可以使用以下两种配置模型之一来配置 VMware 每应用隧道:
- 使用 VMware 每应用隧道基本端点的基本端点(单层)
- 使用 VMware 每应用隧道前端和 VMware 每应用隧道后端的级联(多层)
| 源 | 目标 | 协议 | 端口 | 验证 | 说明 |
|---|---|---|---|---|---|
| 设备(从 Internet 和 Wi-Fi) | VMware 每应用隧道基本端点 | TCP、UDP | 8443* | 安装后,运行以下命令: netstat -tlpn | grep [Port] | 设备在指定端口上连接到为 VMware Tunnel 配置的公共 DNS。如果使用 443,每应用隧道组件将侦听端口 8443。 |
| VMware 每应用隧道基本端点 | Workspace ONE UEM Cloud Messaging 服务器 | HTTPS | SaaS:443 内部部署:2001* |
通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。 | 用于使 VMware 每应用隧道查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。 |
| VMware 每应用隧道基本端点 | 内部网站/Web 应用程序/资源 | HTTP、HTTPS 或 TCP | 80、443、任何所需 TCP | 适用于使用 VMware 每应用隧道访问内部资源的应用程序。确切的端点或端口取决于这些资源所在的位置。 | |
| VMware 每应用隧道基本端点 | UEM REST API
|
HTTP 或 HTTPS | 80 或 443 | curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized | VMware 每应用隧道必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL 或设备服务 URL。 |
| 源 | 目标 | 协议 | 端口 | 验证 | 说明 |
|---|---|---|---|---|---|
| 设备(从 Internet 和 Wi-Fi) | VMware 每应用隧道前端 | TCP、UDP | 8443* | 安装后,运行以下命令: netstat -tlpn | grep [Port] | 设备在指定端口上连接到为 VMware Tunnel 配置的公共 DNS。如果使用 443,每应用隧道组件将侦听端口 8443。 |
| VMware 每应用隧道前端 | Workspace ONE UEM Cloud Messaging 服务器 | HTTPS | SaaS:443 内部部署:2001* |
通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。 |
用于使 VMware 每应用隧道查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。 |
| VMware 每应用隧道前端 | VMware 每应用隧道后端 | TCP | 8443 | 使用 Telnet 通过端口 8443 从 VMware 每应用隧道前端连接到 VMware 每应用隧道后端。 | 将设备请求从前端转发到后端服务器。这需要至少支持 TLS 1.2。 |
| VMware 每应用隧道后端 | Workspace ONE UEM Cloud Messaging 服务器 | HTTPS | SaaS:443 内部部署:2001* |
通过对 https://<AWCM URL>:<port>/awcm/status 使用 wget,并确保收到 HTTP 200 响应来进行验证。 | 用于使 VMware 每应用隧道查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。 |
| VMware Tunnel 后端 | 内部网站/Web 应用程序/资源 | HTTP、HTTPS 或 TCP | 80、443、任何所需 TCP | 适用于使用 VMware 每应用隧道访问内部资源的应用程序。确切的端点或端口取决于这些资源所在的位置。 | |
| VMware 每应用隧道前端 | UEM REST API
|
HTTP 或 HTTPS | 80 或 443 | curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized | VMware 每应用隧道必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL 或设备服务 URL。 |
| VMware 每应用隧道后端 | UEM REST API
|
HTTP 或 HTTPS | 80 或 443 | curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized | VMware 每应用隧道必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL 或设备服务 URL。 |
注意
- * 可以根据您环境的限制来更改此端口。
- † 内部部署是指 Workspace ONE UEM Console 的位置。
- ‡ 对于需要将出站通信添加到白名单的 SaaS 客户,请参阅以下 VMware 知识库文章,其中列出了最新的 IP 范围:https://support.workspaceone.com/articles/115001662168-)。
