在确定硬件、资源和网络要求时,请考虑整个部署情况,包括如何集成资源。
支持的 vSphere 和 ESX 版本
支持以下版本的 vSphere 和 ESXi 服务器:
- 6.0 及更高版本
Workspace ONE Access 服务和连接器之间的兼容性
对于 Workspace ONE Access 内部部署服务,您可以使用与服务版本相同或低于服务版本的受支持连接器版本。例如,对于 Workspace ONE Access 20.10 服务,您可以使用 Connector 20.10 及更低版本。不能使用高于服务版本的连接器版本。例如,不能将 20.10 Connector 与 20.01 服务结合使用。建议使用连接器的最新兼容版本。
有关受支持版本的信息,请参阅 https://www.vmware.com/support/policies/lifecycle.html。
硬件大小调整要求
确保您满足 Workspace ONE Access 虚拟设备数以及为每个设备分配的资源要求。
- 4 个 vCPU
- 8 GB 内存
- 100 GB 磁盘空间
用户数量 | 最多 1,000 | 1,000-10,000 | 10,000-25,000 | 25,000-50,000 | 50,000-100,000 |
---|---|---|---|---|---|
Workspace ONE Access 服务器数 | 1 个服务器 | 3 个负载均衡服务器 | 3 个负载均衡服务器 | 3 个负载均衡服务器 | 3 个负载均衡服务器 |
CPU(每个服务器) | 4 个 CPU | 4 个 CPU | 4 个 CPU | 8 个 CPU | 8 个 CPU |
RAM(每个服务器) | 8 GB | 8 GB | 8 GB | 16 GB | 32 GB |
磁盘空间(每个服务器) | 100 GB | 100 GB | 100 GB | 100 GB | 100 GB |
另外,请确保满足有关 Workspace ONE Access Connector 实例数量的以下要求。请参阅《安装和配置 Workspace ONE Access Connector》。
数据库要求
使用相应的数据库设置 Workspace ONE Access 以存储和组织服务器数据。
您可以使用内部 PostgreSQL 数据库或外部 Microsoft SQL 数据库。在 Workspace ONE Access 设备中嵌入了一个内部 Postgres SQL 数据库,但建议不要在生产部署中使用该内部数据库。
有关支持的 Microsoft SQL 数据库版本和服务包配置的信息,请参阅 VMware 产品互操作性列表 (https://www.vmware.com/resources/compatibility/sim/interop_matrix.php)。
下列数据库要求适用。所需的确切规范取决于您的部署的规模和需求。
用户数量 | 最多 1,000 | 1,000-10,000 | 10,000-25,000 | 25,000-50,000 | 50,000-100,000 |
---|---|---|---|---|---|
CPU | 2 个 CPU | 2 个 CPU | 4 个 CPU | 8 个 CPU | 8 个 CPU |
RAM | 4 GB | 4 GB | 8 GB | 16 GB | 32 GB |
磁盘空间 | 50 GB | 50 GB | 50 GB | 100 GB | 100 GB |
SQL Server AlwaysOn 功能同时具有故障切换集群以及数据库镜像功能,并可传送日志,以此加快恢复可用性。AlwaysOn 允许具有数据库的多个读取副本以及操作的单个读写副本。如果您的部署环境具有带宽以支持生成的流量,则 Workspace ONE Access 数据库支持 AlwaysOn。
网络配置要求
组件 | 最低要求 |
---|---|
DNS 记录和 IP 地址 | IP 地址和 DNS 记录 |
防火墙端口 | 确保打开入站防火墙端口 443,以便网络外部的用户能够访问 Workspace ONE Access 实例或负载均衡器。 |
反向代理 | 在 DMZ 中部署一个反向代理(例如 F5 Access Policy Manager),以允许用户安全地远程访问 Workspace ONE Access 用户门户。 VMware Unified Access Gateway 2.8 及更高版本支持反向代理功能,因此允许用户安全地远程访问 Workspace ONE Access 统一目录。Unified Access Gateway 可以部署在 DMZ 中作为 Workspace ONE Access 设备前端的负载均衡器背后。 |
端口要求
下表介绍了服务器配置中使用的端口。有关最新的端口信息,请参见 https://ports.vmware.com/home/Workspace-ONE-Access。
- 要从 Active Directory 同步用户和组,必须将 Workspace ONE Access 连接到 Active Directory。
- 要与 ThinApp 同步,Workspace ONE Access 必须加入 Active Directory 域并连接到 ThinApp 存储库共享。
端口 | 协议 | 源 | 目标 | 描述 |
---|---|---|---|---|
443 | HTTPS | 负载均衡器 | Workspace ONE Access 计算机 |
|
443 | HTTPS | Workspace ONE Access 计算机 | 负载均衡器 | 如果设置了负载均衡器 FQDN,对其进行验证时需要使用。 |
443、8443 | HTTPS/HTTP | Workspace ONE Access 计算机 |
Workspace ONE Access 计算机 | 用于一个集群中以及位于不同数据中心的多个集群中的所有 Workspace ONE Access 实例。 |
443 | HTTPS | 浏览器 | Workspace ONE Access 计算机 |
|
443、80 | HTTPS、HTTP | Workspace ONE Access 计算机 |
vapp-updates.vmware.com | 访问升级服务器 |
443 | HTTPS | Workspace ONE Access 计算机 | discovery.awmdm.com | 访问 Workspace ONE Intelligent Hub 应用程序自动发现功能 |
443 | HTTPS | Workspace ONE Access 计算机 | catalog.vmwareidentity.com | 访问云目录 |
