O objetivo deste tópico de documentação é explicar a você o que você verá depois de usar um ambiente do Horizon Cloud de primeira geração para criar um pod na sua assinatura do Microsoft Azure e, em seguida, fazer login no portal do Microsoft Azure e observar o que o implantador do pod criou ali. Como parte da implantação do pod no Microsoft Azure, o processo automatizado de implantação cria um conjunto de grupos de segurança de rede (network security groups, NSGs) e associa cada um às interfaces de rede individuais (NICs) específicas que estão em cada uma das máquinas virtuais (virtual machines, VMs) relacionadas ao pod e controladas pela VMware. Essas VMs relacionadas ao pod são as VMs do gerenciador do pod e as VMs implantadas quando o pod é configurado com o Unified Access Gateway.

Antes de ler esta página

Antes de ler esta página, leve em consideração os pontos a seguir.

Lembrete: Conforme descrito no artigo 92424 da Base de Dados de Conhecimento, foi anunciado o fim da disponibilidade da camada de controle do Horizon Cloud de primeira geração. A documentação do produto Horizon Cloud de primeira geração foi atualizada para se alinhar a esse comunicado.
Observação: Conforme descrito no artigo 93762 da Base de Dados de Conhecimento, o recurso Horizon Infrastructure Monitoring foi descontinuado, e os tenants de primeira geração não podem mais ativar nem usar esse recurso. A partir de outubro de 2023, as informações nessa página anteriormente relacionadas a esse recurso obsoleto foram atualizadas de acordo.
Atenção: Essas informações aplicam-se apenas quando você tem acesso a um ambiente de tenant de primeira geração na camada de controle de primeira geração. Conforme descrito em KB-92424, a camada de controle de primeira geração atingiu o fim da disponibilidade (EOA). Consulte esse artigo para obter detalhes.

A partir de agosto de 2022, o Horizon Cloud Service - next-gen estará em disponibilidade geral e terá seu próprio guia, Uso do Horizon Control Plane next-gen.

Uma indicação de qual ambiente você tem, next-gen ou primeira geração, é o padrão que aparece no campo de URL do navegador depois que você faz login em seu ambiente e vê o rótulo Horizon Universal Console. Para um ambiente next-gen, o endereço de URL do console contém uma parte como /hcsadmin/. A URL do console de primeira geração tem uma seção diferente (/horizonadmin/).

Introdução geral

O implantador do pod associa o NSG criado pelo implantador adequado com a NIC apropriada, de acordo com o projeto e a arquitetura da VMware para o pod. Esses NSGs são usados no nível da NIC para garantir que cada NIC em um determinado dispositivo gerenciado pela VMware possa receber o tráfego que esse dispositivo deve receber para operações padrão de serviço e de pod na sub-rede conectada da NIC e bloquear todo o tráfego que o dispositivo não deve receber. Cada NSG inclui um conjunto de regras de segurança que definem o tráfego permitido de e para cada NIC.

Os NSGs descritos aqui são separados dos usados para as VMs base, os farms e as áreas de trabalho VDI provisionadas pelo pod quando você os cria usando o Horizon Universal Console. Esses NSGs têm informações de uso diferentes. Para obter informações sobre esses NSGs, consulte os seguintes tópicos:

Aviso: As regras de NSG criadas pelo implantador e descritas neste documento são requisitos de configuração do serviço. Você nunca deve excluir nem editar NSGs do Horizon Cloud automaticamente criados e associados às NICs das VMs de pod. As ações a seguir fazem parte dessa instrução:
  • Copiar ou mover essas regras de NSG ou NSGs para qualquer sub-rede usada pelo Horizon Cloud
  • Copiar ou mover essas regras de NSG ou NSGs entre as NICs que estão associadas às VMs do pod.

