Usar o Horizon Cloud Service - next-gen para criar um Horizon Edge e um Unified Access Gateway na sua assinatura do Microsoft Azure cria vários grupos de segurança de rede padrão. Esses grupos de segurança são visíveis quando você faz login no portal do Microsoft Azure e deve permanecer como fornecido.
Como parte da implantação do Horizon Edge e do Unified Access Gateway no Microsoft Azure, um processo de implantação automatizado cria um conjunto de grupos de segurança de rede (NSGs) e associa cada NSG a interfaces de rede individuais (NICs) específicas em cada uma das máquinas virtuais (VMs) do Horizon Edge e do Unified Access Gateway controladas pela VMware. Essas VMs relacionadas ao Edge e ao UAG são as VMs do edge gateway e as VMs implantadas quando a borda é configurada com o Unified Access Gateway.
Introdução geral
No Horizon Cloud Service - next-gen, o implantador de borda associa o NSG apropriado criado pelo implantador à NIC apropriada, de acordo com o design e a arquitetura da borda. Esses NSGs são usados em nível de NIC para garantir que cada NIC em um dispositivo gerenciado específico possa receber o tráfego que o dispositivo gerenciado deve receber para serviços padrão e operações de borda na sub-rede anexada à NIC e para bloquear todo o tráfego que esse dispositivo não deve receber. Cada NSG inclui um conjunto de regras de segurança que definem o tráfego permitido de e para cada NIC.
Os NSGs criados pelo implantador descritos aqui são separados daqueles usados para VMs base, farms e áreas de trabalho VDI que são provisionados pela borda quando você os cria usando o Horizon Universal Console.
Os NSGs por criados pelo Horizon Cloud Service - next-gen e as regras dentro deles são específicos às VMs e NICs específicas às quais eles estão conectados e devem ser usados explicitamente para os fins dessas NICs e VMs. Qualquer alteração nesses NSGs ou regras, ou qualquer tentativa de usá-los para qualquer outra finalidade - mesmo nas mesmas sub-redes às quais essas NICs estão anexadas - provavelmente resultará na interrupção do tráfego de rede necessário para e das NICs às quais eles estão anexados. Essa interrupção, por sua vez, pode resultar em interromper todas as operações de borda. O ciclo de vida desses NSGs é gerenciado pelo Horizon Cloud Service - next-gen, e há motivos específicos para cada um.
Como estes NSGs criados pelo implementador são requisitos de configuração do serviço, as tentativas de alterá-los ou movê-los são consideradas um uso sem suporte do Horizon Cloud Service - next-gen e um uso indevido das ofertas de serviço.
No entanto, pode criar seus próprios NSGs contendo as regras de sua própria organização dentro de grupos de recursos fora dos grupos de recursos da borda que são criados automaticamente e gerenciados pelo Horizon Cloud Service - next-gen para as VMs de borda. As regras em seus próprios NSGs não devem entrar em conflito com os requisitos do Horizon Cloud Service - next-gen para o gerenciamento e as operações das VMs de borda. Esses NSGs devem ser anexados às sub-redes de gerenciamento, tenant e DMZ usadas pela borda. Criar seus próprios NSGs dentro dos grupos de recursos gerenciados pelo Horizon Cloud Service - next-gen causará uma falha durante as ações de exclusão nos grupos de recursos gerenciados do Horizon Cloud Service - next-gen se os seus NSGs nesses grupos de recursos estiverem associados a um recurso que reside em um grupo de recursos diferente.
Conforme descrito na documentação do Microsoft Azure, a finalidade de um grupo de segurança de rede (NSG) é filtrar o tráfego de rede para e de recursos no ambiente do Microsoft Azure usando regras de segurança. Cada regra tem um conjunto de propriedades, como origem, destino, porta, protocolo e assim por diante, que determina o tráfego permitido para os recursos aos quais o NSG está associado. Os NSGs que o Horizon Cloud Service - next-gen cria e associa automaticamente às NICs das VMs de borda controladas contêm regras específicas que o Horizon Cloud Service - next-gen determinou como necessárias para o gerenciamento do serviço da borda, para o funcionamento adequado das operações de borda em andamento e para gerenciar o ciclo de vida da borda. De modo geral, cada regra definida nesses NSGs se destina a fornecer o tráfego de porta das operações de borda que é parte integrante do cumprimento do serviço dos objetivos de negócios padrão de uma assinatura do Horizon Cloud Service - next-gen, como os casos de uso de VDI de entrega de áreas de trabalho virtuais para usuários finais. Para obter informações relacionadas, consulte Requisitos de porta e protocolo para a implantação do Horizon 8 Edge.
