Workspace ONE Access 部署期间,将在内部网络中设置 Workspace ONE Access 实例。如果要为从外部网络连接的用户提供对该服务的访问权限,您必须在 DMZ 中安装负载均衡器或反向代理,如 VMware NSX® Advanced Load Balancer™、Apache、Nginx 或 F5。

如果不使用负载均衡器或反向代理,您以后无法扩充 Workspace ONE Access 实例数。您可能需要添加更多实例以提供冗余和负载均衡。下图显示了可用于启用外部访问的基本部署架构。

注: 此部署中的内部和外部访问使用相同的 Workspace ONE Access FQDN。
图 1. 具有虚拟机的外部负载均衡器代理
具有虚拟机的外部负载均衡器代理的屏幕截图

在部署过程中指定 Workspace ONE Access FQDN

在部署 Workspace ONE Access 设备期间,您需要输入单个 Workspace ONE Access FQDN 和端口号。这些值必须指向您希望最终用户访问的主机名。

Workspace ONE Access 计算机始终在端口 443 上运行。您可以为负载均衡器使用其他端口号。如果使用其他端口号,您必须在部署过程中指定该端口号。不要将 8443 作为端口号,因为该端口号是 Workspace ONE Access 管理端口,并且对于集群中的每个计算机是唯一的。

要配置的负载均衡器设置

要配置的负载均衡器设置包括启用 X-Forwarded-For 标头和正确设置负载均衡器超时。此外,还必须在 Workspace ONE Access 计算机和负载均衡器之间配置 SSL 信任关系。

  • X-Forwarded-For 标头

    必须在负载均衡器上启用 X-Forwarded-For 标头。这决定了身份验证方法。请参阅负载均衡器供应商提供的文档以了解详细信息。

  • 负载均衡器超时

    要让 Workspace ONE Access 正常工作,您可能需要延长负载均衡器的请求超时时间,而不采用默认值。该值以分钟为单位。如果超时设置太低,您可能会看到以下错误:“502 错误:此服务不可用 (502 error: The service is unavailable)”。

  • 请勿阻止会话 Cookie

    请勿通过向负载均衡器添加规则来阻止会话 Cookie。将此类规则添加到负载均衡器可能会导致行为不一致和请求失败。

  • WebSocket 支持

    负载均衡器必须具备 WebSocket 支持,以便在连接器实例和 Workspace ONE Access 节点之间启用安全通信通道。

    对于您的部署,如果集成了 VMware Workspace ONE Hub 服务,则 Hub 服务通知需要 WebSocket 支持。因此,必须为最终用户浏览器和设备提供 Web Socket 支持。

  • 采用向前保密的密码

    Apple iOS 应用程序传输安全要求适用于 iOS 上的 Workspace ONE 应用程序。要允许用户使用 iOS 上的 Workspace ONE 应用程序,负载均衡器必须具有采用向前保密的密码。以下密码满足该要求:

    采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES

    如 iOS 11 的《iOS 安全指南》文档中所述:

    “应用程序传输安全提供默认连接要求,以便应用程序在使用 NSURLConnection、CFURL 或 NSURLSession API 时遵守安全连接最佳做法。默认情况下,应用程序传输安全将密码选择限制为仅包括提供向前保密的套件,具体来说是采用 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES。”