O objetivo deste tópico de documentação é explicar a você o que você verá depois de usar o Horizon Cloud para criar um pod na sua assinatura do Microsoft Azure e, em seguida, fazer login no portal do Microsoft Azure e observar o que o implantador do pod criou ali. Como parte da implantação do pod no Microsoft Azure, o processo automatizado de implantação cria um conjunto de grupos de segurança de rede (network security groups, NSGs) e associa cada um às interfaces de rede individuais (NICs) específicas que estão em cada uma das máquinas virtuais (virtual machines, VMs) relacionadas ao pod e controladas pela VMware. Tais VMs relacionadas ao pod são as VMs do gerenciador do pod e as VMs implantadas quando o pod é configurado com o Unified Access Gateway. Além disso, durante os fluxos de trabalho relacionados à implantação de pod, como a implantação de um pod ou a adição de uma configuração de gateway a um pod, a jumpbox temporária também tem um NSG em seu grupo de recursos de jumpbox temporária. O implantador do pod associa o NSG criado pelo implantador adequado com a NIC apropriada, de acordo com o projeto e a arquitetura da VMware para o pod. Esses NSGs são usados no nível da NIC para garantir que cada NIC em um determinado dispositivo gerenciado pela VMware possa receber o tráfego que esse dispositivo deve receber para operações padrão de serviço e de pod na sub-rede conectada da NIC e bloquear todo o tráfego que o dispositivo não deve receber. Cada NSG inclui um conjunto de regras de segurança que definem o tráfego permitido de e para cada NIC.

Os NSGs descritos aqui são separados dos usados para os farms e as áreas de trabalho VDI que você cria no pod e têm diferentes informações de uso. Para obter informações sobre os NSGs usados para farms e pools, consulte Sobre farms e grupos de segurança de rede em um pod do Horizon Cloud e Sobre grupos de segurança de rede e áreas de trabalho VDI em um pod do Horizon Cloud.

Aviso: As regras de NSG criadas pelo implantador e descritas neste documento são requisitos de configuração do serviço. Você nunca deve excluir nem editar NSGs do Horizon Cloud automaticamente criados e associados às NICs das VMs de pod. As ações a seguir fazem parte dessa instrução:
  • Copiar ou mover essas regras de NSG ou NSGs para qualquer sub-rede usada pelo Horizon Cloud
  • Copiar ou mover essas regras de NSG ou NSGs entre as NICs que estão associadas às VMs do pod.

Os NSGs por criados pelo Horizon Cloud e as regras dentro deles são específicos às VMs e NICs específicas às quais eles estão conectados e devem ser usados explicitamente para os fins dessas NICs e VMs. Qualquer alteração nesses NSGs ou regras, ou qualquer tentativa de usá-los para qualquer outra finalidade - mesmo nas mesmas sub-redes às quais essas NICs estão anexadas - provavelmente resultará na interrupção do tráfego de rede necessário para e das NICs às quais eles estão anexados. Essa interrupção, por sua vez, pode resultar na interrupção de todas as operações de pod. O ciclo de vida desses NSGs é gerenciado pelo Horizon Cloud, e há motivos específicos para cada um. Esses motivos incluem:

  • A capacidade de a camada de controle de nuvem se comunicar com o pod.
  • Gerenciamento da infraestrutura do pod
  • Operações de ciclo de vida do pod
Como os NSGs criados pelo implantador são requisitos de configuração do serviço, as tentativas de alterá-los ou movê-los são consideradas uso não permitido do Horizon Cloud e utilização indevida das ofertas de serviço, conforme previsto no Contrato de nível de serviço do VMware Horizon Service.

No entanto, você pode criar seus próprios NSGs que contêm as regras de sua própria organização nos grupos de recursos fora dos grupos de recursos do pod que são criados e gerenciados automaticamente pelo Horizon Cloud para as VMs do pod. As regras em seus próprios NSGs não devem entrar em conflito com os requisitos do Horizon Cloud para o gerenciamento e as operações das VMs do pod. Tais NSGs devem ser anexados às sub-redes de gerenciamento, de tenant e de zona desmilitarizada usadas pelo pod. Criar seus próprios NSGs dentro dos grupos de recursos gerenciados pelo Horizon Cloud causará uma falha durante as ações de exclusão nos grupos de recursos gerenciados do Horizon Cloud se os seus NSGs nesses grupos de recursos estiverem associados a um recurso que reside em um grupo de recursos diferente.

