ:

   • Virtual CPU hot add

   • Expose hardware-assisted CPU virtualization to guest OS

   • Memory hot add

10. Чтобы запустить ВМ UserGate, нажмите Power ON.

11. Чтобы открыть виртуальную текстовую консоль с информацией о ходе установки ВМ UserGate, в столбце Console нажмите VM Console.

Установка ВМ UserGate не требует вмешательства и длится около минуты. После завершения установки в окне виртуальной консоли отобразится приглашение командной строки.

Настройка подключения к интернету

Организация доступа в интернет возможна с помощью настройки правила SNAT или привязки белого IP-адреса.

Настройка правила SNAT на шлюзе Edge/T1

1. В VMware Cloud Director нажмите на VDC, в котором нужно развернуть образ UserGate.

2. Перейдите в Networking → Edges → NAT.

3. Создайте правило SNAT со следующими параметрами:

   • В поле External IP введите белый IP-адрес шлюза Edge/T1, например 34.24.54.2.

   • В поле Internal IP введите маршрутизируемую подсеть, например, 10.20.88.0/24

Привязка белого IP-адрес к сетевому интерфейсу UserGate

1. Обратитесь в техническую поддержку для выделения белого IP-адреса или подсети для существующего VDC.

   Например, подсети с тремя и более IP-адресами для использования в кластерной конфигурации UserGate.

2. В VMware Cloud Director перейдите в раздел Networking.

   В разделе появилась новая выделенная подсеть.

3. Привяжите созданную подсеть к узлу UserGate в качестве External.

Подробнее о настройке доступа в интернет написано в документации виртуального ЦОДа.

Настройка правил межсетевого экрана на Edge Gateway Firewall

1. В VMware Cloud Director выберите VDC, в котором нужно развернуть образ UserGate.

2. Перейдите в Networking → Edges → Firewall и нажмите New.

3. Создайте разрешающие правила для подсети External, указав в качестве источника IP-адрес узла UserGate.

При использования кластерной конфигурации UserGate дополнительно рекомендуется указать в набор разрешающих правил Virual IP-адрес внешнего интерфейса кластера.

Развертывание дополнительных ВМ

Для первичной инициализации UserGate используется доступ к графическому интерфейсу UserGate. Необходимо развернуть дополнительную ВМ на базе ОС Windows или Linux с поддержкой графического интерфейса.

После выполнения первичной инициализации и настройки безопасного доступа к интерфейсу управления UserGate через интернет ВМ может быть удалена.

1. Разверните тестовые ВМ согласно целевой схеме.

   Для проверки корректности установки ВМ выполните аутентификацию в консоли UserGate по документации вендора.

2. C помощью данных ВМ проверьте сетевую связность через NGFW.

Далее необходимо выполнить процедуру первичной инициализации UserGate.