在部署期间,将在内部网络中设置 Workspace ONE Access 实例。如果要为从外部网络连接的用户提供对该服务的访问权限,您必须在 DMZ 中安装负载均衡器或反向代理,如 VMware NSX® Advanced Load Balancer™、Apache、Nginx 或 F5。
如果不使用负载均衡器或反向代理,您以后无法扩充 Workspace ONE Access 实例数。您可能需要添加更多实例以提供冗余和负载均衡。下图显示了可用于启用外部访问的基本部署架构。
在部署过程中指定 Workspace ONE Access FQDN
在部署 Workspace ONE Access 设备期间,输入 Workspace ONE Access 的 FQDN 和端口号。这些值必须指向您希望最终用户访问的主机名。
Workspace ONE Access 计算机始终在端口 443 上运行。您可以为负载均衡器使用其他端口号。如果使用其他端口号,您必须在部署过程中指定该端口号。不要将 8443 作为端口号,因为该端口号是 Workspace ONE Access 管理端口,并且对于集群中的每个计算机是唯一的。
要配置的负载均衡器设置
要配置的负载均衡器设置包括启用 X-Forwarded-For 标头,正确设置负载均衡器超时以及启用粘性会话。此外,必须在 Workspace ONE Access Connector 计算机和负载均衡器之间配置 SSL 信任关系。
- X-Forwarded-For 标头
必须在负载均衡器上启用 X-Forwarded-For 标头。这决定了身份验证方法。请参阅负载均衡器供应商提供的文档以了解详细信息。
- 负载均衡器超时
要让 Workspace ONE Access 正常工作,您可能需要延长负载均衡器的请求超时时间,而不采用默认值。该值以分钟为单位。如果超时设置太低,您可能会看到以下错误:“502 错误:此服务不可用 (502 error: The service is unavailable)”。
- 启用粘性会话
如果您的部署具有多个 Workspace ONE Access 计算机,则必须在负载均衡器上启用粘性会话设置。负载均衡器将用户的会话绑定到特定实例。
- 请勿阻止会话 Cookie
请勿通过向负载均衡器添加规则来阻止会话 Cookie。将此类规则添加到负载均衡器可能会导致行为不一致和请求失败。
- WebSocket 支持
负载均衡器必须具备 WebSocket 支持,以便在连接器实例和 Workspace ONE Access 节点之间启用安全通信通道。
对于您的部署,如果集成了 VMware Workspace ONE Hub 服务,则 Hub 服务通知需要 WebSocket 支持。因此,必须为最终用户浏览器和设备提供 Web Socket 支持。
- 采用向前保密的密码
Apple iOS 应用程序传输安全要求适用于 iOS 上的 Workspace ONE 应用程序。要允许用户使用 iOS 上的 Workspace ONE 应用程序,负载均衡器必须具有采用向前保密的密码。以下密码满足该要求:
采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES
如 iOS 11 的《iOS 安全指南》文档中所述:
“应用程序传输安全提供默认连接要求,以便应用程序在使用 NSURLConnection、CFURL 或 NSURLSession API 时遵守安全连接最佳做法。默认情况下,应用程序传输安全将密码选择限制为仅包括提供向前保密的套件,具体来说是采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES。”