As seções abaixo listam as regras do NSG que o Horizon Cloud Service - next-gen define nesses NSGs criados pelo implantador.
Fatos gerais sobre o NSG criado pelo implantador
Essa lista se aplica a todos os NSGs criados pelo implantador que o implantador associa a NICs específicas nas VMs relacionadas ao edge.
- Esses NSGs criados automaticamente são para a segurança dos dispositivos de software controlados. Quando novo software é adicionado a sua assinatura e são necessárias regras adicionais, essas novas regras são adicionadas a estes NSGs.
- Para o Unified Access Gateway no portal Microsoft Azure, os NSGs têm nomes que contêm o padrão
vmw-hcs-UUID
, em que UUID é o identificador da borda, exceto para os NSGs que são para uma configuração de gateway externa que é implantada em sua própria VNet. Nesse caso, os NSGs relevantes do gateway têm nomes que contêm o padrãovmw-hcs-ID
, onde ID é a ID de implantação para esse gateway externo.Observação: Para o cenário em que a configuração do gateway externo é implantada em uma assinatura separada usando a opção de implantação em um grupo de recursos existente que você pré-criou nessa assinatura, o NSG na NIC de gerenciamento da VM do conector de gateway é nomeado em um padrão com base no nome do grupo de recursos, em vez do padrãovmw-hcs-UUID
. Por exemplo, se você tiver nomeado esse grupo de recursos comohcsgateways
, o Horizon Cloud Service - next-gen criará nele um NSG chamadohcsgateways-mgmt-nsg
e o associará à NIC de gerenciamento da VM do conector de gateway.Para o Horizon Edge Gateway, o NSG tem o padrão de nomenclatura
aks-agentpool-ID-nsg
, em queID
é um número aleatório adicionado pelo Microsoft Azure, e o NSG faz parte do grupo de recursos com o padrão de nomenclaturavmw-hcs-UUID-edge-aks-node
, em queUUID
é o identificador de borda.Você pode localizar esses identificadores navegando até os detalhes da borda na página Capacidade do console administrativo.
Observação: Quando você opta por fazer com que o Unified Access Gateway externo da borda use um grupo de recursos personalizado, o nome do NSG criado pelo implementador da VM do conector de gateway contém o nome desse grupo de recursos personalizado, em vez davmw-hcs-ID
padrão. Por exemplo, se você especificar o uso de um grupo de recursos personalizado nomeado comoourhcspodgateway
a borda, o NSG que o implementador cria e associa à NIC da VM do gateway será nomeado comoourhcspodgateway-mgmt-nsg
. - Os NSGs estão localizados no mesmo grupo de recursos que as VMs e as NICs às quais estão associados. Por exemplo, os NSGs associados aos NICs nas VMs do Unified Access Gateway externas estão localizados no grupo de recursos denominado
vmw-hcs-UUID-uag
quando o gateway externo é implantado na VNet da borda e usa um grupo de recursos criado pelo implementador. - O Horizon Cloud pode adicionar novas regras ou modificar as regras conforme apropriado para garantir a manutenção do serviço.
- Durante uma atualização de borda, os NSGs e as regras serão mantidos. Eles não serão excluídos.
- As regras do Horizon Cloud Service - next-gen começam com prioridade 1000, e as prioridades aumentam em incrementos que normalmente são de 100. As regras do Horizon Cloud Service - next-gen terminam com uma regra na prioridade 3000.
