本页大致介绍了 Horizon Cloud Service - next-gen 上的典型 Horizon Cloud Service on Microsoft Azure 部署中用于通信的所有可能的端口和协议。使用这些表可确保您的网络配置和防火墙允许成功部署和执行日常操作所需的通信流量。

您的特定部署所需的特定端口和协议部分取决于您选择用于 Horizon Cloud Service on Microsoft Azure 部署的功能。如果您不打算使用特定的组件或协议,则其所需的通信流量对于您而言不是必需的,您可以忽略与该组件关联的端口。例如,如果您的最终用户仅使用 Blast Extreme 显示协议,则不需要允许 PCoIP 端口。

重要说明: 除了此处介绍的端口和协议外, Horizon Edge 部署及相应的日常操作还具有特定的 DNS 要求。有关详细信息,请参阅 使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关

Horizon Edge 所需的端口和协议

激活 Horizon 基础架构监控 后,将在关联的订阅中部署和配置 Horizon Edge。下表列出了在激活过程中需使用的端口和协议,在此过程中将部署设备并配置管理器虚拟机,以便设备能够按照设计的用途从这些组件中收集监控数据。此表还列出了当该设备按照其设计的用途执行收集数据的稳定状态操作时所需的端口和协议。

表 1.
目标 端口 协议 用途
Horizon Edge Unified Access Gateway 个虚拟机 9443 HTTPS Edge 虚拟机使用该端口通过管理子网在 Edge 的 Unified Access Gateway 配置中配置设置。在最初部署 Unified Access Gateway 配置时,以及在编辑 Edge 以添加 Unified Access Gateway 配置或更新该 Unified Access Gateway 配置的设置时,该端口要求适用,还用于从 Unified Access Gateway 中监控会话统计信息。
Horizon Edge 域控制器

Kerberos:88

LDAP:389、3268

LDAPS:636、3269

TCP

UDP

使用域注册 Horizon Cloud NextGen 时,用于 SSO 登录和定期发现域控制器。

如果将在该工作流中指定 LDAP/LDAPS,则 LDAP 或 LDAPS 服务需要这些端口。LDAP 是大多数租户的默认协议。

目标是在 Active Directory 配置中包含域控制器角色的服务器。

Horizon Edge AD 证书服务 135 以及 49152 到 65535 范围内的端口 RPC/TCP 连接到 Microsoft 企业证书颁发机构 (AD CS) 以获取 True SSO 的短期证书。Horizon Edge 使用 TCP 端口 135 进行初始 RPC 通信,然后使用 49152 - 65535 范围内的端口与 AD CS(Active Directory 证书服务)进行通信。
Horizon Edge DNS 服务器 53 和 853 TCP

UDP

DNS 服务。
Horizon Edge *.file.core.windows.net 445 TCP 访问为导入软件包和跨文件共享复制软件包的 App Volumes 工作流置备的文件共享。
Horizon Edge
  • *.blob.core.windows.net
  • *.blob.storage.azure.net
443 TCP 用于以编程方式访问 Azure Blob Storage,并在需要时上载 Horizon Edge 日志。

用于下载 Docker 映像以创建所需的 Horizon Edge 模块,这些模块对监控、SSO、UAG 更新等非常有用。

Horizon Edge horizonedgeprod.azurecr.io 443 TCP 用于在下载 Docker 映像以创建所需的 Horizon Edge 模块时进行身份验证,这些模块对监控、SSO、UAG 更新等非常有用。
Horizon Edge *.azure-devices.net 443 TCP 用于与云控制平面通信,下载设备模块的配置,并更新设备模块的运行时状态的设备。当前具体端点包括:

北美地区:

  • edgehubprodna.azure-devices.net

欧洲:

  • edgehubprodeu.azure-devices.net

日本:

  • edgehubprodjp.azure-devices.net
Horizon Edge vmwareprod.wavefront.com 443 TCP 用于向 VMware Tanzu Observability by Wavefront 发送运行衡量指标。VMware 运维人员将收到用于为客户提供支持的数据。

Tanzu Observability 是一个流分析平台。您可以将数据发送到 Tanzu Observability,并在自定义仪表板中查看数据及与之交互。请参阅适用于 VMware Tanzu Observability by Wavefront 的文档。

