使用 Unified Access Gateway 设备部署 VMware Tunnel 为单个应用程序访问企业资源提供了一种安全、有效的方法。Unified Access Gateway 3.0 支持在 ESXi 或 Microsoft Hyper-V 环境中进行部署。

VMware Tunnel 由两个独立的组件构成:隧道代理和每应用隧道。可以使用以下两种网络架构模型之一来部署 VMware Tunnel:单层网络架构或多层网络架构。

隧道代理和每应用隧道部署模型都可用于 UAG 设备上的多层网络。部署内容包括部署在 DMZ 中的前端 Unified Access Gateway 服务器,以及部署在内部网络中的后端服务器。

隧道代理组件通过 AirWatch 上部署的 VMware Browser 或任何启用 AirWatch SDK 的应用程序,保护最终用户设备和网站之间的网络流量。该移动应用程序将创建与隧道代理服务器的安全 HTTPS 连接并保护敏感数据。设备将按照 AirWatch 管理控制台中的配置,使用通过 SDK 颁发的证书对隧道代理进行身份验证。通常,当存在需要安全访问内部资源的未受管设备时,应使用此组件。

对于完全注册的设备,每应用隧道组件允许设备直接连接到内部资源,而无需使用 AirWatch SDK。此组件利用 iOS、Android、Windows 10 和 macOS 操作系统的本机每应用 VPN 功能。有关这些平台和 VMware Tunnel 组件功能的详细信息,请参考《VMware Tunnel 指南》,网址为 https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en

为您的 AirWatch 环境部署 VMware Tunnel 的过程包括设置初始硬件、在 AirWatch 管理控制台中配置 VMware Tunnel 主机名和端口信息、下载和部署 Unified Access Gateway OVF 模板,以及手动配置 VMware Tunnel。有关详细信息,请参阅为 Workspace ONE UEM 配置 VMware Tunnel 设置

图 1. VMware Tunnel 多层部署:隧道代理和每应用隧道

AirWatch v9.1 及更高版本支持采用级联模式作为 VMware Tunnel 的多层部署模型。级联模式要求每个隧道组件具有一个从 Internet 到前端隧道服务器的专用入站端口。前端和后端服务器都必须能够与 AirWatch API 和 AWCM 服务器进行通信。VMware Tunnel 级联模式支持每应用隧道组件的多层架构。

有关更多详细信息,包括中继端点部署上用于隧道代理组件的组件,请参阅 VMware Tunnel 文档,网址为 https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en