Se você estiver usando um modelo de implantação de várias camadas e o componente de Proxy do VMware Tunnel, use o modo de implantação do endpoint de retransmissão. A arquitetura do modo de implantação do endpoint de retransmissão inclui duas instâncias do VMware Tunnel com funções separadas. O servidor de retransmissão do VMware Tunnel reside na zona desmilitarizada e pode ser acessado a partir do DNS público sobre as portas configuradas.

Se você estiver usando o componente Per-App Tunnel, considere o uso de uma implantação do modo em cascata. Para obter mais informações, consulte Implantação do modo Cascata.

As portas para acessar o DNS público são, por padrão, a porta 8443 para o Per-App Tunnel e a porta 2020 para o proxy. O servidor de endpoint do VMware Tunnel está instalado na rede interna que hospeda sites da intranet e aplicativos da Web. Esse servidor deve ter um registro DNS interno que seja resolvido pelo servidor de retransmissão. Esse modelo de implantação separa o servidor disponível publicamente do servidor que é conectado diretamente aos recursos internos, fornecendo uma camada adicional de segurança.

A função do servidor de retransmissão inclui a comunicação com os componentes da API e do AWCM e os dispositivos de autenticação quando são feitas solicitações ao VMware Tunnel. Nesse modelo de implantação, a comunicação com a API e o AWCM do servidor de retransmissão poderá ser roteada para o Proxy de Saída via servidor de endpoint. O serviço Per-App Tunnel deve se comunicar diretamente com a API e o AWCM. Quando um dispositivo efetua uma solicitação ao VMware Tunnel, o servidor de retransmissão determina se o dispositivo está autorizado a acessar o serviço. Depois de autenticada, a solicitação é encaminhada com segurança usando HTTPS sobre uma única porta (a porta padrão é 2010) para o servidor do endpoint do VMware Tunnel.

A função do servidor do endpoint é se conectar ao DNS ou IP interno solicitado pelo dispositivo. O servidor do endpoint não se comunica com a API ou o AWCM, a menos que a opção Habilitar as chamadas de saída da API e do AWCM via proxy esteja definida como Habilitado nas configurações do VMware Tunnel no Workspace ONE UEM Console. O servidor de relê executa verificações de integridade em intervalos regulares para se certificar de que o endpoint esteja ativo e disponível.

Esses componentes podem ser instalados em servidores compartilhados ou dedicados. Instale o VMware Tunnel em servidores Linux dedicados para certificar-se de que o desempenho não seja afetado por outros aplicativos que estejam sendo executados no mesmo servidor. Para uma implantação de endpoint de retransmissão, os componentes do proxy e Per-App Tunnel são instalados no mesmo servidor de retransmissão.

Figura 1. Configuração local para implantações de endpoint de retransmissão
A implantação do Endpoint de Retransmissão para o VMware Tunnel em ambientes locais está representada graficamente.
Figura 2. Configuração de SaaS para implantações do Endpoint de Retransmissão
A implantação do Endpoint de Retransmissão para o VMware Tunnel em ambientes SaaS está representada graficamente.