O objetivo deste tópico de documentação é explicar a você o que você verá depois de usar um ambiente do Horizon Cloud de primeira geração para criar um pod na sua assinatura do Microsoft Azure e, em seguida, fazer login no portal do Microsoft Azure e observar o que o implantador do pod criou ali. Como parte da implantação do pod no Microsoft Azure, o processo automatizado de implantação cria um conjunto de grupos de segurança de rede (network security groups, NSGs) e associa cada um às interfaces de rede individuais (NICs) específicas que estão em cada uma das máquinas virtuais (virtual machines, VMs) relacionadas ao pod e controladas pela VMware. Essas VMs relacionadas ao pod são as VMs do gerenciador do pod e as VMs implantadas quando o pod é configurado com o Unified Access Gateway.
Antes de ler esta página
Antes de ler esta página, leve em consideração os pontos a seguir.
A partir de agosto de 2022, o Horizon Cloud Service - next-gen estará em disponibilidade geral e terá seu próprio guia, Uso do Horizon Control Plane next-gen.
Uma indicação de qual ambiente você tem, next-gen ou primeira geração, é o padrão que aparece no campo de URL do navegador depois que você faz login em seu ambiente e vê o rótulo Horizon Universal Console. Para um ambiente next-gen, o endereço de URL do console contém uma parte como /hcsadmin/. A URL do console de primeira geração tem uma seção diferente (/horizonadmin/).
Introdução geral
O implantador do pod associa o NSG criado pelo implantador adequado com a NIC apropriada, de acordo com o projeto e a arquitetura da VMware para o pod. Esses NSGs são usados no nível da NIC para garantir que cada NIC em um determinado dispositivo gerenciado pela VMware possa receber o tráfego que esse dispositivo deve receber para operações padrão de serviço e de pod na sub-rede conectada da NIC e bloquear todo o tráfego que o dispositivo não deve receber. Cada NSG inclui um conjunto de regras de segurança que definem o tráfego permitido de e para cada NIC.
Os NSGs descritos aqui são separados dos usados para as VMs base, os farms e as áreas de trabalho VDI provisionadas pelo pod quando você os cria usando o Horizon Universal Console. Esses NSGs têm informações de uso diferentes. Para obter informações sobre esses NSGs, consulte os seguintes tópicos:
- Os grupos de Segurança de Rede (NSGs) criados pelo Importar Máquina Virtual do Assistente do Marketplace do Horizon Cloud
- Sobre farms e grupos de segurança de rede em um pod do Horizon Cloud
- Sobre grupos de segurança de rede e áreas de trabalho VDI em um pod do Horizon Cloud
- Copiar ou mover essas regras de NSG ou NSGs para qualquer sub-rede usada pelo Horizon Cloud
- Copiar ou mover essas regras de NSG ou NSGs entre as NICs que estão associadas às VMs do pod.
Os NSGs por criados pelo Horizon Cloud e as regras dentro deles são específicos às VMs e NICs específicas às quais eles estão conectados e devem ser usados explicitamente para os fins dessas NICs e VMs. Qualquer alteração nesses NSGs ou regras, ou qualquer tentativa de usá-los para qualquer outra finalidade - mesmo nas mesmas sub-redes às quais essas NICs estão anexadas - provavelmente resultará na interrupção do tráfego de rede necessário para e das NICs às quais eles estão anexados. Essa interrupção, por sua vez, pode resultar na interrupção de todas as operações de pod. O ciclo de vida desses NSGs é gerenciado pelo Horizon Cloud, e há motivos específicos para cada um. Esses motivos incluem:
- A capacidade de a camada de controle de nuvem se comunicar com o pod.
