在负载平衡器后面的 DMZ 中配置 VMware Identity Manager 节点时,必须将所有节点配置为可相互通信。防火墙规则将配置为允许各个节点在端口 5262 上相互通信。

为了使证书代理服务正常运行以定向请求,应按如下方式配置负载平衡器。

  • 启用了 SSL 重新加密。

  • 在负载平衡器上安装了公开信任的证书。

  • 启用了 X-Forwarded-For 标头。

  • 启用了 RemotePort 标头。

  • 每个节点上的端口 443 配置了自签名证书。

  • 为证书代理服务配置了端口 5262,同时为证书身份验证配置了 SSL 直通。可在设备和服务之间进行 SSL 握手。

  • 端口 5263 配置为证书代理服务的另一个实例,以接收来自服务的内部管理员请求。