Essa página é uma referência para todas as portas e protocolos possíveis usados para comunicação em uma implantação típica do Horizon Cloud Service no Microsoft Azure no Horizon Cloud Service - next-gen. Use estas tabelas para garantir que sua configuração de rede e firewalls permitirão o tráfego de comunicação necessário para uma implantação bem-sucedida e para operações diárias.
As portas e os protocolos específicos necessários para sua implantação específica dependerão, em parte, dos recursos que você selecionar para usar na implantação do Horizon Cloud Service no Microsoft Azure. Se você não planeja usar um componente ou protocolo específico, seu tráfego de comunicação necessário não será necessário para sua finalidade, e você poderá ignorar as portas associadas a esse componente. Por exemplo, se os usuários finais usarem apenas o protocolo de exibição Blast Extreme, permitir as portas PCoIP não será um requisito.
Portas e protocolos exigidos pelo Horizon Edge
Quando você ativa o Monitoramento de Infraestrutura do Horizon, o Horizon Edge é implantado e configurado na assinatura associada. A tabela a seguir lista as portas e os protocolos necessários durante o processo de ativação que implanta o dispositivo e configura as VMs do gerenciador para que o dispositivo possa coletar os dados de monitoramento que foi projetado para coletar desses componentes. Esta tabela também lista as portas e os protocolos necessários durante as operações de estado estável de coleta dos dados que o dispositivo foi projetado para coletar.
| Origem | Destino | Portas | Protocolos | Finalidade |
|---|---|---|---|---|
| Horizon Edge | Unified Access Gateway VMs | 9443 | HTTPS | Essa porta é usada pela Edge VM na sub-rede de gerenciamento para definir configurações na configuração do Unified Access Gateway do Edge. Esse requisito de porta se aplica ao implantar inicialmente uma configuração do Unified Access Gateway e ao editar um Edge para adicionar uma configuração do Unified Access Gateway ou atualizar as configurações para que essa configuração do Unified Access Gateway também monitore as estatísticas da sessão do Unified Access Gateway. |
| Horizon Edge | Controlador de domínio | Kerberos: 88 LDAP: 389, 3268 LDAPS: 636, 3269 |
TCP UDP |
Registrar seu Horizon Cloud NextGen com Domínio e para login de SSO e descoberta periódica de controladores de domínio. Essas portas são necessárias para serviços LDAP ou LDAPS quando LDAP/LDAPS será especificado nesse fluxo de trabalho. O LDAP é o padrão para a maioria dos tenants. O destino é o servidor que contém uma função de controlador de domínio na configuração do Active Directory. |
| Horizon Edge | Serviços de Certificado do AD | 135 e uma porta no intervalo de 49152 a 65535 | RPC/TCP | Conectar-se à Autoridade de certificação Empresarial da Microsoft (AD CS) para obter certificados de curta duração para True SSO. O Horizon Edge usa a porta TCP 135 para a comunicação RPC inicial e uma porta no intervalo 49152: 65535 para se comunicar com o AD CS (Azure Directory Certificate Services). |
| Horizon Edge | Servidor DNS | 53 e 853 | TCP UDP |
Serviços DNS. |
| Horizon Edge | *.file.core.windows.net | 445 | TCP | Acesso a compartilhamentos de arquivos provisionados para os fluxos de trabalho do App Volumes de importação de pacotes e replicação dos pacotes em compartilhamentos de arquivos. |
| Horizon Edge |
|
443 | TCP | Usado para acesso programático ao Armazenamento de Blobs do Azure e para carregar os logs do Horizon Edge como e quando necessário. Usado para fazer download de imagens do Docker para criar os módulos do Horizon Edge necessários, que são úteis para monitoramento, SSO, atualizações do UAG e outros. |
| Horizon Edge | horizonedgeprod.azurecr.io | 443 | TCP | Usado para fazer autenticação enquanto faz download de imagens do Docker para criar os módulos do Horizon Edge necessários, que são úteis para monitoramento, SSO, atualizações do UAG e outros. |
| Horizon Edge | *.azure-devices.net | 443 | TCP | O dispositivo usado para se comunicar com a camada de controle de nuvem, baixar configurações do módulo do dispositivo e atualizar o status de tempo de execução do módulo do dispositivo. Os endpoints concretos atuais são: América do Norte:
Europa:
Japão:
|
| Horizon Edge | vmwareprod.wavefront.com | 443 | TCP | Usado para enviar métricas de operação para VMware Tanzu Observability da Wavefront. Os operadores da VMware recebem os dados com os quais oferecem suporte aos clientes. O Tanzu Observability é uma plataforma de análise de streaming. Você pode enviar seus dados ao Tanzu Observability e exibir e interagir com os dados em painéis personalizados. Consulte a documentação do VMware Tanzu Observability da Wavefront. |
| Horizon Edge | *.data.vmwservices.com | 443 | TCP | Para enviar eventos ou métricas ao Workspace ONE Intelligence para monitorar dados. Consulte Workspace ONE Intelligence. Os endpoints concretos atuais são:
|
| Horizon Edge | login.microsoftonline.com | 443 | TCP | Geral usado por aplicativos para autenticação no serviço do Microsoft Azure. |
| Horizon Edge | management.azure.com | 443 | TCP | Usado para solicitações de API Edge para os endpoints do Microsoft Azure Resource Manager a fim de usar os serviços do Microsoft Azure Resource Manager. O Microsoft Azure Resource Manager fornece uma camada de gerenciamento consistente para realizar tarefas por meio do Azure PowerShell, da CLI do Azure, do portal do Azure, da REST API e dos SDKs de cliente. |
| Horizon Edge | *.horizon.vmware.com Específico da região US
EU
JP
|
443 | TCP | Dispositivo usado para se comunicar com a camada de controle de nuvem e com as operações de Dia 2. |
| Horizon Edge | Servidor NTP | 123 | UDP | Serviços NTP |
Requisitos de portas e protocolos de VM do Unified Access Gateway
Além dos requisitos de portas e protocolos principais listados na tabela acima, as portas e os protocolos nas tabelas a seguir estão relacionados aos gateways que você configurou para operar para operações contínuas após a implantação.