Os NSGs por criados pelo Horizon Cloud e as regras dentro deles são específicos às VMs e NICs específicas às quais eles estão conectados e devem ser usados explicitamente para os fins dessas NICs e VMs. Qualquer alteração nesses NSGs ou regras, ou qualquer tentativa de usá-los para qualquer outra finalidade - mesmo nas mesmas sub-redes às quais essas NICs estão anexadas - provavelmente resultará na interrupção do tráfego de rede necessário para e das NICs às quais eles estão anexados. Essa interrupção, por sua vez, pode resultar na interrupção de todas as operações de pod. O ciclo de vida desses NSGs é gerenciado pelo Horizon Cloud, e há motivos específicos para cada um. Esses motivos incluem:

  • A capacidade de a camada de controle de nuvem se comunicar com o pod.
  • Gerenciamento da infraestrutura do pod
  • Operações de ciclo de vida do pod
Como os NSGs criados pelo implantador são requisitos de configuração do serviço, as tentativas de alterá-los ou movê-los são consideradas uso não permitido do Horizon Cloud e utilização indevida das ofertas de serviço, conforme previsto no Contrato de nível de serviço do VMware Horizon Service.

No entanto, você pode criar seus próprios NSGs que contêm as regras de sua própria organização nos grupos de recursos fora dos grupos de recursos do pod que são criados e gerenciados automaticamente pelo Horizon Cloud para as VMs do pod. As regras em seus próprios NSGs não devem entrar em conflito com os requisitos do Horizon Cloud para o gerenciamento e as operações das VMs do pod. Tais NSGs devem ser anexados às sub-redes de gerenciamento, de tenant e de zona desmilitarizada usadas pelo pod. Criar seus próprios NSGs dentro dos grupos de recursos gerenciados pelo Horizon Cloud causará uma falha durante as ações de exclusão nos grupos de recursos gerenciados do Horizon Cloud se os seus NSGs nesses grupos de recursos estiverem associados a um recurso que reside em um grupo de recursos diferente.

Conforme descrito na documentação do Microsoft Azure, a finalidade de um grupo de segurança de rede (NSG) é filtrar o tráfego de rede para e de recursos no ambiente do Microsoft Azure usando regras de segurança. Cada regra tem um conjunto de propriedades, como origem, destino, porta, protocolo e assim por diante, que determina o tráfego permitido para os recursos aos quais o NSG está associado. Os NSGs que o Horizon Cloud cria e associa automaticamente às NICs das VMs do pod controladas pela VMware contêm regras específicas que o Horizon Cloud determinou como necessárias ao gerenciamento do pod do serviço, com o propósito de executar adequadamente as operações contínuas e gerenciar o ciclo de vida do pod. De modo geral, cada regra definida nos NSGs tem como objetivo fornecer o tráfego da porta das operações do pod que é parte integrante do cumprimento das finalidades de negócios padrão do serviço de uma assinatura do Horizon Cloud, como os casos de uso de VDI para enviar áreas de trabalho virtuais aos usuários finais. Consulte também Requisitos de portas e protocolos para um pod do Horizon Cloud.

As seções abaixo listam as regras de NSG que o Horizon Cloud define nesses NSGs.

Fatos gerais sobre estes NSGs

Essa lista se aplica a todos os NSGs criados pelo implantador que o implantador associa a NICs específicas nas VMs relacionadas ao pod.

  • Os NSGs criados pela VMware são para a segurança dos dispositivos de software controlados pela VMware. Quando VMware adiciona um novo software à sua assinatura e há necessidade de mais regras, essas novas regras são incluídas nesses NSGs.
  • No portal do Microsoft Azure, os NSGs têm nomes que contêm o padrão vmw-hcs-podUUID, onde podUUID é o identificador do pod, exceto para NSGs que são para uma configuração de gateway externo implantada na própria VNet. Nesse caso, os NSGs relevantes do gateway têm nomes que contêm o padrão vmw-hcs-ID, onde ID é a ID de implantação para esse gateway externo.
    Observação: Para o cenário em que a configuração externa de gateway é implantada em uma assinatura separada usando a opção de implantação em um grupo de recursos existente pré-criado nessa assinatura, o NSG na NIC de gerenciamento da VM do conector do gateway é nomeado em um padrão com base no nome do grupo de recursos em vez do padrão vmw-hcs-podUUID. Por exemplo, se você tiver nomeado esse grupo de recursos como hcsgateways, o Horizon Cloud criará nele um NSG chamado hcsgateways-mgmt-nsg e o associará à NIC de gerenciamento da VM do conector de gateway.

    Você pode localizar esses identificadores navegando até os detalhes do pod pela página Capacidade do console administrativo.