Conforme descrito na documentação do Microsoft Azure, a finalidade de um grupo de segurança de rede (NSG) é filtrar o tráfego de rede para e de recursos no ambiente do Microsoft Azure usando regras de segurança. Cada regra tem um conjunto de propriedades, como origem, destino, porta, protocolo e assim por diante, que determina o tráfego permitido para os recursos aos quais o NSG está associado. Os NSGs que o Horizon Cloud cria e associa automaticamente às NICs das VMs do pod controladas pela VMware contêm regras específicas que o Horizon Cloud determinou como necessárias ao gerenciamento do pod do serviço, com o propósito de executar adequadamente as operações contínuas e gerenciar o ciclo de vida do pod. De modo geral, cada regra definida nos NSGs tem como objetivo fornecer o tráfego da porta das operações do pod que é parte integrante do cumprimento das finalidades de negócios padrão do serviço de uma assinatura do Horizon Cloud, como os casos de uso de VDI para enviar áreas de trabalho virtuais aos usuários finais. Consulte também Requisitos de portas e protocolos para um pod do Horizon Cloud.

As seções abaixo listam as regras de NSG que o Horizon Cloud define nesses NSGs.

Fatos gerais sobre estes NSGs

Essa lista se aplica a todos os NSGs criados pelo implantador que o implantador associa a NICs específicas nas VMs relacionadas ao pod.

  • Os NSGs criados pela VMware são para a segurança dos dispositivos de software controlados pela VMware. Quando VMware adiciona um novo software à sua assinatura e há necessidade de mais regras, essas novas regras são incluídas nesses NSGs.
  • No portal do Microsoft Azure, os NSGs têm nomes que contêm o padrão vmw-hcs-podUUID, onde podUUID é o identificador do pod, exceto para NSGs que são para uma configuração de gateway externo implantada na própria VNet. Nesse caso, os NSGs relevantes do gateway têm nomes que contêm o padrão vmw-hcs-ID, onde ID é a ID de implantação para esse gateway externo.
    Observação: Para o cenário em que a configuração externa de gateway é implantada em uma assinatura separada usando a opção de implantação em um grupo de recursos existente pré-criado nessa assinatura, o NSG na NIC de gerenciamento da VM do conector do gateway é nomeado em um padrão com base no nome do grupo de recursos em vez do padrão vmw-hcs-podUUID. Por exemplo, se você tiver nomeado esse grupo de recursos como hcsgateways, o Horizon Cloud criará nele um NSG chamado hcsgateways-mgmt-nsg e o associará à NIC de gerenciamento da VM do conector de gateway.

    Você pode localizar esses identificadores navegando até os detalhes do pod pela página Capacidade do console administrativo.