Horizon Edge *.data.vmwservices.com 443 TCP Workspace ONE Intelligence 发送事件或衡量指标以监控数据。

请参阅 Workspace ONE Intelligence

当前具体端点包括:

  • eventproxy.na1.data.vmwservices.com
  • eventproxy.eu1.data.vmwservices.com
  • eventproxy.eu2.data.vmwservices.com
  • eventproxy.uk1.data.vmwservices.com
  • eventproxy.ca1.data.vmwservices.com
  • eventproxy.ap1.data.vmwservices.com
  • eventproxy.au1.data.vmwservices.com
  • eventproxy.in1.data.vmwservices.com
Horizon Edge login.microsoftonline.com 443 TCP 通常由应用程序用于对 Microsoft Azure 服务进行身份验证。
Horizon Edge management.azure.com 443 TCP 用于向 Microsoft Azure 资源管理器端点发起要求使用 Microsoft Azure 资源管理器服务的 Edge API 请求。Microsoft Azure 资源管理器提供了一个一致的管理层,用于通过 Azure PowerShell、Azure CLI、Azure 门户、REST API 和客户端 SDK 执行任务。
Horizon Edge *.horizon.vmware.com

特定区域

美国

  • cloud-sg-us-r-westus2.horizon.vmware.com
  • cloud-sg-us-r-eastus2.horizon.vmware.com
  • cloud-sg-us.horizon.vmware.com

欧盟

  • cloud-sg-eu-r-northeurope.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral.horizon.vmware.com
  • cloud-sg-eu.horizon.vmware.com

日本

  • cloud-sg-jp-r-japaneast.horizon.vmware.com
  • cloud-sg-jp.horizon.vmware.com
443 TCP 用于与云控制平面通信以及执行实施后操作的设备。
Horizon Edge NTP 服务器 123 UDP NTP 服务

Unified Access Gateway 虚拟机端口和协议要求

除了上表中列出的主要端口和协议要求以外,下表中的端口和协议与您配置为执行部署后日常操作的网关有关。

对于配置了 Unified Access Gateway 实例的连接,必须允许从 Unified Access Gateway 实例到下表中列出的目标的流量。

表 2. 来自 Unified Access Gateway 实例的流量的端口要求
目标 端口 协议 用途
Unified Access Gateway *.horizon.vmware.com DMZ 网络上的 53 或 443 TCP

UDP

Unified Access Gateway 需要能够随时解析这些地址,否则,用户无法启动会话,因为 Unified Access Gateway 从以下位置中提取 JWK 集:

cloud-sg-<region>-r-<DC>.horizon.vmware.com。

当前具体端点如下所示:

  • 美国
    • cloud.horizon.vmware.com

      cloud-sg-us-r-westus2.horizon.vmware.com

      cloud-sg-us-r-eastus2.horizon.vmware.com

    • cloud.horizon.vmware.com

      cloud-sg-us-r-westus2.horizon.vmware.com

      cloud-sg-us-r-eastus2.horizon.vmware.com

  • 欧盟
    • cloud.horizon.vmware.com

      cloud-sg-eu-r-northeurope.horizon.vmware.com cloud-sg-eu-r-germanywestcentral.horizon.vmware.com

  • 日本
    • cloud.horizon.vmware.com

      cloud-sg-jp-r-japaneast.horizon.vmware.com

Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme

默认情况下,在使用 Blast Extreme 时,客户端驱动器重定向 (Client-Drive Redirection, CDR) 流量和 USB 流量是在该端口的侧通道中传输的。如果愿意,可以将 CDR 流量拆分到 TCP 9427 端口上,并将 USB 重定向流量拆分到 TCP 32111 端口上。

Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 对 CDR 和多媒体重定向 (Multimedia Redirection, MMR) 流量是可选的。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP 对 USB 重定向流量是可选的。
Unified Access Gateway time.google.com 123 UDP NTP 服务
Unified Access Gateway *.blob.core.windows.net *.blob.storage.azure.net 443 TCP 用于以编程方式访问 Azure Blob Storage,并在需要时上载 Unified Access Gateway 日志。

