可以使用以下两种配置模型之一来配置 VMware Tunnel 代理:

  • 使用 VMware Tunnel 代理端点的基本端点(单层)

  • 使用 VMware Tunnel 代理中继和 VMware Tunnel 代理端点的中继端点(多层)

表 1. VMware Tunnel 代理基本端点配置的端口要求

目标

协议

端口

验证

说明

设备(从 Internet 和 Wi-Fi)

VMware Tunnel 代理端点

HTTPS

2020*

安装后,运行以下命令: netstat -tlpn | grep [Port]

设备在指定端口上连接到为 VMware Tunnel 配置的公共 DNS。

VMware Tunnel 代理端点

AirWatch Cloud Messaging 服务器

HTTPS

SaaS:443

内部部署:2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为 HTTP 200 OK

用于使 VMware Tunnel 代理查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。

VMware Tunnel 代理端点

UEM REST API

  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com

  • 内部部署†:最常用的设备服务或控制台服务器

HTTP 或 HTTPS

SaaS:443

内部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized

VMware Tunnel 代理必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URLWorkspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL设备服务 URL

VMware Tunnel 代理端点

内部资源

HTTP、HTTPS 或 TCP

80、443、任何 TCP

确认 VMware Tunnel 代理端点可以通过所需端口访问内部资源。

适用于使用 VMware Tunnel 代理访问内部资源的应用程序。确切的端点或端口取决于这些资源所在的位置。

VMware Tunnel 代理端点

Syslog 服务器

UDP

514*

Workspace ONE UEM Console

VMware Tunnel 代理端点

HTTPS

2020*

内部部署†客户可使用 telnet 命令来测试连接:telnet <Tunnel ProxyURL><port>

要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功,需要使用此端口。

表 2. VMware Tunnel 代理中继端点配置的端口要求

目标

协议

端口

验证

说明

设备(从 Internet 和 Wi-Fi)

VMware Tunnel 代理中继

HTTPS

2020*

安装后,运行以下命令: netstat -tlpn | grep [Port]

设备在指定端口上连接到为 VMware Tunnel 配置的公共 DNS。

VMware Tunnel 代理中继

AirWatch Cloud Messaging 服务器

HTTP 或 HTTPS

SaaS:443

内部部署:2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

预期响应为 HTTP 200 OK

用于使 VMware Tunnel 代理查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。

VMware Tunnel 代理中继

UEM REST API

  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com

  • 内部部署†:最常用的设备服务或控制台服务器

HTTP 或 HTTPS

SaaS:443

内部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized

VMware Tunnel 代理中继在初始部署期间需要访问 UEM REST API。

VMware Tunnel 代理必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URLWorkspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL设备服务 URL

VMware Tunnel 代理端点

UEM REST API

  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com

  • 内部部署†:最常用的设备服务或控制台服务器

HTTP 或 HTTPS

SaaS:443

内部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized

VMware Tunnel 代理中继在初始部署期间需要访问 UEM REST API。

VMware Tunnel 代理必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URLWorkspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL设备服务 URL

VMware Tunnel 代理中继

VMware Tunnel 代理端点

HTTPS

2010*

使用 Telnet 通过端口 2010 从 VMware Tunnel 代理中继连接到 VMware Tunnel 代理端点。

将设备请求从中继转发到端点服务器。这需要至少支持 TLS 1.2。

VMware Tunnel 代理端点

内部资源

HTTP、HTTPS 或 TCP

80、443、任何 TCP

确认 VMware Tunnel 代理端点可以通过所需端口访问内部资源。

适用于使用 VMware Tunnel 代理访问内部资源的应用程序。确切的端点或端口取决于这些资源所在的位置。

VMware Tunnel 代理端点

Syslog 服务器

UDP

514*

Workspace ONE UEM Console

VMware Tunnel 代理中继

HTTPS

2020*

内部部署†客户可使用 telnet 命令来测试连接:telnet <Tunnel ProxyURL><port>

要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理中继之间的“测试连接”操作获得成功,需要使用此端口。

注意

  • * 可以根据您环境的限制来更改此端口。

  • † 内部部署是指 Workspace ONE UEM Console 的位置。

  • ‡ 对于需要将出站通信添加到白名单的 SaaS 客户,请参阅以下 VMware 知识库文章,其中列出了最新的 IP 范围:https://support.workspaceone.com/articles/115001662168-