O objetivo deste tópico de documentação é explicar a você o que você verá depois de usar o Horizon Cloud para criar um pod na sua assinatura do Microsoft Azure e, em seguida, fazer login no portal do Microsoft Azure e observar o que o implantador do pod criou ali. Como parte da implantação do pod no Microsoft Azure, o processo de implantação automatizada cria um conjunto de grupos de segurança de rede (NSGs) e o associa às interfaces de rede individuais (NICs) específicas que estão em cada uma das máquinas virtuais (VMs) relacionadas ao pod. Tais VMs relacionadas ao pod são as VMs do gerenciador do pod e as VMs implantadas quando o pod é configurado com o Unified Access Gateway. Além disso, durante os fluxos de trabalho relacionados à implantação de pod, como a implantação de um pod ou a adição de uma configuração de gateway a um pod, a jumpbox temporária também tem um NSG em seu grupo de recursos de jumpbox temporária. O implantador do pod associa o NSG criado pelo implantador adequado com a NIC apropriada, de acordo com o projeto e a arquitetura da VMware para o pod. Esses NSGs são usados em um nível da NIC para garantir que cada NIC em uma VM de pod específica possa receber o tráfego que a NIC deve receber para operações de pod na sub-rede conectada da NIC e bloquear todo o tráfego que a NIC não deve receber. Cada NSG contém um conjunto de regras de segurança que definem o tráfego permitido para e a partir dessa NIC.

Os NSGs descritos aqui são separados dos usados para os farms e as áreas de trabalho VDI que você cria no pod e têm diferentes informações de uso. Para obter informações sobre os NSGs usados para farms e pools, consulte Sobre os grupos de segurança de rede e seus farms e Sobre os grupos de segurança de rede e suas áreas de trabalho VDI.

Aviso: Você nunca deve excluir nem editar NSGs do Horizon Cloud automaticamente criados e associados às NICs das VMs de pod. Isso inclui ações como:
  • Copiar ou mover essas regras de NSG ou NSGs para qualquer sub-rede usada pelo Horizon Cloud
  • Copiar ou mover essas regras de NSG ou NSGs entre as NICs que estão associadas às VMs do pod.

Os NSGs por criados pelo Horizon Cloud e as regras dentro deles são específicos às VMs e NICs específicas às quais eles estão conectados e devem ser usados explicitamente para os fins dessas NICs e VMs. Qualquer alteração nesses NSGs ou regras, ou qualquer tentativa de usá-los para qualquer outra finalidade — mesmo nas mesmas sub-redes às quais essas NICs estão anexadas — provavelmente resultará na interrupção do tráfego de rede necessário para e das NICs às quais eles estão anexados. Essa interrupção, por sua vez, pode resultar na interrupção de todas as operações de pod. O ciclo de vida desses NSGs é gerenciado pelo Horizon Cloud, e há motivos específicos para cada um. Esses motivos incluem:

  • A capacidade de a camada de controle de nuvem se comunicar com o pod.
  • Gerenciamento da infraestrutura do pod
  • Operações de ciclo de vida do pod
Como qualquer tentativa de alterar esses NSGs ou de reutilizá-los ou suas regras contidas provavelmente causará a interrupção dessas funções, ela é considerada um uso incompatível do Horizon Cloud.

No entanto, você pode criar seus próprios NSGs que contêm as regras de sua própria organização nos grupos de recursos fora dos grupos de recursos do pod que são criados e gerenciados automaticamente pelo Horizon Cloud para as VMs do pod. As regras em seus próprios NSGs não devem entrar em conflito com os requisitos do Horizon Cloud para o gerenciamento e as operações das VMs do pod. Tais NSGs devem ser anexados às sub-redes de gerenciamento, de tenant e de zona desmilitarizada usadas pelo pod. Criar seus próprios NSGs dentro dos grupos de recursos gerenciados pelo Horizon Cloud causará uma falha durante as ações de exclusão nos grupos de recursos gerenciados do Horizon Cloud se os seus NSGs nesses grupos de recursos estiverem associados a um recurso que reside em um grupo de recursos diferente.

