Wenn Sie das Bereitstellungsmodell mit einer Ebene nutzen, verwenden Sie den Basis-Endpoint-Modus. Beim Basis-Endpoint-Bereitstellungsmodell von VMware Tunnel wird eine einzelne Instanz des Produkts auf einem Server mit einem öffentlich verfügbaren DNS installiert.
Die Basis-Bereitstellung von VMware Tunnel wird in der Regel im internen Netzwerk hinter einem Load Balancer in der DMZ installiert, die den Datenverkehr an den konfigurierten Ports an den VMware Tunnel weiterleitet, der sich dann direkt mit ihren internen Webanwendungen verbindet. Alle Bereitstellungskonfigurationen unterstützen Load Balancing und Reverse-Proxy.
Der Basis-Endpoint-Tunnel-Server kommuniziert mit der API und AWCM, um eine Whitelist der Clients zu erhalten, die auf VMware Tunnel zugreifen dürfen. Sowohl Proxy- als auch Per-App-Tunnel-Komponenten unterstützen in diesem Bereitstellungsmodell die Verwendung eines ausgehenden Proxys für die Kommunikation mit der API und AWCM. Wenn ein Gerät eine Verbindung mit VMware Tunnel herstellt, wird es anhand eindeutiger X.509-Zertifikate authentifiziert, die von Workspace One UEM ausgegeben werden. Sobald ein Gerät authentifiziert wurde, leitet VMware Tunnel (Basis-Endpoint) die Anforderung an das interne Netzwerk weiter.
Wenn der Basis-Endpoint in der DMZ installiert ist, müssen die entsprechenden Netzwerkänderungen vorgenommen werden, damit der VMware Tunnel über die erforderlichen Ports auf verschiedene interne Ressourcen zugreifen kann. Wenn diese Komponente hinter einem Load Balancer in der DMZ installiert wird, minimiert sich die Anzahl der für die Implementierung von VMware Tunnel notwendigen Netzwerkänderungen. Außerdem wird eine zusätzliche Sicherheitsebene geschaffen, da der öffentliche DNS nicht direkt auf den Server verweist, der den VMware Tunnel hostet.