В этом разделе рассматривается развертывание в целом, в том числе подход к интеграции ресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.
Поддерживаемые версии vSphere и ESX
Поддерживаются следующие версии vSphere и ESXi Server:
- 8.0, 7.0, 6.7, 6.5
Совместимость между службой и соединителем Workspace ONE Access
С локальной службой Workspace ONE Access можно использовать поддерживаемые версии соединителя, которые совпадают с версией службы или являются более старыми. Например, со службой Workspace ONE Access 24.04 можно использовать соединитель Connector версии 24.04 и более ранних версий. Нельзя использовать версию соединителя, которая новее версии службы. Например, соединитель Connector версии 24.04 невозможно использовать со службой версии 23.09. Рекомендуется использовать соединитель последней совместимой версии.
Сведения о поддерживаемых версиях см. по адресу https://www.vmware.com/support/policies/lifecycle.html.
Требования к размерам оборудования
Убедитесь в том, что соблюдены все требования по количеству виртуальных устройств Workspace ONE Access и ресурсов, выделенных для каждого из устройств.
- 4vCPU
- 8 ГБ памяти
- 100 ГБ дискового пространства
Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
---|---|---|---|---|---|
Число серверов Workspace ONE Access | 1 сервер | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки | 3 сервера с балансировкой нагрузки |
Число процессоров (на сервер) | 4 процессора | 4 процессора | 4 процессора | 8 процессоров | 8 процессоров |
ОЗУ (на сервер) | 8 Гбайт | 8 Гбайт | 8 Гбайт | 16 ГБ | 32 ГБ |
Пространство на диске (на сервер) | 100 Гбайт | 100 Гбайт | 100 Гбайт | 100 Гбайт | 100 Гбайт |
Кроме того, необходимо, чтобы выполнялись требования для количества экземпляров Workspace ONE Access Connector. См. раздел Установка и настройка Workspace ONE Access Connector.
Требования к базе данных
Настройте Workspace ONE Access с соответствующей базой данных для хранения и упорядочения данных сервера. Можно использовать внутреннюю базу данных PostgreSQL или внешнюю базу данных Microsoft SQL.
Внутренняя база данных Postgres SQL встроена в устройство Workspace ONE Access, но ее не рекомендуется использовать в рабочей среде.
Поддерживаемые внешние базы данных: Microsoft SQL Server 2014, 2016, 2017, 2019 и 2022. Дополнительные сведения о поддерживаемых версиях баз данных Microsoft SQL и конфигурациях пакетов обновления см. в таблицах совместимости продуктов VMware по адресу https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Применяются следующие требования к базе данных. Точные необходимые характеристики зависят от размера и требований к развертыванию.
Число пользователей | До 1 000 | 1 000–10 000 | 10 000–25 000 | 25 000–50 000 | 50 000–100 000 |
---|---|---|---|---|---|
ЦП | 2 процессора | 2 процессора | 4 процессора | 8 процессоров | 8 процессоров |
ОЗУ | 4 ГБ | 4 ГБ | 8 Гбайт | 16 ГБ | 32 ГБ |
Дисковое пространство | 50 Гбайт | 50 Гбайт | 50 Гбайт | 100 Гбайт | 100 Гбайт |
Возможность SQL Server AlwaysOn представляет собой комбинацию отказоустойчивой кластеризации и зеркального копирования базы данных в сочетании с переносом журналов для обеспечения более быстрой доступности. AlwaysOn позволяет использовать несколько копий базы данных для чтения и одну копию для операций чтения-записи. Если в среде развертывания используется пропускная способность для поддержки созданного трафика, в базе данных Workspace ONE Access поддерживается возможность AlwaysOn.
Требования к конфигурации сети
Компонент | Минимальные требования |
---|---|
DNS-запись и IP-адрес | IP-адрес и DNS-запись. |
Порт брандмауэра | Убедитесь, что порт 443 брандмауэра входящего трафика открыт для подключения пользователей за пределами сети к экземпляру Workspace ONE Access или подсистеме балансировки нагрузки. |
Обратный прокси-сервер | Разверните обратный прокси-сервер, например Access Policy Manager от F5, в демилитаризованной зоне, чтобы разрешить пользователям получать безопасный удаленный доступ к порталу пользователей Workspace ONE Access. В VMware Unified Access Gateway 2.8 и более поздних версий поддерживаются возможности обратного прокси-сервера, позволяющие пользователям выполнять безопасный удаленный доступ к единому каталогу Workspace ONE Access. Unified Access Gateway можно развернуть в ДМЗ, расположенной за подсистемами балансировки нагрузки, которые являются внешними по отношению к устройству Workspace ONE Access. |
Требования к портам
Порты, используемые в конфигурации сервера, описаны в таблице ниже. Последние сведения о портах см. в статье https://ports.vmware.com/home/Workspace-ONE-Access.
- Для синхронизации пользователей и групп из Active Directory Workspace ONE Access необходимо подключиться к Active Directory.
- Для синхронизации с помощью ThinApp диспетчер Workspace ONE Access должен присоединиться к домену Active Directory и подключиться к общему ресурсу в репозитории ThinApp.
