您可以使用下列兩種組態模式之一來設定 VMware Tunnel 代理伺服器:

  • 使用 VMware Tunnel 代理伺服器端點的基本端點 (單層)
  • 使用 VMware Tunnel 代理伺服器轉送和 VMware Tunnel 代理伺服器端點的轉送端點 (多層)
表 1. VMware Tunnel 代理伺服器基本端點組態的連接埠需求
來源 目標或目的地 通訊協定 連接埠 驗證 備註
裝置 (從網際網路和 Wi-Fi) VMware Tunnel 代理伺服器端點 HTTPS 2020*

安裝完成後請執行下列命令: netstat -tlpn | grep [Port]

裝置會透過指定的連接埠連線至為 VMware Tunnel 設定的公用 DNS。
VMware Tunnel 代理伺服器端點

Workspace ONE UEM Cloud Messaging 伺服器

HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應是 HTTP 200 OK

VMware Tunnel 代理伺服器查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。為此至少須支援 TLS 1.2。
VMware Tunnel 代理伺服器端點
UEM REST API
  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com
  • 內部部署†:通常是裝置服務或主控台伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 unauthorized

VMware Tunnel 代理伺服器必須與 UEM REST API 通訊以進行初始化。在 Workspace ONE UEM 主控台中,移至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API URL。此頁面不適用於 Workspace ONE UEM SaaS 客戶。Workspace ONE UEM SaaS 客戶的 REST API URL 通常是主控台 URL裝置服務 URL
VMware Tunnel 代理伺服器端點 內部資源

HTTP、HTTPS 或 TCP

80、443、任何 TCP

確認 VMware Tunnel 代理伺服器端點可透過必要的連接埠存取內部資源。

供使用 VMware Tunnel 代理伺服器的應用程式存取內部資源。確切的端點或連接埠取決於這些資源的所在位置。
VMware Tunnel 代理伺服器端點 Syslog 伺服器 UDP 514*
Workspace ONE UEM Console VMware Tunnel 代理伺服器端點 HTTPS 2020*

內部部署† 客戶可以使用 Telnet 命令來測試連線:telnet <Tunnel ProxyURL><port>

這是從 Workspace ONE UEM Console 到 VMware Tunnel 代理伺服器端點的「測試連線」成功的必要條件。
表 2. VMware Tunnel 代理伺服器轉送端點組態的連接埠需求
來源 目標或目的地 通訊協定 連接埠 驗證 備註
裝置 (從網際網路和 Wi-Fi) VMware Tunnel 代理伺服器轉送 HTTPS 2020*

安裝完成後請執行下列命令: netstat -tlpn | grep [Port]

裝置會透過指定的連接埠連線至為 VMware Tunnel 設定的公用 DNS。
VMware Tunnel 代理伺服器轉送 Workspace ONE UEM Cloud Messaging 伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

預期的回應是 HTTP 200 OK

VMware Tunnel 代理伺服器查詢 Workspace ONE UEM 主控台以進行符合性和追蹤用途。為此至少須支援 TLS 1.2。
VMware Tunnel 代理伺服器轉送
UEM REST API
  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com
  • 內部部署†:通常是裝置服務或主控台伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 unauthorized

只有在初始部署期間,VMware Tunnel 代理伺服器轉送才需要存取 UEM REST API。

VMware Tunnel 代理伺服器必須與 UEM REST API 通訊以進行初始化。在 Workspace ONE UEM 主控台中,移至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API URL。此頁面不適用於 Workspace ONE UEM SaaS 客戶。Workspace ONE UEM SaaS 客戶的 REST API URL 通常是主控台 URL裝置服務 URL
VMware Tunnel 代理伺服器端點
UEM REST API
  • SaaS‡:https://asXXX.awmdm.com 或 https://asXXX.airwatchportals.com
  • 內部部署†:通常是裝置服務或主控台伺服器

HTTP 或 HTTPS

SaaS:443

內部部署:2001*

curl -Ivv https://<API URL>/api/mdm/ping 預期的回應是 HTTP 401 unauthorized

只有在初始部署期間,VMware Tunnel 代理伺服器轉送才需要存取 UEM REST API。

VMware Tunnel 代理伺服器必須與 UEM REST API 通訊以進行初始化。在 Workspace ONE UEM 主控台中,移至群組和設定 > 所有設定 > 系統 > 進階 > 站台 URL,以設定 REST API URL。此頁面不適用於 Workspace ONE UEM SaaS 客戶。Workspace ONE UEM SaaS 客戶的 REST API URL 通常是主控台 URL裝置服務 URL
VMware Tunnel 代理伺服器轉送 VMware Tunnel 代理伺服器端點 HTTPS 2010*

在連接埠 2010 上執行從 VMware Tunnel 代理伺服器轉送到 VMware Tunnel 代理伺服器端點的 Telnet。

將裝置要求從轉送伺服器轉送至端點伺服器。為此至少須支援 TLS 1.2。
VMware Tunnel 代理伺服器端點 內部資源

HTTP、HTTPS 或 TCP

80、443、任何 TCP

確認 VMware Tunnel 代理伺服器端點可透過必要的連接埠存取內部資源。

供使用 VMware Tunnel 代理伺服器的應用程式存取內部資源。確切的端點或連接埠取決於這些資源的所在位置。
VMware Tunnel 代理伺服器端點 Syslog 伺服器 UDP 514*
Workspace ONE UEM 主控台 VMware Tunnel 代理伺服器轉送 HTTPS 2020*

內部部署† 客戶可以使用 Telnet 命令來測試連線:telnet <Tunnel ProxyURL><port>

這是從 Workspace ONE UEM Console 到 VMware Tunnel 代理伺服器轉送的「測試連線」成功的必要條件。
備註
  • * 此連接埠可能根據您的環境限制而變更。
  • † 內部部署表示 Workspace ONE UEM 主控台的位置。
  • ‡ 若是需要將輸出通訊列入白名單的 SaaS 客戶,請參閱列出最新 IP 範圍的 VMware 知識庫文章:https://support.workspaceone.com/articles/115001662168-