Para criar uma implantação do Horizon Edge e instalar ou atualizar módulos do dispositivo em seu ambiente do Horizon Cloud Service - next-gen, você deve permitir as URLs apropriadas nas respectivas portas.

Para as tabelas a seguir, os fins listados estão no contexto de uma implantação do Horizon Edge.

Permitir URLs para a sub-rede de gerenciamento e verificar o acesso à URL

Para permitir as URLs e os subdomínios curinga apropriados de acordo com a localização e as necessidades do site, execute as seguintes tarefas:
  • Permita as URLs e os subdomínios curinga na tabela a seguir. Por exemplo, adicionando as URLs e o subdomínio curinga a uma lista de permissões para o firewall e o grupo de segurança de rede.
  • Ignore a inspeção de pacotes profundos SSL da seguinte maneira.
    • No firewall para os URLs e subdomínios curinga na tabela a seguir.
    • No servidor proxy, se aplicável.

      Se o Horizon Edge Gateway estiver conectado ao Horizon Agent por meio de um servidor proxy, ignore a inspeção profunda de pacotes SSL no servidor proxy para as URLs e os subdomínios curinga na tabela a seguir.

Destino (nome DNS) Porta Protocolo Tráfego de Proxy (se configurado na implantação) Finalidade
*.blob.core.windows.net 443 TCP Sim Usado para acesso programático ao Armazenamento de Blob do Azure e para carregar os logs do Horizon Edge como e quando necessário.

Usado para fazer download de imagens do Docker para criar os módulos do Horizon Edge necessários, que são úteis para monitoramento, SSO, atualizações do UAG e outros.
horizonedgeprod.azurecr.io 443 TCP Sim Usado para fazer autenticação enquanto faz download de imagens do Docker para criar os módulos do Horizon Edge necessários, que são úteis para monitoramento, SSO, atualizações do UAG e outros.

*.azure-devices.net ou um dos seguintes nomes específicos da região, dependendo de qual plano de controle regional se aplica à sua conta de tenant:

América do Norte:

  • edgehubprodna.azure-devices.net

Europa:

  • edgehubprodeu.azure-devices.net

Japão:

  • edgehubprodjp.azure-devices.net
 443/TCP TCP Sim Usado para conectar o dispositivo à camada de controle do Horizon Cloud, para baixar configurações do módulo do dispositivo e para atualizar o status de tempo de execução do módulo do dispositivo.
vmwareprod.wavefront.com 443 TCP Sim Usado para enviar métricas de operação ao Tanzu Observability pelo Wavefront. Os operadores da VMware recebem os dados com os quais oferecem suporte aos clientes.

Tanzu Observability é uma plataforma de análise de streaming. Você pode enviar seus dados ao Tanzu Observability e exibir e interagir com os dados em painéis personalizados. Consulte a documentação do Tanzu Observability da Wavefront.
*.data.vmwservices.com ou um dos nomes específicos da região a seguir, dependendo de qual destino do Workspace ONE Intelligence regional se aplica à sua conta de tenant:
  • eventproxy.na1.data.vmwservices.com
  • eventproxy.eu1.data.vmwservices.com
  • eventproxy.eu2.data.vmwservices.com
  • eventproxy.uk1.data.vmwservices.com
  • eventproxy.ca1.data.vmwservices.com
  • eventproxy.ap1.data.vmwservices.com
  • eventproxy.au1.data.vmwservices.com
  • eventproxy.in1.data.vmwservices.com
 443 TCP Sim Usado para enviar eventos ou métricas ao Workspace ONE Intelligence.

Consulte Workspace ONE Intelligence.
Se o seu firewall ou grupo de segurança de rede (NSG) der suporte ao uso de marcas de serviço, aplique a marca de serviço do Azure AzureCloud. Se seu firewall ou NSG não suportar o uso de marcas de serviço, use o nome do host do monitor.horizon.vmware.com. 1514 e 1515 TCP Não Usado para monitoramento do sistema.
azcopyvnext.azureedge.net 443 TCP Sim Usado para carregar logs de implantação no Armazenamento de Blob do Azure para fins de solução de problemas.
  • management.azure.com
  • login.microsoftonline.com
  • mcr.microsoft.com
  • *.data.mcr.microsoft.com
  • packages.microsoft.com
  • acs-mirror.azureedge.net
 443 HTTPS Sim Usado para aplicar patches aos componentes da Microsoft do Horizon Edge Gateway.
time.google.com 123 UDP Sim Usado para sincronização de tempo.
  • security.ubuntu.com
  • azure.archive.ubuntu.com
  • changelogs.ubuntu.com
  • motd.ubuntu.com
 80 HTTP Sim Usado para aplicar patches nos componentes do Ubuntu.
*.file.core.windows.net 445 TCP Não Acesso a arquivos provisionados para os fluxos de trabalho do App Volumes de importação de pacotes e replicação de pacotes em compartilhamentos de arquivos.
softwareupdate.vmware.com 443 TCP Sim Servidor de pacote de software. Usado para baixar atualizações do software relacionado ao agente usado nas operações relacionadas à imagem do sistema e no processo automatizado de atualização do agente.

