Sobre esta página

Em parte, as portas e os protocolos específicos necessários para a sua implantação específica dependerão dos recursos selecionados para uso na sua implantação do Horizon Cloud Service on Microsoft Azure. Se você planeja não usar um componente ou protocolo específico, seu tráfego de comunicação necessário não será necessário para sua finalidade, e você poderá ignorar as portas associadas a esse componente. Por exemplo, se os usuários finais usarem apenas o protocolo de exibição Blast Extreme, permitir as portas PCoIP não será um requisito.

Como parte do processo de implantação de pod, o implantador cria grupos de segurança de rede (NSGs) nas interfaces de rede (NICs) em todas as VMs implantadas. Para obter detalhes sobre as regras definidas nesses NSGs, consulte Regras de Grupo de Segurança de Rede Padrão para as VMs em um Pod do Horizon Cloud.

Portas e protocolos exigidos pelos principais componentes do pod para operações contínuas

Além dos requisitos de DNS, as portas e os protocolos nas tabelas a seguir são necessários para que o pod funcione adequadamente para operações em andamento após a implantação. Algumas dessas tabelas também listam portas e protocolos necessários para cenários específicos ou quando você tiver ativado recursos específicos no pod.

No portal do Microsoft Azure, as VMs do gerenciador de pods têm nomes que contêm uma parte como vmw-hcs-podID, em que podID é o UUID do pod, e uma parte de node.

O uso pelo sistema de um balanceador de carga do Microsoft Azure com as VMs do gerenciador de pods começou a partir do manifesto 1600, na versão de serviço de setembro de 2019. Portanto, todos os pods implantados a partir do manifesto 1600 em diante têm um balanceador de carga do Microsoft Azure do pod. Os pods que foram implantados antes do manifesto 1600 e posteriormente atualizados para manifestos posteriores também têm um balanceador de carga do Microsoft Azure do pod. As linhas da tabela que mencionam o balanceador de carga do pod se aplicam a todos esses pods.

Requisitos de protocolos e portas da VM do conector do gateway

Esta tabela se aplica à VM do conector do gateway usada quando você implantou o gateway externo em uma VNet separada. Além dos requisitos de DNS, as portas e os protocolos na tabela a seguir são necessários para que o gateway externo funcione adequadamente para operações em andamento após a implantação.

Na tabela abaixo, o termo VM do conector refere-se à VM do conector do gateway que gerencia a conexão entre o plano de gerenciamento de nuvem e o gateway externo. No portal do Microsoft Azure, parte do nome dessa VM é vmw-hcs-ID, em que ID é a ID do implantador do gateway, e outra parte é node.

Requisitos de portas e protocolos da VM do Unified Access Gateway

Além dos requisitos de protocolos e portas principais acima e do DNS, as portas e os protocolos nas tabelas a seguir se relacionam aos gateways que você configurou no pod para funcionar corretamente para operações contínuas após a implantação.

Para conexões que usam um pod habilitado à alta disponibilidade configurado com as instâncias do Unified Access Gateway, o tráfego deve ser permitido nas instâncias do Unified Access Gateway do pod para destinos, conforme listado na tabela abaixo. Durante a implantação do pod, um Grupo de Segurança de Rede (NSG) é criado no ambiente do Microsoft Azure para uso pelas instâncias do Unified Access Gateway do pod.

Portas e protocolos exigidos pelo Universal Broker

Para oferecer suporte ao uso do Universal Broker para a intermediação de atribuições de usuários finais a partir de um pod, você deve configurar a porta 443 conforme descrito na tabela a seguir. O gerenciador de pods ativo estabelece uma conexão de WebSocket persistente com o serviço do Universal Broker por meio da porta 443 e recebe solicitações de conexão do serviço do Universal Broker por meio de uma porta selecionada aleatoriamente.