- Gerenciamento da infraestrutura do pod
- Operações de ciclo de vida do pod
No entanto, você pode criar seus próprios NSGs que contêm as regras de sua própria organização nos grupos de recursos fora dos grupos de recursos do pod que são criados e gerenciados automaticamente pelo Horizon Cloud para as VMs do pod. As regras em seus próprios NSGs não devem entrar em conflito com os requisitos do Horizon Cloud para o gerenciamento e as operações das VMs do pod. Tais NSGs devem ser anexados às sub-redes de gerenciamento, de tenant e de zona desmilitarizada usadas pelo pod. Criar seus próprios NSGs dentro dos grupos de recursos gerenciados pelo Horizon Cloud causará uma falha durante as ações de exclusão nos grupos de recursos gerenciados do Horizon Cloud se os seus NSGs nesses grupos de recursos estiverem associados a um recurso que reside em um grupo de recursos diferente.
Conforme descrito na documentação do Microsoft Azure, a finalidade de um grupo de segurança de rede (NSG) é filtrar o tráfego de rede para e de recursos no ambiente do Microsoft Azure usando regras de segurança. Cada regra tem um conjunto de propriedades, como origem, destino, porta, protocolo e assim por diante, que determina o tráfego permitido para os recursos aos quais o NSG está associado. Os NSGs que o Horizon Cloud cria e associa automaticamente às NICs das VMs do pod controladas pela VMware contêm regras específicas que o Horizon Cloud determinou como necessárias ao gerenciamento do pod do serviço, com o propósito de executar adequadamente as operações contínuas e gerenciar o ciclo de vida do pod. De modo geral, cada regra definida nos NSGs tem como objetivo fornecer o tráfego da porta das operações do pod que é parte integrante do cumprimento das finalidades de negócios padrão do serviço de uma assinatura do Horizon Cloud, como os casos de uso de VDI para enviar áreas de trabalho virtuais aos usuários finais. Consulte também Requisitos de portas e protocolos para um pod do Horizon Cloud.
As seções abaixo listam as regras de NSG que o Horizon Cloud define nesses NSGs.
Fatos gerais sobre estes NSGs
Essa lista se aplica a todos os NSGs criados pelo implantador que o implantador associa a NICs específicas nas VMs relacionadas ao pod.
- Os NSGs criados pela VMware são para a segurança dos dispositivos de software controlados pela VMware. Quando VMware adiciona um novo software à sua assinatura e há necessidade de mais regras, essas novas regras são incluídas nesses NSGs.
- No portal do Microsoft Azure, os NSGs têm nomes que contêm o padrão
vmw-hcs-podUUID, onde podUUID é o identificador do pod, exceto para NSGs que são para uma configuração de gateway externo implantada na própria VNet. Nesse caso, os NSGs relevantes do gateway têm nomes que contêm o padrãovmw-hcs-ID, onde ID é a ID de implantação para esse gateway externo.Observação: Para o cenário em que a configuração externa de gateway é implantada em uma assinatura separada usando a opção de implantação em um grupo de recursos existente pré-criado nessa assinatura, o NSG na NIC de gerenciamento da VM do conector do gateway é nomeado em um padrão com base no nome do grupo de recursos em vez do padrãovmw-hcs-podUUID. Por exemplo, se você tiver nomeado esse grupo de recursos comohcsgateways, o Horizon Cloud criará nele um NSG chamadohcsgateways-mgmt-nsge o associará à NIC de gerenciamento da VM do conector de gateway.Você pode localizar esses identificadores navegando até os detalhes do pod pela página Capacidade do console administrativo.
Observação: Quando você escolhe que o Unified Access Gateway externo do pod deve usar um grupo de recursos personalizado, o nome do NSG criado pelo implantador da VM do conector do gateway contém o nome desse grupo de recursos personalizado em vez dovmw-hcs-IDpadrão. Por exemplo, se você especificar o uso de um grupo de recursos personalizado chamadoourhcspodgatewaypara o gateway externo do seu pod, o NSG que o implantador cria e associa à NIC da VM de gateway será nomeado paraourhcspodgateway-mgmt-nsg. - Os NSGs estão localizados no mesmo grupo de recursos que as VMs e as NICs às quais estão associados. Por exemplo, os NSGs associados às NICs nas VMs externas do Unified Access Gateway estão localizados no grupo de recursos chamado
vmw-hcs-podUUID-uagquando o gateway externo é implantado na VNet do pod e usando um grupo de recursos criado pelo implantador. Consulte também Tenants de primeira geração: grupos de recursos criados para um pod implantado no Microsoft Azure. - O Horizon Cloud pode adicionar novas regras ou modificar as regras conforme apropriado para garantir a manutenção do serviço.