    Observação: Quando você escolhe que o Unified Access Gateway externo do pod deve usar um grupo de recursos personalizado, o nome do NSG criado pelo implantador da VM do conector do gateway contém o nome desse grupo de recursos personalizado em vez do vmw-hcs-ID padrão. Por exemplo, se você especificar o uso de um grupo de recursos personalizado chamado ourhcspodgateway para o gateway externo do seu pod, o NSG que o implantador cria e associa à NIC da VM de gateway será nomeado para ourhcspodgateway-mgmt-nsg.
  • Os NSGs estão localizados no mesmo grupo de recursos que as VMs e as NICs às quais estão associados. Por exemplo, os NSGs associados às NICs nas VMs externas do Unified Access Gateway estão localizados no grupo de recursos chamado vmw-hcs-podUUID-uag quando o gateway externo é implantado na VNet do pod e usando um grupo de recursos criado pelo implantador. Consulte também Grupos de recursos criados para um pod implantado no Microsoft Azure.
  • O Horizon Cloud pode adicionar novas regras ou modificar as regras conforme apropriado para garantir a manutenção do serviço.
  • Durante uma atualização de pod, os NSGs e as regras serão mantidos. Eles não serão excluídos.
  • Exceto as regras de NSG de jumpbox temporárias e as regras de NSG do Dispositivo virtual do Horizon Edge, as regras do Horizon Cloud têm uma prioridade inicial de 1.000, e as prioridades costumam subir em incrementos de 100. As regras do Horizon Cloud terminam com uma regra na prioridade 3000. Para as regras NSG da jumpbox e as regras do Dispositivo virtual do Horizon Edge, as regras do Horizon Cloud começam com prioridade 100, e as prioridades aumentam em incrementos de 1.
  • As regras do AllowAzureInBound para o endereço IP de origem 168.63.129.16 provisionam para os NSGs que aceitam a comunicação de entrada da plataforma Microsoft Azure, conforme descrito no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16. Todas as VMs relacionadas ao pod fazem parte do Microsoft Azure. Conforme descrito no tópico da documentação do Microsoft Azure, o endereço IP 168.63.129.16 delas facilita várias tarefas de gerenciamento de VM que a plataforma de nuvem do Microsoft Azure executa em todas as VMs na nuvem. Por exemplo, com esse endereço IP, o agente que está na VM pode se comunicar facilmente com a plataforma do Microsoft Azure para sinalizar o estado Pronto da VM.
  • Nos NSGs para as instâncias de Unified Access Gateway, as regras do AllowPcoipUdpInBound são definidas para qualquer porta, pois o tráfego PCoIP está usando números de porta variável no intervalo 4173+, para que o tráfego não possa ser restrito a um conjunto específico de portas.
  • O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
  • Durante os fluxos de trabalho relacionados a implantações, como a implantação de um pod ou a adição de uma configuração de gateway a um pod, a jumpbox temporária também tem um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído na conclusão do fluxo de trabalho.
  • Cada regra definida nos NSGs tem como objetivo fornecer o tráfego da porta das operações do pod que é parte integrante do cumprimento das finalidades de negócios padrão do serviço de uma assinatura do Horizon Cloud, como os casos de uso de VDI para enviar áreas de trabalho virtuais aos usuários finais. Consulte também Requisitos de portas e protocolos para um pod do Horizon Cloud.
  • Quando você edita o pod para especificar sub-redes de tenant adicionais para uso com farms e atribuições de área de trabalho VDI, as regras nos NSGs relacionados ao tenant nas VMs do Gerenciador de pods e nos NICs das VMs do Unified Access Gateway são atualizadas para incluir essas sub-redes adicionais de tenant.

NSGs criados por implantador da VM do gerenciador de pod

A VM do gerenciador de pod tem duas NICs, uma conectada à sub-rede de gerenciamento e a outra conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-mgmt-nsg.
  • A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-tenant-nsg.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID.

Importante: Quando o pod está usando o recurso para ter seu gateway externo em uma VNet separada (que inclui o caso em que o gateway está usando uma assinatura separada da assinatura do pod), o NSG para a NIC de tenant da VM do gerenciador de pod tem uma regra de entrada adicional chamada AllowGatewayBrokeringHttpsInBound para a porta 8443 TCP com VirtualNetwork como a origem. As regras de NSG criadas pelo implantador na NIC de tenant da VM do gerenciador de pod quando o gateway externo está em uma VNet separada são listadas na terceira tabela abaixo.
Tabela 1. Regras do NSG criadas por implantador na NIC de gerenciamento da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade da regra
Entrada 1000 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir Conforme descrito no tópico Requisitos de DNS para um pod do Horizon Cloud na Microsoft e recursos de serviço relacionados, a VM de jumpbox de curta duração se comunica com uma VM do gerenciador de pod por SSH na porta 22 da VM durante a criação inicial de um pod e durante as atualizações de software subsequentes no pod. Também conforme descrito nesse tópico, as operações diárias do pod não exigem disponibilidade da porta 22 na VM do gerenciador de pod. No entanto, durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM do gerenciador de pod, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowHttpsInBound 443 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a camada de controle de nuvem se comunicar de forma segura com o endpoint da REST API do gerenciador de pod.
Entrada 1300 AllowApacheGeodeInBound 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Essas portas são usadas para replicar informações relacionadas ao compartilhamento de arquivos e sessões de usuário entre as VMs do gerenciador de pods.
Entrada 1400 AllowTelegrafInBound 9172 Qualquer Sub-rede de gerenciamento Qualquer Permitir Quando o Monitoramento de Infraestrutura do Horizon é ativado no pod para o Dispositivo virtual do Horizon Edge coletar os dados de monitoramento que ele foi projetado para coletar.
Entrada 1500 AllowAgentJmsInBound 4001, 4002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Quando o Monitoramento de Infraestrutura do Horizon é ativado no pod para o Dispositivo virtual do Horizon Edge coletar os dados de monitoramento que ele foi projetado para coletar.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Tabela 2. Regras do NSG criadas por implantador na NIC de tenant da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir Essa regra pode ser usada em um cenário atípico em que você pediu aos seus usuários finais internos (em sua rede corporativa, via VPN) para fazer as conexões de cliente com um FQDN que você mapeou para o balanceador de carga do Microsoft Azure do pod. Às vezes, esse cenário é chamado de conexão de pod direto. No caso da solicitação de autenticação de login para o gerenciador de pods, os clientes Horizon Client e o cliente Web do Horizon usam a porta 443. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1100 AllowAgentHttpsInBound

