階層式部署模型架構包含具有個別角色的兩個 VMware Tunnel 執行個體。在階層式模式中,前端伺服器位於 DMZ 中,且會與您內部網路中的後端伺服器進行通訊。
僅「每一應用程式通道」元件支援階層式部署模型。如果您僅使用 Proxy 元件,則必須使用「轉送端點」模型。如需詳細資訊,請參閱轉送端點部署模式。
在階層式模式下,裝置會使用已設定的主機名稱並透過已設定的連接埠存取前端伺服器。存取前端伺服器的預設連接埠為連接埠 8443。階層式模式下的後端伺服器會安裝在主控內部網路網站和 Web 應用程式的內部網路中。此部署模型會區隔公用的前端伺服器與直接連線至內部資源的後端伺服器,如此可額外提供多一層的安全性。
對 VMware Tunnel 提出要求時,前端伺服器可連線至 AWCM 以加速執行裝置的驗證。當裝置對 VMware Tunnel 提出要求時,前端伺服器會判斷裝置是否已獲得存取服務的授權。通過驗證後,系統會使用 TLS 透過單一連接埠將要求安全地轉送至後端伺服器。
後端伺服器會連線至裝置要求的內部 DNS 或 IP。
階層式模式會使用 TLS 連線 (或選用的 DTLS 連線) 進行通訊。您可以視需要主控任意數量的前端和後端伺服器。在搜尋作用中的後端伺服器以將裝置連線至內部網路時,每個前端伺服器都會獨立運作。您可以在 DNS 查閱表格中設定多個 DNS 項目,以允許負載平衡。
前端和後端伺服器都會與 Workspace ONE UEM API 伺服器和 AWCM 進行通訊。API 伺服器會提供 VMware Tunnel 組態,而 AWCM 則提供裝置驗證、裝置存取控制清單和流量規則。前端和後端伺服器會透過直接 TLS 連線與 API/AWCM 通訊,除非您啟用了輸出 Proxy 呼叫。如果前端伺服器無法與 API/AWCM 伺服器連線,請使用此連線。啟用時,前端伺服器會透過後端伺服器連線至 API/AWCM 伺服器。此流量和後端流量都會使用伺服器端流量規則進行路由傳送。如需詳細資訊,請參閱 VMware Docs 上《VMware Tunnel on Linux》說明文件中的〈針對每一應用程式通道設定網路流量規則〉。
下圖說明階層式模式下「每一應用程式通道」元件的多層部署: