Para as operações do Horizon Cloud em andamento, um pod implantado no Microsoft Azure já na versão de setembro de 2019 e posteriores ou que é atualizado para ela tem requisitos específicos de porta e protocolo que são diferentes de um pod que foi implantado anteriormente. Os pods implantados novos ou atualizados para a versão de setembro de 2019 têm versões de manifesto 1600 ou posteriores.

Importante:

Além das portas e protocolos descritos aqui, você deve atender aos requisitos de DNS. Para obter detalhes, consulte Requisitos de DNS para um pod do Horizon Cloud no Microsoft Azure.

Portas e protocolos exigidos pelos principais componentes do pod para operações contínuas

Além dos requisitos de DNS, as portas e os protocolos nas tabelas a seguir são necessários para que o pod funcione adequadamente para operações em andamento após a implantação.

Nas tabelas abaixo, a VM do gerenciador de termos refere-se à VM do gerenciador do pod. No portal do Microsoft Azure, parte do nome dessa VM é vmw-hcs-podID, em que podID é o UUID do pod, e a outra parte é node.

Importante: Um pod ativado para alta disponibilidade tem duas VMs de gerenciador. Um pod com alta disponibilidade desabilitada tem apenas uma VM de gerenciador. Nas tabelas abaixo, onde quer que você veja a VM de gerenciador de termos, ela se aplica a todas as VMs de gerenciador em seu pod habilitado à alta disponibilidade, a menos que seja indicada de outra forma.

Todos os pods na versão de manifesto da versão de setembro de 2019 ou posteriores têm um balanceador de carga do Microsoft Azure do pod. As linhas de tabela que envolvem o balanceador de carga do pod se aplicam a todos os pods no nível de manifesto 1600 ou posterior.

Tabela 1. Portas e Protocolos das Operações do Pod
Origem Destino Portas Protocolo Finalidade
VM do Gerenciador Outra VM do gerenciador do pod 4101 TCP Para um pod ativado com alta disponibilidade, esse tráfego é roteamento JMS entre as VMs do gerenciador.
VM do Gerenciador VMs do Unified Access Gateway 9443 HTTPS Essa porta é usada pela VM do gerenciador de pod na sub-rede de gerenciamento para definir as configurações na configuração do Unified Access Gateway do pod. Esse requisito de porta é aplicável quando se implanta inicialmente um pod com uma configuração do Unified Access Gateway e quando se edita um pod para adicionar uma configuração do Unified Access Gateway ou atualizar as definições para essa configuração do Unified Access Gateway.
Balanceador de carga do Microsoft Azure do pod VM do Gerenciador 8080 HTTP Verificações de integridade das VMs no pool de back-ends do balanceador de carga. Quando um pod na versão de manifesto dessa versão não está habilitado com alta disponibilidade, o balanceador de carga tem uma VM de gerenciador, e seu pool de back-end a verificar.
VM do Gerenciador Controlador de domínio 389 TCP

UDP

Serviços LDAP. Servidor que contém uma função de controlador de domínio em uma configuração do Active Directory. Registrar o pod com um Active Directory é um requisito.
VM do Gerenciador Catálogo global 3268 TCP Serviços LDAP. Servidor que contém a função de catálogo global em uma configuração do Active Directory. Registrar o pod com um Active Directory é um requisito.
VM do Gerenciador Controlador de domínio 88 TCP

UDP

Serviços do Kerberos. Servidor que contém uma função de controlador de domínio em uma configuração do Active Directory. Registrar o pod com um Active Directory é um requisito.
VM do Gerenciador Servidor DNS 53 TCP

