В этом разделе рассматривается развертывание в целом, в том числе подход к интеграции ресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.
Поддерживаемые версии vSphere и ESX
Поддерживаются следующие версии vSphere и ESXi Server:
- версия 6.0 и более новые версии
Требования к размерам оборудования
Убедитесь в том, что соблюдены все требования по количеству виртуальных устройств VMware Identity Manager и ресурсов, выделенных для каждого из устройств.
| Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
|---|---|---|---|---|---|
| Число серверов VMware Identity Manager | 1 сервер | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки |
| Число процессоров (на сервер) | 2 процессора | 2 процессора | 4 процессора | 8 процессоров | 8 процессоров |
| ОЗУ (на сервер) | 6 Гбайт | 6 Гбайт | 8 Гбайт | 16 Гбайт | 32 Гбайт |
| Пространство на диске (на сервер) | 60 Гбайт | 100 Гбайт | 100 Гбайт | 100 Гбайт | 100 Гбайт |
Необходимо, чтобы выполнялись требования для экземпляров VMware Identity Manager Connector. См. раздел Установка и настройка VMware Identity Manager Connector.
| Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
|---|---|---|---|---|---|
| Число серверов соединителей | 1 сервер | 2 сервера с балансировкой нагрузки | 2 сервера с балансировкой нагрузки | 2 сервера с балансировкой нагрузки | 2 сервера с балансировкой нагрузки |
| Число процессоров (на сервер) | 2 процессора | 4 процессора | 4 процессора | 4 процессора | 4 процессора |
| ОЗУ (на сервер) | 6 Гбайт | 6 Гбайт | 8 Гбайт | 16 Гбайт | 16 Гбайт |
| Пространство на диске (на сервер) | 60 Гбайт | 60 Гбайт | 60 Гбайт | 60 Гбайт | 60 Гбайт |
Требования к базе данных
Настройте VMware Identity Manager с соответствующей базой данных.
Можно использовать внутреннюю базу данных PostgreSQL или внешнюю базу данных Microsoft SQL. Внутренняя база данных Postgres SQL встроена в устройство VMware Identity Manager, но ее не рекомендуется использовать в рабочей среде.
Дополнительные сведения о поддерживаемых версиях баз данных Microsoft SQL и конфигурациях пакетов обновления см. в таблицах совместимости продуктов VMware по адресу https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Применяются следующие требования к базе данных. Точные необходимые характеристики зависят от размера и требований к развертыванию.
| Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
|---|---|---|---|---|---|
| ЦП | 2 процессора | 2 процессора | 4 процессора | 8 процессоров | 8 процессоров |
| ОЗУ | 4 Гбайт | 4 Гбайт | 8 Гбайт | 16 Гбайт | 32 Гбайт |
| Дисковое пространство | 50 Гбайт | 50 Гбайт | 50 Гбайт | 100 Гбайт | 100 Гбайт |
Возможность SQL Server AlwaysOn представляет собой комбинацию отказоустойчивой кластеризации и зеркального копирования базы данных в сочетании с переносом журналов для обеспечения высокой доступности. AlwaysON позволяет использовать несколько копий базы данных для чтения и одну копию для операций чтения-записи. Если в среде развертывания используется пропускная способность для поддержки созданного трафика, в базе данных VMware Identity Manager поддерживается возможность AlwaysON.
Требования к конфигурации сети
| Компонент | Минимальные требования |
|---|---|
| DNS-запись и IP-адрес | IP-адрес и DNS-запись |
| Порт брандмауэра | Убедитесь, что порт 443 брандмауэра входящего трафика открыт для подключения пользователей за пределами сети к экземпляру средства VMware Identity Manager или средству балансировки нагрузки. |
| Обратный прокси-сервер | Разверните обратный прокси-сервер, например Access Policy Manager от F5, в демилитаризованной зоне, чтобы разрешить пользователям получать безопасный удаленный доступ к порталу пользователей VMware Identity Manager. VMware Unified Access Gateway 2.8 поддерживает технологию обратного прокси-сервера, благодаря которой пользователи могут получить безопасный удаленный доступ к единому каталогу VMware Identity Manager. Unified Access Gateway можно развернуть в демилитаризованной зоне, расположенной за средствами балансировки нагрузки, которые являются внешними по отношению к устройству VMware Identity Manager. |
Требования к портам
- Для синхронизации пользователей и групп из Active Directory VMware Identity Manager необходимо подключиться к Active Directory.
- Для синхронизации с помощью ThinApp диспетчер VMware Identity Manager должен присоединиться к домену Active Directory и подключиться к общему ресурсу в репозитории ThinApp.
