В этом разделе рассматривается развертывание в целом, в том числе подход к интеграции ресурсов, выбор момента для принятия решений об оборудовании, ресурсах и требования к сети.

Поддерживаемые версии vSphere и ESX

Поддерживаются следующие версии vSphere и ESXi Server:

  • 8.0, 7.0, 6.7, 6.5

Совместимость между службой и соединителем Workspace ONE Access

С локальной службой Workspace ONE Access можно использовать поддерживаемые версии соединителя, которые совпадают с версией службы или являются более старыми. Например, со службой Workspace ONE Access 23.09 можно использовать соединитель Connector версии 23.09 и более ранних версий. Нельзя использовать версию соединителя, которая новее версии службы. Например, соединитель версии 23.09 невозможно использовать со службой версии 22.09. Рекомендуется использовать соединитель последней совместимой версии.

Сведения о поддерживаемых версиях см. по адресу https://www.vmware.com/support/policies/lifecycle.html.

Примечание: Соединитель Workspace ONE Access Connector 22.05 несовместим с локальным виртуальным устройством Workspace ONE Access.

Требования к размерам оборудования

Убедитесь в том, что соблюдены все требования по количеству виртуальных устройств Workspace ONE Access и ресурсов, выделенных для каждого из устройств.

Примечание: Для новых развертываний по умолчанию применяются следующие требования к размеру Workspace ONE Access:
  • 4vCPU
  • 8 ГБ памяти
  • 100 ГБ дискового пространства
Число пользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000
Число серверов Workspace ONE Access 1 сервер 3 сервера с балансировкой нагрузки 3 сервера с балансировкой нагрузки 3 сервера с балансировкой нагрузки 3 сервера с балансировкой нагрузки
Число процессоров (на сервер) 4 процессора 4 процессора 4 процессора 8 процессоров 8 процессоров
ОЗУ (на сервер) 8 Гбайт 8 Гбайт 8 Гбайт 16 ГБ 32 ГБ
Пространство на диске (на сервер) 100 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт 100 Гбайт

Кроме того, необходимо, чтобы выполнялись требования для количества экземпляров Workspace ONE Access Connector. См. раздел Установка и настройка Workspace ONE Access Connector.

Требования к базе данных

Настройте Workspace ONE Access с соответствующей базой данных для хранения и упорядочения данных сервера. Можно использовать внутреннюю базу данных PostgreSQL или внешнюю базу данных Microsoft SQL.

Внутренняя база данных Postgres SQL встроена в устройство Workspace ONE Access, но ее не рекомендуется использовать в рабочей среде.

Поддерживаемые внешние базы данных: Microsoft SQL Server 2014, 2016, 2017, 2019 и 2022. Дополнительные сведения о поддерживаемых версиях баз данных Microsoft SQL и конфигурациях пакетов обновления см. в таблицах совместимости продуктов VMware по адресу https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Применяются следующие требования к базе данных. Точные необходимые характеристики зависят от размера и требований к развертыванию.

Число пользователей До 1 000 1 000–10 000 10 000–25 000 25 000–50 000 50 000–100 000
ЦП 2 процессора 2 процессора 4 процессора 8 процессоров 8 процессоров
ОЗУ 4 ГБ 4 ГБ 8 Гбайт 16 ГБ 32 ГБ
Дисковое пространство 50 Гбайт 50 Гбайт 50 Гбайт 100 Гбайт 100 Гбайт

Возможность SQL Server AlwaysOn представляет собой комбинацию отказоустойчивой кластеризации и зеркального копирования базы данных в сочетании с переносом журналов для обеспечения более быстрой доступности. AlwaysOn позволяет использовать несколько копий базы данных для чтения и одну копию для операций чтения-записи. Если в среде развертывания используется пропускная способность для поддержки созданного трафика, в базе данных Workspace ONE Access поддерживается возможность AlwaysOn.