- Durante uma atualização de pod, os NSGs e as regras serão mantidos. Eles não serão excluídos.
- As regras do Horizon Cloud começam com prioridade 1000, e as prioridades aumentam em incrementos que normalmente são de 100. As regras do Horizon Cloud terminam com uma regra na prioridade 3000.
- As regras do
AllowAzureInBoundpara o endereço IP de origem 168.63.129.16 provisionam para os NSGs que aceitam a comunicação de entrada da plataforma Microsoft Azure, conforme descrito no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16. Todas as VMs relacionadas ao pod fazem parte do Microsoft Azure. Conforme descrito no tópico da documentação do Microsoft Azure, o endereço IP 168.63.129.16 delas facilita várias tarefas de gerenciamento de VM que a plataforma de nuvem do Microsoft Azure executa em todas as VMs na nuvem. Por exemplo, com esse endereço IP, o agente que está na VM pode se comunicar facilmente com a plataforma do Microsoft Azure para sinalizar o estado Pronto da VM. - Nos NSGs para as instâncias de Unified Access Gateway, as regras do
AllowPcoipUdpInBoundsão definidas para qualquer porta, pois o tráfego PCoIP está usando números de porta variável no intervalo 4173+, para que o tráfego não possa ser restrito a um conjunto específico de portas. - O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
- Cada regra definida nos NSGs tem como objetivo fornecer o tráfego da porta das operações do pod que é parte integrante do cumprimento das finalidades de negócios padrão do serviço de uma assinatura do Horizon Cloud, como os casos de uso de VDI para enviar áreas de trabalho virtuais aos usuários finais. Consulte também Requisitos de portas e protocolos para um pod do Horizon Cloud.
- Quando você edita o pod para especificar sub-redes de tenant adicionais para uso com farms e atribuições de área de trabalho VDI, as regras nos NSGs relacionados ao tenant nas VMs do Gerenciador de pods e nos NICs das VMs do Unified Access Gateway são atualizadas para incluir essas sub-redes adicionais de tenant.
- Se você fizer uma solicitação de suporte à VMware, e a equipe de suporte determinar que a maneira de atender a essa solicitação é implantar uma VM de jumpbox temporária, essa jumpbox temporária terá um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído quando a equipe de suporte termina.
NSGs criados por implantador da VM do gerenciador de pod
A VM do gerenciador de pod tem duas NICs, uma conectada à sub-rede de gerenciamento e a outra conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.
- A NIC de gerenciamento tem um NSG nomeado no padrão
vmw-hcs-podUUID-mgmt-nsg. - A NIC do tenant tem um NSG nomeado no padrão
vmw-hcs-podUUID-tenant-nsg.
No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID.
