VMware Tunnel 由两个独立的组件构成：隧道代理和每应用隧道。可以使用以下两种网络架构模型之一来部署 VMware Tunnel：单层网络架构或多层网络架构。

隧道代理和每应用隧道部署模型都可用于 UAG 设备上的多层网络。部署内容包括部署在 DMZ 中的前端 Unified Access Gateway 服务器，以及部署在内部网络中的后端服务器。

隧道代理组件通过 AirWatch 上部署的 VMware Browser 或任何启用 AirWatch SDK 的应用程序，保护最终用户设备和网站之间的网络流量。该移动应用程序将创建与隧道代理服务器的安全 HTTPS 连接并保护敏感数据。设备将按照 AirWatch 管理控制台中的配置，使用通过 SDK 颁发的证书对隧道代理进行身份验证。通常，当存在需要安全访问内部资源的未受管设备时，应使用此组件。

对于完全注册的设备，每应用隧道组件允许设备直接连接到内部资源，而无需使用 AirWatch SDK。此组件利用 iOS、Android、Windows 10 和 macOS 操作系统的本机每应用 VPN 功能。有关这些平台和 VMware Tunnel 组件功能的详细信息，请参考《VMware Tunnel 指南》，网址为 https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en

为您的 AirWatch 环境部署 VMware Tunnel 的过程包括设置初始硬件、在 AirWatch 管理控制台中配置 VMware Tunnel 主机名和端口信息、下载和部署 Unified Access Gateway OVF 模板，以及手动配置 VMware Tunnel。有关详细信息，请参阅为 VMware AirWatch 配置 VMware Tunnel 设置。

AirWatch v9.1 及更高版本支持采用级联模式作为 VMware Tunnel 的多层部署模型。级联模式要求每个隧道组件具有一个从 Internet 到前端隧道服务器的专用入站端口。前端和后端服务器都必须能够与 AirWatch API 和 AWCM 服务器进行通信。VMware Tunnel 级联模式支持每应用隧道组件的多层架构。

有关更多详细信息，包括中继端点部署上用于隧道代理组件的组件，请参阅 VMware Tunnel 文档，网址为 https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en。