Si utiliza un modelo de implementación de varios niveles y el componente de proxy de VMware Tunnel, utilice el modo de implementación del endpoint de retransmisión. La arquitectura del modo de implementación del endpoint de retransmisión incluye dos instancias de VMware Tunnel con funciones independientes. El servidor de retransmisión de VMware Tunnel se encuentra en la DMZ y es accesible desde el DNS público a través de los puertos configurados.
Si solo utiliza el componente del túnel por aplicación, considere la posibilidad de usar una implementación de modo en cascada. Para obtener más información, consulte Implementación del modo en cascada.
Los puertos para acceder al DNS público son, de forma predeterminada, el puerto 8443 para el túnel por aplicación y el puerto 2020 para el proxy. El servidor de endpoint de VMware Tunnel está instalado en la red interna que aloja los sitios de intranet y las aplicaciones web. Este servidor debe tener un registro DNS interno que el servidor de retransmisión resuelva. Este modelo de implementación separa el servidor disponible públicamente del servidor que se conecta directamente a los recursos internos y proporciona una capa adicional de seguridad.
La función del servidor de retransmisión incluye la comunicación con la API, los componentes AWCM y los dispositivos de autenticación cuando se realizan las solicitudes a VMware Tunnel. En este modelo de implementación, la comunicación con la API y AWCM desde el servidor de retransmisión se puede enrutar al proxy saliente a través del servidor de endpoint. El servicio de túnel por aplicación debe comunicarse directamente con la API y con AWCM. Cuando un dispositivo realiza una solicitud a VMware Tunnel, el servidor de retransmisión determina si el dispositivo está autorizado para acceder al servicio. Una vez autenticada, la solicitud se envía de forma segura mediante HTTPS por un puerto único (el puerto predeterminado es el 2010) al servidor de endpoint de VMware Tunnel.
La función del servidor de endpoint es conectarse a la IP o al DNS internos que solicitó el dispositivo. El servidor de endpoint no se comunica con la API ni con AWCM, a menos que Habilitar las llamadas salientes de API y AWCM a través del proxy esté configurado como Habilitado en la configuración de VMware Tunnel en Workspace ONE UEM Console. El servidor de redireccionamiento realiza comprobaciones de estado en intervalos regulares para asegurarse de que el endpoint esté activo y disponible.
Estos componentes se pueden instalar en servidores dedicados o compartidos. Instale VMware Tunnel en servidores Linux dedicados para asegurar que el rendimiento no se ve afectado por el resto de aplicaciones que se ejecutan en el mismo servidor. En una implementación del endpoint de retransmisión, los componentes del túnel por aplicación y del proxy están instalados en el mismo servidor de retransmisión.