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade da regra |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowSshInBound | 22 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM do gerenciador de pod, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência. A VM de jumpbox de curta duração se comunica com uma VM do gerenciador de pods usando o SSH para a porta 22 da VM. As operações de pod do dia a dia não exigem disponibilidade da porta 22 na VM do gerenciador de pods. |
| Entrada | 1100 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 1200 | AllowHttpsInBound | 443 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Para a camada de controle de nuvem se comunicar de forma segura com o endpoint da REST API do gerenciador de pod. |
| Entrada | 1300 | AllowApacheGeodeInBound | 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Essas portas são usadas para replicar informações relacionadas ao compartilhamento de arquivos e sessões de usuário entre as VMs do gerenciador de pods. |
| Entrada | 1400 | AllowTelegrafInBound | 9172 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware. |
| Entrada | 1500 | AllowAgentJmsInBound | 4001, 4002 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware. |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Qualquer | Permitir | Essa regra pode ser usada em um cenário atípico em que você pediu aos seus usuários finais internos (em sua rede corporativa, via VPN) para fazer as conexões de cliente com um FQDN que você mapeou para o balanceador de carga do Microsoft Azure do pod. Às vezes, esse cenário é chamado de conexão de pod direto. No caso da solicitação de autenticação de login para o gerenciador de pods, os clientes Horizon Client e o cliente Web do Horizon usam a porta 443. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443. |
| Entrada | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | Sub-rede do tenant | Qualquer | Permitir | A porta 3443 de entrada para essa NIC é usada pelo App Volumes Agent nas VMs base, de área de trabalho e de RDSH do farm para acessar o serviço App Volumes Manager, que é executado no gerenciador de pods. A porta 8443 de entrada para essa NIC é usada pelas instâncias do Unified Access Gateway para verificação com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods. |
| Entrada | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | Qualquer | Permitir | Para obter consistência de código e facilidade de manutenção, o implantador do pod sempre grava essa regra nesse NSG. Em uma implantação em que o gateway externo do pod é implantado em sua própria VNet separada do pod, essa regra dá suporte ao tráfego de entrada das instâncias do Unified Access Gateway do gateway externo para verificar com o gerenciador de pods. As instâncias do gateway usam esse endpoint para confirmar o envio de novas solicitações de conexão de cliente para o gerenciador de pods. |
| Entrada | 1120 | AllowUagHttpsInBound | 8443 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Essa regra está planejada para uso em uma versão de manutenção futura. |
| Entrada | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | Sub-rede do tenant | Qualquer | Permitir | Os Horizon Agents nas VMs base, de área de trabalho e de RDSH do farm usam essas portas. A porta 4001 é para o Java Message Service (JMS, não SSL), usado pelo agente na VM para se comunicar com o pod como parte da verificação e da troca de impressão digital do certificado para proteger uma conexão SSL com o pod.
Depois que as chaves são negociadas e trocadas entre a VM e o gerenciador de pods, o agente usa a porta 4002 para criar uma conexão SSL segura.
Observação: Ambas as portas 4001 e 4002 são necessárias para as operações de estado estável. Às vezes, o agente pode precisar de uma nova chave para o pod.
|
| Entrada | 1210 | AllowRouterJmsInBound | 4101 | TCP | Sub-rede do tenant | Qualquer | Permitir | Quando um pod está ativado para HA (alta disponibilidade), o tráfego é roteado por JMS entre as VMs do gerenciador de pod (nó 1 e nó 2) |
| Entrada | 1300 | AllowAgentUdpInBound | 5678 | UDP | Sub-rede do tenant | Qualquer | Permitir | Obsoleta em pods com os manifestos 1600 e mais recentes. Na versão de setembro de 2019 do serviço, o DaaS Agent foi incorporado ao Horizon Agent a partir do manifesto 1600 do pod. Antes, a porta 5678 e o protocolo UDP eram usados para permitir o uso do DaaS Agent. |
| Entrada | 1400 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
NSGs criados por implantador das VMs externas do Unified Access Gateway
Cada uma das VMs para a configuração de Unified Access Gateway externa tem três (3) NICs, uma conectada à sub-rede de gerenciamento, uma conectada à sub-rede do tenant e uma conectada à sub-rede DMZ. O implantador cria um NSG específico para cada uma dessas três NICs e associa cada NSG à sua NIC apropriada.
- A NIC de gerenciamento tem um NSG nomeado no padrão
vmw-hcs-ID-uag-management-nsg. - A NIC de tenant tem um NSG nomeado no padrão
vmw-hcs-ID-uag-tenant-nsg. - A NIC de zona desmilitarizada tem um NSG nomeado no padrão
vmw-hcs-ID-uag-dmz-nsg.
No seu ambiente do Microsoft Azure, esses NSGs são nomeados no padrão vmw-hcs-ID-uag, em que ID é o ID do pod exibido na página de detalhes do pod no console, a menos que o gateway externo seja implantado na própria VNet separada da do pod. No caso de um gateway externo implantado na própria VNet, a ID é o valor ID de Implantação mostrado na página de detalhes do pod.
