中继端点部署模型架构包含两个具有单独角色的 AirWatch Tunnel 的实例。
AirWatch Tunnel 中继服务器位于 DMZ 中,并且可通过配置的端口从公共 DNS 访问。
用于访问公共 DNS 的端口对于每应用隧道为端口 8443,对于代理为端口 2020。AirWatch Tunnel 端点服务器安装在托管内联网站点和 Web 应用程序的内部网络中。AirWatch Tunnel 端点服务器必须具有一个可由中继服务器解析的内部 DNS 记录。该部署模型将公开可用的服务器与直接连接到内部资源的服务器分开,从而提供一个额外的安全层。
中继服务器角色包含与 AirWatch API 和 AWCM 组件通信,以及在对 AirWatch Tunnel 发出请求时对设备进行身份验证。在此部署模型中,AirWatch Tunnel 支持用于通过中继与 API 和 AWCM 通信的出站代理。每应用隧道服务必须直接与 API 和 AWCM 通信。当设备对 AirWatch Tunnel 发起请求时,中继服务器会判断设备是否有权访问此服务。在进行身份验证后,将使用 HTTPS 通过一个端口将请求安全地转发到 AirWatch Tunnel 端点服务器。
注: 默认端口为 2010。
端点服务器的角色是连接到设备请求的内部 DNS 或 IP。除非在 AirWatch 控制台的“AirWatch Tunnel”设置中将通过代理启用 API 和 AWCM 出站调用设为已启用,否则端点服务器不会与 API 或 AWCM 通信,中继服务器会定期执行运行状况检查以确保端点处于活动和可用状态。
这些组件可安装在共享或专用服务器上。在专用 Linux 服务器上安装 AirWatch Tunnel 可确保性能不受同一服务器上运行的其他应用程序影响。对于中继端点部署,代理和每应用隧道组件安装在同一个中继服务器上。只有代理组件才安装在端点服务器上。每应用隧道中继组件使用代理端点连接到内部应用程序,因此这些组件共享一个中继端点端口和同一端点主机名。
