Introdução geral

No Horizon Cloud Service - next-gen, o implantador de borda associa o NSG apropriado criado pelo implantador à NIC apropriada, de acordo com o design e a arquitetura da borda. Esses NSGs são usados em nível de NIC para garantir que cada NIC em um dispositivo gerenciado específico possa receber o tráfego que o dispositivo gerenciado deve receber para serviços padrão e operações de borda na sub-rede anexada à NIC e para bloquear todo o tráfego que esse dispositivo não deve receber. Cada NSG inclui um conjunto de regras de segurança que definem o tráfego permitido de e para cada NIC.

Os NSGs criados pelo implantador descritos aqui são separados daqueles usados para VMs base, farms e áreas de trabalho VDI que são provisionados pela borda quando você os cria usando o Horizon Universal Console.

Conforme descrito na documentação do Microsoft Azure, a finalidade de um grupo de segurança de rede (NSG) é filtrar o tráfego de rede para e de recursos no ambiente do Microsoft Azure usando regras de segurança. Cada regra tem um conjunto de propriedades, como origem, destino, porta, protocolo e assim por diante, que determina o tráfego permitido para os recursos aos quais o NSG está associado. Os NSGs que o Horizon Cloud Service - next-gen cria e associa automaticamente às NICs das VMs de borda controladas contêm regras específicas que o Horizon Cloud Service - next-gen determinou como necessárias para o gerenciamento do serviço da borda, para o funcionamento adequado das operações de borda em andamento e para gerenciar o ciclo de vida da borda. De modo geral, cada regra definida nesses NSGs se destina a fornecer o tráfego de porta das operações de borda que é parte integrante do cumprimento do serviço dos objetivos de negócios padrão de uma assinatura do Horizon Cloud Service - next-gen, como os casos de uso de VDI de entrega de áreas de trabalho virtuais para usuários finais. Para obter informações relacionadas, consulte Requisitos de porta e protocolo para a implantação do Horizon 8 Edge.

As seções abaixo listam as regras do NSG que o Horizon Cloud Service - next-gen define nesses NSGs criados pelo implantador.

Fatos gerais sobre o NSG criado pelo implantador

Essa lista se aplica a todos os NSGs criados pelo implantador que o implantador associa a NICs específicas nas VMs relacionadas ao edge.

• Esses NSGs criados automaticamente são para a segurança dos dispositivos de software controlados. Quando novo software é adicionado a sua assinatura e são necessárias regras adicionais, essas novas regras são adicionadas a estes NSGs.
• Para o Unified Access Gateway no portal Microsoft Azure, os NSGs têm nomes que contêm o padrão vmw-hcs-UUID, em que UUID é o identificador da borda, exceto para os NSGs que são para uma configuração de gateway externa que é implantada em sua própria VNet. Nesse caso, os NSGs relevantes do gateway têm nomes que contêm o padrão vmw-hcs-ID, onde ID é a ID de implantação para esse gateway externo.
  Observação: Para o cenário em que a configuração do gateway externo é implantada em uma assinatura separada usando a opção de implantação em um grupo de recursos existente que você pré-criou nessa assinatura, o NSG na NIC de gerenciamento da VM do conector de gateway é nomeado em um padrão com base no nome do grupo de recursos, em vez do padrão vmw-hcs-UUID. Por exemplo, se você tiver nomeado esse grupo de recursos como hcsgateways, o Horizon Cloud Service - next-gen criará nele um NSG chamado hcsgateways-mgmt-nsg e o associará à NIC de gerenciamento da VM do conector de gateway.

  Para o Horizon Edge Gateway, o NSG tem o padrão de nomenclatura aks-agentpool-ID-nsg, em que ID é um número aleatório adicionado pelo Microsoft Azure, e o NSG faz parte do grupo de recursos com o padrão de nomenclatura vmw-hcs-UUID-edge-aks-node, em que UUID é o identificador de borda.

  Você pode localizar esses identificadores navegando até os detalhes da borda na página Capacidade do console administrativo.