443 | HTTPS | Workspace ONE Access 计算机 | signing.awmdm.com | 必须启动 Hub 服务控制台并为 Workspace ONE 通知服务置备证书。 |
8443 | HTTPS | 浏览器 | Workspace ONE Access 计算机 |
管理员端口 |
25 | SMTP | Workspace ONE Access 计算机 |
SMTP | 中继出站邮件的端口。 |
389 636 3268 3269 |
LDAP LDAPS MSFT-GC MSFT-GC-SSL |
Workspace ONE Access 计算机 |
Active Directory | 显示了默认值。这些端口是可配置的。 |
445 | TCP | Workspace ONE Access 计算机 |
VMware ThinApp 存储库 | 访问 ThinApp 存储库。 |
5500 | UDP | Workspace ONE Access 计算机 |
RSA SecurID 系统 | 显示了默认值。此端口是可配置的。 |
53 | TCP/UDP | Workspace ONE Access 计算机 |
DNS 服务器 | 每个虚拟设备都必须有权通过端口 53 访问 DNS 服务器,以及允许端口 22 上存在入站 SSH 流量。 |
88、464、135、445 | TCP/UDP | Workspace ONE Access 计算机 |
域控制器 | |
9300 |
TCP | Workspace ONE Access 计算机 |
Workspace ONE Access 计算机 |
审核需要。 |
54328 |
UDP | |||
5701 | TCP | Workspace ONE Access 计算机 | Workspace ONE Access 计算机 | Hazelcast 缓存。 |
40002 40003 |
TCP | Workspace ONE Access 计算机 | Workspace ONE Access 计算机 | Ehcache。 |
1433 |
TCP | Workspace ONE Access 计算机 |
数据库 |
Microsoft SQL 默认端口为 1433。 |
443 |
|
Workspace ONE Access 计算机 |
Horizon 连接服务器 |
访问 Horizon 连接服务器。 |
80、443 | TCP | Workspace ONE Access 计算机 | Integration Broker 服务器 | 连接到 Integration Broker。端口选项取决于是否在 Integration Broker 服务器上安装了证书。 |
443 | HTTPS |
Workspace ONE Access |
Workspace ONE UEM REST API | 用于设备合规性检查和 AirWatch Cloud Connector 密码身份验证方法(如果使用)。 |
88 | UDP | Unified Access Gateway |
Workspace ONE Access 计算机 | 可打开该 UDP 端口以用于实现移动 SSO。 |
5262 | TCP | Android 移动设备 | Workspace ONE UEM HTTPS 代理服务 | VMware Tunnel 客户端将流量传送到 Android 设备的 HTTPS 代理。 |
88 | UDP | iOS 移动设备 | Workspace ONE Access 计算机 | 该端口用于从 iOS 设备到托管云 KDC 服务的 Kerberos 流量。 |
443 | HTTPS/TCP | |||
514 | UDP | Workspace ONE Access 计算机 | syslog 服务器 | UDP 用于外部 syslog 服务器(如果配置)。 |
88 | UDP | Workspace ONE Access 计算机 | 云中的混合 KDC 服务器。主机名是 kdc.<realm>。例如,kdc.op.vmwareidentity.com | 该 UDP 端口用于对保存到云 KDC 服务的 iOS 移动 SSO 身份验证适配器配置更新进行身份验证。仅当使用了混合 KDC iOS 移动 SSO 功能时,才使用此端口。 |
时间同步
要使 Workspace ONE Access 部署正常工作,需要在所有 Workspace ONE Access 服务和连接器实例上配置时间同步。
有关为 Workspace ONE Access 服务配置时间同步的信息,请参阅为 Workspace ONE Access 服务配置时间同步。
有关为 Workspace ONE Access Connector 配置时间同步的信息,请参阅《安装和配置 Workspace ONE Access Connector》。
支持的目录
您可以将企业目录与 Workspace ONE Access 相集成,并将企业目录中的用户和组同步到该服务。
- Active Directory 环境可以包含单个 Active Directory 域、单个 Active Directory 林中的多个域或跨多个 Active Directory 林的多个域。
Workspace ONE Access 支持 Windows 2012 R2、2016 和 2019 上的 Active Directory(域功能级别和林功能级别为 Windows 2003 及更高版本)。
注: 可能需要更高的功能级别以提供某些功能。例如,要允许用户从 Workspace ONE 更改 Active Directory 密码,域功能级别必须为 Windows 2008 或更高版本。
可访问 Workspace ONE Access 控制台的受支持的 Web 浏览器
Workspace ONE Access 控制台是一个基于 Web 的应用程序,您可以使用它来管理 Workspace ONE Access 服务。您可以通过最新版本的 Mozilla Firefox、Google Chrome、Safari、Microsoft Edge 和 Internet Explorer 11 来访问 Workspace ONE Access 控制台。
用于访问 Workspace ONE 门户的支持的浏览器
最终用户可以通过以下浏览器访问 Workspace ONE 门户:
- Mozilla Firefox(最新)
- Google Chrome(最新)
- Safari(最新)
- Internet Explorer 11
- Microsoft Edge 浏览器
- 本地浏览器和 Google Chrome(Android 设备上)
- Safari(iOS 设备上)