    Observação: Quando você escolhe que o Unified Access Gateway externo do pod deve usar um grupo de recursos personalizado, o nome do NSG criado pelo implantador da VM do conector do gateway contém o nome desse grupo de recursos personalizado em vez do vmw-hcs-ID padrão. Por exemplo, se você especificar o uso de um grupo de recursos personalizado chamado ourhcspodgateway para o gateway externo do seu pod, o NSG que o implantador cria e associa à NIC da VM de gateway será nomeado para ourhcspodgateway-mgmt-nsg.
  • Os NSGs estão localizados no mesmo grupo de recursos que as VMs e as NICs às quais estão associados. Por exemplo, os NSGs associados às NICs nas VMs externas do Unified Access Gateway estão localizados no grupo de recursos chamado vmw-hcs-podUUID-uag quando o gateway externo é implantado na VNet do pod e usando um grupo de recursos criado pelo implantador. Consulte também Tenants de primeira geração: grupos de recursos criados para um pod implantado no Microsoft Azure.
  • O Horizon Cloud pode adicionar novas regras ou modificar as regras conforme apropriado para garantir a manutenção do serviço.
  • Durante uma atualização de pod, os NSGs e as regras serão mantidos. Eles não serão excluídos.
  • As regras do Horizon Cloud começam com prioridade 1000, e as prioridades aumentam em incrementos que normalmente são de 100. As regras do Horizon Cloud terminam com uma regra na prioridade 3000.
  • As regras do AllowAzureInBound para o endereço IP de origem 168.63.129.16 provisionam para os NSGs que aceitam a comunicação de entrada da plataforma Microsoft Azure, conforme descrito no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16. Todas as VMs relacionadas ao pod fazem parte do Microsoft Azure. Conforme descrito no tópico da documentação do Microsoft Azure, o endereço IP 168.63.129.16 delas facilita várias tarefas de gerenciamento de VM que a plataforma de nuvem do Microsoft Azure executa em todas as VMs na nuvem. Por exemplo, com esse endereço IP, o agente que está na VM pode se comunicar facilmente com a plataforma do Microsoft Azure para sinalizar o estado Pronto da VM.
  • Nos NSGs para as instâncias de Unified Access Gateway, as regras do AllowPcoipUdpInBound são definidas para qualquer porta, pois o tráfego PCoIP está usando números de porta variável no intervalo 4173+, para que o tráfego não possa ser restrito a um conjunto específico de portas.
  • O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
  • Cada regra definida nos NSGs tem como objetivo fornecer o tráfego da porta das operações do pod que é parte integrante do cumprimento das finalidades de negócios padrão do serviço de uma assinatura do Horizon Cloud, como os casos de uso de VDI para enviar áreas de trabalho virtuais aos usuários finais. Consulte também Requisitos de portas e protocolos para um pod do Horizon Cloud.
  • Quando você edita o pod para especificar sub-redes de tenant adicionais para uso com farms e atribuições de área de trabalho VDI, as regras nos NSGs relacionados ao tenant nas VMs do Gerenciador de pods e nos NICs das VMs do Unified Access Gateway são atualizadas para incluir essas sub-redes adicionais de tenant.
  • Se você fizer uma solicitação de suporte à VMware, e a equipe de suporte determinar que a maneira de atender a essa solicitação é implantar uma VM de jumpbox temporária, essa jumpbox temporária terá um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído quando a equipe de suporte termina.

NSGs criados por implantador da VM do gerenciador de pod

A VM do gerenciador de pod tem duas NICs, uma conectada à sub-rede de gerenciamento e a outra conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-mgmt-nsg.
  • A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-tenant-nsg.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID.