Requisitos de protocolos e portas de tráfego de conexão do usuário final

Para se conectar aos aplicativos remotos e áreas de trabalho virtuais provisionados pelo pod dos seus dispositivos, seus usuários finais usam um VMware Horizon Client instalado compatível ou seu navegador (conhecido como cliente do Horizon HTML Access). As portas que devem ser abertas para o tráfego dos clientes dos usuários finais alcançar suas áreas de trabalho virtuais provisionadas por pod e aplicativos remotos dependem da escolha que você fizer sobre como seus usuários finais se conectarão:

Quando você escolhe a opção de implantador de ter uma configuração de gateway externo na própria VNet do pod

O implantador implanta instâncias do Unified Access Gateway no ambiente do Microsoft Azure, juntamente com um recurso do balanceador de carga do Microsoft Azure para essas instâncias nesse pool de backend do balanceador de carga. Esse balanceador de carga se comunica com os NICs dessas instâncias na sub-rede DMZ e está configurado como um balanceador de carga público no Microsoft Azure. O diagrama Ilustração da arquitetura do Horizon Cloud Pod para um pod com alta disponibilidade ativado e definido com as configurações externa e interna do Unified Access Gateway descreve o local desse balanceador de carga público e das instâncias do Unified Access Gateway.Quando seu pod tem essa configuração, o tráfego dos seus usuários finais na Internet vai para esse balanceador de carga, que distribui as solicitações para as instâncias do Unified Access Gateway. Para essa configuração, você deve garantir que essas conexões de usuários finais possam chegar ao balanceador de carga usando as portas e os protocolos listados abaixo. Após a implantação, o balanceador de carga do gateway externo estará localizado no grupo de recursos denominado vmw-hcs-podID-uag, em que podID é o UUID do pod.

Quando você escolhe a opção do implantador de configuração interna do Unified Access Gateway

Uma configuração de gateway interno é implantada na própria VNet do pod por padrão. O implantador implanta instâncias do Unified Access Gateway no ambiente do Microsoft Azure, juntamente com um recurso do balanceador de carga do Microsoft Azure para essas instâncias nesse pool de backend. Esse balanceador de carga se comunica com as NICs dessas instâncias na sub-rede do tenant e está configurado como um balanceador de carga interno no Microsoft Azure. O diagrama Ilustração da arquitetura do Horizon Cloud Pod para um pod com alta disponibilidade ativado e definido com as configurações externa e interna do Unified Access Gateway descreve o local desse balanceador de carga interno e das instâncias do Unified Access Gateway. Quando seu pod tem essa configuração, o tráfego dos seus usuários finais em sua rede corporativa vai para esse balanceador de carga, que distribui as solicitações para as instâncias do Unified Access Gateway. Para essa configuração, você deve garantir que essas conexões de usuários finais possam chegar ao balanceador de carga usando as portas e os protocolos listados abaixo. Após a implantação, o balanceador de carga do gateway interno estará localizado no grupo de recursos denominado vmw-hcs-podID-uag-internal, em que podID é o UUID do pod.

Quando você escolhe as opções do implantador de configuração de gateway externo na própria VNet e não nos pods, ou a opção de usar a própria assinatura (que é um subcaso especial de uso da própria VNet, pois as VNets não abrangem as assinaturas)

O implantador implanta instâncias do Unified Access Gateway no ambiente do Microsoft Azure, juntamente com um recurso do balanceador de carga do Microsoft Azure para essas instâncias nesse pool de backend do balanceador de carga. Esse balanceador de carga se comunica com os NICs dessas instâncias na sub-rede DMZ e está configurado como um balanceador de carga público no Microsoft Azure. O diagrama Ilustração dos elementos de arquitetura do gateway externo quando o gateway externo é implantado na própria VNet, separado da do pod descreve o local desse balanceador de carga público e das instâncias do Unified Access Gateway na própria VNet do gateway.Quando seu pod tem essa configuração, o tráfego dos seus usuários finais na Internet vai para esse balanceador de carga, que distribui as solicitações para as instâncias do Unified Access Gateway. Para essa configuração, você deve garantir que essas conexões de usuários finais possam chegar ao balanceador de carga usando as portas e os protocolos listados abaixo. Após a implantação, o balanceador de carga do gateway externo estará localizado no grupo de recursos chamado vmw-hcs-ID-uag, em que ID é o valor exibido no campo ID do Implantador da página de detalhes do pod. Conforme descrito no Guia de Administração, você acessa a página de detalhes do pod pela página Capacidade do console.

Quando você não tem configurações do Unified Access Gateway no pod

Observação: Para ambientes de produção em que o tenant está configurado para usar a intermediação de pod único, a prática recomendada para conexões de usuário final internas é usar uma configuração de gateway do Unified Access Gateway interno no pod. Essas conexões iriam para essa configuração de gateway no cenário de intermediação de pod único.