Para conexões configuradas com instâncias do Unified Access Gateway, o tráfego deve ser permitido das instâncias do Unified Access Gateway para os destinos listados na tabela abaixo.
| Origem | Destino | Porta | Protocolo | Finalidade |
|---|---|---|---|---|
| Unified Access Gateway | *.horizon.vmware.com | 53 ou 443 na rede DMZ | TCP UDP |
O Unified Access Gateway precisa ser capaz de resolver esses endereços a qualquer momento ou o usuário não poderá iniciar a sessão, pois o Unified Access Gateway obtém o conjunto JWK de: cloud-sg-<region>-r-<DC>.horizon.vmware.com. Os endpoints concretos atuais são os seguintes:
|
| Unified Access Gateway | Horizon Agent nas VMs RDSH de farm ou área de trabalho | 22443 | TCP UDP |
Blast Extreme Por padrão, ao usar o Blast Extreme, o tráfego de redirecionamento de unidade de cliente (CDR) e o tráfego USB são encapsulados por lado nessa porta. Se desejar, o tráfego de CDR pode ser separado na porta TCP 9427 e o tráfego de redirecionamento USB pode ser separado na porta TCP 32111. |
| Unified Access Gateway | Horizon Agent nas VMs RDSH de farm ou área de trabalho | 9427 | TCP | Opcional para tráfego CDR e redirecionamento de multimídia (MMR). |
| Unified Access Gateway | Horizon Agent nas VMs RDSH de farm ou área de trabalho | 32111 | TCP | Opcional para o tráfego de redirecionamento USB. |
| Unified Access Gateway | time.google.com | 123 | UDP | Serviços NTP |
| Unified Access Gateway | *.blob.core.windows.net *.blob.storage.azure.net | 443 | TCP | Usado para acesso programático ao Armazenamento de Blobs do Azure para carregar os logs do Unified Access Gateway como e quando necessário. |
Portas e protocolos do App Volumes
Para dar suporte a recursos do App Volumes para uso com o Horizon Cloud Service no Microsoft Azure, você deve configurar a porta 445 para tráfego de protocolo TCP para a sub-rede de tenant (áreas de trabalho). A porta 445 é a porta SMB padrão para acessar um compartilhamento de arquivos SMB no Microsoft Windows. Os AppStacks são armazenados em um compartilhamento de arquivos SMB localizado no mesmo grupo de recursos referente às VMs do gerenciador de pods.
| Origem | Destino | Porta | Protocolo | Finalidade |
|---|---|---|---|---|
| App Volumes Agent na VM base importada, nas golden images, nas VMs de área de trabalho e nas VMs RDSH do farm | *.file.core.windows.net | 445 | TCP | A virtualização de aplicativos do App Volumes nas máquinas VDI e a captura de pacotes de aplicativos nas máquinas VDI dependem do acesso aos compartilhamentos de arquivos. |
Requisitos de portas e protocolos VDI
A tabela a seguir fornece as portas e os protocolos necessários para as sub-redes de área de trabalho (VDI ou tenant) configuradas em seu ambiente.