Conforme descrito na documentação do Microsoft Azure, a finalidade de um grupo de segurança de rede (NSG) é filtrar o tráfego de rede para e de recursos no ambiente do Microsoft Azure usando regras de segurança. Cada regra tem um conjunto de propriedades, como origem, destino, porta, protocolo e assim por diante, que determina o tráfego permitido para os recursos aos quais o NSG está associado. Os NSGs que o Horizon Cloud cria e associa automaticamente às NICs das VMs do pod contêm regras específicas que o Horizon Cloud determinou como necessárias para o gerenciamento do pod do serviço, para a execução adequada de operações contínuas do pod e para o gerenciamento do ciclo de vida do pod. As seções abaixo listam as regras de NSG que o Horizon Cloud define nesses NSGs.

Fatos gerais sobre estes NSGs

Essa lista se aplica a todos os NSGs criados pelo implantador que o implantador associa a NICs específicas nas VMs relacionadas ao pod.

  • No portal do Microsoft Azure, os NSGs têm nomes que contêm o padrão vmw-hcs-podUUID, onde podUUID é o identificador do pod, exceto para NSGs que são para uma configuração de gateway externo implantada na própria VNet. Nesse caso, os NSGs relevantes do gateway têm nomes que contêm o padrão vmw-hcs-ID, onde ID é a ID de implantação para esse gateway externo.
    Observação: Para o cenário em que a configuração externa de gateway é implantada em uma assinatura separada usando a opção de implantação em um grupo de recursos existente pré-criado nessa assinatura, o NSG na NIC de gerenciamento da VM do conector do gateway é nomeado em um padrão com base no nome do grupo de recursos em vez do padrão vmw-hcs-podUUID. Por exemplo, se você tiver nomeado esse grupo de recursos como hcsgateways, o Horizon Cloud criará nele um NSG chamado hcsgateways-mgmt-nsg e o associará à NIC de gerenciamento da VM do conector de gateway.

    Você pode localizar esses identificadores navegando até os detalhes do pod pela página Capacidade do console administrativo.

    Observação: Quando você escolhe que o Unified Access Gateway externo do pod deve usar um grupo de recursos personalizado, o nome do NSG criado pelo implantador da VM do conector do gateway contém o nome desse grupo de recursos personalizado em vez do vmw-hcs-ID padrão. Por exemplo, se você especificar o uso de um grupo de recursos personalizado chamado ourhcspodgateway para o gateway externo do seu pod, o NSG que o implantador cria e associa à NIC da VM de gateway será nomeado para ourhcspodgateway-mgmt-nsg.
  • Os NSGs estão localizados no mesmo grupo de recursos que as VMs e as NICs às quais estão associados. Por exemplo, os NSGs associados às NICs nas VMs externas do Unified Access Gateway estão localizados no grupo de recursos chamado vmw-hcs-podUUID-uag quando o gateway externo é implantado na VNet do pod e usando um grupo de recursos criado pelo implantador. Consulte também Grupos de recursos criados para um pod implantado no Microsoft Azure.
  • O Horizon Cloud pode adicionar novas regras ou modificar as regras conforme apropriado para garantir a manutenção do serviço.
  • Durante uma atualização de pod, os NSGs e as regras serão mantidos. Eles não serão excluídos.
  • Exceto as regras de NSG de jumpbox temporária, as regras do Horizon Cloud começam com prioridade 1000 e as prioridades aumentam em incrementos de 100. As regras do Horizon Cloud terminam com uma regra na prioridade 3000. Para as regras NSG da jumpbox, as regras do Horizon Cloud começam com prioridade 100, e as prioridades aumentam em incrementos de 1. As regras do Horizon Cloud terminam com uma regra na prioridade 1000.
  • As regras do AllowAzureInBound para o endereço IP de origem 168.63.129.16 provisionam para os NSGs que aceitam a comunicação de entrada da plataforma Microsoft Azure, conforme descrito no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16.
  • Nos NSGs para as instâncias de Unified Access Gateway, as regras do AllowPcoipUdpInBound são definidas para qualquer porta, pois o tráfego PCoIP está usando números de porta variável no intervalo 4173+, para que o tráfego não possa ser restrito a um conjunto específico de portas.
  • O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
  • Durante os fluxos de trabalho relacionados a implantações, como a implantação de um pod ou a adição de uma configuração de gateway a um pod, a jumpbox temporária também tem um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído na conclusão do fluxo de trabalho.

