AirWatch 9.1 では、全体的なパフォーマンス改善と利便性の向上を目指し、アプリ ベース トンネルのリレー/エンドポイント展開モデルにおける既存アーキテクチャに改良を加えました。また、商用で利用されるケースの増加に対応して、セキュリティ モデルも強化されています。
「リレー/エンドポイント」と呼ばれていた展開モデルは、このリリースから「カスケード」という名前に変わります。リレー サーバは「フロントエンド サーバ」、エンドポイント サーバは「バックエンド サーバ」という呼称になります。
カスケード モードのメリット
- 全体的なパフォーマンスの改善 - 従来のアーキテクチャに比べ応答時間が改善されました。
- 拡張性の向上 - 新しい製品アーキテクチャにより企業利用での拡張性が向上しました。従来モデルよりも少ないサーバ台数でより多くの処理量をまかなえるようになりました。
- セキュリティの強化 - フロントエンド/バックエンド サーバ間では、従来までのベーシック認証ではなく、証明書による認証を使用するようになりました。
- サーバ側のトラフィック規則を使用して送信プロキシを管理しやすくなりました。これにより、トラフィック規則の動的な変更も可能になりました。
VMware Tunnel をカスケード モード (従来のリレー/エンドポイント構成) で展開する場合の新しい要件
注:これらの要件は、VMware Tunnel ソフトウェアを AirWatch 9.1 で導入されたバージョンにアップグレードする環境にのみ当てはまります。AirWatch コンソール ソフトウェアだけをアップグレードし、VMware Tunnel ソフトウェアはアップグレードしない場合、追加の要件 (または機能面での変更) はありません。
- リレー/エンドポイント構成でアプリ ベース トンネルを使用している環境では、AirWatch のアップグレード後、管理者は AirWatch コンソールで 設定 > システム > エンタープライズ統合 > VMware Tunnel > 構成 と進み、構成 ボタンをクリックする必要があります。これにより、フロントエンド/バックエンド サーバ間の認証に使用される新しい証明書が生成されます。展開モデルによりますが、多くの場合、これ以上の構成は必要ありません (例外的なケースは次のステップを参照)。証明書の生成が完了したら、設定を保存してください。最後に、新しいフロントエンド/バックエンド サーバ ソフトウェアを、適切な Tunnel サーバにインストールします。
- アプリ ベース トンネル サーバのホスト名に変更がなければ、再構成を完了してカスケード モードを有効にした後でも、トンネル プロファイルを公開し直す必要はありません。再構成時にホスト名を変更した場合は、新しいホスト名で証明書が新規作成されているため、トンネル プロファイルの再公開が必要になります。
注:ホスト名を変更すると、デバイスは既存の証明書を使用してトンネル サーバに接続できなくなるため、ダウンタイムが生じます。トンネル プロファイルを公開し直すことにより、トンネル サーバに接続するための新しい証明書がデバイスにインストールされます。
VMware Tunnel をカスケード モードで使用するには、追加のネットワーク ポート要件を満たす必要があります。
- 現在、同じサーバ上で VMware Tunnel のプロキシ トンネルとアプリ ベース トンネルの両方をリレー/エンドポイント構成で使用している場合、VMware Tunnel のアップグレードに伴い、フロントエンド/バックエンド サーバ間の通信に、プロキシ トンネルとアプリ ベース トンネルで同じポートを使用できなくなります。つまり、プロキシ トンネルとアプリ ベース トンネルのポートを別にする必要があります。アプリ ベース トンネルだけを使用している場合は、フロントエンド/バックエンド サーバ間の通信に新しいポートは必要ありません。前述の手順で認証用の証明書を生成するときに、AirWatch コンソールでこのポート番号を変更することもできます。
- カスケード モードでは、フロントエンド サーバとバックエンド サーバの両方が AirWatch API サーバおよび AWCM サーバと通信可能な状態である必要があります。
必要なネットワーク ポートのすべてを以下に示します。赤色で示した行が新しい要件です。
接続元 | 接続先 | 既定のポート | 注 |
---|---|---|---|
フロントエンド |
API |
443 |
|
フロントエンド |
AWCM |
443 |
オンプレミス環境では 2001 の場合もあります |
バックエンド |
API |
443 |
|
バックエンド |
AWCM |
443 |
オンプレミス環境では 2001 の場合もあります |
フロントエンド |
バックエンド |
8443 (アプリ ベース トンネル) |
カスタム ポート、プロキシ トンネルとアプリ ベース トンネルの両方を使用している場合にのみ必要 |
デバイス |
フロントエンド |
8443 |
カスタム ポート、アプリ ベース トンネルで使用 |
アプリ ベース トンネルをリレー/エンドポイント構成で使用している場合の準備作業
- この変更に備えてあらかじめ実施しておくべきことは、アップグレードに先立って必要なネットワーク ポートを開放しておくことです。これにより、アップグレード中のダウンタイムを最小限に抑えることができ、アップグレード後も遅滞なく VMware Tunnel サービスを利用できるようになります。
- AirWatch コンソールをアップグレードした場合でも、AirWatch コンソールで VMware Tunnel 設定を再構成して VMware Tunnel ソフトウェアをアップグレードするまでは、既存の VMware Tunnel 展開はそのまま機能します。しかし、新機能のメリットを取り入れていただくために、AirWatch はできるだけ早いアップグレードを推奨します。
Other Languages: English
免責事項:これは英文の記事「VMware Tunnel updates in AirWatch Console 9.1」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
2 Comments