您可以使用下列兩種組態模式之一來設定 VMware Tunnel 代理伺服器:

  • 使用 VMware Tunnel 代理伺服器端點的基本端點 (單層)

  • 使用 VMware Tunnel 代理伺服器轉送和 VMware Tunnel 代理伺服器端點的轉送端點 (多層)

表格 1. VMware Tunnel 代理伺服器基本端點組態的連接埠需求

來源

目標或目的地

通訊協定

連接埠

驗證

備註

裝置 (從網際網路和 Wi-Fi)

VMware Tunnel 代理伺服器端點

HTTPS

2020*

安裝完成後請執行下列命令: netstat -tlpn | grep [Port]

裝置會透過指定的連接埠連線至為 VMware Tunnel 設定的公用 DNS。

VMware Tunnel 代理伺服器端點

AirWatch Cloud Messaging 伺服器

HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應是 HTTP 200 OK

VMware Tunnel 代理伺服器查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。為此至少須支援 TLS 1.2。

VMware Tunnel 代理伺服器端點

UEM REST API

  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com

  • 內部部署†:通常是裝置服務或主控台伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 unauthorized

VMware Tunnel 代理伺服器必須與 UEM REST API 通訊以進行初始化。在 Workspace ONE UEM 主控台中,移至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API URL。此頁面不適用於 Workspace ONE UEM SaaS 客戶。Workspace ONE UEM SaaS 客戶的 REST API URL 通常是主控台 URL裝置服務 URL

VMware Tunnel 代理伺服器端點

內部資源

HTTP、HTTPS 或 TCP

80、443、任何 TCP

確認 VMware Tunnel 代理伺服器端點可透過必要的連接埠存取內部資源。

供使用 VMware Tunnel 代理伺服器的應用程式存取內部資源。確切的端點或連接埠取決於這些資源的所在位置。

VMware Tunnel 代理伺服器端點

Syslog 伺服器

UDP

514*

Workspace ONE UEM 主控台

VMware Tunnel 代理伺服器端點

HTTPS

2020*

內部部署† 客戶可以使用 Telnet 命令來測試連線:telnet <Tunnel ProxyURL><port>

這是從 Workspace ONE UEM 主控台到 VMware Tunnel 代理伺服器端點的「測試連線」成功的必要條件。

表格 2. VMware Tunnel 代理伺服器轉送端點組態的連接埠需求

來源

目標或目的地

通訊協定

連接埠

驗證

備註

裝置 (從網際網路和 Wi-Fi)

VMware Tunnel 代理伺服器轉送

HTTPS

2020*

安裝完成後請執行下列命令: netstat -tlpn | grep [Port]

裝置會透過指定的連接埠連線至為 VMware Tunnel 設定的公用 DNS。

VMware Tunnel 代理伺服器轉送

AirWatch Cloud Messaging 伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應是 HTTP 200 OK

VMware Tunnel 代理伺服器查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。為此至少須支援 TLS 1.2。

VMware Tunnel 代理伺服器轉送

UEM REST API

  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com

  • 內部部署†:通常是裝置服務或主控台伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 unauthorized

只有在初始部署期間,VMware Tunnel 代理伺服器轉送才需要存取 UEM REST API。

VMware Tunnel 代理伺服器必須與 UEM REST API 通訊以進行初始化。在 Workspace ONE UEM 主控台中,移至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API URL。此頁面不適用於 Workspace ONE UEM SaaS 客戶。Workspace ONE UEM SaaS 客戶的 REST API URL 通常是主控台 URL裝置服務 URL

VMware Tunnel 代理伺服器端點

UEM REST API

  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com

  • 內部部署†:通常是裝置服務或主控台伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 unauthorized

只有在初始部署期間,VMware Tunnel 代理伺服器轉送才需要存取 UEM REST API。

VMware Tunnel 代理伺服器必須與 UEM REST API 通訊以進行初始化。在 Workspace ONE UEM 主控台中,移至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API URL。此頁面不適用於 Workspace ONE UEM SaaS 客戶。Workspace ONE UEM SaaS 客戶的 REST API URL 通常是主控台 URL裝置服務 URL

VMware Tunnel 代理伺服器轉送

VMware Tunnel 代理伺服器端點

HTTPS

2010*

在連接埠 2010 上執行從 VMware Tunnel 代理伺服器轉送到 VMware Tunnel 代理伺服器端點的 Telnet。

將裝置要求從轉送伺服器轉送至端點伺服器。為此至少須支援 TLS 1.2。

VMware Tunnel 代理伺服器端點

內部資源

HTTP、HTTPS 或 TCP

80、443、任何 TCP

確認 VMware Tunnel 代理伺服器端點可透過必要的連接埠存取內部資源。

供使用 VMware Tunnel 代理伺服器的應用程式存取內部資源。確切的端點或連接埠取決於這些資源的所在位置。

VMware Tunnel 代理伺服器端點

Syslog 伺服器

UDP

514*

Workspace ONE UEM 主控台

VMware Tunnel 代理伺服器轉送

HTTPS

2020*

內部部署† 客戶可以使用 Telnet 命令來測試連線:telnet <Tunnel ProxyURL><port>

這是從 Workspace ONE UEM 主控台到 VMware Tunnel 代理伺服器轉送的「測試連線」成功的必要條件。

備註

  • * 此連接埠可能根據您的環境限制而變更。

  • † 內部部署表示 Workspace ONE UEM 主控台的位置。

  • ‡ 若是需要將輸出通訊列入白名單的 SaaS 客戶,請參閱列出最新 IP 範圍的 VMware 知識庫文章:https://support.workspaceone.com/articles/115001662168-