Tabela 1. Regras do NSG criadas por implantador na NIC de gerenciamento da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade da regra
Entrada 1000 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir Durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM do gerenciador de pod, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência. A VM de jumpbox de curta duração se comunica com uma VM do gerenciador de pods usando o SSH para a porta 22 da VM. As operações de pod do dia a dia não exigem disponibilidade da porta 22 na VM do gerenciador de pods.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowHttpsInBound 443 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a camada de controle de nuvem se comunicar de forma segura com o endpoint da REST API do gerenciador de pod.
Entrada 1300 AllowApacheGeodeInBound 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Essas portas são usadas para replicar informações relacionadas ao compartilhamento de arquivos e sessões de usuário entre as VMs do gerenciador de pods.
Entrada 1400 AllowTelegrafInBound 9172 Qualquer Sub-rede de gerenciamento Qualquer Permitir Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware.
Entrada 1500 AllowAgentJmsInBound 4001, 4002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Tabela 2. Regras do NSG criadas por implantador na NIC de tenant da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir Essa regra pode ser usada em um cenário atípico em que você pediu aos seus usuários finais internos (em sua rede corporativa, via VPN) para fazer as conexões de cliente com um FQDN que você mapeou para o balanceador de carga do Microsoft Azure do pod. Às vezes, esse cenário é chamado de conexão de pod direto. No caso da solicitação de autenticação de login para o gerenciador de pods, os clientes Horizon Client e o cliente Web do Horizon usam a porta 443. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1100 AllowAgentHttpsInBound

3443

8443

TCP Sub-rede do tenant Qualquer Permitir

A porta 3443 de entrada para essa NIC é usada pelo App Volumes Agent nas VMs base, de área de trabalho e de RDSH do farm para acessar o serviço App Volumes Manager, que é executado no gerenciador de pods.

A porta 8443 de entrada para essa NIC é usada pelas instâncias do Unified Access Gateway para verificação com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods.

Entrada 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Qualquer Permitir Para obter consistência de código e facilidade de manutenção, o implantador do pod sempre grava essa regra nesse NSG.

Em uma implantação em que o gateway externo do pod é implantado em sua própria VNet separada do pod, essa regra dá suporte ao tráfego de entrada das instâncias do Unified Access Gateway do gateway externo para verificar com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods.

Entrada 1120 AllowUagHttpsInBound 8443 TCP Sub-rede de gerenciamento Qualquer Permitir Essa regra está planejada para uso em uma versão de manutenção futura.
Entrada 1200 AllowAgentJmsInBound

4001

4002

TCP Sub-rede do tenant Qualquer Permitir

Os Horizon Agents nas VMs base, de área de trabalho e de RDSH do farm usam essas portas.

A porta 4001 é para o Java Message Service (JMS, não SSL), usado pelo agente na VM para se comunicar com o pod como parte da verificação e da troca de impressão digital do certificado para proteger uma conexão SSL com o pod.

Depois que as chaves são negociadas e trocadas entre a VM e o gerenciador de pods, o agente usa a porta 4002 para criar uma conexão SSL segura.
Observação: Ambas as portas 4001 e 4002 são necessárias para as operações de estado estável. Às vezes, o agente pode precisar de uma nova chave para o pod.
Entrada 1210 AllowRouterJmsInBound 4101 TCP Sub-rede do tenant Qualquer Permitir Quando um pod está ativado para HA (alta disponibilidade), o tráfego é roteado por JMS entre as VMs do gerenciador de pod (nó 1 e nó 2)
Entrada 1300 AllowAgentUdpInBound 5678 UDP Sub-rede do tenant Qualquer Permitir Obsoleta em pods com os manifestos 1600 e mais recentes. Na versão de setembro de 2019 do serviço, o DaaS Agent foi incorporado ao Horizon Agent a partir do manifesto 1600 do pod. Antes, a porta 5678 e o protocolo UDP eram usados para permitir o uso do DaaS Agent.
Entrada 1400 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.

NSGs criados por implantador das VMs externas do Unified Access Gateway

Cada uma das VMs para a configuração de Unified Access Gateway externa tem três (3) NICs, uma conectada à sub-rede de gerenciamento, uma conectada à sub-rede do tenant e uma conectada à sub-rede DMZ. O implantador cria um NSG específico para cada uma dessas três NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-ID-uag-management-nsg.
  • A NIC de tenant tem um NSG nomeado no padrão vmw-hcs-ID-uag-tenant-nsg.
  • A NIC de zona desmilitarizada tem um NSG nomeado no padrão vmw-hcs-ID-uag-dmz-nsg.