Determinação de que as URLs da sub-rede de gerenciamento estão acessíveis

A ferramenta Verificador de URLs da Sub-Rede do Horizon Cloud Service - next-gen Edge está disponível no TechZone na página Utilidades. As informações relacionadas estão disponíveis na página do Techzone Implantando um Horizon Edge Gateway para ambiente do Horizon 8.

A ferramenta é fornecida como um arquivo .exe. Para baixar e usar a ferramenta Verificador de URLs da Sub-Rede do Horizon Cloud Service - next-gen Edge em uma máquina virtual baseada em Windows 10 ou posterior na rede onde o Horizon Edge reside, execute as seguintes etapas.

  1. Baixe o Verificador de URLs da Sub-rede do Horizon Cloud Service - next-gen Edge na máquina virtual Windows implantada na rede do Horizon Edge.
  2. Clique duas vezes no arquivo para executar o executável.

    É exibida uma caixa de diálogo.

  3. Clique em Sim.
  4. Abra a pasta de saída em C:/VMwareURLCheckerOutput/.

    A pasta contém os arquivos de saída para cada camada de controle regional.

  5. Abra o arquivo de saída da região onde você está implantando o Horizon Edge para determinar se as URLs estão acessíveis.
    Os detalhes a seguir são aplicáveis.
    • O arquivo exibe o status das URLs necessárias para a sub-rede de Gerenciamento.
    • O status esperado para cada URL é ACESSÍVEL.
    • Quando uma URL tiver o status UNREACHABLE, visualize a mensagem de erro e faça as alterações necessárias para desbloquear o problema.
  6. Execute novamente o executável conforme necessário até que o status de todos os domínios em sua região desejada seja ACESSÍVEL.

Permissão de URL para a Sub-Rede do Tenant (Área de Trabalho): Nome de Host DNS do VM Hub

Se o uso de uma instância global do VM Hub atender às necessidades do site, ao implantar um Horizon Edge Gateway, permita a URL a seguir e suas configurações.

Destino (Nome DNS) Porta Protocolo Finalidade
*.horizon.vmware.com 443 TCP Para operações relacionadas ao agente, como assinatura de certificado usando o VM Hub e renovação.

Permitir URLs para a Sub-Rede do Tenant (Área de Trabalho): Nomes de Host DNS do VM Hub

Se o uso de instâncias regionais do VM Hub atender às necessidades de seu site, quando você implantar um Horizon Edge Gateway em determinada região, use os dois URLs correspondentes, conforme indicado.

A porta, o protocolo e a finalidade para cada instância regional do VM Hub correspondem àqueles para uma instância global do VM Hub, como tal.

Porta 443
Protocolo TCP
Finalidade Para operações relacionadas ao agente, como assinatura de certificado usando o VM Hub e renovação.
Para as seguintes regiões do Azure Permitir as SEGUINTES URLs de destino (nome DNS)
  • westus2
  • westus
  • westus3
  • westcentralus
  • centralus
  • cloud-sg-us-r-westus2.horizon.vmware.com
  • cloud-sg-us-r-westus2-mqtt.horizon.vmware.com
  • eastus2
  • eastus
  • southcentralus
  • northcentralus
  • canadacentral
  • canadaeast
  • brazilsouth
  • brazilsoutheast
  • usgovvirginia
  • cloud-sg-us-r-eastus2.horizon.vmware.com
  • cloud-sg-us-r-eastus2-mqtt.horizon.vmware.com
  • northeurope
  • norwaywest
  • norwayeast
  • uaecentral
  • uaenorth
  • uksouth
  • ukwest
  • westeurope
  • cloud-sg-eu-r-northeurope.horizon.vmware.com
  • cloud-sg-eu-r-northeurope-mqtt.horizon.vmware.com
  • germanywestcentral
  • germanynorth
  • swedencentral
  • swedensouth
  • francecentral
  • francesouth
  • switzerlandnorth
  • switzerlandwest
  • cloud-sg-eu-r-germanywestcentral.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral-mqtt.horizon.vmware.com
  • japanwest
  • japaneast
  • cloud-sg-jp-r-japaneast.horizon.vmware.com
  • cloud-sg-jp-r-japaneast-mqtt.horizon.vmware.com
  • australiaeast
  • australiacentral
  • australiacentral2
  • australiasoutheast
  • cloud-sg-jp-r-australiaeast.horizon.vmware.com
  • cloud-sg-jp-r-australiaeast-mqtt.horizon.vmware.com
  • centralindia
  • jioindiawest
  • jioindiacentral
  • southindia
  • westindia
  • cloud-sg-jp-r-centralindia.horizon.vmware.com
  • cloud-sg-jp-r-centralindia-mqtt.horizon.vmware.com

Permitir URLs para ativação de proxy

Se você planeja usar um servidor proxy para controlar o fluxo de tráfego do ambiente, abra as portas necessárias para permitir que o Horizon Edge Gateway acesse o servidor proxy. Quando o formato do seu Microsoft Azure Edge for Edge Gateway (AKS), consulte Regras de rede de saída do e FQDN para clusters do Azure Kubernetes Service (AKS).