В этом разделе рассматривается развертывание в целом, в том числе подход к интеграции ресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.
Требования к размерам оборудования
Убедитесь, что соблюдены требования к оборудованию для установок VMware Identity Manager в ОС Windows.
| Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
|---|---|---|---|---|---|
| Число серверов VMware Identity Manager | 1 сервер | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки |
| Число процессоров (на сервер) | 2 процессора | 2 процессора | 4 процессора | 8 процессоров | 8 процессоров |
| ОЗУ (на сервер) | 6 Гбайт | 6 Гбайт | 8 Гбайт | 16 Гбайт | 32 Гбайт |
| Пространство на диске (на сервер) | 60 Гбайт | 100 Гбайт | 100 Гбайт | 100 Гбайт | 100 Гбайт |
Необходимо, чтобы выполнялись требования для экземпляров VMware Identity Manager Connector. См. раздел Установка и настройка VMware Identity Manager Connector.
| Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
|---|---|---|---|---|---|
| Число серверов соединителей | 1 сервер | 2 сервера с балансировкой нагрузки | 2 сервера с балансировкой нагрузки | 2 сервера с балансировкой нагрузки | 2 сервера с балансировкой нагрузки |
| Число процессоров (на сервер) | 2 процессора | 4 процессора | 4 процессора | 4 процессора | 4 процессора |
| ОЗУ (на сервер) | 6 Гбайт | 6 Гбайт | 8 Гбайт | 16 Гбайт | 16 Гбайт |
| Пространство на диске (на сервер) | 60 Гбайт | 60 Гбайт | 60 Гбайт | 60 Гбайт | 60 Гбайт |
Требования к программному обеспечению для установки Windows
Убедитесь, что сервер Windows VMware Identity Manager отвечает следующим требованиям к программному обеспечению.
| Требования | Примечания |
|---|---|
Поддерживаемые версии Windows Server
|
|
| PowerShell 4.0 или более поздней версии | Модуль Active Directory для PowerShell (RSAT AD PowerShell) |
| Установленная среда JRE 1.8 | Установщик VMware Identity Manager устанавливает последнюю версию, если она не была установлена перед развертыванием. Если установлена среда JRE более ранней версии, установщик автоматически обновляет версию, но не удаляет существующую среду JRE. Необходимо вручную удалить более ранние версии. |
| Сервер RabbitMQ | Установщик VMware Identity Manager устанавливает сервер RabbitMQ, если он не был установлен перед развертыванием. |
| Erlang | Установщик VMware Identity Manager устанавливает язык Erlang, если он не был установлен перед развертыванием. |
| Notepad++ | При изменении конфигурации рекомендуется использовать Notepad++. В Notepad++ сохраняется разрыв строки. Не используйте Блокнот. |
Требования к базе данных
Настройте параметры VMware Identity Manager для хранения и сортировки данных серверов во внешней базе данных Microsoft SQL.
Дополнительные сведения о поддерживаемых версиях баз данных Microsoft SQL и конфигурациях пакетов обновления см. в таблицах совместимости продуктов VMware по адресу https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
К внешней базе данных SQL Server предъявляются следующие требования. Точные характеристики, необходимые для SQL Server, зависят от размера и требований к развертыванию.
| Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
|---|---|---|---|---|---|
| ЦП | 2 процессора | 2 процессора | 4 процессора | 8 процессоров | 8 процессоров |
| ОЗУ | 4 Гбайт | 4 Гбайт | 8 Гбайт | 16 Гбайт | 32 Гбайт |
| Дисковое пространство | 50 Гбайт | 50 Гбайт | 50 Гбайт | 100 Гбайт | 100 Гбайт |
Возможность SQL Server AlwaysOn представляет собой комбинацию отказоустойчивой кластеризации и зеркального копирования базы данных в сочетании с переносом журналов для обеспечения высокой доступности. AlwaysON позволяет использовать несколько копий базы данных для чтения и одну копию для операций чтения-записи. Если в среде развертывания используется пропускная способность для поддержки созданного трафика, в базе данных VMware Identity Manager поддерживается возможность AlwaysON.
Требования к конфигурации сети
| Компонент | Минимальные требования |
|---|---|
| DNS-запись и IP-адрес | IP-адрес и DNS-запись В VMware Identity Manager во время установки используется hostname.domainname или hostname.workgroupname. Эти имена должны быть заданы в соответствии с DNS-именем сервера. |
| Порт брандмауэра | Убедитесь, что порт 443 брандмауэра входящего трафика открыт для подключения пользователей за пределами сети к экземпляру средства VMware Identity Manager или средству балансировки нагрузки. |
| Обратный прокси-сервер | Разверните обратный прокси-сервер, например Access Policy Manager от F5, в демилитаризованной зоне, чтобы разрешить пользователям получать безопасный удаленный доступ к порталу пользователей VMware Identity Manager. VMware Unified Access Gateway 2.8 поддерживает технологию обратного прокси-сервера, благодаря которой пользователи могут получить безопасный удаленный доступ к единому каталогу VMware Identity Manager. Unified Access Gateway можно развернуть в демилитаризованной зоне, расположенной за средствами балансировки нагрузки, которые являются внешними по отношению к устройству VMware Identity Manager. |
Требования к портам
- Для синхронизации пользователей и групп из Active Directory VMware Identity Manager необходимо подключиться к Active Directory.