No seu ambiente do Microsoft Azure, esses NSGs são nomeados no padrão vmw-hcs-ID-uag, em que ID é o ID do pod exibido na página de detalhes do pod no console, a menos que o gateway externo seja implantado na própria VNet separada da do pod. No caso de um gateway externo implantado na própria VNet, a ID é o valor ID de Implantação mostrado na página de detalhes do pod.

Tabela 3. Regras do NSG criadas por implantador na NIC de gerenciamento das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound 9443 TCP Sub-rede de gerenciamento Qualquer Permitir Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para negar o tráfego de saída desta NIC.
Tabela 4. Regras do NSG criadas por implantador na NIC do tenant das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1400 AllowPcoipUdpInBound Qualquer UDP Sub-rede do tenant Qualquer Permitir Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 1000 AllowHttpsOutBound

443

8443

TCP Qualquer Sub-rede do tenant Permitir

Essa regra permite que as instâncias do Unified Access Gateway se comuniquem com as VMs do gerenciador de pods para a finalidade de novas solicitações de conexão de cliente para os gerenciadores de pods.

Saída 1100 AllowBlastOutBound 22443 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1200 AllowPcoipOutBound 4172 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho.
Saída 1300 AllowUsbOutBound 32111 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1400 AllowMmrOutBound 9427 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1500 AllowAllOutBound Qualquer Qualquer Qualquer Sub-rede do tenant Permitir Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, assim como a regra de prioridade 1.200, essa regra atende ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores.
Tabela 5. Regras do NSG criadas por implantador na NIC da zona desmilitarizada das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound

80

443

TCP Internet Qualquer Permitir Essa regra pode ser usada para o tráfego de entrada dos usuários finais externos dos clientes Horizon Client e do cliente Web do Horizon para fazer a solicitação de autenticação de login ao gerenciador de pods. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1100 AllowBlastInBound

443

8443

Qualquer Internet Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais externos.
Entrada 1200 AllowPcoipInBound 4172 Qualquer Internet Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais externos.
Entrada 1300 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.

NSGs criados por implantador das VMs internas do Unified Access Gateway

Cada uma das VMs para a configuração interna do Unified Access Gateway tem duas (2) NICs, uma conectada à sub-rede de gerenciamento e uma conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-management-nsg.
  • A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-tenant-nsg.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID-uag-internal.

Tabela 6. Regras do NSG criadas por implantador na NIC de gerenciamento das VMs internas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowHttpsInBound 9443 TCP Sub-rede de gerenciamento Qualquer Permitir Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Qualquer Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para negar o tráfego de saída desta NIC.
Tabela 7. Regras do NSG criadas por implantador na NIC do tenant das VMs internas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir Essa regra pode ser usada para o tráfego de entrada dos usuários finais internos dos clientes Horizon Client e do cliente Web do Horizon para fazer a solicitação de autenticação de login ao gerenciador de pods. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443.
Entrada 1200 AllowBlastInBound

443

8443

Qualquer VirtualNetwork Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais internos.
Entrada 1300 AllowPcoipInBound 4172 Qualquer VirtualNetwork Qualquer Permitir Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais internos.
Entrada 1400 AllowPcoipUdpInBound Qualquer UDP Sub-rede do tenant Qualquer Permitir Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.
Saída 1000 AllowHttpsOutBound

443

8443

TCP Qualquer Sub-rede do tenant Permitir

Essa regra permite que as instâncias do Unified Access Gateway se comuniquem com as VMs do gerenciador de pods para a finalidade de novas solicitações de conexão de cliente para o pod.

Saída 1100 AllowBlastOutBound 22443 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1200 AllowPcoipOutBound 4172 Qualquer Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho.
Saída 1300 AllowUsbOutBound 32111 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1400 AllowMmrOutBound 9427 TCP Qualquer Sub-rede do tenant Permitir Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm.
Saída 1500 AllowAllOutBound Qualquer Qualquer Qualquer Sub-rede do tenant Permitir Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, de forma semelhante à regra na prioridade 1200, essa regra oferece suporte ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs.
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores.

NSG criado por implantador da VM do conector do gateway quando o gateway externo é implantado na própria VNet

A VM do conector de gateway tem uma única NIC. Essa NIC é conectada à sub-rede de gerenciamento da VNet do gateway externo. O implantador cria um único NSG e associa esse NSG especificamente a essa NIC. Por padrão, o NSG criado pelo implantador da NIC de gerenciamento do conector do gateway tem as mesmas regras que o NSG criado pelo implantador da VM do gerenciador de pod.

