Развертывание виртуального устройства VMware Identity Manager в демилитаризованной зоне возможно в том случае, если выполнять развертывание в корпоративной сети нежелательно. При развертывании устройства VMware Identity Manager в демилитаризованной зоне необходимо также развернуть в корпоративной сети изолированный VMware Identity Manager Connector в режиме поддержки только исходящих соединений.
Требования к конфигурации системы и сети
Требования к конфигурации системы и сети для развертывания VMware Identity Manager в демилитаризованной зоне аналогичны требованиям для развертывания VMware Identity Manager в корпоративной сети, которые описаны в разделах «Требования к конфигурации системы и сети» и «Подготовка к развертыванию VMware Identity Manager» в руководстве Установка и настройка VMware Identity Manager (кроме тех различий, которые указаны в этом разделе).
- Не обязательно открывать порт брандмауэра для входящих соединений для всех устройств в корпоративной сети.
Развертывание виртуального устройства VMware Identity Manager выполняется в демилитаризованной зоне. Развертывание VMware Identity Manager Connector выполняется в корпоративной сети в режиме поддержки только исходящих соединений. Обмен данными между соединителем и службой осуществляется через канал связи на основе Websocket.
- Развертывание обратного прокси-сервера или подсистемы балансировки нагрузки для поддержки внешнего доступа к VMware Identity Manager не требуется.
- Подсистема балансировки нагрузки требуется только при настройке высокой доступности и резервирования виртуального устройства VMware Identity Manager.
- Если настроить проверку подлинности сертификата во внедренном соединителе, то для выполнения этой проверки потребуется включить сквозную передачу SSL в подсистеме балансировки нагрузки для порта, настроенного для этой передачи. По умолчанию используется порт 7443.
- Используются следующие порты. Для развертывания могут потребоваться только некоторые из указанных портов.
Порт Источник Место назначения Описание 443 Подсистема балансировки нагрузки Виртуальное устройство VMware Identity Manager
HTTPS 443 Виртуальное устройство VMware Identity Manager Подсистема балансировки нагрузки HTTPS Требуется для проверки полного доменного имени подсистемы балансировки нагрузки, если задано
443 Соединитель Служебный узел VMware Identity Manager HTTPS 443 Соединитель Подсистема балансировки нагрузки службы VMware Identity Manager HTTPS 443 Браузеры Виртуальное устройство VMware Identity Manager
HTTPS 88 Браузеры Виртуальное устройство VMware Identity Manager
TCP/UDP Только единый вход для iOS
5262 Браузеры Виртуальное устройство VMware Identity Manager TCP/UDP Только единый вход для Android
88 Виртуальное устройство VMware Identity Manager Сервер гибридного варианта KDC в облаке. Имя узла — kdc.<область>. Например, kdc.op.vmwareidentity.com. UDP-порт используется для хранящихся в облачной службе KDC обновлений конфигурации адаптера проверки подлинности с помощью единого входа для мобильных устройств iOS. Этот порт используется только в том случае, если применяется единый вход для мобильных устройств iOS (гибридный вариант KDC).
443, 80 Виртуальное устройство VMware Identity Manager
vapp-updates.vmware.com Доступ к серверу обновления VMware 443 Виртуальное устройство VMware Identity Manager catalog.vmwareidentity.com Доступ к каталогу облачных служб 443 Виртуальное устройство VMware Identity Manager discovery.awmdm.com Доступ к средству автоматического обнаружения приложений Workspace ONE 8443 Браузеры Виртуальное устройство VMware Identity Manager
Порт администратора HTTPS
25 Виртуальное устройство VMware Identity Manager
Сервер SMTP TCP-порт для передачи исходящей почты 53 Виртуальное устройство VMware Identity Manager
Сервер DNS TCP/UDP Для каждого виртуального устройства должен быть настроен доступ к серверу DNS через порт 53 и разрешен входящий SSH-трафик через порт 22.
443, 8443 Виртуальное устройство VMware Identity Manager Виртуальное устройство VMware Identity Manager HTTPS/HTTP Для всех экземпляров VMware Identity Manager в кластере и во всех кластерах различных центров обработки данных
9300 (TCP)
54328 (UDP)
Виртуальное устройство VMware Identity Manager
Виртуальное устройство VMware Identity Manager
Используется для задач аудита
5701 (TCP) Виртуальное устройство VMware Identity Manager
Виртуальное устройство VMware Identity Manager
Кэш Hazelcast 40002 (TCP) 40003 (TCP)
Виртуальное устройство VMware Identity Manager
Виртуальное устройство VMware Identity Manager
Ehcache 1433
Виртуальное устройство VMware Identity Manager
База данных
По умолчанию для Microsoft SQL используется порт 1433.
443 Виртуальное устройство VMware Identity Manager
Интерфейс REST API Workspace ONE UEM HTTPS Для проверки соответствия устройства требованиям и проверки подлинности с помощью пароля ACC (при использовании).
Порт сквозной передачи SSL для проверки подлинности сертификата Браузеры Виртуальное устройство VMware Identity Manager HTTPS Для проверки подлинности сертификатов, настроенной во внедренном соединителе.
По умолчанию используется порт 7443
514 Виртуальное устройство VMware Identity Manager сервер syslog UDP Для внешнего сервера syslog, если настроено
Развертывание VMware Identity Manager.
Сведения о развертывании и настройке виртуального устройства VMware Identity Manager см. в разделах «Развертывание VMware Identity Manager» и «Управление параметрами конфигурации системы устройства» в руководстве Установка и настройка VMware Identity Manager.
Настройка аварийного переключения и резервирования
Сведения о настройке аварийного переключения и резервирования для виртуального устройства VMware Identity Manager см. следующие разделы в руководстве по установке и настройке VMware Identity Manager:
- Настройка аварийного переключения и резервирования в одном центре обработки данных
- Развертывание VMware Identity Manager в резервном центре обработки данных для аварийного переключения и резервирования