単一層デプロイ モデルを使用している場合は、基本エンドポイント モードを使用します。VMware Tunnel の基本エンドポイント デプロイ モデルは、一般に公開されている DNS を持つサーバにインストールされている製品の単一インスタンスです。

基本 VMware Tunnel は通常、DMZ 内のロード バランサの背後にある内部ネットワークにインストールされます。DMZ は設定されたポート上のトラフィックを VMware Tunnel に転送し、その後 VMware Tunnel は内部の Web アプリケーションに直接接続します。すべてのデプロイ構成は、ロード バランシングとリバース プロキシをサポートします。

基本エンドポイントのトンネル サーバは API および AWCM と通信して、VMware Tunnel へのアクセスが許可されているクライアントのホワイトリストを受信します。プロキシおよびアプリケーション単位のトンネル コンポーネントの両方が、この展開モデルの API/AWCM と通信するための送信プロキシの使用をサポートしています。VMware Tunnel に接続したデバイスは Workspace ONE UEM によって発行された一意の X.509 証明書に基づいて認証されます。デバイスが認証されると、VMware Tunnel（基本エンドポイント）は要求を内部ネットワークに転送します。

基本エンドポイントが DMZ にインストールされている場合は、VMware Tunnel が必要なポートを介してさまざまな内部リソースにアクセスできるように、適切なネットワークの変更を行う必要があります。このコンポーネントを DMZ のロード バランサの背後にインストールすると、VMware Tunnel を実装するためのネットワーク変更の数が最小限に抑えられます。また、パブリック DNS が VMware Tunnel をホストするサーバを直接ポイントしないため、セキュリティが強化されます。