В этом разделе рассматривается развертывание в целом, в том числе подход к интеграции ресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.

Требования к размерам оборудования

Убедитесь, что соблюдены требования к оборудованию для установок VMware Identity Manager в ОС Windows.

Число пользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000
Число серверов VMware Identity Manager 1 сервер 3 сервера с балансировкой нагрузки 3 сервера с балансировкой нагрузки 3 сервера с балансировкой нагрузки 3 сервера с балансировкой нагрузки
Число процессоров (на сервер) 2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров
ОЗУ (на сервер) 6 Гбайт 6 Гбайт 8 Гбайт 16 Гбайт 32 Гбайт
Пространство на диске (на сервер) 60 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт

Необходимо, чтобы выполнялись требования для экземпляров VMware Identity Manager Connector. См. раздел Установка и настройка VMware Identity Manager Connector.

Число пользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000
Число серверов соединителей 1 сервер 2 сервера с балансировкой нагрузки 2 сервера с балансировкой нагрузки 2 сервера с балансировкой нагрузки 2 сервера с балансировкой нагрузки
Число процессоров (на сервер) 2 процессора 4 процессора 4 процессора 4 процессора 4 процессора
ОЗУ (на сервер) 6 Гбайт 6 Гбайт 8 Гбайт 16 Гбайт 16 Гбайт
Пространство на диске (на сервер) 60 Гбайт 60 Гбайт 60 Гбайт 60 Гбайт 60 Гбайт

Требования к программному обеспечению для установки Windows

Убедитесь, что сервер Windows VMware Identity Manager отвечает следующим требованиям к программному обеспечению.

Требования Примечания
Поддерживаемые версии Windows Server
  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2016
PowerShell 4.0 или более поздней версии Модуль Active Directory для PowerShell (RSAT AD PowerShell)
Установленная среда JRE 1.8 Установщик VMware Identity Manager устанавливает последнюю версию, если она не была установлена перед развертыванием.

Если установлена среда JRE более ранней версии, установщик автоматически обновляет версию, но не удаляет существующую среду JRE. Необходимо вручную удалить более ранние версии.

Сервер RabbitMQ Установщик VMware Identity Manager устанавливает сервер RabbitMQ, если он не был установлен перед развертыванием.
Erlang Установщик VMware Identity Manager устанавливает язык Erlang, если он не был установлен перед развертыванием.
Notepad++ При изменении конфигурации рекомендуется использовать Notepad++. В Notepad++ сохраняется разрыв строки. Не используйте Блокнот.

Требования к базе данных

Настройте параметры VMware Identity Manager для хранения и сортировки данных серверов во внешней базе данных Microsoft SQL.

Дополнительные сведения о поддерживаемых версиях баз данных Microsoft SQL и конфигурациях пакетов обновления см. в таблицах совместимости продуктов VMware по адресу https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

К внешней базе данных SQL Server предъявляются следующие требования. Точные характеристики, необходимые для SQL Server, зависят от размера и требований к развертыванию.

Число пользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000
ЦП 2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров
ОЗУ 4 Гбайт 4 Гбайт 8 Гбайт 16 Гбайт 32 Гбайт
Дисковое пространство 50 Гбайт 50 Гбайт 50 Гбайт 100 Гбайт 100 Гбайт

Возможность SQL Server AlwaysOn представляет собой комбинацию отказоустойчивой кластеризации и зеркального копирования базы данных в сочетании с переносом журналов для обеспечения высокой доступности. AlwaysON позволяет использовать несколько копий базы данных для чтения и одну копию для операций чтения-записи. Если в среде развертывания используется пропускная способность для поддержки созданного трафика, в базе данных VMware Identity Manager поддерживается возможность AlwaysON.

Требования к конфигурации сети

Компонент Минимальные требования
DNS-запись и IP-адрес IP-адрес и DNS-запись

В VMware Identity Manager во время установки используется hostname.domainname или hostname.workgroupname. Эти имена должны быть заданы в соответствии с DNS-именем сервера.

Порт брандмауэра Убедитесь, что порт 443 брандмауэра входящего трафика открыт для подключения пользователей за пределами сети к экземпляру средства VMware Identity Manager или средству балансировки нагрузки.
Обратный прокси-сервер

Разверните обратный прокси-сервер, например Access Policy Manager от F5, в демилитаризованной зоне, чтобы разрешить пользователям получать безопасный удаленный доступ к порталу пользователей VMware Identity Manager.

VMware Unified Access Gateway 2.8 поддерживает технологию обратного прокси-сервера, благодаря которой пользователи могут получить безопасный удаленный доступ к единому каталогу VMware Identity Manager. Unified Access Gateway можно развернуть в демилитаризованной зоне, расположенной за средствами балансировки нагрузки, которые являются внешними по отношению к устройству VMware Identity Manager.