NSGs criados por implantador da VM do gerenciador de pod

A VM do gerenciador de pod tem duas NICs, uma conectada à sub-rede de gerenciamento e a outra conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-mgmt-nsg.
  • A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-tenant-nsg.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID.

Importante: Quando o pod está usando o recurso para ter seu gateway externo em uma VNet separada (que inclui o caso em que o gateway está usando uma assinatura separada da assinatura do pod), o NSG para a NIC de tenant da VM do gerenciador de pod tem uma regra de entrada adicional chamada AllowGatewayBrokeringHttpsInBound para a porta 8443 TCP com VirtualNetwork como a origem. As regras de NSG criadas pelo implantador na NIC de tenant da VM do gerenciador de pod quando o gateway externo está em uma VNet separada são listadas na terceira tabela abaixo.
Tabela 1. Regras do NSG criadas por implantador na NIC de gerenciamento da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 1200 AllowHttpsInBound 443 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 1300 AllowApacheGeodeInBound 10334, 41000-41002, 42000-42002 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 1400 AllowTelegrafInBound 9172 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar
Tabela 2. Regras do NSG criadas por implantador na NIC de tenant da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir
Entrada 1100 AllowAgentHttpsInBound

3443

8443

TCP Sub-rede do tenant Qualquer Permitir
Entrada 1200 AllowAgentJmsInBound

4001

4002

TCP Sub-rede do tenant Qualquer Permitir
Entrada 1210 AllowRouterJmsInBound 4101 TCP Sub-rede do tenant Qualquer Permitir
Entrada 1300 AllowAgentUdpInBound 5678 UDP Sub-rede do tenant Qualquer Permitir
Entrada 1400 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar
Tabela 3. Quando o gateway externo reside em uma VNet separada, regras de NSG criadas pelo implantador na NIC de tenant da VM do gerenciador de pod
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir
Entrada 1100 AllowAgentHttpsInBound

3443

8443

TCP Sub-rede do tenant Qualquer Permitir
Entrada 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Qualquer Permitir
Entrada 1200 AllowAgentJmsInBound

4001

4002

TCP Sub-rede do tenant Qualquer Permitir
Entrada 1210 AllowRouterJmsInBound 4101 TCP Sub-rede do tenant Qualquer Permitir
Entrada 1300 AllowAgentUdpInBound 5678 UDP Sub-rede do tenant Qualquer Permitir
Entrada 1400 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar

NSGs criados por implantador das VMs externas do Unified Access Gateway

Cada uma das VMs para a configuração de Unified Access Gateway externa tem três (3) NICs, uma conectada à sub-rede de gerenciamento, uma conectada à sub-rede do tenant e uma conectada à sub-rede DMZ. O implantador cria um NSG específico para cada uma dessas três NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-ID-uag-management-nsg.
  • A NIC de tenant tem um NSG nomeado no padrão vmw-hcs-ID-uag-tenant-nsg.
  • A NIC de zona desmilitarizada tem um NSG nomeado no padrão vmw-hcs-ID-uag-dmz-nsg.

No seu ambiente do Microsoft Azure, esses NSGs são nomeados no padrão vmw-hcs-ID-uag, em que ID é o ID do pod exibido na página de detalhes do pod no console, a menos que o gateway externo seja implantado na própria VNet separada da do pod. No caso de um gateway externo implantado na própria VNet, a ID é o valor ID de Implantação mostrado na página de detalhes do pod.

Tabela 4. Regras do NSG criadas por implantador na NIC de gerenciamento das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowHttpsInBound 9443 TCP Sub-rede de gerenciamento Qualquer Permitir
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 1200 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar
Tabela 5. Regras do NSG criadas por implantador na NIC do tenant das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 1400 AllowPcoipUdpInBound Qualquer UDP Sub-rede do tenant Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar
Saída 1000 AllowHttpsOutBound

443

8443

TCP Qualquer Sub-rede do tenant Permitir
Saída 1100 AllowBlastOutBound 22443 Qualquer Qualquer Sub-rede do tenant Permitir
Saída 1200 AllowPcoipOutBound 4172 Qualquer Qualquer Sub-rede do tenant Permitir
Saída 1300 AllowUsbOutBound 32111 TCP Qualquer Sub-rede do tenant Permitir
Saída 1400 AllowMmrOutBound 9427 TCP Qualquer Sub-rede do tenant Permitir
Saída 1500 AllowAllOutBound Qualquer Qualquer Qualquer Sub-rede do tenant Permitir
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar
Tabela 6. Regras do NSG criadas por implantador na NIC da zona desmilitarizada das VMs externas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowHttpsInBound

