如果使用的是单层部署模型，请使用基本端点模式。VMware Tunnel 的基本端点部署模型是安装在具有公开可用 DNS 的服务器上的单个产品实例。

基本 VMware Tunnel 通常安装在 DMZ 中负载平衡器后的内部网络中，负载平衡器会将已配置的端口上的流量转发到 VMware Tunnel，后者随后直接连接到内部 Web 应用程序。所有部署配置都支持负载平衡和反向代理。

基本端点 Tunnel 服务器与 API 和 AWCM 通信以接收允许访问 VMware Tunnel 的客户端白名单。代理和每应用隧道组件都支持使用出站代理与此部署模型中的 API/AWCM 进行通信。当设备连接到 VMware Tunnel 时，将根据由 Workspace ONE UEM 颁发的唯一 X.509 证书来对其进行身份验证。对设备进行身份验证后，VMware Tunnel（基本端点）会将请求转发至内部网络。

如果基本端点安装在 DMZ 中，必须进行适当的网络更改才允许 VMware Tunnel 通过所需的端口访问各种内部资源。通过将此组件安装在 DMZ 中的负载平衡器后，可最大程度地减少实施 VMware Tunnel 时所做的网络更改数量，并可提供一个安全层，因为公共 DNS 不会直接指向托管 VMware Tunnel 的服务器。