Unified Access Gateway アプライアンスを使用して VMware Tunnel をデプロイすると、個々のアプリケーションが安全で効率的な方法で社内リソースにアクセスできます。Unified Access Gateway は、ESXi または Microsoft Hyper-V のいずれかの環境でのデプロイをサポートします。

VMware Tunnel は、トンネル プロキシとアプリケーション単位のトンネルという 2 つの独立したコンポーネントから構成されます。単一層または多層ネットワーク アーキテクチャ モデルを使用して VMware Tunnel をデプロイします。

Proxy tunnel とアプリケーション単位のトンネルのデプロイ モデルは両方とも、Unified Access Gateway アプライアンス上の多層ネットワークで使用できます。このデプロイは、DMZ にデプロイされているフロントエンド Unified Access Gateway サーバと内部ネットワークにデプロイされているバックエンド サーバで構成されます。

トンネル プロキシのコンポーネントは、AirWatch からデプロイされた VMware Browser またはあらゆる AirWatch SDK 対応のアプリケーションを介した、エンド ユーザーのデバイスと Web サイト間のネットワーク トラフィックのセキュリティを保護します。このモバイル アプリケーションは、トンネル プロキシ サーバと安全な HTTPS 接続を確立して、機密データを保護します。AirWatch 管理者コンソールで構成されているように、デバイスは、SDK を介して発行された証明書で、トンネル プロキシに認証されます。通常、このコンポーネントが、内部リソースへのセキュアなアクセスが必要とする管理対象外のデバイスに対して使用されます。

完全に登録されたデバイスの場合は、アプリケーション単位のトンネル コンポーネントにより、デバイスは AirWatch SDK を必要とせずに内部リソースに接続できるようになります。このコンポーネントは、iOS、Android、Windows 10、および macOS オペレーティング システムのネイティブ アプリケーション単位の VPN 機能を活用します。これらのプラットフォームと VMware Tunnel コンポーネントの機能の詳細については、https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en で『VMware Tunnel ガイド』を参照してください。

AirWatch 環境に VMware Tunnel をデプロイする場合、以下の手順が発生します。
  1. 最初のハードウェアを設定する
  2. AirWatch 管理者コンソールで VMware Tunnel ホスト名とポート情報を設定する
  3. Unified Access Gateway OVF テンプレートをダウンロードしてデプロイする
  4. VMware Tunnel を手動で構成する詳細については、AirWatch の VMware Tunnel 設定の構成を参照してください。
図 1. VMware Tunnel の多層のデプロイ:プロキシ トンネルおよびアプリケーション単位のトンネル

AirWatch v9.1 以降では、カスケード モードを VMware Tunnel の多層のデプロイ モデルとしてサポートされます。カスケード モードでは、インターネットからフロントエンドのトンネル サーバまでのトンネル コンポーネントごとに専用の受信ポートが必要です。フロントエンド サーバとバックエンド サーバの両方が、AirWatch API および AWCM サーバと通信できる必要があります。VMware Tunnel のカスケード モードは、アプリケーション単位のトンネル コンポーネントの多層アーキテクチャをサポートします。

詳細については、トンネル プロキシのコンポーネントで使用するリレー エンドポイントのデプロイに関する詳細も含めて、https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/enにある VMware Tunnel のドキュメントを参照してください。

Content Gateway と Proxy tunnel のロード バランシングに関する考慮事項については、Unified Access Gateway のロード バランスのトポロジを参照してください。