UDP

Serviços DNS.
VM do Gerenciador Servidor NTP 123 UDP Serviços NTP. Servidor que fornece a sincronização de horário do NTP.
VM do Gerenciador Servidor de Registro do True SSO 32111 TCP Servidor de Registro do True SSO. Opcional se você não estiver usando recursos do Servidor de Inscrição da True SSO com os pods.
VM do Gerenciador Serviço Workspace ONE Access 443 HTTPS Opcional se você não estiver usando o Workspace ONE Access com o pod. Usado para criar um relacionamento de confiança entre o pod e o serviço do Workspace ONE Access. Certifique-se de que o pod possa acessar o ambiente do Workspace ONE Access que você estiver usando, no local ou no serviço de nuvem, na porta 443. Se você estiver usando o serviço de nuvem do Workspace ONE Access, consulte também a lista de endereços IP do Workspace ONE Access para o qual o Conector do Workspace ONE Access e o pod devem ter acesso no artigo 2149884 da Base de Dados de Conhecimento da VMware.
VM jumpbox transitória VM do Gerenciador 22 TCP Conforme descrito acima em Portas e protocolos exigidos pela jumpbox do pod durante implantações de pods e atualizações de pods, uma jumpbox transitória é usada durante a implantação de pod e os processos de atualização de pod. Embora processos contínuos não exijam essas portas, durante os processos de implantação de pod e de atualização de pod, essa VM jumpbox deve se comunicar com as VMs do gerenciador usando o SSH para a porta 22 das VMs do gerenciador. Para obter detalhes sobre os casos para os quais a VM jumpbox precisa dessa comunicação, consulte Portas e protocolos exigidos pela jumpbox do pod durante implantações de pods e atualizações de pods.
Observação: Um pod que está na versão de manifesto 1600 ou posterior e tem o recurso de alta disponibilidade habilitado terá duas VMs de gerenciador. O parágrafo anterior usa as VMs de palavra plural para indicar que a VM jumpbox deve se comunicar com todas as VMs de gerenciador do pod, tenha o pod apenas uma ou duas.
VM jumpbox transitória VMs do Unified Access Gateway 9443 HTTPS Essa porta é usada pela VM jumpbox na sub-rede de gerenciamento para definir as configurações na configuração do Unified Access Gateway do pod. Esse requisito de porta é aplicável quando se implanta inicialmente um pod com uma configuração do Unified Access Gateway e quando se edita um pod para adicionar uma configuração do Unified Access Gateway ao pod.

Requisitos de protocolos e portas da VM do conector do gateway

Esta tabela se aplica à VM do conector do gateway usada quando você implantou o gateway externo em uma VNet separada. Além dos requisitos de DNS, as portas e os protocolos na tabela a seguir são necessários para que o gateway externo funcione adequadamente para operações em andamento após a implantação.

Na tabela abaixo, o termo VM do conector refere-se à VM do conector do gateway que gerencia a conexão entre o plano de gerenciamento de nuvem e o gateway externo. No portal do Microsoft Azure, parte do nome dessa VM é vmw-hcs-ID, em que ID é a ID do implantador do gateway, e outra parte é node.

Tabela 2. Portas e Protocolos das Operações do Pod
Origem Destino Portas Protocolo Finalidade
VM do conector Servidor DNS 53 TCP

UDP

Serviços DNS.
VM do conector Servidor NTP 123 UDP Serviços NTP. Servidor que fornece a sincronização de horário do NTP.
VM jumpbox transitória VM do conector 22 TCP Conforme descrito acima em Portas e protocolos exigidos pela jumpbox do pod durante implantações de pods e atualizações de pods, uma jumpbox transitória é usada durante a implantação do gateway externo e durante processos de atualização. Embora processos contínuos não exijam essas portas, durante os processos de implantação e de atualização, essa VM jumpbox deve se comunicar com a VM do conector usando o SSH para a porta 22 das VMs do conector.

Requisitos de portas e protocolos da VM do Unified Access Gateway

Além dos requisitos de protocolos e portas principais acima e do DNS, as portas e os protocolos nas tabelas a seguir se relacionam aos gateways que você configurou no pod para funcionar corretamente para operações contínuas após a implantação.

Para conexões que usam um pod habilitado à alta disponibilidade configurado com as instâncias do Unified Access Gateway, o tráfego deve ser permitido nas instâncias do Unified Access Gateway do pod para destinos, conforme listado na tabela abaixo. Durante a implantação do pod, um Grupo de Segurança de Rede (NSG) é criado no ambiente do Microsoft Azure para uso pelo software do Unified Access Gateway do pod.

Tabela 3. Requisitos de porta para o tráfego proveniente das instâncias do Unified Access Gateway do pod
Origem Destino Porta Protocolo Finalidade
Unified Access Gateway Balanceador de carga do Microsoft Azure do pod 8443 TCP Tráfego de autenticação de login. O tráfego das instâncias do Unified Access Gateway chega à VM de gerenciador do pod por meio do balanceador de carga do pod.
Unified Access Gateway Horizon Agent nas VMs RDSH de farm ou área de trabalho 4172 TCP

UDP

PCoIP
Unified Access Gateway Horizon Agent nas VMs RDSH de farm ou área de trabalho 22443 TCP

UDP

Blast Extreme

Por padrão, quando Blast Extreme é usado, o tráfego de redirecionamento de unidade do cliente (CDR) e o tráfego USB são encapsulados por lado nesta porta. Se você preferir, o tráfego de CDR pode ser separado na porta TCP 9427 e o tráfego de redirecionamento USB pode ser separado na porta TCP 32111.