  Observação: Quando você opta por fazer com que o Unified Access Gateway externo da borda use um grupo de recursos personalizado, o nome do NSG criado pelo implementador da VM do conector de gateway contém o nome desse grupo de recursos personalizado, em vez da vmw-hcs-ID padrão. Por exemplo, se você especificar o uso de um grupo de recursos personalizado nomeado como ourhcspodgateway a borda, o NSG que o implementador cria e associa à NIC da VM do gateway será nomeado como ourhcspodgateway-mgmt-nsg.
• Os NSGs estão localizados no mesmo grupo de recursos que as VMs e as NICs às quais estão associados. Por exemplo, os NSGs associados aos NICs nas VMs do Unified Access Gateway externas estão localizados no grupo de recursos denominado vmw-hcs-UUID-uag quando o gateway externo é implantado na VNet da borda e usa um grupo de recursos criado pelo implementador.
• O Horizon Cloud pode adicionar novas regras ou modificar as regras conforme apropriado para garantir a manutenção do serviço.
• Durante uma atualização de borda, os NSGs e as regras serão mantidos. Eles não serão excluídos.
• As regras do Horizon Cloud Service - next-gen começam com prioridade 1000, e as prioridades aumentam em incrementos que normalmente são de 100. As regras do Horizon Cloud Service - next-gen terminam com uma regra na prioridade 3000.
• As regras do AllowAzureInBound para o endereço IP de origem 168.63.129.16 provisionam para os NSGs que aceitam a comunicação de entrada da plataforma Microsoft Azure, conforme descrito no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16. Todas as VMs relacionadas à borda são VMs no Microsoft Azure. Conforme descrito no tópico da documentação do Microsoft Azure, o endereço IP 168.63.129.16 delas facilita várias tarefas de gerenciamento de VM que a plataforma de nuvem do Microsoft Azure executa em todas as VMs na nuvem. Por exemplo, com esse endereço IP, o agente que está na VM pode se comunicar facilmente com a plataforma do Microsoft Azure para sinalizar o estado Pronto da VM.
• O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
• Cada regra definida nesses NSGs se destina a fornecer o tráfego portuário das operações de borda que é parte integrante do cumprimento do serviço dos objetivos de negócios padrão de uma assinatura do Horizon Cloud Service - next-gen, como os casos de uso de VDI para entrega de áreas de trabalho virtuais aos usuários finais. Para obter informações relacionadas, consulte Requisitos de porta e protocolo para a implantação do Horizon 8 Edge.
• Quando você edita sua borda para especificar sub-redes de tenant adicionais para uso com farms e atribuições de área de trabalho VDI, as regras nos NSGs relacionados à sub-rede de tenant nas VMs do edge gateway e nas NICs das VMs do Unified Access Gateway são atualizadas para incluir essas sub-redes de tenant adicionais.

NSGs criados pelo implantador do AKS do edge gateway

O Edge Gateway AKS tem um dimensionamento de máquina virtual (VM) definido em que cada instância de máquina virtual terá uma NIC conectada à sub-rede de gerenciamento. O Microsoft Azure cria automaticamente um NSG específico e o associa a todas as NICs associadas às instâncias do conjunto de dimensionamento de VM.

Para o tipo de VM do Edge Gateway, atualmente não estamos criando NSGs.

No seu ambiente do Microsoft Azure, o NSG do Edge AKS reside no grupo de recursos do nó aks do edge, que é nomeado conforme o padrão vmw-hcs-UUID-edge-aks-node.

Conforme declarado anteriormente, o Microsoft Azure cria as regras mostradas nas tabelas a seguir por padrão, conforme descrito no tópico da documentação do Microsoft Azure: Regras de segurança padrão.

NSGs criados pelo implantador das VMs externas do Unified Access Gateway

Cada uma das VMs para a configuração externa do Unified Access Gateway tem três (3) NICs, uma conectada à sub-rede de gerenciamento, uma conectada à sub-rede de tenant e uma conectada à sub-rede DMZ. O implantador cria um NSG específico para cada uma dessas três NICs e associa cada NSG à sua NIC apropriada.

• A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-ID-uag-management-nsg.
• A NIC de tenant tem um NSG nomeado no padrão vmw-hcs-ID-uag-tenant-nsg.
• A NIC de zona desmilitarizada tem um NSG nomeado no padrão vmw-hcs-ID-uag-dmz-nsg.

No seu ambiente do Microsoft Azure, esses NSGs são nomeados conforme o padrão vmw-hcs-ID-uag, em que ID é a ID da borda, conforme apresentado na página de detalhes da borda no console, a menos que o gateway externo seja implantado em sua própria VNet separada da VNet da borda. No caso de um gateway externo implantado em sua própria VNet, a ID é o valor da ID de Implantação mostrada na página de detalhes do limite.

NSGs internos do Unified Access Gateway criados pelo implantador das VMs

Cada uma das VMs para a configuração interna do Unified Access Gateway tem duas (2) NICs, uma conectada à sub-rede de gerenciamento e outra conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

• A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-management-nsg.
• A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-tenant-nsg.

No seu ambiente do Microsoft Azure, estes NSGs residem no grupo de recursos da borda nomeado conforme o padrão vmw-hcs-podUUID-uag-internal.