Tabela 8. Regras de NSG criado por implantador na NIC de gerenciamento da VM do conector do gateway externo
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 1000 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir Durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM desse conector de gateway, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência. A VM de jumpbox de curta duração se comunica com essa VM do conector de gateway usando o SSH para a porta 22 da VM. As operações de pod do dia a dia não exigem disponibilidade da porta 22 na VM do conector do gateway.
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16?
Entrada 1200 AllowHttpsInBound 443 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a camada de controle de nuvem se comunicar de forma segura com o endpoint da REST API do conector do gateway.
Entrada 1300 AllowApacheGeodeInBound 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Essas portas são usadas para replicar informações relacionadas a compartilhamento de arquivos e sessões dos usuários em todas as VMs do gerenciador de pods e na VM do conector do gateway.
Entrada 1400 AllowTelegrafInBound 9172 Qualquer Sub-rede de gerenciamento Qualquer Permitir Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware.
Entrada 1500 AllowAgentJmsInBound 4001, 4002 Qualquer Sub-rede de gerenciamento Qualquer Permitir Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware.
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores.

NSG criado por implantador da VM jumpbox temporária

Se você fizer uma solicitação de suporte à VMware, e a equipe de suporte determinar que a maneira de atender a essa solicitação é implantar uma VM de jumpbox temporária, essa jumpbox temporária terá um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído quando a equipe de suporte conclui esse trabalho. A permissão será solicitada a você antes de qualquer acesso de emergência.

Tabela 9. Regras de NSG criadas pelo serviço na NIC de gerenciamento da VM de jumpbox temporário
Direção Prioridade Nome Portas Protocolo Origem Destino Ação Finalidade
Entrada 100 AllowSSHInBound 22 Qualquer Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Para a comunicação SSH com os dispositivos gerenciados pela VMware envolvidos na investigação da equipe de suporte da VMware para sua solicitação de serviço. A VM de jumpbox de curta duração se comunica usando o SSH e a porta 22.
Observação: Nos casos em que a camada de controle de nuvem perdeu o acesso ao pod, a equipe de suporte pode implantar uma jumpbox de emergência com um IP público para estabelecer o acesso ao pod. Esse cenário exigirá que esta regra tenha Origem=Qualquer e Destino=Qualquer.
Saída 100 AllowSSHOutbound 22 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Para que a VM da jumpbox execute suas funções projetadas.
Saída 101 AllowHttpsOutbound 443 TCP Sub-rede de gerenciamento Qualquer Permitir Para a VM de jumpbox fazer download de componentes de software externos específicos, como a interface de linha de comando (Command Line-Interface, CLI) do Microsoft Azure, para executar suas funções projetadas.
Saída 102 AllowHttpOutbound 80 TCP Sub-rede de gerenciamento Qualquer Permitir Para a VM de jumpbox fazer download de componentes de software específicos localizados externamente, como atualizações de software do Ubuntu, para executar suas funções projetadas.
Saída 103 AllowUagOutbound 9443 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir Para que a VM de jumpbox execute suas funções projetadas relacionadas às configurações de administração do gateway usando a interface de gerenciamento do gateway.
Saída 104 AllowDnsOutbound 53 Qualquer Sub-rede de gerenciamento Qualquer Permitir Para a VM de jumpbox acessar os serviços DNS.
Saída 105 AllowHttpProxyOutbound Qualquer TCP Qualquer Qualquer Permitir Quando a implantação do pod está configurada para usar um proxy com uma porta de proxy diferente de 80, o implantador de jumpbox temporário cria essa regra nesse NSG. Essa regra oferece suporte à jumpbox temporária nesse ambiente de proxy.

Essa regra não aparece nesse NSG quando a configuração da implantação do pod não tem um proxy especificado ou tem um proxy especificado com a porta 80 do proxy.

Saída 1000 DenyAllOutBound Qualquer TCP Qualquer Qualquer Negar Limita o tráfego de saída deste NIC usando TCP para os itens nas linhas anteriores.