可以使用以下两种配置模型之一来配置 VMware Tunnel 代理:
使用 VMware Tunnel 代理端点的基本端点(单层)
使用 VMware Tunnel 代理中继和 VMware Tunnel 代理端点的中继端点(多层)
源 |
目标 |
协议 |
端口 |
验证 |
说明 |
|---|---|---|---|---|---|
设备(从 Internet 和 Wi-Fi) |
VMware Tunnel 代理端点 |
HTTPS |
2020* |
安装后,运行以下命令: netstat -tlpn | grep [Port] |
设备在指定端口上连接到为 VMware Tunnel 配置的公共 DNS。 |
VMware Tunnel 代理端点 |
AirWatch Cloud Messaging 服务器 |
HTTPS |
SaaS:443 内部部署:2001* |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为 HTTP 200 OK。 |
用于使 VMware Tunnel 代理查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。 |
VMware Tunnel 代理端点 |
UEM REST API
|
HTTP 或 HTTPS |
SaaS:443 内部部署:2001* |
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized |
VMware Tunnel 代理必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL 或设备服务 URL。 |
VMware Tunnel 代理端点 |
内部资源 |
HTTP、HTTPS 或 TCP |
80、443、任何 TCP |
确认 VMware Tunnel 代理端点可以通过所需端口访问内部资源。 |
适用于使用 VMware Tunnel 代理访问内部资源的应用程序。确切的端点或端口取决于这些资源所在的位置。 |
VMware Tunnel 代理端点 |
Syslog 服务器 |
UDP |
514* |
||
Workspace ONE UEM Console |
VMware Tunnel 代理端点 |
HTTPS |
2020* |
内部部署†客户可使用 telnet 命令来测试连接:telnet <Tunnel ProxyURL><port> |
要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理之间的“测试连接”操作获得成功,需要使用此端口。 |
源 |
目标 |
协议 |
端口 |
验证 |
说明 |
|---|---|---|---|---|---|
设备(从 Internet 和 Wi-Fi) |
VMware Tunnel 代理中继 |
HTTPS |
2020* |
安装后,运行以下命令: netstat -tlpn | grep [Port] |
设备在指定端口上连接到为 VMware Tunnel 配置的公共 DNS。 |
VMware Tunnel 代理中继 |
AirWatch Cloud Messaging 服务器 |
HTTP 或 HTTPS |
SaaS:443 内部部署:2001* |
curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 预期响应为 HTTP 200 OK。 |
用于使 VMware Tunnel 代理查询 Workspace ONE UEM Console 来实现合规和进行跟踪。这需要至少支持 TLS 1.2。 |
VMware Tunnel 代理中继 |
UEM REST API
|
HTTP 或 HTTPS |
SaaS:443 内部部署:2001* |
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized VMware Tunnel 代理中继在初始部署期间需要访问 UEM REST API。 |
VMware Tunnel 代理必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL 或设备服务 URL。 |
VMware Tunnel 代理端点 |
UEM REST API
|
HTTP 或 HTTPS |
SaaS:443 内部部署:2001* |
curl -Ivv https://<API URL>/api/mdm/ping 预期响应为 HTTP 401 unauthorized VMware Tunnel 代理中继在初始部署期间需要访问 UEM REST API。 |
VMware Tunnel 代理必须与 UEM REST API 通信以进行初始化。在 Workspace ONE UEM Console 中,转到组与设置 > 所有设置 > 系统 > 高级 > 网站 URL 以设置 REST API URL。Workspace ONE UEM SaaS 客户无法访问此页面。对于 Workspace ONE UEM SaaS 客户,REST API URL 是最常用的控制台 URL 或设备服务 URL。 |
VMware Tunnel 代理中继 |
VMware Tunnel 代理端点 |
HTTPS |
2010* |
使用 Telnet 通过端口 2010 从 VMware Tunnel 代理中继连接到 VMware Tunnel 代理端点。 |
将设备请求从中继转发到端点服务器。这需要至少支持 TLS 1.2。 |
VMware Tunnel 代理端点 |
内部资源 |
HTTP、HTTPS 或 TCP |
80、443、任何 TCP |
确认 VMware Tunnel 代理端点可以通过所需端口访问内部资源。 |
适用于使用 VMware Tunnel 代理访问内部资源的应用程序。确切的端点或端口取决于这些资源所在的位置。 |
VMware Tunnel 代理端点 |
Syslog 服务器 |
UDP |
514* |
||
Workspace ONE UEM Console |
VMware Tunnel 代理中继 |
HTTPS |
2020* |
内部部署†客户可使用 telnet 命令来测试连接:telnet <Tunnel ProxyURL><port> |
要使从 Workspace ONE UEM Console 到 VMware Tunnel 代理中继之间的“测试连接”操作获得成功,需要使用此端口。 |
注意
* 可以根据您环境的限制来更改此端口。
† 内部部署是指 Workspace ONE UEM Console 的位置。
‡ 对于需要将出站通信添加到白名单的 SaaS 客户,请参阅以下 VMware 知识库文章,其中列出了最新的 IP 范围:https://support.workspaceone.com/articles/115001662168-。
