Wenn Sie ein Bereitstellungsmodell mit mehreren Ebenen und die Proxy-Komponente des VMware Tunnels nutzen, verwenden Sie den Bereitstellungsmodus für Relay-Endpoint. Die Architektur des Relay-Endpoint-Bereitstellungsmodus umfasst zwei VMware Tunnel-Instanzen mit separaten Rollen. Der VMware Tunnel-Relay-Server befindet sich in der demilitarisierten Netzwerkzone (DMZ). Vom öffentlichen DNS kann über die konfigurierten Ports darauf zugegriffen werden.
Wenn Sie ausschließlich die Per-App-Tunnel-Komponente nutzen, sollten Sie eine Bereitstellung im mehrstufigen Modus durchführen. Weitere Informationen finden Sie im Beitrag zur Bereitstellung im mehrstufigen Modus.
Die Ports für den Zugriff auf das öffentliche DNS sind standardmäßig Port 8443 für den Per-App-Tunnel und Port 2020 für den Proxy. Der VMware Tunnel-Endpoint-Server wird in dem internen Netzwerk installiert, das Intranetsites und Webanwendungen hostet. Dieser Server benötigt einen internen DNS-Eintrag, der vom Relay-Server aufgelöst wird. Dieses Bereitstellungsmodell trennt den öffentlich verfügbaren Server von dem Server, der direkt mit den internen Ressourcen verbunden ist, und bietet so eine zusätzliche Schutzebene.
Die Rolle des Relay-Servers umfasst die Kommunikation mit der API, den AWCM-Komponenten und die Authentifizierung von Geräten, wenn Anforderungen an VMware Tunnel gesendet werden. In diesem Bereitstellungsmodell kann die Kommunikation mit der API und AWCM vom Relay-Server über den Endpoint-Server an den ausgehenden Proxy weitergeleitet werden. Der Per-App-Tunneldienst muss direkt mit der API und AWCM kommunizieren. Wenn ein Gerät eine Anforderung an VMware Tunnel sendet, ermittelt der Relay-Server, ob das Gerät für den Zugriff auf den Dienst autorisiert ist. Nach der Authentifizierung wird die Anforderung sicher über HTTPS und einen einzigen Port (standardmäßig Port 2010) an den VMware Tunnel-Endpoint-Server weitergeleitet.
Die Rolle des Endpoint-Servers besteht darin, eine Verbindung zum internen DNS oder zu der vom Gerät angeforderten IP herzustellen. Der Endpoint-Server kommuniziert nur mit der API oder AWCM, wenn für Enable API and AWCM outbound calls via proxy (Ausgehende API- und AWCM-Aufrufe über Proxy aktivieren) in den VMware Tunnel-Einstellungen der Workspace ONE UEM Console Aktiviert festgelegt ist. Der Relay-Server führt regelmäßig Integritätsprüfungen durch, um sicherzustellen, dass der Endpoint aktiv und verfügbar ist.
Diese Komponenten können auf gemeinsam genutzten oder dedizierten Servern installiert werden. Installieren Sie VMware Tunnel auf dedizierten Linux-Servern, um sicherzustellen, dass die Leistung nicht durch andere Anwendungen beeinträchtigt wird, die auf demselben Server ausgeführt werden. Für eine Relay-Endpoint-Bereitstellung werden Proxy- und Per-App-Tunnelkomponenten auf demselben Relay-Server installiert.