| Порт | Протокол | Источник | Место назначения | Описание |
|---|---|---|---|---|
| 443 | HTTPS | Средство балансировки нагрузки | Компьютер VMware Identity Manager |
|
| 443 | HTTPS | Компьютер VMware Identity Manager | Средство балансировки нагрузки | Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если задано. |
| 443, 8443 | HTTPS/HTTP | Компьютер VMware Identity Manager |
Компьютер VMware Identity Manager |
Для всех экземпляров VMware Identity Manager в одном кластере и в нескольких кластерах, охватывающих несколько ЦОД. |
| 443 | HTTPS | Браузеры | Компьютер VMware Identity Manager |
|
| 443 | HTTPS | Компьютер VMware Identity Manager | discovery.awmdm.com | Доступ к средству автоматического обнаружения приложений Workspace ONE |
| 443 | HTTPS | Компьютер VMware Identity Manager | catalog.vmwareidentity.com | Доступ к каталогу облачных служб |
| 8443 | HTTPS | Браузеры | Компьютер VMware Identity Manager |
Порт администратора |
| 25 | SMTP | Компьютер VMware Identity Manager |
SMTP | Порт для передачи исходящей почты |
| 389 636 3268 3269 |
LDAP LDAPS MSFT-GC MSFT-GC-SSL |
Компьютер VMware Identity Manager |
Active Directory | Здесь приведены значения по умолчанию. Эти порты настраиваются. |
| 5500 | UDP | Компьютер VMware Identity Manager |
Система RSA SecurID | Отображается значение по умолчанию. Этот порт настраивается. |
| 53 | TCP/UDP | Компьютер VMware Identity Manager |
Сервер DNS | Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22. |
| 88, 464, 135, 445 | TCP/UDP | Компьютер VMware Identity Manager |
Контроллер домена | |
| 9300 |
TCP | Компьютер VMware Identity Manager |
Компьютер VMware Identity Manager |
Используется для задач аудита |
| 54328 |
UDP | |||
| 5701 | TCP | Компьютер VMware Identity Manager | Компьютер VMware Identity Manager | Кэш Hazelcast |
| 40002 40003 |
TCP | Компьютер VMware Identity Manager | Компьютер VMware Identity Manager | Ehcache |
| 1433 |
TCP | Компьютер VMware Identity Manager |
База данных |
По умолчанию для Microsoft SQL используется порт 1433. |
| 443 |
|
Компьютер VMware Identity Manager |
Сервер View |
Доступ к серверу View |
| 80, 443 | TCP | Компьютер VMware Identity Manager | Сервер Integration Broker | Подключение к Integration Broker. Параметр порта зависит от того, установлен ли сертификат на сервере Integration Broker. |
| 443 | HTTPS |
Компьютер VMware Identity Manager |
AirWatch REST API | Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля AirWatch Cloud Connector (при использовании). |
| 88 | UDP | Unified Access Gateway |
Компьютер VMware Identity Manager | UDP-порт для открытия с помощью единого входа для мобильных устройств |
| 5262 | TCP | Мобильное устройство Android | Прокси-служба HTTPS в AirWatch | Клиент AirWatch Tunnel направляет трафик на прокси-сервер HTTPS для устройств Android. |
| 88 | UDP | Мобильное устройство iOS | Компьютер VMware Identity Manager | Порт используется для передачи данных службой Kerberos между устройствами iOS и облачной службой KDC. |
| 443 | HTTPS/TCP | |||
| 514 | UDP | Компьютер VMware Identity Manager | сервер syslog | UDP Для внешнего сервера syslog, если настроено |
| 88 | UDP | Компьютер VMware Identity Manager | Сервер гибридного варианта KDC в облаке. Имя узла — kdc.<область>. Например, kdc.op.vmwareidentity.com. | UDP-порт используется для хранящихся в облачной службе KDC обновлений конфигурации адаптера проверки подлинности с помощью единого входа для мобильных устройств iOS. Этот порт используется только в том случае, если применяется единый вход для мобильных устройств iOS (гибридный вариант KDC). |
Синхронизация времени
Настройка синхронизации времени для всех экземпляров соединителя и служб VMware Identity Manager необходима для правильной работы развертывания VMware Identity Manager.
Дополнительные сведения о настройке синхронизации времени для службы VMware Identity Manager см. в разделе Настройка синхронизации времени для службы VMware Identity Manager (Windows).
Дополнительные сведения о настройке синхронизации времени для VMware Identity Manager Connector см. в руководстве Установка и настройка VMware Identity Manager Connector (Windows).
Поддерживаемые каталоги
Необходимо интегрировать корпоративный каталог с VMware Identity Manager и синхронизировать пользователей и группы из корпоративного каталога со службой.
- Среда Active Directory может состоять из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.
VMware Identity Manager поддерживает Active Directory в Windows 2008, 2008 R2, 2012, 2012 R2 и 2016. На функциональном уровне домена и леса поддерживается Windows 2003 и более новые версии этой ОС.
Примечание: Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии.
Поддерживаемые веб-браузеры для доступа к консоли VMware Identity Manager
Консоль VMware Identity Manager представляет собой веб-приложение, которое используется для управления арендатором. Доступ к консоли VMware Identity Manager можно получить с помощью последних версий Mozilla Firefox, Google Chrome, Safari, Microsoft Edge и Internet Explorer 11.
Поддерживаемые браузеры для доступа к порталу Workspace ONE
Конечные пользователи могут получить доступ к порталу Workspace ONE с помощью следующих браузеров.
- Mozilla Firefox (новейшая версия)
- Google Chrome (новейшая версия)
- Safari (новейшая версия)
- Internet Explorer 11
- Microsoft Edge
- Google Chrome и встроенный браузер на устройствах с Android
- Safari на устройствах с iOS.