3443

8443

TCP Sub-rede do tenant Qualquer Permitir

A porta 3443 de entrada para essa NIC é usada pelo App Volumes Agent nas VMs base, de área de trabalho e de RDSH do farm para acessar o serviço App Volumes Manager, que é executado na VM do gerenciador de pod.

A porta 8443 de entrada para essa NIC é usada pelas instâncias do Unified Access Gateway para verificação com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods.

Entrada 1120 AllowUagHttpsInBound 8443 TCP Sub-rede de gerenciamento Qualquer Permitir Essa regra está planejada para uso em uma versão de manutenção futura.
Entrada 1200 AllowAgentJmsInBound

4001

4002

TCP Sub-rede do tenant Qualquer Permitir

Os Horizon Agents nas VMs base, de área de trabalho e de RDSH do farm usam essas portas.

A porta 4001 é para o Java Message Service (JMS, não SSL), usado pelo agente na VM para se comunicar com o pod como parte da verificação e da troca de impressão digital do certificado para proteger uma conexão SSL com o pod.

Depois que as chaves são negociadas e trocadas entre a VM e o gerenciador de pods, o agente usa a porta 4002 para criar uma conexão SSL segura.
Observação: Ambas as portas 4001 e 4002 são necessárias para as operações de estado estável. Às vezes, o agente pode precisar de uma nova chave para o pod.
Entrada 1210 AllowRouterJmsInBound 4101 TCP Sub-rede do tenant Qualquer Permitir Quando um pod está ativado para HA (alta disponibilidade), o tráfego é roteado por JMS entre as VMs do gerenciador de pod (nó 1 e nó 2)
Entrada 1300 AllowAgentUdpInBound 5678 UDP Sub-rede do tenant Qualquer Permitir Obsoleta em pods com os manifestos 1600 e mais recentes. Na versão de setembro de 2019 do serviço, o DaaS Agent foi incorporado ao Horizon Agent a partir do manifesto 1600 do pod. Antes, a porta 5678 e o protocolo UDP eram usados para permitir o uso do DaaS Agent.
Entrada 1400 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Tabela 3. Quando o gateway externo reside em uma VNet separada, regras de NSG criadas pelo implantador na NIC de tenant da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir Essa regra pode ser usada em um cenário atípico em que você pediu aos seus usuários finais internos (em sua rede corporativa, via VPN) para fazer as conexões de cliente com um FQDN que você mapeou para o balanceador de carga do Microsoft Azure do pod. Às vezes, esse cenário é chamado de conexão de pod direto. No caso da solicitação de autenticação de login para o gerenciador de pods, os clientes Horizon Client e o cliente Web do Horizon usam a porta 443. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1100 AllowAgentHttpsInBound

3443

8443

TCP Sub-rede do tenant Qualquer Permitir

A porta 3443 de entrada para essa NIC é usada pelo App Volumes Agent nas VMs base, de área de trabalho e de RDSH do farm para acessar o serviço App Volumes Manager, que é executado no gerenciador de pods.

A porta 8443 de entrada para essa NIC é usada pelas instâncias do Unified Access Gateway para verificação com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods.

