Si vous utilisez un modèle de déploiement multiniveau et le composant Proxy de VMware Tunnel, utilisez le mode de déploiement de point de terminaison relais. L'architecture de mode de déploiement de point de terminaison relais comprend deux instances de VMware Tunnel avec des rôles distincts. Le serveur de relais VMware Tunnel réside dans la zone DMZ et est accessible depuis le DNS public sur les ports configurés.
Si vous utilisez uniquement le composant Tunnel par application, pensez à utiliser un déploiement en mode cascade. Pour plus d'informations, consultez la section Déploiement en mode cascade.
Les ports d'accès au DNS public sont par défaut le port 8443 pour le tunnel par application et le port 2020 pour le proxy. Le serveur de point de terminaison VMware Tunnel est installé sur le réseau interne qui héberge des sites intranet et des applications Web. Ce serveur doit disposer d'un enregistrement DNS interne résolu par le serveur de relais. Ce modèle de déploiement sépare le serveur disponible publiquement du serveur qui se connecte directement à des ressources internes, fournissant ainsi une couche supplémentaire de sécurité.
Le rôle du serveur de relais inclut la communication avec les composants API et AWCM et l'authentification des terminaux lorsque des demandes sont faites à VMware Tunnel. Dans ce modèle de déploiement, la communication à l'API et AWCM à partir du serveur de relais peut être acheminée vers le proxy sortant via le serveur de point de terminaison. Le service Tunnel par application doit communiquer avec l'API et AWCM directement. Lorsqu'un périphérique fait une demande à VMware Tunnel, le serveur de relais détermine si le terminal est autorisé à accéder au service. Une fois authentifiée, la demande est transférée en toute sécurité à l'aide de HTTPS sur un port unique (le port par défaut est 2010) au serveur de point de terminaison VMware Tunnel.
Le rôle du serveur de point de terminaison consiste à se connecter au DNS interne ou à l'adresse IP demandée par le terminal. Le serveur de point de terminaison ne communique pas avec l'API ou AWCM, sauf si l'option Activer les appels sortants API et AWCM via proxy est définie sur Activé dans les paramètres de VMware Tunnel dans Workspace ONE UEM Console. Le serveur de relais exécute des contrôles de la santé à intervalles réguliers pour s'assurer que le point de terminaison est actif et disponible.
Ces composants peuvent être installés sur des serveurs partagés ou dédiés. Installez VMware Tunnel sur des serveurs Linux dédiés pour vous assurer que les performances ne sont pas affectées par d'autres applications exécutées sur le même serveur. Pour un déploiement de point de terminaison de relais, les composants Proxy et Tunnel par application sont installés sur le même serveur de relais.