级联部署模型架构包含两个具有单独角色的 VMware Tunnel 的实例。在级联模式中，前端服务器位于 DMZ 中，并与内部网络中的后端服务器进行通信。

仅每应用隧道组件支持级联部署模型。如果仅使用代理组件，那么必须使用中继端点模型。有关更多信息，请参阅中继端点部署模式。

设备会使用已配置的主机名通过已配置的端口访问级联模式的前端服务器。用于访问前端服务器的默认端口为端口 8443。级联模式的后端服务器安装在托管 Intranet 站点和 Web 应用程序的内部网络中。该部署模型将公开可用的前端服务器与直接连接到内部资源的后端服务器分开，从而提供一个额外的安全层。

对 VMware Tunnel 发出请求时，前端服务器通过连接到 AWCM 来对设备实施身份验证。当设备对 VMware Tunnel 发起请求时，前端服务器会判断设备是否有权访问此服务。在进行身份验证后，将使用 TLS 通过一个端口将请求安全地转发到后端服务器。

后端服务器会连接到设备请求的内部 DNS 或 IP。

级联模式通过 TLS 连接（或可选的 DTLS 连接）进行通信。您可以根据需要托管任意数量的前端服务器和后端服务器。在搜索可将设备连接到内部网络的活动后端服务器时，每个前端服务器会单独做出判断。您可以在 DNS 查找表中设置多个 DNS 条目，以允许进行负载平衡。

前端和后端服务器都会与 Workspace ONE UEM API 服务器和 AWCM 进行通信。API 服务器提供 VMware Tunnel 配置，AWCM 提供设备身份验证、白名单和流量规则。除非启用出站代理调用，否则前端和后端服务器会通过直接 TLS 连接与 API/AWCM 通信。如果前端服务器无法访问 API/AWCM 服务器，请使用此连接。如果已启用，前端服务器将通过后端服务器连接到 API/AWCM 服务器。此流量以及后端流量会使用服务器端流量规则进行路由。有关更多信息，请参阅每应用隧道的网络流量规则

下图显示了级联模式下每应用隧道组件的多层部署：