如果您使用多層部署模型和 VMware Tunnel 的代理伺服器元件，請使用轉送端點部署模式。轉送端點部署模式架構包含具有個別角色的兩個 VMware Tunnel 執行個體。VMware Tunnel 轉送伺服器位於 DMZ 中，且能透過已設定的連接埠從公用 DNS 存取。

如果您僅使用「每一應用程式通道」元件，請考慮使用階層式模式部署。如需詳細資訊，請參閱階層式模式部署。

依預設，用來存取公用 DNS 的連接埠為連接埠 8443 (用於每一應用程式通道) 和連接埠 2020 (用於 Proxy)。VMware Tunnel 端點伺服器會安裝在主控內部網路網站和 Web 應用程式的內部網路中。此伺服器必須具有可由轉送伺服器解析的內部 DNS 記錄。此部署模型會區隔公用的伺服器與直接連線至內部資源的伺服器，如此可提供多一層的安全性。

轉送伺服器角色會在裝置對 VMware Tunnel 提出要求時與 API 和 AWCM 元件通訊，並驗證裝置。在此部署模型中，轉送伺服器對 API 和 AWCM 的通訊可透過端點伺服器路由傳送至連出代理伺服器。每一應用程式通道服務必須直接與 API 和 AWCM 通訊。當裝置對 VMware Tunnel 提出要求時，轉送伺服器會判斷裝置是否已獲得存取服務的授權。通過驗證後，系統會使用 HTTPS 透過單一連接埠 (預設連接埠為 2010) 將要求安全地轉送至 VMware Tunnel 端點伺服器。

端點伺服器的角色會連線至裝置要求的內部 DNS 或 IP。端點伺服器不會與 API 或 AWCM 通訊，除非在 Workspace ONE UEM Console 的 VMware Tunnel 設定中將透過 Proxy 啟用 API 和 AWCM 輸出呼叫設為已啟用。轉送伺服器會定期執行健全狀況檢查，以確保端點作用中且可供使用。

這些元件可以安裝在共用或專用的伺服器上。請在專用 Linux 伺服器上安裝 VMware Tunnel，以確保效能不會受到相同伺服器上執行的其他應用程式影響。在轉送端點部署中，Proxy 和每一應用程式通道元件會安裝在相同的轉送伺服器上。