| Origem | Destino | Porta | Protocolo | Finalidade |
|---|---|---|---|---|
| Sub-rede de área de trabalho (tenant) | *.horizon.vmware.com | 443 | TCP MQTT | Para operações relacionadas ao agente, como assinatura de certificado usando Hub da VM e renovação. Os endpoints concretos atuais são: US:
EU:
JP:
|
| Sub-rede de área de trabalho (tenant) | Controlador de domínio | 88 | TCP UDP |
Serviços do Kerberos. O destino é o servidor que contém uma função de controlador de domínio em uma configuração do Active Directory. Registrar o Edge no Active Directory é um requisito. |
| Sub-rede de área de trabalho (tenant) | Controlador de domínio | Kerberos: 88 LDAP: 389, 3268 LDAPS: 636, 3269 |
TCP UDP |
Essas portas são necessárias para serviços LDAP ou LDAPS para a VM para conectividade do controlador de domínio, caso a VDI não consiga acessar nenhum controlador de domínio. Em seguida. |
| Sub-rede de área de trabalho (tenant) | Servidor DNS | 53 e 853 | TCP UDP |
Serviços DNS |
| Sub-rede de área de trabalho (tenant) | Servidor NTP | 123 | UDP | Serviços NTP |
| Sub-rede de área de trabalho (tenant) | *.blob.core.windows.net | 443 | TCP | Carregamento do pacote de logs DCT. Quando um administrador do cliente clicar na coleção de logs DCT para qualquer VM após o processamento da solicitação, o pacote será carregado do VDI para o blob a fim de disponibilizar esse pacote para download do Horizon Universal Console. |
| Sub-rede de área de trabalho (tenant) | Horizon Edge | 31883 | TCP MQTT UDP |
Horizon Agent em execução na VM para MQTT em execução no Edge. |
| Sub-rede de área de trabalho (tenant) | Horizon Edge | 32443 | TCP | Single Sign-On quando o formato do seu Microsoft Azure Edge é Edge Gateway (VM). |
| Sub-rede de área de trabalho (tenant) | Horizon Edge | 443 | TCP | Single Sign-On quando o formato do seu Microsoft Azure Edge é Edge Gateway (AKS). |
| Sub-Rede e Sub-Rede de Gerenciamento da Área de Trabalho (tenant) | softwareupdate.vmware.com | 443 | TCP | Servidor de pacote de software da VMware. Usado para baixar atualizações do software relacionado ao agente usado nas operações relacionadas à imagem do sistema e no processo automatizado de atualização do agente. |
| Sub-rede de área de trabalho (tenant) | Endpoint de Link Privado | 443 | TCP | Conectividade da área de trabalho com o serviço de conexão na camada de controle da nuvem. |
| Sub-Rede e Sub-Rede de Gerenciamento da Área de Trabalho (tenant) | Serviços de Certificado do AD | 135 e 445 e uma porta dentro do intervalo de 49152 a 6553 | RPC/TCP | Para adicionar áreas de trabalho ao domínio. |
Requisitos de protocolos e portas de tráfego de conexão do usuário final
Para obter informações detalhadas sobre os vários Horizon Clients que os usuários finais podem usar com seu Dispositivo virtual do Horizon Edge, consulte a página de documentação do Horizon Client em https://docs.vmware.com/br/VMware-Horizon-Client/index.html. As portas que devem ser abertas para que o tráfego das conexões dos usuários finais alcance suas áreas de trabalho virtuais e aplicativos remotos depende da escolha que você faz sobre como seus usuários finais se conectarão.
| Origem | Destino | Porta | Protocolo | Finalidade |
|---|---|---|---|---|
| Horizon Client | Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway | 443 | TCP | Para transportar tráfego CDR, MMR, redirecionamento USB e tráfego RDP encapsulado. O SSL (acesso HTTPS) está ativado por padrão para conexões de clientes. A porta 80 (acesso HTTP) pode ser usada em alguns casos. |
| Horizon Client | Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway | 8443 ou 443 | TCP | Blast Extreme via Gateway Seguro do Blast no Unified Access Gateway para o tráfego de dados como Horizon Client. |
| Horizon Client | Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway | 443 | UDP | Blast Extreme via Unified Access Gateway para o tráfego de dados. |
| Horizon Client | Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway | 8443 | UDP | Blast Extreme via Gateway Seguro do Blast no Unified Access Gateway para tráfego de dados (transporte adaptável). |
| Navegador | Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway | 443 | TCP | Para transportar tráfego CDR, MMR, redirecionamento USB e tráfego RDP encapsulado. O SSL (acesso HTTPS) está ativado por padrão para conexões de clientes. A porta 80 (acesso HTTP) pode ser usada em alguns casos. |
| Navegador | Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway | 8443 ou 443 | TCP | Blast Extreme via Gateway Seguro do Blast no Unified Access Gateway para tráfego de dados do cliente Horizon HTML Access (cliente Web). |
| Horizon Client/Navegador | *.horizon.vmware.com | 443 | TCP | Após o login e a listagem dos itens de lançamento, quando o cliente clica para iniciar a área de trabalho, o redirecionamento do tráfego do protocolo para o Unified Access Gateway acontece de uma dessas URLs com base na localização da organização do cliente selecionada no momento da integração. Os endpoints concretos atuais são:
|
