在确定硬件、资源和网络要求时,请考虑整个部署情况,包括如何集成资源。

支持的 vSphere 和 ESX 版本

支持以下版本的 vSphere 和 ESXi 服务器:

  • 6.0 及更高版本

Workspace ONE Access 服务和连接器之间的兼容性

对于 Workspace ONE Access 内部部署服务,您可以使用与服务版本相同或低于服务版本的受支持连接器版本。例如,对于 Workspace ONE Access 20.10 服务,您可以使用 Connector 20.10 及更低版本。不能使用高于服务版本的连接器版本。例如,不能将 20.10 Connector 与 20.01 服务结合使用。建议使用连接器的最新兼容版本。

有关受支持版本的信息,请参阅 https://www.vmware.com/support/policies/lifecycle.html

硬件大小调整要求

确保您满足 Workspace ONE Access 虚拟设备数以及为每个设备分配的资源要求。

注: 对于新部署,默认的 Workspace ONE Access 大小调整要求如下所示:
  • 4 个 vCPU
  • 8 GB 内存
  • 100 GB 磁盘空间
用户数量 最多 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000
Workspace ONE Access 服务器数 1 个服务器 3 个负载均衡服务器 3 个负载均衡服务器 3 个负载均衡服务器 3 个负载均衡服务器
CPU(每个服务器) 4 个 CPU 4 个 CPU 4 个 CPU 8 个 CPU 8 个 CPU
RAM(每个服务器) 8 GB 8 GB 8 GB 16 GB 32 GB
磁盘空间(每个服务器) 100 GB 100 GB 100 GB 100 GB 100 GB

另外,请确保满足有关 Workspace ONE Access Connector 实例数量的以下要求。请参阅《安装和配置 Workspace ONE Access Connector》

数据库要求

使用相应的数据库设置 Workspace ONE Access 以存储和组织服务器数据。

您可以使用内部 PostgreSQL 数据库或外部 Microsoft SQL 数据库。在 Workspace ONE Access 设备中嵌入了一个内部 Postgres SQL 数据库,但建议不要在生产部署中使用该内部数据库。

有关支持的 Microsoft SQL 数据库版本和服务包配置的信息,请参阅 VMware 产品互操作性列表 (https://www.vmware.com/resources/compatibility/sim/interop_matrix.php)。

下列数据库要求适用。所需的确切规范取决于您的部署的规模和需求。

用户数量 最多 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000
CPU 2 个 CPU 2 个 CPU 4 个 CPU 8 个 CPU 8 个 CPU
RAM 4 GB 4 GB 8 GB 16 GB 32 GB
磁盘空间 50 GB 50 GB 50 GB 100 GB 100 GB

SQL Server AlwaysOn 功能同时具有故障切换集群以及数据库镜像功能,并可传送日志,以此加快恢复可用性。AlwaysOn 允许具有数据库的多个读取副本以及操作的单个读写副本。如果您的部署环境具有带宽以支持生成的流量,则 Workspace ONE Access 数据库支持 AlwaysOn。

网络配置要求

组件 最低要求
DNS 记录和 IP 地址 IP 地址和 DNS 记录
防火墙端口 确保打开入站防火墙端口 443,以便网络外部的用户能够访问 Workspace ONE Access 实例或负载均衡器。
反向代理

在 DMZ 中部署一个反向代理(例如 F5 Access Policy Manager),以允许用户安全地远程访问 Workspace ONE Access 用户门户。

VMware Unified Access Gateway 2.8 及更高版本支持反向代理功能,因此允许用户安全地远程访问 Workspace ONE Access 统一目录。Unified Access Gateway 可以部署在 DMZ 中作为 Workspace ONE Access 设备前端的负载均衡器背后。

端口要求

下表介绍了服务器配置中使用的端口。有关最新的端口信息,请参见 https://ports.vmware.com/home/Workspace-ONE-Access

您的部署中可能仅包含所列端口的子集。例如:
  • 要从 Active Directory 同步用户和组,必须将 Workspace ONE Access 连接到 Active Directory。
  • 要与 ThinApp 同步,Workspace ONE Access 必须加入 Active Directory 域并连接到 ThinApp 存储库共享。
注: 有关在 Workspace ONE Access 中配置和启用 Kerberos 身份验证的信息(包括端口信息),请参阅 《管理 Workspace ONE Access 用户身份验证方法》
端口 协议 目标 描述
443 HTTPS 负载均衡器

Workspace ONE Access 计算机

443 HTTPS Workspace ONE Access 计算机 负载均衡器 如果设置了负载均衡器 FQDN,对其进行验证时需要使用。
443、8443 HTTPS/HTTP

Workspace ONE Access 计算机

Workspace ONE Access 计算机 用于一个集群中以及位于不同数据中心的多个集群中的所有 Workspace ONE Access 实例。
443 HTTPS 浏览器

Workspace ONE Access 计算机

443、80 HTTPS、HTTP

Workspace ONE Access 计算机

vapp-updates.vmware.com 访问升级服务器
443 HTTPS Workspace ONE Access 计算机 discovery.awmdm.com 访问 Workspace ONE Intelligent Hub 应用程序自动发现功能
443 HTTPS Workspace ONE Access 计算机 catalog.vmwareidentity.com 访问云目录
443 HTTPS Workspace ONE Access 计算机 signing.awmdm.com 必须启动 Hub 服务控制台并为 Workspace ONE 通知服务置备证书。
8443 HTTPS 浏览器