| Порт | Протокол | Источник | Место назначения | Описание |
|---|---|---|---|---|
| 443 | HTTPS | Средство балансировки нагрузки | Компьютер VMware Identity Manager |
|
| 443 | HTTPS | VMware Identity Manager | Средство балансировки нагрузки | Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если задано. |
| 443, 8443 | HTTPS/HTTP | Компьютер VMware Identity Manager |
Компьютер VMware Identity Manager |
Для всех экземпляров VMware Identity Manager в одном кластере и в нескольких кластерах, охватывающих несколько ЦОД. |
| 443 | HTTPS | Браузеры | Компьютер VMware Identity Manager |
|
| 443, 80 | HTTPS, HTTP | Компьютер VMware Identity Manager |
vapp-updates.vmware.com | Доступ к серверу обновления |
| 443 | HTTPS | Компьютер VMware Identity Manager | discovery.awmdm.com | Доступ к средству автоматического обнаружения приложений Workspace ONE |
| 443 | HTTPS | Компьютер VMware Identity Manager | catalog.vmwareidentity.com | Доступ к каталогу облачных служб |
| 8443 | HTTPS | Браузеры | Компьютер VMware Identity Manager |
Порт администратора |
| 25 | SMTP | Компьютер VMware Identity Manager |
SMTP | Порт для передачи исходящей почты |
| 389 636 3268 3269 |
LDAP LDAPS MSFT-GC MSFT-GC-SSL |
Компьютер VMware Identity Manager |
Active Directory | Здесь приведены значения по умолчанию. Эти порты настраиваются. |
| 445 | TCP | Компьютер VMware Identity Manager |
Репозиторий VMware ThinApp | Доступ к репозиторию ThinApp |
| 5500 | UDP | Компьютер VMware Identity Manager |
Система RSA SecurID | Отображается значение по умолчанию. Этот порт настраивается. |
| 53 | TCP/UDP | Компьютер VMware Identity Manager |
Сервер DNS | Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22. |
| 88, 464, 135, 445 | TCP/UDP | Компьютер VMware Identity Manager |
Контроллер домена | |
| 9300 |
TCP | Компьютер VMware Identity Manager |
Компьютер VMware Identity Manager |
Используется для задач аудита |
| 54328 |
UDP | |||
| 5701 | TCP | Компьютер VMware Identity Manager | Компьютер VMware Identity Manager | Кэш Hazelcast |
| 40002 40003 |
TCP | Компьютер VMware Identity Manager | Компьютер VMware Identity Manager | Ehcache |
| 1433 |
TCP | Компьютер VMware Identity Manager |
База данных |
По умолчанию для Microsoft SQL используется порт 1433. |
| 443 |
|
VMware Identity Manager |
Сервер Horizon |
Доступ к серверу Horizon |
| 80, 443 | TCP | VMware Identity Manager | Сервер Integration Broker | Подключение к Integration Broker. Параметр порта зависит от того, установлен ли сертификат на сервере Integration Broker. |
| 443 | HTTPS |
VMware Identity Manager |
Workspace ONE UEM (AirWatch) REST API | Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля AirWatch Cloud Connector (при использовании). |
| 88 | UDP | Unified Access Gateway |
Компьютер VMware Identity Manager | UDP-порт для открытия с помощью единого входа для мобильных устройств |
| 5262 | TCP | Мобильное устройство Android | Прокси-служба HTTPS в Workspace ONE UEM (AirWatch) | Клиент Workspace ONE UEM (AirWatch) Tunnel направляет трафик на прокси-сервер HTTPS для устройств Android. |
| 88 | UDP | Мобильное устройство iOS | Компьютер VMware Identity Manager | Порт используется для передачи данных службой Kerberos между устройствами iOS и облачной службой KDC. |
| 443 | HTTPS/TCP | |||
| 514 | UDP | Компьютер VMware Identity Manager | сервер syslog | UDP Для внешнего сервера syslog, если настроено |
| 88 | UDP | Компьютер VMware Identity Manager | Сервер гибридного варианта KDC в облаке. Имя узла — kdc.<область>. Например, kdc.op.vmwareidentity.com. | UDP-порт используется для хранящихся в облачной службе KDC обновлений конфигурации адаптера проверки подлинности с помощью единого входа для мобильных устройств iOS. Этот порт используется только в том случае, если применяется единый вход для мобильных устройств iOS (гибридный вариант KDC). |
Синхронизация времени
Настройка синхронизации времени для всех экземпляров соединителя и служб VMware Identity Manager необходима для правильной работы развертывания VMware Identity Manager.
Дополнительные сведения о настройке синхронизации времени для службы VMware Identity Manager см. в разделе Настройка синхронизации времени для службы VMware Identity Manager (Linux).
Дополнительные сведения о настройке синхронизации времени для VMware Identity Manager Connector см. в руководстве Установка и настройка VMware Identity Manager Connector (Windows).
Поддерживаемые каталоги
Необходимо интегрировать корпоративный каталог с VMware Identity Manager и синхронизировать пользователей и группы из корпоративного каталога со службой.
- Среда Active Directory может состоять из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.
VMware Identity Manager поддерживает Active Directory в Windows 2008, 2008 R2, 2012, 2012 R2 и 2016. На функциональном уровне домена и леса поддерживается Windows 2003 и более новые версии этой ОС.
Примечание: Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии.
Поддерживаемые веб-браузеры для доступа к консоли VMware Identity Manager
Консоль VMware Identity Manager представляет собой веб-приложение, которое используется для управления арендатором. Доступ к консоли VMware Identity Manager можно получить с помощью последних версий Mozilla Firefox, Google Chrome, Safari, Microsoft Edge и Internet Explorer 11.
Поддерживаемые браузеры для доступа к порталу Workspace ONE
Конечные пользователи могут получить доступ к порталу Workspace ONE с помощью следующих браузеров.
- Mozilla Firefox (новейшая версия)
- Google Chrome (новейшая версия)
- Safari (новейшая версия)
- Internet Explorer 11
- Microsoft Edge
- Google Chrome и встроенный браузер на устройствах с Android
- Safari на устройствах с iOS.