Порт | Протокол | Источник | Место назначения | Описание |
---|---|---|---|---|
443 | HTTPS | Средство балансировки нагрузки | Компьютер Workspace ONE Access |
|
443 | HTTPS | Компьютер Workspace ONE Access | Средство балансировки нагрузки | Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если оно задано. |
443, 8443 | HTTPS/HTTP | Компьютер Workspace ONE Access | Компьютер Workspace ONE Access | Для всех экземпляров Workspace ONE Access в одном кластере и в нескольких кластерах, охватывающих несколько ЦОД. |
443 | HTTPS | Браузеры | Компьютер Workspace ONE Access | |
443, 80 | HTTPS, HTTP | Компьютер Workspace ONE Access | vapp-updates.vmware.com | Доступ к серверу обновления |
443 | HTTPS | Компьютер Workspace ONE Access | discovery.awmdm.com | Доступ для автообнаружения приложения Workspace ONE Intelligent Hub |
443 | HTTPS | Компьютер Workspace ONE Access | catalog.vmwareidentity.com | Доступ к каталогу облачных служб |
443 | HTTPS | Компьютер Workspace ONE Access | signing.awmdm.com | Обязательно для запуска консоли служб Hub и подготовки сертификатов для службы уведомлений Workspace ONE. |
7443 | TCP | Браузеры | Компьютер Workspace ONE Access | Проверка подлинности сертификата SSL |
8443 | HTTPS | Браузеры | Компьютер Workspace ONE Access | Порт администратора |
25 | SMTP | Компьютер Workspace ONE Access | SMTP | Порт для передачи исходящей почты. |
389 636 3268 3269 |
LDAP LDAPS MSFT-GC MSFT-GC-SSL |
Компьютер Workspace ONE Access | Active Directory | Здесь приведены значения по умолчанию. Эти порты настраиваются. |
445 | TCP | Компьютер Workspace ONE Access | Репозиторий VMware ThinApp | Доступ к репозиторию ThinApp. |
5555 | UDP | Компьютер Workspace ONE Access | сервер RSA SecurID | Отображается значение по умолчанию. Этот порт настраивается. |
53 | TCP/UDP | Компьютер Workspace ONE Access | Сервер DNS | Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22. |
88, 464, 135, 445 | TCP/UDP | Компьютер Workspace ONE Access | Контроллер домена | |
9300 |
TCP | Компьютер Workspace ONE Access | Компьютер Workspace ONE Access |
Используется для задач аудита. |
54328 |
UDP | |||
5701 | TCP | Компьютер Workspace ONE Access | Компьютер Workspace ONE Access | Кэш Hazelcast. |
40002 40003 |
TCP | Компьютер Workspace ONE Access | Компьютер Workspace ONE Access | Ehcache. |
1433 |
TCP | Компьютер Workspace ONE Access |
База данных |
По умолчанию для Microsoft SQL используется порт 1433. |
443 |
Компьютер Workspace ONE Access |
Horizon Connection Server |
Доступ к серверу подключений Horizon. |
|
80, 443 | TCP | Компьютер Workspace ONE Access | Сервер Integration Broker | Подключение к Integration Broker. Параметр порта зависит от того, установлен ли сертификат на сервере Integration Broker. |
443 | HTTPS |
Workspace ONE Access |
REST API Workspace ONE UEM | Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля AirWatch Cloud Connector (при использовании). |
88 | UDP | Unified Access Gateway |
Компьютер Workspace ONE Access | UDP-порт, который открывается для единого входа для мобильных устройств. |
5262 | TCP | Мобильное устройство Android | Прокси-служба HTTPS в Workspace ONE UEM | Клиент VMware Tunnel направляет трафик на прокси-сервер HTTPS для устройств Android. |
88 | TCP/UDP | Мобильное устройство iOS | Компьютер Workspace ONE Access | Порт используется для передачи данных службой Kerberos между устройствами iOS и облачной службой KDC. |
443 | HTTPS/TCP | |||
514 | UDP | Компьютер Workspace ONE Access | сервер syslog | UDP Для внешнего сервера системного журнала, если настроено. |
Синхронизация времени
Настройка синхронизации времени для всех экземпляров соединителя и служб Workspace ONE Access необходима для правильной работы развертывания Workspace ONE Access.
Дополнительные сведения о настройке синхронизации времени для службы Workspace ONE Access см. в разделе Настройка синхронизации времени для службы Workspace ONE Access.
Дополнительные сведения о настройке синхронизации времени для Workspace ONE Access Connector см. в разделе Установка и настройка Workspace ONE Access Connector.
Поддерживаемые каталоги
Необходимо интегрировать корпоративный каталог с Workspace ONE Access и синхронизировать пользователей и группы из корпоративного каталога со службой.
- Среда Active Directory может состоять из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.
Служба Workspace ONE Access поддерживает Active Directory в Windows 2022, 2019, 2016, 2012 R2, при этом на функциональном уровне домена и леса поддерживается Windows 2003 и более поздние версии этой ОС. Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии.
Поддерживаемые веб-браузеры для доступа к консоли Workspace ONE Access
Консоль Workspace ONE Access представляет собой веб-приложение, которое используется для управления службой Workspace ONE Access. Доступ к консоли Workspace ONE Access можно получить с помощью последних версий Mozilla Firefox, Google Chrome, Safari и Microsoft Edge.
Поддерживаемые браузеры для доступа к порталу Workspace ONE Intelligent Hub
Конечные пользователи могут получить доступ к порталу Hub с помощью перечисленных ниже браузеров.
- Mozilla Firefox (новейшая версия)
- Google Chrome (новейшая версия)
- Safari (новейшая версия)
- Microsoft Edge
- Google Chrome и встроенный браузер на устройствах с Android
- Safari на устройствах с iOS.