Требования к конфигурации сети

Компонент Минимальные требования
DNS-запись и IP-адрес IP-адрес и DNS-запись.
Порт брандмауэра Убедитесь, что порт 443 брандмауэра входящего трафика открыт для подключения пользователей за пределами сети к экземпляру Workspace ONE Access или подсистеме балансировки нагрузки.
Обратный прокси-сервер

Разверните обратный прокси-сервер, например Access Policy Manager от F5, в демилитаризованной зоне, чтобы разрешить пользователям получать безопасный удаленный доступ к порталу пользователей Workspace ONE Access.

В VMware Unified Access Gateway 2.8 и более поздних версий поддерживаются возможности обратного прокси-сервера, позволяющие пользователям выполнять безопасный удаленный доступ к единому каталогу Workspace ONE Access. Unified Access Gateway можно развернуть в ДМЗ, расположенной за подсистемами балансировки нагрузки, которые являются внешними по отношению к устройству Workspace ONE Access.

Требования к портам

Порты, используемые в конфигурации сервера, описаны в таблице ниже. Последние сведения о портах см. в статье https://ports.vmware.com/home/Workspace-ONE-Access.

Развертывание может включать в себя только часть указанных портов. Например:
  • Для синхронизации пользователей и групп из Active Directory Workspace ONE Access необходимо подключиться к Active Directory.
  • Для синхронизации с помощью ThinApp диспетчер Workspace ONE Access должен присоединиться к домену Active Directory и подключиться к общему ресурсу в репозитории ThinApp.
Примечание: Требования к порту проверки подлинности Kerberos см. в разделе «Требования к сети» руководства Установка соединителя VMware Workspace ONE Access Connector 23.09.
Порт Протокол Источник Место назначения Описание
443 HTTPS Средство балансировки нагрузки

Компьютер Workspace ONE Access

443 HTTPS Компьютер Workspace ONE Access Средство балансировки нагрузки Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если оно задано.
443, 8443 HTTPS/HTTP

Компьютер Workspace ONE Access

Компьютер Workspace ONE Access Для всех экземпляров Workspace ONE Access в одном кластере и в нескольких кластерах, охватывающих несколько ЦОД.
443 HTTPS Браузеры

Компьютер Workspace ONE Access

443, 80 HTTPS, HTTP

Компьютер Workspace ONE Access

vapp-updates.vmware.com Доступ к серверу обновления
443 HTTPS Компьютер Workspace ONE Access discovery.awmdm.com Доступ для автообнаружения приложения Workspace ONE Intelligent Hub
443 HTTPS Компьютер Workspace ONE Access catalog.vmwareidentity.com Доступ к каталогу облачных служб
443 HTTPS Компьютер Workspace ONE Access signing.awmdm.com Обязательно для запуска консоли служб Hub и подготовки сертификатов для службы уведомлений Workspace ONE.
7443 TCP Браузеры Компьютер Workspace ONE Access Аутентификация SSL-сертификата
8443 HTTPS Браузеры

Компьютер Workspace ONE Access

Порт администратора
25 SMTP

Компьютер Workspace ONE Access

SMTP Порт для передачи исходящей почты.

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

Компьютер Workspace ONE Access

Active Directory Здесь приведены значения по умолчанию. Эти порты настраиваются.
445 TCP

Компьютер Workspace ONE Access

Репозиторий VMware ThinApp Доступ к репозиторию ThinApp.
5555 UDP

Компьютер Workspace ONE Access

сервер RSA SecurID Отображается значение по умолчанию. Этот порт настраивается.
53 TCP/UDP

Компьютер Workspace ONE Access

Сервер DNS

Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22.

88, 464, 135, 445 TCP/UDP

Компьютер Workspace ONE Access

Контроллер домена

9300

TCP

Компьютер Workspace ONE Access

Компьютер Workspace ONE Access

Используется для задач аудита.