Entrada 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Qualquer Permitir Quando o gateway externo do pod é implantado na própria VNet separada do pod, essa regra permite o tráfego de entrada das instâncias do Unified Access Gateway do gateway externo para verificação com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods.
Entrada 1120 AllowUagHttpsInBound 8443 TCP Sub-rede de gerenciamento Qualquer Permitir Essa regra está planejada para uso em uma versão de manutenção futura.
Entrada 1200 AllowAgentJmsInBound

4001

4002

TCP Sub-rede do tenant Qualquer Permitir

Os Horizon Agents nas VMs base, de área de trabalho e de RDSH do farm usam essas portas.

A porta 4001 é para o Java Message Service (JMS, não SSL), usado pelo agente na VM para se comunicar com o pod como parte da verificação e da troca de impressão digital do certificado para proteger uma conexão SSL com o pod.

Depois que as chaves são negociadas e trocadas entre a VM e o gerenciador de pods, o agente usa a porta 4002 para criar uma conexão SSL segura.
Observação: Ambas as portas 4001 e 4002 são necessárias para as operações de estado estável. Às vezes, o agente pode precisar de uma nova chave para o pod.
Entrada 1210 AllowRouterJmsInBound 4101 TCP Sub-rede do tenant Qualquer Permitir Quando um pod está ativado para HA (alta disponibilidade), o tráfego é roteado por JMS entre as VMs do gerenciador de pod (nó 1 e nó 2)
Entrada 1300 AllowAgentUdpInBound 5678 UDP Sub-rede do tenant Qualquer Permitir Obsoleta em pods com os manifestos 1600 e mais recentes. Na versão de setembro de 2019 do serviço, o DaaS Agent foi incorporado ao Horizon Agent a partir do manifesto 1600 do pod. Antes, a porta 5678 e o protocolo UDP eram usados para permitir o uso do DaaS Agent.
Entrada 1400 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.

NSGs criados por implantador das VMs externas do Unified Access Gateway

Cada uma das VMs para a configuração de Unified Access Gateway externa tem três (3) NICs, uma conectada à sub-rede de gerenciamento, uma conectada à sub-rede do tenant e uma conectada à sub-rede DMZ. O implantador cria um NSG específico para cada uma dessas três NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-ID-uag-management-nsg.
  • A NIC de tenant tem um NSG nomeado no padrão vmw-hcs-ID-uag-tenant-nsg.
  • A NIC de zona desmilitarizada tem um NSG nomeado no padrão vmw-hcs-ID-uag-dmz-nsg.

No seu ambiente do Microsoft Azure, esses NSGs são nomeados no padrão vmw-hcs-ID-uag, em que ID é o ID do pod exibido na página de detalhes do pod no console, a menos que o gateway externo seja implantado na própria VNet separada da do pod. No caso de um gateway externo implantado na própria VNet, a ID é o valor ID de Implantação mostrado na página de detalhes do pod.

Tabela 4. Regras do NSG criadas por implantador na NIC de gerenciamento das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound 9443 TCP Sub-rede de gerenciamento Qualquer Permitir Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para negar o tráfego de saída desta NIC.
Tabela 5. Regras do NSG criadas por implantador na NIC do tenant das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1400 AllowPcoipUdpInBound Qualquer UDP Sub-rede do tenant Qualquer Permitir Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 1000 AllowHttpsOutBound

443

8443

TCP Qualquer Sub-rede do tenant Permitir

Essa regra permite que as instâncias do Unified Access Gateway se comuniquem com as VMs do gerenciador de pods para a finalidade de novas solicitações de conexão de cliente para os gerenciadores de pods.

Saída 1100 AllowBlastOutBound 22443 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1200 AllowPcoipOutBound 4172 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho.
Saída 1300 AllowUsbOutBound 32111 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1400 AllowMmrOutBound 9427 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1500 AllowAllOutBound Qualquer Qualquer Qualquer Sub-rede do tenant Permitir Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, assim como a regra de prioridade 1.200, essa regra atende ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores.
Tabela 6. Regras do NSG criadas por implantador na NIC da zona desmilitarizada das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound

80

443

TCP Internet Qualquer Permitir Essa regra pode ser usada para o tráfego de entrada dos usuários finais externos dos clientes Horizon Client e do cliente Web do Horizon para fazer a solicitação de autenticação de login ao gerenciador de pods. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1100 AllowBlastInBound

443

8443

Qualquer Internet Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais externos.
Entrada 1200 AllowPcoipInBound 4172 Qualquer Internet Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais externos.
Entrada 1300 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.