Unified Access Gateway Horizon Agent nas VMs RDSH de farm ou área de trabalho 9427 TCP Opcional para o tráfego de redirecionamento de unidade do cliente (CDR) e de redirecionamento de multimídia (MMR).
Unified Access Gateway Horizon Agent nas VMs RDSH de farm ou área de trabalho 32111 TCP Opcional para o tráfego de redirecionamento USB.
Unified Access Gateway Sua instância do RADIUS 1812 UDP Ao usar a autenticação de dois fatores RADIUS com essa configuração do Unified Access Gateway. O valor padrão para RADIUS é mostrado aqui.

Portas e protocolos exigidos pelo Universal Broker

Para oferecer suporte ao uso do Universal Broker para a intermediação de atribuições de usuários finais a partir de um pod, você deve configurar a porta 443 conforme descrito na tabela a seguir. O gerenciador de pods ativo estabelece uma conexão de WebSocket persistente com o serviço do Universal Broker por meio da porta 443 e recebe solicitações de conexão do serviço do Universal Broker por meio de uma porta selecionada aleatoriamente.

Tabela 4. Requisitos de porta para o Universal Broker
Origem Porta de origem Destino Porta de destino Protocolo Finalidade
Gerenciador de pods ativo Selecionado aleatoriamente de portas disponíveis Serviço Universal Broker 443 Primeiro HTTPS; depois WebSocket Usado para estabelecer uma conexão persistente do WebSocket com o serviço do Universal Broker

Requisitos de protocolos e portas de tráfego de conexão do usuário final

Para obter informações detalhadas sobre os vários Horizon Clients que os usuários finais podem usar com o seu pod do Horizon Cloud, consulte a página de documentação do Horizon Client em https://docs.vmware.com/br/VMware-Horizon-Client/index.html. As portas que devem ser abertas para o tráfego proveniente de conexões dos usuários finais para acessar suas áreas de trabalho virtuais e aplicativos remotos provisionadas pelo pod dependem da escolha feita em como os usuários se conectarão:

Quando você escolhe a opção de implantador de ter uma configuração de gateway externo na própria VNet do pod
O implantador implanta instâncias do Unified Access Gateway no ambiente do Microsoft Azure, juntamente com um recurso do balanceador de carga do Microsoft Azure para essas instâncias nesse pool de backend do balanceador de carga. Esse balanceador de carga se comunica com os NICs dessas instâncias na sub-rede DMZ e está configurado como um balanceador de carga público no Microsoft Azure. O diagrama Ilustração da arquitetura do Horizon Cloud Pod para um pod com alta disponibilidade habilitada, com configurações de gateway interno e externo, o gateway externo implantado na mesma VNet do pod, três NICs nas VMs de gateway externo, duas NICs nas VMs de gateway interno e um IP público habilitado para o balanceador de carga do gateway externo descreve o local desse balanceador de carga público e das instâncias do Unified Access Gateway.Quando seu pod tem essa configuração, o tráfego dos seus usuários finais na Internet vai para esse balanceador de carga, que distribui as solicitações para as instâncias do Unified Access Gateway. Para essa configuração, você deve garantir que essas conexões de usuários finais possam chegar ao balanceador de carga usando as portas e os protocolos listados abaixo. Após a implantação, o balanceador de carga do gateway externo estará localizado no grupo de recursos denominado vmw-hcs-podID-uag, em que podID é o UUID do pod.
Quando você escolhe a opção do implantador de configuração interna do Unified Access Gateway
Uma configuração de gateway interno é implantada na própria VNet do pod por padrão. O implantador implanta instâncias do Unified Access Gateway no ambiente do Microsoft Azure, juntamente com um recurso do balanceador de carga do Microsoft Azure para essas instâncias nesse pool de backend. Esse balanceador de carga se comunica com as NICs dessas instâncias na sub-rede do tenant e está configurado como um balanceador de carga interno no Microsoft Azure. O diagrama Ilustração da arquitetura do Horizon Cloud Pod para um pod com alta disponibilidade habilitada, com configurações de gateway interno e externo, o gateway externo implantado na mesma VNet do pod, três NICs nas VMs de gateway externo, duas NICs nas VMs de gateway interno e um IP público habilitado para o balanceador de carga do gateway externo descreve o local desse balanceador de carga interno e das instâncias do Unified Access Gateway. Quando seu pod tem essa configuração, o tráfego dos seus usuários finais em sua rede corporativa vai para esse balanceador de carga, que distribui as solicitações para as instâncias do Unified Access Gateway. Para essa configuração, você deve garantir que essas conexões de usuários finais possam chegar ao balanceador de carga usando as portas e os protocolos listados abaixo. Após a implantação, o balanceador de carga do gateway interno estará localizado no grupo de recursos denominado vmw-hcs-podID-uag-internal, em que podID é o UUID do pod.
Quando você escolhe as opções do implantador de configuração de gateway externo na própria VNet e não nos pods, ou a opção de usar a própria assinatura (que é um subcaso especial de uso da própria VNet, pois as VNets não abrangem as assinaturas)
O implantador implanta instâncias do Unified Access Gateway no ambiente do Microsoft Azure, juntamente com um recurso do balanceador de carga do Microsoft Azure para essas instâncias nesse pool de backend do balanceador de carga. Esse balanceador de carga se comunica com os NICs dessas instâncias na sub-rede DMZ e está configurado como um balanceador de carga público no Microsoft Azure. O diagrama Ilustração dos elementos de arquitetura do gateway externo quando o gateway externo é implantado na própria VNet, separado da do pod descreve o local desse balanceador de carga público e das instâncias do Unified Access Gateway na própria VNet do gateway.Quando seu pod tem essa configuração, o tráfego dos seus usuários finais na Internet vai para esse balanceador de carga, que distribui as solicitações para as instâncias do Unified Access Gateway. Para essa configuração, você deve garantir que essas conexões de usuários finais possam chegar ao balanceador de carga usando as portas e os protocolos listados abaixo. Após a implantação, o balanceador de carga do gateway externo estará localizado no grupo de recursos chamado vmw-hcs-ID-uag, em que ID é o valor exibido no campo ID do Implantador da página de detalhes do pod. Conforme descrito no Guia de Administração, você acessa a página de detalhes do pod pela página Capacidade do console.
Quando você opta por ter zero configurações do Unified Access Gateway no pod, como quando está integrando o Workspace ONE Access ao pod ou permitindo que os usuários internos se conectem diretamente via VPN
Atenção: Em sistemas de produção, para acesso de usuário interno, a boa prática é usar uma configuração interna de gateway do Unified Access Gateway no pod e não conexões diretas com o pod.
Quando o Workspace ONE Access está integrado ao pod, você normalmente faz com que seus usuários finais se conectem por meio do Workspace ONE Access. Quando o Workspace ONE Access estiver integrado a um pod do Horizon Cloud no Microsoft Azure, você deverá configurá-lo apontando diretamente para o pod. Nenhuma configuração do Unified Access Gateway será necessária no pod quando os usuários finais estiverem se conectando aos recursos provisionados por pod usando o Workspace ONE Access. Para essa configuração, você carrega um certificado SSL para as VMs do gerenciador do pod usando a página de resumo do pod no console, conforme descrito no Guia de Administração do VMware Horizon Cloud Service. Depois, conclua as etapas para integrar o Workspace ONE Access ao pod.
Tabela 5. Portas e protocolos de conexões externas de usuários finais quando a configuração do pod tem instâncias externas do Unified Access Gateway
Origem Destino Porta Protocolo Finalidade
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 TCP Tráfego de autenticação de login. Também pode executar o tráfego de redirecionamento de unidade do cliente (CDR), redirecionamento USB, de redirecionamento de multimídia (MMR) e de RDP encapsulado.

O SSL (acesso HTTPS) está ativado por padrão para conexões de clientes. A porta 80 (acesso HTTP) pode ser usada em alguns casos. Consulte o tópico Entendendo o que é o redirecionamento de conteúdo da URL no Guia de administração do VMware Horizon Cloud Service.

Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 4172 TCP

UDP

PCoIP por meio do Gateway Seguro PCoIP no Unified Access Gateway
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 TCP Blast Extreme por meio do Gateway Seguro Blast no Unified Access Gateway para o tráfego de dados.
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 UDP Blast Extreme por meio do Unified Access Gateway para tráfego de dados.
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 8443 UDP Blast Extreme por meio do Gateway do Blast Secure no Unified Access Gateway para tráfego de dados (transporte adaptativo).
Navegador Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 TCP HTML Access
Tabela 6. Portas e protocolos de conexões internas de usuários finais quando a configuração do pod tem instâncias internas do Unified Access Gateway
Origem Destino Porta Protocolo Finalidade
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 TCP Tráfego de autenticação de login. Também pode executar o tráfego de redirecionamento de unidade do cliente (CDR), redirecionamento USB, de redirecionamento de multimídia (MMR) e de RDP encapsulado.