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowHttpsInBound | 9443 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP. |
| Entrada | 1100 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 1200 | AllowSshInBound | 22 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência. |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
| Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para negar o tráfego de saída desta NIC. |
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 1400 | AllowPcoipUdpInBound | Qualquer | UDP | Sub-rede do tenant | Qualquer | Permitir | Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP. |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
| Saída | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra permite que as instâncias do Unified Access Gateway se comuniquem com as VMs do gerenciador de pods para a finalidade de novas solicitações de conexão de cliente para os gerenciadores de pods. |
| Saída | 1100 | AllowBlastOutBound | 22443 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm. |
| Saída | 1200 | AllowPcoipOutBound | 4172 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho. |
| Saída | 1300 | AllowUsbOutBound | 32111 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
| Saída | 1400 | AllowMmrOutBound | 9427 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
| Saída | 1500 | AllowAllOutBound | Qualquer | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, assim como a regra de prioridade 1.200, essa regra atende ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs. |
| Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores. |
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Qualquer | Permitir | Essa regra pode ser usada para o tráfego de entrada dos usuários finais externos dos clientes Horizon Client e do cliente Web do Horizon para fazer a solicitação de autenticação de login ao gerenciador de pods. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443. |
| Entrada | 1100 | AllowBlastInBound | 443 8443 |
Qualquer | Internet | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais externos. |
| Entrada | 1200 | AllowPcoipInBound | 4172 | Qualquer | Internet | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais externos. |
| Entrada | 1300 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
NSGs criados por implantador das VMs internas do Unified Access Gateway
Cada uma das VMs para a configuração interna do Unified Access Gateway tem duas (2) NICs, uma conectada à sub-rede de gerenciamento e uma conectada à sub-rede do tenant. O implantador cria um NSG específico para cada uma dessas duas NICs e associa cada NSG à sua NIC apropriada.
- A NIC de gerenciamento tem um NSG nomeado no padrão
vmw-hcs-podUUID-uag-management-nsg. - A NIC do tenant tem um NSG nomeado no padrão
vmw-hcs-podUUID-uag-tenant-nsg.
No seu ambiente do Microsoft Azure, esses NSGs residem no grupo de recursos do pod nomeado no padrão vmw-hcs-podUUID-uag-internal.
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowHttpsInBound | 9443 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Para o serviço definir as configurações de administração do gateway usando a interface de gerenciamento dele. Conforme descrito na documentação do produto Unified Access Gateway, a interface de gerenciamento está na porta 9443/TCP. |
| Entrada | 1100 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 1200 | AllowSshInBound | 22 | Qualquer | Sub-rede de gerenciamento | Qualquer | Qualquer | Para a VMware realizar o acesso de emergência à VM, se necessário, para solução de problemas. A permissão será solicitada a você antes de qualquer acesso de emergência. |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
| Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para negar o tráfego de saída desta NIC. |
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Qualquer | Permitir | Essa regra pode ser usada para o tráfego de entrada dos usuários finais internos dos clientes Horizon Client e do cliente Web do Horizon para fazer a solicitação de autenticação de login ao gerenciador de pods. Por padrão, o Horizon Client e o cliente Web do Horizon usam a porta 443 para essa solicitação. Para permitir o redirecionamento fácil como uma comodidade a um usuário que pode digitar HTTP em vez de HTTPS no cliente, esse tráfego chega à porta 80 e é automaticamente redirecionado para a porta 443. |
| Entrada | 1200 | AllowBlastInBound | 443 8443 |
Qualquer | VirtualNetwork | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego do Blast dos clientes Horizon Client dos usuários finais internos. |
| Entrada | 1300 | AllowPcoipInBound | 4172 | Qualquer | VirtualNetwork | Qualquer | Permitir | Essa regra é compatível com as instâncias do Unified Access Gateway que recebem o tráfego PCoIP dos clientes Horizon Client dos usuários finais internos. |
| Entrada | 1400 | AllowPcoipUdpInBound | Qualquer | UDP | Sub-rede do tenant | Qualquer | Permitir | Essa regra é compatível com a configuração padrão usada para o Unified Access Gateway trabalhar com o Horizon Agent. Os Horizon Agents nas VMs de área de trabalho e do farm enviam os dados PCoIP de volta às instâncias do Unified Access Gateway por UDP. |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
| Saída | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra permite que as instâncias do Unified Access Gateway se comuniquem com as VMs do gerenciador de pods para a finalidade de novas solicitações de conexão de cliente para o pod. |
| Saída | 1100 | AllowBlastOutBound | 22443 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão do Horizon Client Blast Extreme com o Horizon Agent em uma VM de área de trabalho ou do farm. |
| Saída | 1200 | AllowPcoipOutBound | 4172 | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso de uma sessão de PCoIP do Horizon Client com o Horizon Agent em uma VM de área de trabalho. |
| Saída | 1300 | AllowUsbOutBound | 32111 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende ao caso de uso do tráfego de redirecionamento de USB. O redirecionamento de USB é uma opção de agente nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 32111 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
| Saída | 1400 | AllowMmrOutBound | 9427 | TCP | Qualquer | Sub-rede do tenant | Permitir | Essa regra atende aos casos de uso do tráfego de redirecionamento de multimídia (multimedia redirection, MMR) e de redirecionamento de driver do cliente (client driver redirection, CDR). Esses redirecionamentos são opções de agentes nas VMs de área de trabalho ou do farm. Esse tráfego usa a porta 9427 para uma sessão de cliente do usuário final com o Horizon Agent em uma VM de área de trabalho ou do farm. |
| Saída | 1500 | AllowAllOutBound | Qualquer | Qualquer | Qualquer | Sub-rede do tenant | Permitir | Durante a execução em uma VM compatível com várias sessões de usuário, o Horizon Agent escolhe portas diferentes para usar com o tráfego PCoIP das sessões. Como não é possível determinar essas portas com antecedência, uma regra de NSG que nomeia portas específicas para permitir o tráfego não pode ser definida antecipadamente. Portanto, de forma semelhante à regra na prioridade 1200, essa regra oferece suporte ao caso de uso de várias sessões PCoIP do Horizon Client com essas VMs. |
| Saída | 3000 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de saída da NIC aos itens nas linhas anteriores. |
NSG criado por implantador da VM do conector do gateway quando o gateway externo é implantado na própria VNet
A VM do conector de gateway tem uma única NIC. Essa NIC é conectada à sub-rede de gerenciamento da VNet do gateway externo. O implantador cria um único NSG e associa esse NSG especificamente a essa NIC. Por padrão, o NSG criado pelo implantador da NIC de gerenciamento do conector do gateway tem as mesmas regras que o NSG criado pelo implantador da VM do gerenciador de pod.