Em uma configuração em que você tem a intermediação de pod único e o Workspace ONE Access integrado ao pod, normalmente os usuários finais são conectados por meio do Workspace ONE Access. Nesse cenário, você deve configurar o Workspace ONE Access e o Workspace ONE Access Connector apontando diretamente para o pod. Os usuários finais estão se conectando aos recursos provisionados pelo pod usando o Workspace ONE Access. Para essa configuração, você carrega um certificado SSL para as VMs do gerenciador de pods usando a página de resumo do pod no console, conforme descrito em Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod. Depois, conclua as etapas para integrar o Workspace ONE Access ao pod.

Requisitos de portas e protocolos para o tráfego de agentes instalados na VM base, nas VMs de área de trabalho VDI e nas VMs RDSH de farm

As portas a seguir devem permitir o tráfego entre o software relacionado ao agente instalado nas VMs base, nas VMs de área de trabalho e nas VMs RDSH do farm e as VMs do gerenciador de pods.

Portas e protocolos exigidos pelos recursos do App Volumes

Conforme declarado em Aplicativos do App Volumes para Horizon Cloud on Microsoft Azure: visão geral e pré-requisitos, para dar suporte ao uso dos recursos do App Volumes que são compatíveis para uso com um pod do Horizon Cloud, você deve configurar a porta 445 para o tráfego de protocolo TCP na sub-rede do tenant do pod. A porta 445 é a porta SMB padrão para acessar um compartilhamento de arquivos SMB no Microsoft Windows. Os AppStacks são armazenados em um compartilhamento de arquivos SMB localizado no mesmo grupo de recursos referente às VMs do gerenciador de pods.

Além disso, conforme descrito em Tenants de primeira geração: Implantações do Horizon Cloud on Microsoft Azure: requisitos de resolução de nomes de host e nomes DNS, quando o Azure Cloud provisiona esse compartilhamento de arquivos SMB, o Azure Cloud atribui um nome de domínio completo (FQDN) no padrão *.file.core.windows.net, em que * é o nome gerado pelo Azure da conta de armazenamento do compartilhamento de arquivos SMB. Esse FQDN deve ser resolvido pelo seu servidor DNS para que o App Volumes possa acessar e montar esses compartilhamentos de arquivos e recuperar os AppStacks. Você deve garantir que o seu servidor DNS resolva esse FQDN em todos os momentos para os processos do App Volumes Manager que são executados dentro das instâncias do gerenciador de pods e para o App Volumes Agent que é executado nos desktops do VDI.

Integração com o Workspace ONE Assist for Horizon - DNS, Portas e Requisitos de Protocolo

Workspace ONE Assist for Horizon é um produto na linha de produtos do Workspace ONE UEM. A partir da versão Horizon Cloud de agosto de 2021, quando requisitos específicos forem atendidos, você poderá integrar o uso desse produto a áreas de trabalho VDI provisionadas por meio dos pods de seu tenant do Horizon Cloud. Para obter detalhes completos sobre os requisitos, consulte o guia do VMware Workspace ONE Assist for Horizon localizado na área de Documentação do VMware Workspace ONE Assist.

O uso dos recursos de assistência requer comunicação de saída entre as VMs de área de trabalho VDI e o servidor Workspace ONE Assist que oferece suporte à integração com seu tenant Horizon Cloud.

Requisitos de DNS

Verifique se o nome DNS de seu servidor Workspace ONE Assist é solucionável e acessível pelas sub-redes de tenant do pod nas quais as VMs de área de trabalho VDI residirão. O guia do VMware Workspace ONE Assist for Horizon mencionado anteriormente fornece os nomes DNS dos servidores do Workspace ONE Assist.

Requisitos de Portas e Protocolos

O tráfego de saída que usa a porta 443, TCP e HTTPS deve ser permitido das VMs de área de trabalho VDI nas quais o aplicativo Workspace ONE Assist for Horizon está instalado.

Quando necessário para uma solicitação de suporte ativo, portas e protocolos de jumpbox temporários

Se você fizer uma solicitação de suporte à VMware e a equipe de suporte determinar que a maneira de se usar essa solicitação é implantar uma VM de jumpbox temporária para comunicação SSH com os dispositivos gerenciados pela VMware, essa jumpbox exigirá as portas e os protocolos descritos aqui.

Uma permissão será solicitada a você para uma implantação de jumpbox relacionada ao suporte. A equipe de suporte da VMware informará você sobre os requisitos de comunicação, conforme apropriado para qualquer situação de suporte.