80

443

TCP Internet Qualquer Permitir
Entrada 1100 AllowBlastInBound

443

8443

Qualquer Internet Qualquer Permitir
Entrada 1200 AllowPcoipInBound 4172 Qualquer Internet Qualquer Permitir
Entrada 1300 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar

NSGs criados por implantador das VMs internas do Unified Access Gateway

Cada uma das VMs para a configuração interna do Unified Access Gateway tem duas (2) NICs, uma conectada à sub-rede de gerenciamento e uma conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.

  • A NIC de gerenciamento tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-management-nsg.
  • A NIC do tenant tem um NSG nomeado no padrão vmw-hcs-podUUID-uag-tenant-nsg.

No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID-uag-internal.

Tabela 7. Regras do NSG criadas por implantador na NIC de gerenciamento das VMs internas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowHttpsInBound 9443 TCP Sub-rede de gerenciamento Qualquer Permitir
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 1200 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Qualquer
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar
Tabela 8. Regras do NSG criadas por implantador na NIC do tenant das VMs internas do Unified Access Gateway
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Qualquer Permitir
Entrada 1200 AllowBlastInBound

443

8443

Qualquer VirtualNetwork Qualquer Permitir
Entrada 1300 AllowPcoipInBound 4172 Qualquer VirtualNetwork Qualquer Permitir
Entrada 1400 AllowPcoipUdpInBound Qualquer UDP Sub-rede do tenant Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar
Saída 1000 AllowHttpsOutBound

443

8443

TCP Qualquer Sub-rede do tenant Permitir
Saída 1100 AllowBlastOutBound 22443 Qualquer Qualquer Sub-rede do tenant Permitir
Saída 1200 AllowPcoipOutBound 4172 Qualquer Qualquer Sub-rede do tenant Permitir
Saída 1300 AllowUsbOutBound 32111 TCP Qualquer Sub-rede do tenant Permitir
Saída 1400 AllowMmrOutBound 9427 TCP Qualquer Sub-rede do tenant Permitir
Saída 1500 AllowAllOutBound Qualquer Qualquer Qualquer Sub-rede do tenant Permitir
Saída 3000 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar

NSG criado por implantador da VM do conector do gateway quando o gateway externo é implantado na própria VNet

A VM do conector de gateway tem uma única NIC. Essa NIC é conectada à sub-rede de gerenciamento da VNet do gateway externo. O implantador cria um único NSG e associa esse NSG especificamente a essa NIC.

Tabela 9. Regras de NSG criado por implantador na NIC de gerenciamento da VM do conector do gateway externo
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 1000 AllowSshInBound 22 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 1100 AllowAzureInBound Qualquer Qualquer 168.63.129.16 Qualquer Permitir
Entrada 1200 AllowHttpsInBound 443 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 1300 AllowApacheGeodeInBound 10334, 41000-41002, 42000-42002 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 1400 AllowTelegrafInBound 9172 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Entrada 3000 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar

NSG criado por implantador da VM jumpbox temporária

Durante os fluxos de trabalho relacionados a implantações, como a implantação de um pod ou a adição de uma configuração de gateway a um pod, a jumpbox temporária também tem um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído na conclusão do fluxo de trabalho.

Tabela 10. Regras de NSG criado por implantador na NIC de gerenciamento da VM jumpbox
Direção Prioridade Nome Portas Protocolo Origem Destino Ação
Entrada 100 AllowSSHInBound 22 Qualquer Qualquer Qualquer Permitir
Saída 100 AllowSSHOutbound 22 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir
Saída 101 AllowHttpsOutbound 443 TCP Sub-rede de gerenciamento Qualquer Permitir
Saída 102 AllowHttpOutbound 80 TCP Sub-rede de gerenciamento Qualquer Permitir
Saída 103 AllowUagOutbound 9443 TCP Sub-rede de gerenciamento Sub-rede de gerenciamento Permitir
Saída 104 AllowDnsOutbound 53 Qualquer Sub-rede de gerenciamento Qualquer Permitir
Saída 1000 DenyAllOutBound Qualquer TCP Qualquer Qualquer Negar