NSGs criados por implantador das VMs internas do Unified Access Gateway

Cada uma das VMs para a configuração interna do Unified Access Gateway tem duas (2) NICs, uma conectada à sub-rede de gerenciamento e uma conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-management-nsg.
  • A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-tenant-nsg.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID-uag-internal.

Tabela 7. Regras do NSG criadas por implantador na NIC de gerenciamento das VMs internas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound 9443 TCP Sub-rede de gerenciamento Qualquer Permitir Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Qualquer Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para negar o tráfego de saída desta NIC.
Tabela 8. Regras do NSG criadas por implantador na NIC do tenant das VMs internas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir Essa regra pode ser usada para o tráfego de entrada dos usuários finais internos dos clientes Horizon Client e do cliente Web do Horizon para fazer a solicitação de autenticação de login ao gerenciador de pods. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1200 AllowBlastInBound

443

8443

Qualquer VirtualNetwork Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais internos.
Entrada 1300 AllowPcoipInBound 4172 Qualquer VirtualNetwork Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais internos.
Entrada 1400 AllowPcoipUdpInBound Qualquer UDP Sub-rede do tenant Qualquer Permitir Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 1000 AllowHttpsOutBound

443

8443

TCP Qualquer Sub-rede do tenant Permitir

Essa regra permite que as instâncias do Unified Access Gateway se comuniquem com as VMs do gerenciador de pods para a finalidade de novas solicitações de conexão de cliente para o pod.

Saída 1100 AllowBlastOutBound 22443 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1200 AllowPcoipOutBound 4172 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho.
Saída 1300 AllowUsbOutBound 32111 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1400 AllowMmrOutBound 9427 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1500 AllowAllOutBound Qualquer Qualquer Qualquer Sub-rede do tenant Permitir Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, assim como a regra de prioridade 1.200, essa regra atende ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs..
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores.

NSG criado por implantador da VM do conector do gateway quando o gateway externo é implantado na própria VNet

A VM do conector de gateway tem uma única NIC. Essa NIC é conectada à sub-rede de gerenciamento da VNet do gateway externo. O implantador cria um único NSG e associa esse NSG especificamente a essa NIC. Por padrão, o NSG criado pelo implantador da NIC de gerenciamento do conector do gateway tem as mesmas regras que o NSG criado pelo implantador da VM do gerenciador de pod.

Tabela 9. Regras de NSG criado por implantador na NIC de gerenciamento da VM do conector do gateway externo
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir Conforme descrito no tópico Requisitos de DNS para um pod do Horizon Cloud na Microsoft e recursos de serviço relacionados, a VM de jumpbox de curta duração se comunica com a VM do conector do gateway por SSH na porta 22 da VM durante sua criação inicial e durante as atualizações de software subsequentes no pod. Também conforme descrito nesse tópico, as operações diárias do pod não exigem disponibilidade da porta 22 na VM do conector do gateway. No entanto, durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM do conector do gateway, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowHttpsInBound 443 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a camada de controle de nuvem se comunicar de forma segura com o endpoint da REST API do conector do gateway.
Entrada 1300 AllowApacheGeodeInBound 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Essas portas são usadas para replicar informações relacionadas a compartilhamento de arquivos e sessões dos usuários em todas as VMs do gerenciador de pods e na VM do conector do gateway.
Entrada 1400 AllowTelegrafInBound 9172 Qualquer Sub-rede de gerenciamento Qualquer Permitir Essa regra está planejada para uso em uma atualização de serviço futura do recurso do Monitoramento de Infraestrutura do Horizon.
Entrada 1500 AllowAgentJmsInBound 4001, 4002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Essa regra está planejada para uso em uma atualização de serviço futura do recurso do Monitoramento de Infraestrutura do Horizon.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.

NSG criado por implantador da VM jumpbox temporária

Durante os fluxos de trabalho relacionados a implantações, como a implantação de um pod ou a adição de uma configuração de gateway a um pod, a jumpbox temporária também tem um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído na conclusão do fluxo de trabalho.