- As regras do
AllowAzureInBound
para o endereço IP de origem 168.63.129.16 provisionam para os NSGs que aceitam a comunicação de entrada da plataforma Microsoft Azure, conforme descrito no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16. Todas as VMs relacionadas à borda são VMs no Microsoft Azure. Conforme descrito no tópico da documentação do Microsoft Azure, o endereço IP 168.63.129.16 delas facilita várias tarefas de gerenciamento de VM que a plataforma de nuvem do Microsoft Azure executa em todas as VMs na nuvem. Por exemplo, com esse endereço IP, o agente que está na VM pode se comunicar facilmente com a plataforma do Microsoft Azure para sinalizar o estado Pronto da VM. - O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
- Cada regra definida nesses NSGs se destina a fornecer o tráfego portuário das operações de borda que é parte integrante do cumprimento do serviço dos objetivos de negócios padrão de uma assinatura do Horizon Cloud Service - next-gen, como os casos de uso de VDI para entrega de áreas de trabalho virtuais aos usuários finais. Para obter informações relacionadas, consulte Requisitos de porta e protocolo para a implantação do Horizon 8 Edge.
- Quando você edita sua borda para especificar sub-redes de tenant adicionais para uso com farms e atribuições de área de trabalho VDI, as regras nos NSGs relacionados à sub-rede de tenant nas VMs do edge gateway e nas NICs das VMs do Unified Access Gateway são atualizadas para incluir essas sub-redes de tenant adicionais.
NSGs criados pelo implantador do AKS do edge gateway
O Edge Gateway AKS tem um dimensionamento de máquina virtual (VM) definido em que cada instância de máquina virtual terá uma NIC conectada à sub-rede de gerenciamento. O Microsoft Azure cria automaticamente um NSG específico e o associa a todas as NICs associadas às instâncias do conjunto de dimensionamento de VM.
Para o tipo de VM do Edge Gateway, atualmente não estamos criando NSGs.
No seu ambiente do Microsoft Azure, o NSG do Edge AKS reside no grupo de recursos do nó aks do edge, que é nomeado conforme o padrão vmw-hcs-UUID-edge-aks-node
.
aks-agentpool-ID-nsg
, em que
ID
é um número aleatório atribuído pelo Microsoft Azure.
Conforme declarado anteriormente, o Microsoft Azure cria as regras mostradas nas tabelas a seguir por padrão, conforme descrito no tópico da documentação do Microsoft Azure: Regras de segurança padrão.
Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
---|---|---|---|---|---|---|
65000 | AllowVnetInBound | Qualquer | Qualquer | VirtualNetwork | VirtualNetwork | Permitir |
65001 | AllowAzureLoadBalancerInBound | Qualquer | Qualquer | AzureLoadBalancer | Qualquer | Permitir |
65500 | DenyAllInbound | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
---|---|---|---|---|---|---|
65000 | AllowVnetOutBound | Qualquer | Qualquer | VirtualNetwork | VirtualNetwork | Permitir |
65001 | AllowInternetOutBound | Qualquer | Qualquer | Qualquer | Internet | Permitir |
65500 | DenyAllOutbound | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
NSGs criados pelo implantador das VMs externas do Unified Access Gateway
Cada uma das VMs para a configuração externa do Unified Access Gateway tem três (3) NICs, uma conectada à sub-rede de gerenciamento, uma conectada à sub-rede de tenant e uma conectada à sub-rede DMZ. O implantador cria um NSG específico para cada uma dessas três NICs e associa cada NSG à sua NIC apropriada.
- A NIC de gerenciamento tem um NSG nomeado no padrão
vmw-hcs-ID-uag-management-nsg
. - A NIC de tenant tem um NSG nomeado no padrão
vmw-hcs-ID-uag-tenant-nsg
. - A NIC de zona desmilitarizada tem um NSG nomeado no padrão
vmw-hcs-ID-uag-dmz-nsg
.
No seu ambiente do Microsoft Azure, esses NSGs são nomeados conforme o padrão vmw-hcs-ID-uag
, em que ID é a ID da borda, conforme apresentado na página de detalhes da borda no console, a menos que o gateway externo seja implantado em sua própria VNet separada da VNet da borda. No caso de um gateway externo implantado em sua própria VNet, a ID é o valor da ID de Implantação mostrada na página de detalhes do limite.
Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
---|---|---|---|---|---|---|---|---|
Entrada | 1000 | AllowHttpsInBound | 9443 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP. |
Entrada | 1100 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
Entrada | 1200 | AllowSshInBound | 22 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência. |
Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para negar o tráfego de saída desta NIC. |
Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
---|---|---|---|---|---|---|---|---|
Entrada | 1000 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
Entrada | 1400 | AllowPcoipUdpInBound | Qualquer | UDP | Sub-rede do tenant | Qualquer | Permitir | Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP. |
Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
Saída | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra dá suporte às instâncias do Unified Access Gateway que se comunicam com as VMs do edge gateway para fins de novas solicitações de conexão do cliente aos gateways de borda. |
Saída | 1100 | AllowBlastOutBound | 22443 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm. |
Saída | 1200 | AllowPcoipOutBound | 4172 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho. |
Saída | 1300 | AllowUsbOutBound | 32111 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
Saída | 1400 | AllowMmrOutBound | 9427 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
Saída | 1500 | AllowAllOutBound | Qualquer | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, assim como a regra de prioridade 1.200, essa regra atende ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs. |
Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores. |
Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
---|---|---|---|---|---|---|---|---|
Entrada | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Qualquer | Permitir | Essa regra fornece o tráfego de entrada dos usuários finais externos dos Horizon Clients e do cliente Web do Horizon para solicitar a solicitação de autenticação de login ao edge gateway. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443. |
Entrada | 1100 | AllowBlastInBound | 443 8443 |
Qualquer | Internet | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais externos. |
Entrada | 1200 | AllowPcoipInBound | 4172 | Qualquer | Internet | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais externos. |
Entrada | 1300 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
NSGs internos do Unified Access Gateway criados pelo implantador das VMs
Cada uma das VMs para a configuração interna do Unified Access Gateway tem duas (2) NICs, uma conectada à sub-rede de gerenciamento e outra conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.
- A NIC de gerenciamento tem um NSG nomeado no padrão
vmw-hcs-podUUID-uag-management-nsg
. - A NIC do tenant tem um NSG nomeado no padrão
vmw-hcs-podUUID-uag-tenant-nsg
.
No seu ambiente do Microsoft Azure, estes NSGs residem no grupo de recursos da borda nomeado conforme o padrão vmw-hcs-podUUID-uag-internal
.
Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
---|---|---|---|---|---|---|---|---|
Entrada | 1000 | AllowHttpsInBound | 9443 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP. |
Entrada | 1100 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
Entrada | 1200 | AllowSshInBound | 22 | Qualquer | Sub-rede de gerenciamento | Qualquer | Qualquer | Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência. |
Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para negar o tráfego de saída desta NIC. |
Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
---|---|---|---|---|---|---|---|---|
Entrada | 1000 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
Entrada | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Qualquer | Permitir | Essa regra prevê que o tráfego de entrada dos usuários finais internos dos Horizon Clients e do Horizon Web Client solicite a solicitação de autenticação de logon para o edge gateway. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443. |
Entrada | 1200 | AllowBlastInBound | 443 8443 |
Qualquer | VirtualNetwork | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais internos. |
Entrada | 1300 | AllowPcoipInBound | 4172 | Qualquer | VirtualNetwork | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais internos. |
Entrada | 1400 | AllowPcoipUdpInBound | Qualquer | UDP | Sub-rede do tenant | Qualquer | Permitir | Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP. |
Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
Saída | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra dá suporte às instâncias do q ue se comunicam com as Unified Access Gateway VMs do edge gateway para novas solicitações de conexão do cliente à borda. |
Saída | 1100 | AllowBlastOutBound | 22443 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm. |
Saída | 1200 | AllowPcoipOutBound | 4172 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho. |
Saída | 1300 | AllowUsbOutBound | 32111 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
Saída | 1400 | AllowMmrOutBound | 9427 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
Saída | 1500 | AllowAllOutBound | Qualquer | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, de forma semelhante à regra na prioridade 1200, essa regra oferece suporte ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs. |
Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores. |