Usar um NSG para controlar os tipos de tráfego de rede que podem acessar NICs de uma VM é uma prática recomendada do Microsoft Azure. Por padrão, a primeira execução do assistente Importar Máquina Virtual do Marketplace do Horizon Universal Console para um pod Horizon Cloud específico cria um NSG no mesmo grupo de recursos que a VM e anexa a NIC da VM resultante a esse NSG. Na próxima execução do assistente, dependendo de você ter optado por ter um endereço IP público criado nessa execução inicial, o sistema anexará a VM subsequente ao mesmo NSG ou criará um segundo NSG. As regras nesses NSGs determinam o tráfego permitido para as VMs importadas criadas pelo assistente.
Conforme descrito na documentação do Microsoft Azure, no Microsoft Azure, um grupo de segurança de rede (NSG) determina o tráfego de rede para os recursos conectados às Redes Virtuais (VNet) do Azure. Um NSG define as regras de segurança que permitem ou bloqueiam o tráfego de rede. Para obter mais informações sobre como os NSGs filtram o tráfego de rede, consulte o tópico de documentação do Microsoft Azure Filtrar o tráfego de rede com grupos de segurança de rede. O Microsoft Azure cria algumas regras padrão automaticamente em cada NSG quando ele é criado. Em cada NSG criado, o Microsoft Azure cria algumas regras de entrada e de saída na prioridade 65000 e superior. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure quando qualquer pessoa ou sistema cria um NSG no Microsoft Azure. Essas regras não são criadas pelo Horizon Cloud. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.
Quando o fluxo de trabalho Importar Máquina Virtual do Marketplace é executado, o sistema cria esses NSGs no mesmo grupo de recursos em que a VM importada é criada. Para ver o padrão de nomenclatura usado para o grupo de recursos do pod no qual o assistente cria as VMs, consulte Tenants de primeira geração: grupos de recursos criados para um pod implantado no Microsoft Azure.
Com Habilitar Endereço IP Público
Para VMs criadas com a opção Habilitar Endereço IP Público do assistente ativada, o sistema anexa essas VMs ao NSG chamado HCS-Imported-VM-NSG
. Além das regras padrão criadas pelo Microsoft Azure em todos os NSGs, esse NSG tem uma regra de entrada que permite o tráfego de entrada usando a porta RDP. Como o objetivo da opção Habilitar Endereço IP Público é oferecer a capacidade de fazer login na VM pela Internet pública, para que você possa personalizar a VM, essa regra de entrada fornece essa capacidade para que você faça login na VM pela Internet usando o RDP.
Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
---|---|---|---|---|---|---|
300 | AllowRDP | 3389 | TCP | Qualquer | Qualquer | Permitir |
Sem Habilitar Endereço IP Público
Para VMs criadas com a opção Habilitar Endereço IP Público do assistente desativada, o sistema anexa essas VMs ao NSG chamado HCS-Imported-VM-NSG-Basic
. Este NSG contém apenas as regras padrão criadas pelo Microsoft Azure quando um NSG é criado. Essas regras padrão do Microsoft Azure não são descritas neste tópico de documentação, pois são criadas automaticamente pelo Microsoft Azure. Para obter detalhes sobre essas regras padrão, consulte o tópico de documentação do Microsoft Azure Regras de segurança padrão.