Развертывание виртуального устройства VMware Identity Manager в демилитаризованной зоне возможно в том случае, если выполнять развертывание в корпоративной сети нежелательно. При развертывании устройства VMware Identity Manager в демилитаризованной зоне необходимо также развернуть в корпоративной сети изолированный VMware Identity Manager Connector в режиме поддержки только исходящих соединений.

Требования к конфигурации системы и сети

Требования к конфигурации системы и сети для развертывания VMware Identity Manager в демилитаризованной зоне аналогичны требованиям для развертывания VMware Identity Manager в корпоративной сети, которые описаны в разделах «Требования к конфигурации системы и сети» и «Подготовка к развертыванию VMware Identity Manager» в руководстве Установка и настройка VMware Identity Manager (кроме тех различий, которые указаны в этом разделе).

  • Не обязательно открывать порт брандмауэра для входящих соединений для всех устройств в корпоративной сети.

    Развертывание виртуального устройства VMware Identity Manager выполняется в демилитаризованной зоне. Развертывание VMware Identity Manager Connector выполняется в корпоративной сети в режиме поддержки только исходящих соединений. Обмен данными между соединителем и службой осуществляется через канал связи на основе Websocket.

  • Развертывание обратного прокси-сервера или подсистемы балансировки нагрузки для поддержки внешнего доступа к VMware Identity Manager не требуется.
  • Подсистема балансировки нагрузки требуется только при настройке высокой доступности и резервирования виртуального устройства VMware Identity Manager.
  • Если настроить проверку подлинности сертификата во внедренном соединителе, то для выполнения этой проверки потребуется включить сквозную передачу SSL в подсистеме балансировки нагрузки для порта, настроенного для этой передачи. По умолчанию используется порт 7443.
  • Используются следующие порты. Для развертывания могут потребоваться только некоторые из указанных портов.
    Порт Источник Место назначения Описание
    443 Подсистема балансировки нагрузки

    Виртуальное устройство VMware Identity Manager

    HTTPS
    443 Виртуальное устройство VMware Identity Manager Подсистема балансировки нагрузки HTTPS

    Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если задано

    443 Соединитель Служебный узел VMware Identity Manager HTTPS
    443 Соединитель Подсистема балансировки нагрузки службы VMware Identity Manager HTTPS
    443 Браузеры

    Виртуальное устройство VMware Identity Manager

    HTTPS
    88 Браузеры

    Виртуальное устройство VMware Identity Manager

    TCP/UDP

    Только единый вход для iOS

    5262 Браузеры Виртуальное устройство VMware Identity Manager TCP/UDP

    Только единый вход для Android

    88 Виртуальное устройство VMware Identity Manager Сервер гибридного варианта KDC в облаке. Имя узла — kdc.<область>. Например, kdc.op.vmwareidentity.com.

    UDP-порт используется для хранящихся в облачной службе KDC обновлений конфигурации адаптера проверки подлинности с помощью единого входа для мобильных устройств iOS. Этот порт используется только в том случае, если применяется единый вход для мобильных устройств iOS (гибридный вариант KDC).

    443, 80

    Виртуальное устройство VMware Identity Manager

    vapp-updates.vmware.com Доступ к серверу обновления VMware
    443 Виртуальное устройство VMware Identity Manager catalog.vmwareidentity.com Доступ к каталогу облачных служб
    443 Виртуальное устройство VMware Identity Manager discovery.awmdm.com Доступ к средству автоматического обнаружения приложений Workspace ONE
    8443 Браузеры

    Виртуальное устройство VMware Identity Manager

    Порт администратора

    HTTPS

    25

    Виртуальное устройство VMware Identity Manager

    Сервер SMTP TCP-порт для передачи исходящей почты
    53

    Виртуальное устройство VMware Identity Manager

    Сервер DNS TCP/UDP

    Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22.

    443, 8443 Виртуальное устройство VMware Identity Manager Виртуальное устройство VMware Identity Manager HTTPS/HTTP

    Для всех экземпляров VMware Identity Manager в кластере и во всех кластерах различных центров обработки данных

    9300 (TCP)

    54328 (UDP)

    Виртуальное устройство VMware Identity Manager

    Виртуальное устройство VMware Identity Manager

    Используется для задач аудита

    5701 (TCP)

    Виртуальное устройство VMware Identity Manager

    Виртуальное устройство VMware Identity Manager

    Кэш Hazelcast
    40002 (TCP)

    40003 (TCP)

    Виртуальное устройство VMware Identity Manager

    Виртуальное устройство VMware Identity Manager

    Ehcache

    1433

    Виртуальное устройство VMware Identity Manager

    База данных

    По умолчанию для Microsoft SQL используется порт 1433.

    443

    Виртуальное устройство VMware Identity Manager

    Интерфейс REST API Workspace ONE UEM HTTPS

    Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля ACC (при использовании).

    Порт сквозной передачи SSL для проверки подлинности сертификата Браузеры Виртуальное устройство VMware Identity Manager HTTPS

    Для проверки подлинности сертификатов, настроенной во внедренном соединителе.

    По умолчанию используется порт 7443

    514 Виртуальное устройство VMware Identity Manager сервер syslog UDP

    Для внешнего сервера syslog, если настроено

Развертывание VMware Identity Manager.

Сведения о развертывании и настройке виртуального устройства VMware Identity Manager см. в разделах «Развертывание VMware Identity Manager» и «Управление параметрами конфигурации системы устройства» в руководстве Установка и настройка VMware Identity Manager.

Настройка аварийного переключения и резервирования

Сведения о настройке аварийного переключения и резервирования для виртуального устройства VMware Identity Manager см. следующие разделы в руководстве по установке и настройке VMware Identity Manager:

  • Настройка аварийного переключения и резервирования в одном центре обработки данных
  • Развертывание VMware Identity Manager в резервном центре обработки данных для аварийного переключения и резервирования
Примечание: Инструкции в разделе «Использование подсистемы балансировки нагрузки или обратного прокси-сервера для поддержки внешнего доступа к VMware Identity Manager» неприменимы для сценариев развертывания VMware Identity Manager в демилитаризованной зоне.