Essa VM de jumpbox relacionada ao suporte foi projetada para se comunicar como uma origem dos destinos a seguir.

• A porta 22 das VMs do gerenciador de pods do pod usando SSH e a porta 22.
• A porta 9443 das VMs do Unified Access Gateway usando HTTPS.
• A porta 22 da VM do conector do gateway usando SSH em uma implantação em que o gateway externo é implantado na própria VNet.

A natureza da solicitação de suporte e dos dispositivos usados na implantação determinam quais dispositivos ou dispositivos gerenciados pela VMware específicos devem ser permitidos como o destino para a comunicação.

Como essas VMs recebem endereços IP dinamicamente, as seguintes regras de rede podem fornecer as comunicações descritas. Todas as atividades de solicitação de suporte, sempre procure orientação e supervisão do Suporte da VMware para requisitos para a implementação de jumpbox relacionada ao suporte.

• O CIDR de sub-rede de gerenciamento como a origem e o destino, com a porta de destino 22, a porta de origem qualquer uma e o TCP de protocolo.
• O CIDR de sub-rede de gerenciamento como a origem e o destino, com a porta de destino 9443, a porta de origem qualquer uma e o TCP de protocolo, quando uma configuração do Unified Access Gateway está envolvida.

True SSO, Gerenciamento de certificados e implantações do Horizon Cloud on Microsoft Azure

As VMs de área de trabalho provisionadas pelo pod do Horizon Cloud não se comunicam diretamente com o Servidor de Registro. A VM do gerenciador de pods ativo da implantação do Horizon Cloud on Microsoft Azure retransmite as solicitações de certificado para o Servidor de Registro. Quando o certificado é obtido, o Horizon Agent nas VMs de área de trabalho usa esse certificado para executar a operação de Logon de Certificado em nome do usuário da área de trabalho.

A arquitetura de request-response é a mesma para uma VM de gerenciador de pods de uma implantação do Horizon Cloud on Microsoft Azure e do Horizon Connection Server de uma implantação do Horizon. Em uma implantação do Horizon Cloud on Microsoft Azure, as VMs do gerenciador de pods têm conexões com as VMs de área de trabalho na sub-rede da VM primária (também chamada de sub-rede do tenant) e em quaisquer sub-redes de VM adicionais que o administrador VDI possa ter adicionado usando o fluxo de trabalho Editar Pod.

Duas classes de certificado serão validadas por vários componentes: certificados de usuário e certificados de canal. O True SSO adiciona um certificado de usuário que é validado pelo servidor de autenticação. Neste caso de uma implantação do Horizon Cloud on Microsoft Azure, esse servidor de autenticação é um servidor Microsoft Active Directory. Como a arquitetura da Microsoft determina quais números de porta podem ser usados para esta validação de certificado, uma grande variedade de números de porta pode ser usada para essa validação, pois as portas fazem parte da arquitetura da Microsoft e não são específicas para a própria implantação do Horizon Cloud on Microsoft Azure.

Usando o True SSO em uma implantação do Horizon Cloud on Microsoft Azure, o Horizon Agent gera uma CSR e a envia para a VM do gerenciador de pods ativo da implantação por meio do canal de comunicação já em vigor entre essa VM do gerenciador de pods e esse Horizon Agent. A VM do gerenciador de pods retransmite a solicitação para o Servidor de Registro por meio de um canal TCP criptografado por SSL seguro (porta 32111 ou a porta configurada pelo cliente na instalação do Servidor de Registro). O Servidor de Registro gera uma solicitação do CMC, anexa a CSR e o nome de usuário conforme fornecido pelo Gerenciador de Pods, assina o CMC usando o Certificado do Agente de Inscrição e o envia à Autoridade de Certificação usando o protocolo MS-DCOM (RPC).

O Horizon Agent recebe o certificado, serializa-o como uma credencial de login e o envia para o processo de login do Windows. O componente do Windows LSASS recebe o certificado, o valida (verifica se ele é válido e confiável e se a máquina local contém a chave privada do certificado) e a envia para um Controlador de Domínio (DC). O DC pode optar por verificar a CRL conforme especificado no certificado do usuário.

Diagramas de rede visualmente ricos

Para obter uma representação visualmente rica das relações entre estes componentes, portas e protocolos, consulte os diagramas de rede e as descrições da VMware Digital Workspace Tech Zone em https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams.