VMware Workspace ONE 是一个管理平台,允许 IT 管理员从云或内部部署,集中控制最终用户的移动设备以及云托管的虚拟桌面和应用程序。它是一个简易且安全的企业平台,通过集成身份标识、应用程序和企业移动化管理,可在任何设备上交付并管理任何应用。
VMware Workspace ONE UEM(以前称为 AirWatch)提供了一个全面的企业移动化平台,可简化对企业应用程序的访问、保护企业数据并提高移动生产力。它还可与公共应用程序商店配合使用,以处理将本机移动应用程序置备到移动设备的操作。
Workspace ONE UEM 可以在内部部署到各种配置中,以满足不同的业务需求。在网络基础架构中部署时,Workspace ONE UEM 可以通过存在所有现场数据来遵守严格的企业安全策略。此外,Workspace ONE UEM 还设计为在虚拟环境中运行,可基于多个不同的设置创建无缝部署。
为获得高可用性,Workspace ONE UEM 组件需要负载均衡和会话持久性。应用程序服务器接收来自控制台和设备用户的请求,并处理数据和结果。这些服务器上不会保留任何持久数据,但用户和设备会话会在短时间内保留。因此,负载均衡和会话持久性是这些组件的必要条件。可以将 NSX Advanced Load Balancer 与 Workspace ONE UEM 集成,以实现各种组件的高可用性和会话持久性。以下章节将介绍最佳做法,但您可以使用自己选择的算法配置负载均衡器。
拓扑
在标准 Workspace ONE UEM 部署中,多个服务器可用于各种组件。DMZ 架构可用于将管理控制台服务器分段到内部网络以提高安全性。此部署模型允许将每个服务器专用于 Workspace ONE UEM 组件以增加资源容量。虽然出于说明目的,这些组件在某些关系图中组合在一起,但它们可以驻留在专用服务器上。存在许多配置组合,这些组合可能适用于您的网络设置。下图仅供参考。
部署模式
模式 1(每个组件一个 VIP)
所有 WS1 UEM 组件或服务部署在不同的服务器上,并为每个组件配置了一个单独的负载均衡器 VIP。有关更多信息,请参阅《VMware NSX Advanced Load Balancer 配置指南》中的“对 Workspace ONE UEM 组件进行负载均衡”主题。
模式 2(较少 VIP)
较少组件部署在同一服务器上,而其他组件部署在另一台服务器上。在此部署模式下,将对所有组件使用两个 VIP,而不是对每个组件使用一个 VIP。
Workspace ONE UEM 组件
下表介绍了各种 Workspace ONE UEM 组件。
应用程序模块 |
描述 |
Workspace ONE UEM 管理控制台 |
这是 AirWatch 的管理控制台 Web 服务。此组件用于配置系统和设备设置。 |
Workspace ONE UEM 管理 API |
AirWatch REST API 服务 |
Workspace ONE UEM 设备服务 |
这是一个与所有设备交互的 Web 服务器,用于置备和推送应用程序/配置。它还托管最终用户自助门户。 |
AirWatch Cloud Messaging (AWCM) |
这是一种队列服务,用于保存 AirWatch 堆栈和 Android 设备的命令队列。AWCM 与 VMware AirWatch Cloud Connector (ACC) 结合使用,向后端系统提供安全通信。ACC 使用 AWCM 与 Workspace ONE UEM Console 进行安全通信。AWCM 还能够简化将消息和命令从 UEM Console 传送到设备的过程,使最终用户无需访问公共 Internet 或使用 Google ID 等消费者帐户。AWCM 全面取代了 Android 设备的 Google Cloud Messaging (GCM) 或 Firebase Cloud Messaging (FCM),并且是唯一能够为 Windows 强固型设备提供移动设备管理 (Mobile Device Management, MDM) 功能的选择。 |
VMware Tunnel |
此适用于设备的每应用 VPN 服务是一种 SSL VPN,作为服务托管在 Unified Access Gateway 上。 |
部署注意事项和建议
本文档介绍了最佳做法,但您可以使用自己选择的算法配置负载均衡器。Workspace ONE UEM 支持简单的算法(如轮询)和比较复杂的算法(如最少连接)。
以下是为内部部署的 Workspace ONE UEM 组件设置负载均衡时的注意事项:
如果在 Workspace ONE UEM Console 设置中修改了“注册会话超时”值,则必须将“持久性超时”值设置为相同的值。
UEM Console:根据 Workspace ONE UEM 的默认配置,会话持久性超时需要为 1 小时。
如果在 UEM Console 设置中修改了“空闲会话超时”值,则必须将“持久性超时”值设置为相同的值。
建议负载均衡器将所有 HTTP 请求重定向到 HTTPS。
负载均衡器必须插入具有实际客户端 IP 地址的 XFF 标头。
