在部署期間,Workspace ONE Access 執行個體會設定於內部網路中。如果您想要為從外部網路連線的使用者提供服務的存取,您必須在 DMZ 中安裝負載平衡器或反向 Proxy,例如 VMware NSX® Advanced Load Balancer™、Apache、Nginx 或 F5。
如果未使用負載平衡器或反向 Proxy,則無法於後續擴充 Workspace ONE Access 執行個體的數目。您可能必須新增更多執行個體,才能提供備援性和負載平衡。下圖說明可用來啟用外部存取的基本部署架構。
在部署期間指定 Workspace ONE Access FQDN
在部署 Workspace ONE Access 應用裝置期間,您需要輸入單一 Workspace ONE Access FQDN 和連接埠號碼。這些值必須指向您要讓使用者存取的主機名稱。
Workspace ONE Access 機器一律會在連接埠 443 上執行。您可以將不同的連接埠號碼用於負載平衡器。如果使用不同的連接埠號碼,您必須在部署期間加以指定。請勿使用 8443 作為連接埠號碼,因為此連接埠號碼為 Workspace ONE Access 管理連接埠,且對於叢集中的每部機器都是唯一的。
要設定的負載平衡器設定
要設定的負載平衡器設定包括啟用 X-Forwarded-For 標頭、正確設定負載平衡器逾時,以及啟用黏性工作階段。此外,也必須在 Workspace ONE Access Connector 機器與負載平衡器之間設定 SSL 信任。
- X-Forwarded-For 標頭
您必須在負載平衡器上啟用 X-Forwarded-For 標頭。這會決定驗證方法。如需詳細資訊,請參閱您的負載平衡器廠商所提供的文件。
- 負載平衡器逾時
若要讓 Workspace ONE Access 正常運作,您可能必須從預設值提高負載平衡器要求逾時。此值以分鐘為單位設定,如果逾時設定太低,您可能會看見「502 錯誤:服務無法使用」錯誤。
- 啟用黏性工作階段
如果您的部署有多個 Workspace ONE Access 機器,則您必須在負載平衡器上啟用黏性工作階段設定。負載平衡器會將使用者的工作階段繫結至特定的執行個體。
- 請勿封鎖工作階段 Cookie
請勿透過將規則新增至負載平衡器來封鎖工作階段 Cookie。將此類規則新增至負載平衡器可能會導致不一致的行為和失敗的要求。
- WebSocket 支援
負載平衡器必須具有 WebSocket 支援,才能啟用連接器執行個體與 Workspace ONE Access 節點之間的安全通訊通道。
對於您的部署,如果 VMware Workspace ONE Hub 服務已整合,則 Hub 服務通知需要 WebSocket 支援。因此,必須為使用者瀏覽器和裝置提供 Web 通訊端支援。
- 使用轉寄密碼加密
Apple iOS App Transport Security 需求適用於 iOS 上的 Workspace ONE 應用程式。若要讓使用者能夠在 iOS 中使用 Workspace ONE 應用程式,負載平衡器必須具有使用轉寄密碼的加密。下列加密方式符合此需求:
GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES
如 iOS 11 iOS 安全性文件中所述:
「App Transport Security 提供預設連線需求,以便在您使用 NSURLConnection、CFURL 或 NSURLSession API 時,讓應用程式遵循安全連線的最佳做法。依預設,App Transport Security 會將加密選取項目限制為僅包含提供轉寄密碼,特別是 GCM 或 CBC 模式的 ECDHE_ECDSA_AES 和 ECDHE_RSA_AES。」