Требования к портам

Здесь описаны порты, используемые в конфигурации сервера. Развертывание может включать в себя только часть этих портов. Пример:
  • Для синхронизации пользователей и групп из Active Directory VMware Identity Manager необходимо подключиться к Active Directory.
Порт Протокол Источник Место назначения Описание
443 HTTPS Средство балансировки нагрузки

Компьютер VMware Identity Manager

443 HTTPS Компьютер VMware Identity Manager Средство балансировки нагрузки Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если задано.
443, 8443 HTTPS/HTTP

Компьютер VMware Identity Manager

Компьютер VMware Identity Manager

Для всех экземпляров VMware Identity Manager в одном кластере и в нескольких кластерах, охватывающих несколько ЦОД.
443 HTTPS Браузеры

Компьютер VMware Identity Manager

443 HTTPS Компьютер VMware Identity Manager discovery.awmdm.com Доступ к средству автоматического обнаружения приложений Workspace ONE
443 HTTPS Компьютер VMware Identity Manager catalog.vmwareidentity.com Доступ к каталогу облачных служб
8443 HTTPS Браузеры

Компьютер VMware Identity Manager

Порт администратора
25 SMTP

Компьютер VMware Identity Manager

SMTP Порт для передачи исходящей почты

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Компьютер VMware Identity Manager

Active Directory Здесь приведены значения по умолчанию. Эти порты настраиваются.
5500 UDP

Компьютер VMware Identity Manager

Система RSA SecurID Отображается значение по умолчанию. Этот порт настраивается.
53 TCP/UDP

Компьютер VMware Identity Manager

Сервер DNS

Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22.

88, 464, 135, 445 TCP/UDP

Компьютер VMware Identity Manager

Контроллер домена

9300

TCP

Компьютер VMware Identity Manager

Компьютер VMware Identity Manager

Используется для задач аудита

54328

UDP
5701 TCP Компьютер VMware Identity Manager Компьютер VMware Identity Manager Кэш Hazelcast
40002

40003

TCP Компьютер VMware Identity Manager Компьютер VMware Identity Manager Ehcache

1433

TCP

Компьютер VMware Identity Manager

База данных

По умолчанию для Microsoft SQL используется порт 1433.

443

Компьютер VMware Identity Manager

Сервер View

Доступ к серверу View

80, 443 TCP Компьютер VMware Identity Manager Сервер Integration Broker Подключение к Integration Broker. Параметр порта зависит от того, установлен ли сертификат на сервере Integration Broker.
443

HTTPS

Компьютер VMware Identity Manager

AirWatch REST API

Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля AirWatch Cloud Connector (при использовании).

88 UDP

Unified Access Gateway

Компьютер VMware Identity Manager UDP-порт для открытия с помощью единого входа для мобильных устройств
5262 TCP Мобильное устройство Android Прокси-служба HTTPS в AirWatch Клиент AirWatch Tunnel направляет трафик на прокси-сервер HTTPS для устройств Android.
88 UDP Мобильное устройство iOS Компьютер VMware Identity Manager Порт используется для передачи данных службой Kerberos между устройствами iOS и облачной службой KDC.
443 HTTPS/TCP
514 UDP Компьютер VMware Identity Manager сервер syslog UDP

Для внешнего сервера syslog, если настроено

88 UDP Компьютер VMware Identity Manager Сервер гибридного варианта KDC в облаке. Имя узла — kdc.<область>. Например, kdc.op.vmwareidentity.com. UDP-порт используется для хранящихся в облачной службе KDC обновлений конфигурации адаптера проверки подлинности с помощью единого входа для мобильных устройств iOS. Этот порт используется только в том случае, если применяется единый вход для мобильных устройств iOS (гибридный вариант KDC).

Синхронизация времени

Настройка синхронизации времени для всех экземпляров соединителя и служб VMware Identity Manager необходима для правильной работы развертывания VMware Identity Manager.

Дополнительные сведения о настройке синхронизации времени для службы VMware Identity Manager см. в разделе Настройка синхронизации времени для службы VMware Identity Manager (Windows).

Дополнительные сведения о настройке синхронизации времени для VMware Identity Manager Connector см. в руководстве Установка и настройка VMware Identity Manager Connector (Windows).

Поддерживаемые каталоги

Необходимо интегрировать корпоративный каталог с VMware Identity Manager и синхронизировать пользователей и группы из корпоративного каталога со службой.

  • Среда Active Directory может состоять из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.

    VMware Identity Manager поддерживает Active Directory в Windows 2008, 2008 R2, 2012, 2012 R2 и 2016. На функциональном уровне домена и леса поддерживается Windows 2003 и более новые версии этой ОС.

    Примечание: Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии.

Поддерживаемые веб-браузеры для доступа к консоли VMware Identity Manager

Консоль VMware Identity Manager представляет собой веб-приложение, которое используется для управления арендатором. Доступ к консоли VMware Identity Manager можно получить с помощью последних версий Mozilla Firefox, Google Chrome, Safari, Microsoft Edge и Internet Explorer 11.

Примечание: В Internet Explorer 11 должны быть включены JavaScript и использование файлов cookie для проверки подлинности с помощью VMware Identity Manager.

Поддерживаемые браузеры для доступа к порталу Workspace ONE

Конечные пользователи могут получить доступ к порталу Workspace ONE с помощью следующих браузеров.

  • Mozilla Firefox (новейшая версия)
  • Google Chrome (новейшая версия)
  • Safari (новейшая версия)
  • Internet Explorer 11
  • Microsoft Edge
  • Google Chrome и встроенный браузер на устройствах с Android
  • Safari на устройствах с iOS.
Примечание: В Internet Explorer 11 должны быть включены JavaScript и использование файлов cookie для проверки подлинности с помощью VMware Identity Manager.