O SSL (acesso HTTPS) está ativado por padrão para conexões de clientes. A porta 80 (acesso HTTP) pode ser usada em alguns casos. Consulte o tópico Entendendo o que é o redirecionamento de conteúdo da URL no Guia de administração do VMware Horizon Cloud Service.

Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 4172 TCP

UDP

PCoIP por meio do Gateway Seguro PCoIP no Unified Access Gateway
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 TCP Blast Extreme por meio do Gateway Seguro Blast no Unified Access Gateway para o tráfego de dados.
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 UDP Blast Extreme por meio do Unified Access Gateway para tráfego de dados.
Horizon Client Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 8443 UDP Blast Extreme por meio do Gateway do Blast Secure no Unified Access Gateway para tráfego de dados (transporte adaptativo).
Navegador Balanceador de carga do Microsoft Azure para essas instâncias do Unified Access Gateway 443 TCP HTML Access
Tabela 7. Portas e protocolos de conexões de usuário final interno ao usar conexões diretas de pod, como sobre VPN
Origem Destino Porta Protocolo Finalidade
Horizon Client Balanceador de carga do Microsoft Azure do pod 443 TCP Tráfego de autenticação de login. O tráfego dos clientes chega às VMs de gerenciador do pod por meio do balanceador de carga do pod.
Horizon Client Horizon Agent nas VMs RDSH de farm ou área de trabalho 4172 TCP

UDP

PCoIP
Horizon Client Horizon Agent nas VMs RDSH de farm ou área de trabalho 22443 TCP

UDP

Blast Extreme
Horizon Client Horizon Agent nas VMs RDSH de farm ou área de trabalho 32111 TCP Redirecionamento USB
Horizon Client Horizon Agent nas VMs RDSH de farm ou área de trabalho 9427 TCP Redirecionamento de unidade do cliente (CDR) e redirecionamento de multimídia (MMR)
Navegador Horizon Agent nas VMs RDSH de farm ou área de trabalho 443 TCP HTML Access

Requisitos de portas e protocolos para o tráfego do Horizon Agent na VM base, nas VMs de área de trabalho VDI e nas VMs RDSH de farm

As seguintes portas devem permitir o tráfego entre o software relacionado ao Horizon Agent que é instalado nas VMs base, nas VMs de área de trabalho e nas VMs RDSH de farm e as VMs do gerenciador do pod.

Origem Destino Porta Protocolo Finalidade
O Horizon Agent na VM mestre base, nas VMs de área de trabalho e nas VMs RDSH de farm VM do Gerenciador 4001 TCP O Java Message Service (JMS, não SSL), usado pelo agente na VM para se comunicar com o pod como parte da verificação de impressão digital do certificado e da troca para proteger uma conexão SSL com o pod. Depois que as chaves são negociadas e trocadas entre a VM e o gerenciador de pods, o agente usa a porta 4002 para criar uma conexão SSL segura. Por exemplo, a ação Redefinir o Emparelhamento do Agente na página VMs Importadas requer a comunicação sobre a porta 4001 para esse fluxo de trabalho de emparelhamento do agente entre a VM mestre base e o pod.
Observação: Ambas as portas 4001 e 4002 são necessárias para operações de estado estável. Há ocasiões em que o agente pode precisar de uma nova chave com o pod, portanto a porta 4001 deve ser mantida aberta.
O Horizon Agent na VM mestre base, nas VMs de área de trabalho e nas VMs RDSH de farm VM do Gerenciador 4002 TCP O Java Message Service (JMS, SSL) usado pelo agente nessas VMs para se comunicar com o pod usando uma conexão SSL segura.
Agente do FlexEngine (o agente do VMware Dynamic Environment Manager) nas VMs de área de trabalho ou RDSH de farm Esses compartilhamentos de arquivos que você configura para uso pelo agente do FlexEngine que é executado nas VMs de área de trabalho ou RDSH de farm 445 TCP O acesso do agente do FlexEngine a seus compartilhamentos de arquivos SMB, se você estiver usando recursos do VMware Dynamic Environment Manager.

Como parte do processo de implantação de pod, o implantador cria grupos de segurança de rede (NSGs) nas interfaces de rede (NICs) em todas as VMs implantadas. Para obter detalhes sobre as regras definidas nesses NSGs, consulte o Guia de administração do Horizon Cloud.

Observação: Em vez de listar nomes DNS, endereços IP, portas e protocolos em um artigo da Base de Dados de Conhecimento (KB) do Horizon Cloud, nós os fornecemos aqui como parte da documentação principal do Horizon Cloud.