Die Architektur des Relay-Endpoint-Bereitstellungsmodells umfasst zwei AirWatch Tunnel-Instanzen mit separaten Rollen.

Der AirWatch Tunnel-Relay-Server befindet sich in der demilitarisierten Netzwerkzone (DMZ). Vom öffentlichen DNS kann über die konfigurierten Ports darauf zugegriffen werden.

Die Ports für den Zugriff auf den öffentlichen DNS sind 8443 (über den App-spezifischen Tunnel) und Port 2020 (Proxy). Der AirWatch Tunnel-Endpoint-Server wird in dem internen Netzwerk installiert, das Intranetsites und Webanwendungen hostet. Der AirWatch Tunnel-Endpoint-Server benötigt einen internen DNS-Eintrag, der vom Relay-Server aufgelöst werden kann. Dieses Bereitstellungsmodell trennt den öffentlich verfügbaren Server von dem Server, der direkt mit den internen Ressourcen verbunden ist, und bietet so eine zusätzliche Schutzschicht.

Die Rolle des Relay-Servers umfasst die Kommunikation mit der AirWatch-API, den AWCM-Komponenten und den Authentifizierungsgeräten, wenn Anforderungen an AirWatch Tunnel gesendet werden. In diesem Bereitstellungsmodell unterstützt AirWatch Tunnel einen ausgehenden Proxy zur Kommunikation mit API und AWCM über das Relay. Der App-spezifische Tunneldienst muss direkt mit der API und AWCM kommunizieren. Wenn ein Gerät eine Anforderung an AirWatch Tunnel sendet, ermittelt der Relay-Server, ob das Gerät für den Zugriff auf den Dienst autorisiert ist. Nach der Authentifizierung wird die Anforderung sicher über HTTPS und einen einzigen Port an den AirWatch Tunnel-Endpoint-Server weitergeleitet.

Anmerkung:

Der Standardport lautet 2010.

Die Rolle des Endpoint-Servers besteht darin, eine Verbindung zum internen DNS oder zu der vom Gerät angeforderten IP herzustellen. Der Endpoint-Server kommuniziert nur mit der API oder AWCM, wenn für Enable API and AWCM outbound calls via proxy (Ausgehende API- und AWCM-Aufrufe über Proxy aktivieren) in den AirWatch Tunnel-Einstellungen der AirWatch-Konsole Aktiviert festgelegt ist. Der Relay-Server führt regelmäßig Integritätsprüfungen durch, um sicherzustellen, dass der Endpoint aktiv und verfügbar ist.

Diese Komponenten können auf gemeinsam genutzten oder dedizierten Servern installiert werden. Installieren Sie AirWatch Tunnel auf dedizierten Linux-Servern, um sicherzustellen, dass die Leistung nicht durch andere Anwendungen beeinträchtigt wird, die auf demselben Server ausgeführt werden. Für eine Relay-Endpoint-Bereitstellung werden Proxy- und App-spezifische Tunnelkomponenten auf demselben Relay-Server installiert. Nur die Proxy-Komponente wird auf dem Endpoint-Server installiert. Die App-spezifische Relay-Komponente verwendet den Proxy-Endpoint, um eine Verbindung zu internen Anwendungen herzustellen, sodass die Komponenten einen gemeinsamen Relay-Endpoint-Port und denselben Endpoint-Hostnamen nutzen.