Tabela 10. Regras de NSG criado por implantador na NIC de gerenciamento da VM jumpbox
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 100 AllowSSHInBound 22 Qualquer Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Conforme descrito no tópico Requisitos de DNS para um pod do Horizon Cloud na Microsoft e recursos de serviço relacionados, as operações contínuas do pod não exigem tráfego de entrada na porta 22 da VM de jumpbox de curta duração. No entanto, durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM do gerenciador de pod, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência.
Observação: Nos casos em que a camada de controle de nuvem perdeu o acesso ao pod, a equipe de suporte pode implantar um jumpbox de emergência com um IP público para estabelecer o acesso ao pod. Esse cenário exigirá que esta regra tenha Origem=Qualquer e Destino=Qualquer.
Saída 100 AllowSSHOutbound 22 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Para a VM de jumpbox executar suas funções planejadas de configuração de outras VMs implantadas pelo serviço, conforme exigido pelo serviço.
Saída 101 AllowHttpsOutbound 443 TCP Sub-rede de gerenciamento Qualquer Permitir Para a VM de jumpbox fazer download de componentes de software externos específicos, como a interface de linha de comando (Command Line-Interface, CLI) do Microsoft Azure. O jumpbox usa esse software para realizar suas funções planejadas de configuração de outras VMs implantadas pelo serviço.
Saída 102 AllowHttpOutbound 80 TCP Sub-rede de gerenciamento Qualquer Permitir Para a VM de jumpbox fazer download de componentes de software externos específicos, como as atualizações de software do Ubuntu para as VMs baseadas em Linux do pod. O jumpbox usa esse software para realizar suas funções planejadas de configuração de outras VMs implantadas pelo serviço.
Saída 103 AllowUagOutbound 9443 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP.
Saída 104 AllowDnsOutbound 53 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a VM de jumpbox acessar os serviços DNS.
Saída 1000 DenyAllOutBound Qualquer TCP Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de saída da NIC que usa TCP aos itens nas linhas anteriores.

NSGs criadas pelo implantador do Dispositivo virtual do Horizon Edge

O Dispositivo virtual do Horizon Edge é implantado quando você usa o Horizon Universal Console para ativar o Monitoramento de Infraestrutura do Horizon no pod. O Dispositivo virtual do Horizon Edge tem uma NIC conectada à mesma sub-rede de gerenciamento que está conectada às VMs do gerenciador de pods. O implantador cria um NSG específico que recebe um nome no padrão vmw-hcs-podUUID-edge-nsg e associa esse NSG à NIC.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID-edge.

Tabela 11. Regras de NSG criadas pelo implantador na NIC de gerenciamento do Dispositivo virtual do Horizon Edge
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade da regra
Entrada 100 AllowSSHInbound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir As operações de dia a dia do dispositivo não requerem a disponibilidade da porta 22. No entanto, durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com o dispositivo, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência.
Saída 101 AllowHttpsOutbound 443 TCP Sub-rede de gerenciamento Qualquer Permitir Para o dispositivo fazer download de componentes de software externos específicos, como a interface de linha de comando (Command Line-Interface, CLI) do Microsoft Azure. O dispositivo usa esse software para realizar suas funções de configuração das outras VMs implantadas pelo serviço para a coleta de dados de monitoramento que o dispositivo foi projetado para coletar.
Saída 102 AllowHttpOutbound 80 TCP Sub-rede de gerenciamento Qualquer Permitir Para o dispositivo fazer download de componentes de software externos específicos, como as atualizações de software do Ubuntu para o sistema operacional Linux.
Saída 103 AllowUagOutbound 9443 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Essa regra está planejada para uso em uma atualização de serviço futura do recurso do Monitoramento de Infraestrutura do Horizon.
Saída 104 AllowDnsOutbound 53 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para acessar os serviços DNS.
Saída 106 AllowTelegrafOutBound 9172 Qualquer Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Para coletar os dados de monitoramento das VMs do gerenciador de pods que o dispositivo foi projetado para coletar.
Saída 107 AllowJmsBrokerOutbound 4002 Qualquer Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Essa regra está planejada para uso em uma atualização de serviço futura do recurso do Monitoramento de Infraestrutura do Horizon.
Saída 1000 DenyAllOutBound Qualquer Tcp Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de saída da NIC que usa TCP aos itens nas linhas anteriores.