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 1000 | AllowSshInBound | 22 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Durante as operações de estado estável, se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a solução do problema da solicitação é implantar uma VM de jumpbox para comunicação por SSH com a VM desse conector de gateway, essa regra de NSG resolverá esse caso de uso. A permissão será solicitada a você antes de qualquer acesso de emergência. A VM de jumpbox de curta duração se comunica com essa VM do conector de gateway usando o SSH para a porta 22 da VM. As operações de pod do dia a dia não exigem disponibilidade da porta 22 na VM do conector do gateway. |
| Entrada | 1100 | AllowAzureInBound | Qualquer | Qualquer | 168.63.129.16 | Qualquer | Permitir | Para que a VM aceite a comunicação de entrada da plataforma do Microsoft Azure, conforme descrito na seção Fatos gerais anterior e no tópico da documentação do Microsoft Azure O que é o endereço IP 168.63.129.16? |
| Entrada | 1200 | AllowHttpsInBound | 443 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Para a camada de controle de nuvem se comunicar de forma segura com o endpoint da REST API do conector do gateway. |
| Entrada | 1300 | AllowApacheGeodeInBound | 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Essas portas são usadas para replicar informações relacionadas a compartilhamento de arquivos e sessões dos usuários em todas as VMs do gerenciador de pods e na VM do conector do gateway. |
| Entrada | 1400 | AllowTelegrafInBound | 9172 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware. |
| Entrada | 1500 | AllowAgentJmsInBound | 4001, 4002 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Preterida. Esse NSG foi usado pelo recurso Monitoramento de Infraestrutura do Horizon, que foi preterido, conforme descrito no Artigo 93762 da Base de Dados de Conhecimento da VMware. |
| Entrada | 3000 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Adicionada pelo implantador para limitar o tráfego de entrada da NIC aos itens nas linhas anteriores. |
NSG criado por implantador da VM jumpbox temporária
Se você fizer uma solicitação de suporte à VMware, e a equipe de suporte determinar que a maneira de atender a essa solicitação é implantar uma VM de jumpbox temporária, essa jumpbox temporária terá um NSG em seu grupo de recursos de jumpbox temporária. Esse NSG é excluído quando o grupo de recursos da jumpbox é excluído quando a equipe de suporte conclui esse trabalho. A permissão será solicitada a você antes de qualquer acesso de emergência.
| Direção | Prioridade | Nome | Portas | Protocolo | Origem | Destino | Ação | Finalidade |
|---|---|---|---|---|---|---|---|---|
| Entrada | 100 | AllowSSHInBound | 22 | Qualquer | Sub-rede de gerenciamento | Sub-rede de gerenciamento | Permitir | Para a comunicação SSH com os dispositivos gerenciados pela VMware envolvidos na investigação da equipe de suporte da VMware para sua solicitação de serviço. A VM de jumpbox de curta duração se comunica usando o SSH e a porta 22.
Observação: Nos casos em que a camada de controle de nuvem perdeu o acesso ao pod, a equipe de suporte pode implantar uma jumpbox de emergência com um IP público para estabelecer o acesso ao pod. Esse cenário exigirá que esta regra tenha Origem=Qualquer e Destino=Qualquer.
|
| Saída | 100 | AllowSSHOutbound | 22 | TCP | Sub-rede de gerenciamento | Sub-rede de gerenciamento | Permitir | Para que a VM da jumpbox execute suas funções projetadas. |
| Saída | 101 | AllowHttpsOutbound | 443 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Para a VM de jumpbox fazer download de componentes de software externos específicos, como a interface de linha de comando (Command Line-Interface, CLI) do Microsoft Azure, para executar suas funções projetadas. |
| Saída | 102 | AllowHttpOutbound | 80 | TCP | Sub-rede de gerenciamento | Qualquer | Permitir | Para a VM de jumpbox fazer download de componentes de software específicos localizados externamente, como atualizações de software do Ubuntu, para executar suas funções projetadas. |
| Saída | 103 | AllowUagOutbound | 9443 | TCP | Sub-rede de gerenciamento | Sub-rede de gerenciamento | Permitir | Para que a VM de jumpbox execute suas funções projetadas relacionadas às configurações de administração do gateway usando a interface de gerenciamento do gateway. |
| Saída | 104 | AllowDnsOutbound | 53 | Qualquer | Sub-rede de gerenciamento | Qualquer | Permitir | Para a VM de jumpbox acessar os serviços DNS. |
| Saída | 105 | AllowHttpProxyOutbound | Qualquer | TCP | Qualquer | Qualquer | Permitir | Quando a implantação do pod está configurada para usar um proxy com uma porta de proxy diferente de 80, o implantador de jumpbox temporário cria essa regra nesse NSG. Essa regra oferece suporte à jumpbox temporária nesse ambiente de proxy. Essa regra não aparece nesse NSG quando a configuração da implantação do pod não tem um proxy especificado ou tem um proxy especificado com a porta 80 do proxy. |
| Saída | 1000 | DenyAllOutBound | Qualquer | TCP | Qualquer | Qualquer | Negar | Limita o tráfego de saída deste NIC usando TCP para os itens nas linhas anteriores. |