54328

UDP
5701 TCP Компьютер Workspace ONE Access Компьютер Workspace ONE Access Кэш Hazelcast.
40002

40003

TCP Компьютер Workspace ONE Access Компьютер Workspace ONE Access Ehcache.

1433

TCP

Компьютер Workspace ONE Access

База данных

По умолчанию для Microsoft SQL используется порт 1433.

443

Компьютер Workspace ONE Access

Horizon Connection Server

Доступ к серверу подключений Horizon.

80, 443 TCP Компьютер Workspace ONE Access Сервер Integration Broker Подключение к Integration Broker. Параметр порта зависит от того, установлен ли сертификат на сервере Integration Broker.
443

HTTPS

Workspace ONE Access

REST API Workspace ONE UEM

Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля AirWatch Cloud Connector (при использовании).

88 UDP

Unified Access Gateway

Компьютер Workspace ONE Access UDP-порт, который открывается для единого входа для мобильных устройств.
5262 TCP Мобильное устройство Android Прокси-служба HTTPS в Workspace ONE UEM Клиент VMware Tunnel направляет трафик на прокси-сервер HTTPS для устройств Android.
88 TCP/UDP Мобильное устройство iOS Компьютер Workspace ONE Access Порт используется для передачи данных службой Kerberos между устройствами iOS и облачной службой KDC.
443 HTTPS/TCP
514 UDP Компьютер Workspace ONE Access сервер syslog UDP

Для внешнего сервера системного журнала, если настроено.

88 UDP Компьютер Workspace ONE Access Сервер гибридного варианта KDC в облаке. Имя узла — kdc.<область>. Например, kdc.op.vmwareidentity.com. UDP-порт используется для хранящихся в облачной службе KDC обновлений конфигурации адаптера проверки подлинности с помощью единого входа для мобильных устройств iOS. Этот порт используется только в том случае, если применяется единый вход для мобильных устройств iOS (гибридный вариант KDC).

Синхронизация времени

Настройка синхронизации времени для всех экземпляров соединителя и служб Workspace ONE Access необходима для правильной работы развертывания Workspace ONE Access.

Дополнительные сведения о настройке синхронизации времени для службы Workspace ONE Access см. в разделе Настройка синхронизации времени для службы Workspace ONE Access.

Дополнительные сведения о настройке синхронизации времени для Workspace ONE Access Connector см. в разделе Установка и настройка Workspace ONE Access Connector.

Поддерживаемые каталоги

Необходимо интегрировать корпоративный каталог с Workspace ONE Access и синхронизировать пользователей и группы из корпоративного каталога со службой.

  • Среда Active Directory может состоять из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.

    Служба Workspace ONE Access поддерживает Active Directory в Windows 2022, 2019, 2016, 2012 R2, при этом на функциональном уровне домена и леса поддерживается Windows 2003 и более поздние версии этой ОС. Для некоторых компонентов может потребоваться более высокий функциональный уровень. Например, чтобы разрешить пользователям изменять пароли Active Directory из Workspace ONE, на функциональном уровне домена должна поддерживаться ОС Windows 2008 или более поздние версии.

Поддерживаемые веб-браузеры для доступа к консоли Workspace ONE Access

Консоль Workspace ONE Access представляет собой веб-приложение, которое используется для управления службой Workspace ONE Access. Доступ к консоли Workspace ONE Access можно получить с помощью последних версий Mozilla Firefox, Google Chrome, Safari и Microsoft Edge.

Поддерживаемые браузеры для доступа к порталу Workspace ONE Intelligent Hub

Конечные пользователи могут получить доступ к порталу Hub с помощью перечисленных ниже браузеров.

  • Mozilla Firefox (новейшая версия)
  • Google Chrome (новейшая версия)
  • Safari (новейшая версия)
  • Microsoft Edge
  • Google Chrome и встроенный браузер на устройствах с Android
  • Safari на устройствах с iOS.