VMware Tunnel 由两个独立的组件构成：隧道代理和每应用隧道。您可以使用单层或多层网络架构模型部署 VMware Tunnel。

隧道代理和每应用隧道部署模型都可用于 Unified Access Gateway 设备上的多层网络。部署内容包括部署在 DMZ 中的前端 Unified Access Gateway 服务器，以及部署在内部网络中的后端服务器。

隧道代理组件通过 Workspace ONE UEM 上部署的 Workspace ONE Web 或任何启用 Workspace ONE SDK 的应用程序，保护最终用户设备和网站之间的网络流量。该移动应用程序将创建与隧道代理服务器的安全 HTTPS 连接并保护敏感数据。设备将按照 Workspace ONE UEM 控制台中的配置，使用通过 SDK 颁发的证书对隧道代理进行身份验证。通常，当存在需要安全访问内部资源的未受管设备时，应使用此组件。

对于完全注册的设备，每应用隧道组件允许设备直接连接到内部资源，而无需使用 Workspace ONE SDK。此组件使用 iOS、Android、Windows 10 和 macOS 操作系统的本机每应用 VPN 功能。

有关这些平台和 VMware Tunnel 组件功能的更多信息，请参阅 Workspace ONE UEM 文档页面上的最新 Tunnel 文档。

AirWatch v9.1 和更高版本支持将级联模式作为 VMware Tunnel 的多层部署模型。级联模式要求每个隧道组件具有一个从 Internet 到前端隧道服务器的专用入站端口。前端和后端服务器都必须能够与 Workspace ONE UEM API 和 AWCM 服务器进行通信。对于每应用隧道组件，VMware Tunnel 级联模式支持多层架构。

有关 Content Gateway 和隧道代理的负载平衡注意事项，请参阅Unified Access Gateway 负载平衡拓扑。

有关 Workspace ONE UEM 指南和发行说明的完整列表，请访问 VMware Workspace ONE UEM 文档页面。