Workspace ONE Access 计算机

管理员端口
25 SMTP

Workspace ONE Access 计算机

SMTP 中继出站邮件的端口。

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Workspace ONE Access 计算机

Active Directory 显示了默认值。这些端口是可配置的。
445 TCP

Workspace ONE Access 计算机

VMware ThinApp 存储库 访问 ThinApp 存储库。
5500 UDP

Workspace ONE Access 计算机

RSA SecurID 系统 显示了默认值。此端口是可配置的。
53 TCP/UDP

Workspace ONE Access 计算机

DNS 服务器

每个虚拟设备都必须有权通过端口 53 访问 DNS 服务器,以及允许端口 22 上存在入站 SSH 流量。

88、464、135、445 TCP/UDP

Workspace ONE Access 计算机

域控制器

9300

TCP

Workspace ONE Access 计算机

Workspace ONE Access 计算机

审核需要。

54328

UDP
5701 TCP Workspace ONE Access 计算机 Workspace ONE Access 计算机 Hazelcast 缓存。
40002

40003

TCP Workspace ONE Access 计算机 Workspace ONE Access 计算机 Ehcache。

1433

TCP

Workspace ONE Access 计算机

数据库

Microsoft SQL 默认端口为 1433。

443

Workspace ONE Access 计算机

Horizon 连接服务器

访问 Horizon 连接服务器。

80、443 TCP Workspace ONE Access 计算机 Integration Broker 服务器 连接到 Integration Broker。端口选项取决于是否在 Integration Broker 服务器上安装了证书。
443

HTTPS

Workspace ONE Access

Workspace ONE UEM REST API

用于设备合规性检查和 AirWatch Cloud Connector 密码身份验证方法(如果使用)。

88 UDP

Unified Access Gateway

Workspace ONE Access 计算机 可打开该 UDP 端口以用于实现移动 SSO。
5262 TCP Android 移动设备 Workspace ONE UEM HTTPS 代理服务 VMware Tunnel 客户端将流量传送到 Android 设备的 HTTPS 代理。
88 UDP iOS 移动设备 Workspace ONE Access 计算机 该端口用于从 iOS 设备到托管云 KDC 服务的 Kerberos 流量。
443 HTTPS/TCP
514 UDP Workspace ONE Access 计算机 syslog 服务器 UDP

用于外部 syslog 服务器(如果配置)。

88 UDP Workspace ONE Access 计算机 云中的混合 KDC 服务器。主机名是 kdc.<realm>。例如,kdc.op.vmwareidentity.com 该 UDP 端口用于对保存到云 KDC 服务的 iOS 移动 SSO 身份验证适配器配置更新进行身份验证。仅当使用了混合 KDC iOS 移动 SSO 功能时,才使用此端口。

时间同步

要使 Workspace ONE Access 部署正常工作,需要在所有 Workspace ONE Access 服务和连接器实例上配置时间同步。

有关为 Workspace ONE Access 服务配置时间同步的信息,请参阅为 Workspace ONE Access 服务配置时间同步

有关为 Workspace ONE Access Connector 配置时间同步的信息,请参阅《安装和配置 Workspace ONE Access Connector》

支持的目录

您可以将企业目录与 Workspace ONE Access 相集成,并将企业目录中的用户和组同步到该服务。

  • Active Directory 环境可以包含单个 Active Directory 域、单个 Active Directory 林中的多个域或跨多个 Active Directory 林的多个域。

    Workspace ONE Access 支持 Windows 2012 R2、2016 和 2019 上的 Active Directory(域功能级别和林功能级别为 Windows 2003 及更高版本)。

    注: 可能需要更高的功能级别以提供某些功能。例如,要允许用户从 Workspace ONE 更改 Active Directory 密码,域功能级别必须为 Windows 2008 或更高版本。

可访问 Workspace ONE Access 控制台的受支持的 Web 浏览器

Workspace ONE Access 控制台是一个基于 Web 的应用程序,您可以使用它来管理 Workspace ONE Access 服务。您可以通过最新版本的 Mozilla Firefox、Google Chrome、Safari、Microsoft Edge 和 Internet Explorer 11 来访问 Workspace ONE Access 控制台。

注: 在 Internet Explorer 11 中,必须启用 JavaScript,并允许 Cookie 通过 Workspace ONE Access 进行身份验证。

用于访问 Workspace ONE 门户的支持的浏览器

最终用户可以通过以下浏览器访问 Workspace ONE 门户:

  • Mozilla Firefox(最新)
  • Google Chrome(最新)
  • Safari(最新)
  • Internet Explorer 11
  • Microsoft Edge 浏览器
  • 本地浏览器和 Google Chrome(Android 设备上)
  • Safari(iOS 设备上)
注: 在 Internet Explorer 11 中,必须启用 JavaScript,并允许 Cookie 通过 Workspace ONE Access 进行身份验证。