Unified Access Gateway アプライアンスを使用して VMware Tunnel をデプロイすると、個々のアプリケーションが安全で効率的な方法で社内リソースにアクセスできます。Unified Access Gateway は、ESXi または Microsoft Hyper-V のいずれかの環境でのデプロイをサポートします。
VMware Tunnel は、トンネル プロキシとアプリケーション単位のトンネルという 2 つの独立したコンポーネントから構成されます。単一層または多層ネットワーク アーキテクチャ モデルを使用して VMware Tunnel をデプロイします。
Proxy tunnel とアプリケーション単位のトンネルのデプロイ モデルは両方とも、Unified Access Gateway アプライアンス上の多層ネットワークで使用できます。このデプロイは、DMZ にデプロイされているフロントエンド Unified Access Gateway サーバと内部ネットワークにデプロイされているバックエンド サーバで構成されます。
トンネル プロキシのコンポーネントは、VMware AirWatch からデプロイされた VMware Browser またはあらゆる VMware AirWatch SDK 対応のアプリケーションを介した、エンド ユーザーのデバイスと Web サイト間のネットワーク トラフィックのセキュリティを保護します。このモバイル アプリケーションは、トンネル プロキシ サーバと安全な HTTPS 接続を確立して、機密データを保護します。Workspace ONE UEM コンソールで構成されているように、デバイスは、SDK を介して発行された証明書で、トンネル プロキシに認証されます。通常、このコンポーネントが、内部リソースへのセキュアなアクセスが必要とする管理対象外のデバイスに対して使用されます。
完全に登録されたデバイスの場合は、アプリケーション単位のトンネル コンポーネントにより、デバイスは VMware AirWatch SDK を必要とせずに内部リソースに接続できるようになります。このコンポーネントは、iOS、Android、Windows 10、および macOS オペレーティング システムのネイティブ アプリケーション単位の VPN 機能を使用します。
これらのプラットフォームおよび VMware Tunnel コンポーネント機能の詳細については、「Workspace ONE UEM のドキュメント」ページの最新の Tunnel のドキュメントを参照してください。
VMware AirWatch 環境に VMware Tunnel をデプロイする場合、以下の手順が発生します。
最初のハードウェアを設定します。
Workspace ONE UEM コンソールで、VMware Tunnel のホスト名とポートの情報を設定します。DMZ ベースの Unified Access Gateway アプライアンスのファイアウォール ルールを参照してください。
Unified Access Gateway OVF テンプレートをダウンロードしてデプロイします。
VMware Tunnel を手動で設定します。
AirWatch v9.1 以上では、VMware Tunnel の多層デプロイ モデルとしてカスケード モードをサポートしています。カスケード モードでは、インターネットからフロントエンドのトンネル サーバまでのトンネル コンポーネントごとに専用の受信ポートが必要です。フロントエンド サーバとバックエンド サーバの両方が、AirWatch API および AWCM サーバと通信できる必要があります。VMware Tunnel の[カスケード] モードは、アプリケーション単位のトンネル コンポーネントの多層アーキテクチャをサポートします。
Content Gateway とトンネル プロキシのロード バランシングに関する考慮事項については、Unified Access Gateway のロード バランスのトポロジを参照してください。
VMware AirWatch ガイドとリリース ノートの完全なリストについては、「VMware AirWatch のドキュメント」ページを参照してください。