Para cada pod do Horizon Cloud implantado em sua nuvem do Microsoft Azure, um grupo de segurança de rede (NSG) também é criado no grupo de recursos do pod para agir como um modelo. Você pode usar esse modelo para garantir que abriu essas portas adicionais que podem ser necessárias para as áreas de trabalho VDI fornecidas pelas suas atribuições de área de trabalho VDI.
No Microsoft Azure, um grupo de segurança de rede (NSG) determina o tráfego de rede para os recursos conectados às Redes Virtuais (VNet) do Azure. Um NSG define as regras de segurança que permitem ou bloqueiam o tráfego de rede. Para obter mais informações sobre como os NSGs filtram o tráfego de rede, consulte o tópico de documentação do Microsoft Azure Filtrar o tráfego de rede com grupos de segurança de rede.
Quando um pod do Horizon Cloud é implantado no Microsoft Azure, um NSG denominado vmw-hcs-podID-nsg-template é criado no mesmo grupo de recursos do pod denominado vmw-hcs-podID, em que podID é o ID do pod. Você pode obter o ID do pod na página de detalhes do pod, da página Capacidade no Horizon Universal Console.
Por padrão:
- O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure quando qualquer pessoa ou sistema cria um NSG no Microsoft Azure. Essas regras não são criadas pelo Horizon Cloud. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
- O implantador de pod do Horizon Cloud cria as regras de segurança de entrada a seguir no NSG do modelo do pod. Essas regras de segurança de entrada padrão oferecem suporte ao acesso dos clientes de usuário a suas áreas de trabalho VDI utilizando o redirecionamento de Blast, PCOIP e USB.
| Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | Internet | Qualquer | Permitir |
| 1100 | AllowBlastTcpIn | 22443 | TCP | Internet | Qualquer | Permitir |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | Qualquer | Permitir |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | Qualquer | Permitir |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | Qualquer | Permitir |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | Qualquer | Permitir |
Além desse NSG do modelo, quando uma atribuição de área de trabalho VDI é criada, o sistema cria um NSG para esse pool de áreas de trabalho da atribuição copiando o NSG do modelo. Cada pool da atribuição de área de trabalho VDI tem seu próprio NSG que é uma cópia do NSG do modelo. O NSG de um pool é atribuído a NICs de máquinas virtuais (VMs) de área de trabalho VDI desse pool. Por padrão, cada pool de área de trabalho VDI usa as mesmas regras de segurança padrão, conforme configuradas no NSG do modelo do pod.
Você pode modificar o NSG do modelo e os NSGs por atribuição de área de trabalho VDI. Por exemplo, se você tiver um aplicativo em uma área de trabalho VDI que precise de uma porta adicional aberta para este aplicativo, modifique o NSG do pool da atribuição de área de trabalho VDI correspondente para permitir o tráfego de rede nesta porta. Se você pretende criar várias atribuições de área de trabalho VDI que precisam da mesma porta aberta, uma maneira simples para permitir este cenário é editar o NSG do modelo antes de criar as atribuições da área de trabalho VDI.