App Volumes 端口和协议

要支持将 App Volumes 功能与 Horizon Cloud Service on Microsoft Azure 配合使用,您必须配置端口 445 以向租户(桌面)子网传输 TCP 协议流量。端口 445 是标准 SMB 端口,用于访问 Microsoft Windows 上的 SMB 文件共享。AppStack 存储在 SMB 文件共享中,该文件共享与容器管理器虚拟机位于同一个资源组中。

表 3. App Volumes 的端口要求
目标 端口 协议 用途
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 App Volumes 代理 *.file.core.windows.net 445 TCP VDI 计算机上的 App Volumes 应用程序虚拟化和 VDI 计算机上的应用程序包捕获取决于对文件共享的访问。

VDI 端口和协议要求

下表提供了在环境中配置的桌面(VDI 或租户)子网所需的端口和协议。

表 4. VDI 端口和协议要求
目标 端口 协议 用途
桌面(租户)子网 *.horizon.vmware.com 443 TCP MQTT 用于代理相关的操作,例如使用虚拟机 Hub 进行的证书签名以及续订。当前具体端点包括:

美国:

  • cloud-sg-us-r-westus2.horizon.vmware.com
  • cloud-sg-us-r-westus2-mqtt.horizon.vmware.com
  • cloud-sg-us-r-eastus2.horizon.vmware.com
  • cloud-sg-us-r-eastus2-mqtt.horizon.vmware.com

欧盟:

  • cloud-sg-eu-r-northeurope.horizon.vmware.com
  • cloud-sg-eu-r-northeurope-mqtt.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral-mqtt.horizon.vmware.com

日本:

  • cloud-sg-jp-r-japaneast.horizon.vmware.com
  • cloud-sg-jp-r-japaneast-mqtt.horizon.vmware.com
桌面(租户)子网 域控制器 88 TCP

UDP

Kerberos 服务。目标是在 Active Directory 配置中包含域控制器角色的服务器。要求 Active Directory 注册 Edge。
桌面(租户)子网 域控制器

Kerberos:88

LDAP:389、3268

LDAPS:636、3269

TCP

UDP

LDAP 或 LDAPS 服务需要这些端口来建立从虚拟机到域控制器的连接,如果 VDI 无法访问任何域控制器,则将无法启动会话。
桌面(租户)子网 DNS 服务器 53 和 853 TCP

UDP

DNS 服务
桌面(租户)子网 NTP 服务器 123 UDP NTP 服务
桌面(租户)子网 *.blob.core.windows.net 443 TCP 上载 DCT 日志包。当客户管理员在处理请求后单击任何虚拟机的 DCT 日志收集时,该包将从 VDI 上载到 Blob 中,以使该包可以从 Horizon Universal Console 中下载。
桌面(租户)子网 Horizon Edge 31883 TCP MQTT

UDP

在虚拟机上运行的 Horizon Agent 到在 Edge 上运行的 MQTT。
桌面(租户)子网 Horizon Edge 32443 TCP 单点登录(当 Microsoft Azure Edge 的格式为 Edge 网关(虚拟机)时)。
桌面(租户)子网 Horizon Edge 443 TCP 单点登录(当 Microsoft Azure Edge 的格式为 Edge 网关 (AKS) 时)。
桌面(租户)子网和管理子网 softwareupdate.vmware.com 443 TCP VMware 软件包服务器。用于下载系统的映像相关操作和自动代理更新过程中使用的代理相关软件的更新。
桌面(租户)子网 专用链路端点 443 TCP 桌面与云控制平面中连接服务的连接。
桌面(租户)子网和管理子网 AD 证书服务 135 和 445 以及 49152 到 65535 范围内的端口 RPC/TCP 将桌面添加到域。

最终用户连接流量端口和协议要求

有关最终用户可能在您的 Horizon Edge 虚拟设备中使用的各种 Horizon Client 的详细信息,请参阅 Horizon Client 文档页面,网址为 https://docs.vmware.com/cn/VMware-Horizon-Client/index.html。要将来自最终用户连接的流量传输到虚拟桌面和远程应用程序,必须打开哪些端口取决于选择的最终用户连接方式。

表 5. 最终用户连接流量端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 传输 CDR、MMR、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输来自 Horizon Client 的数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP Blast Extreme 通过 Unified Access Gateway 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 传输 CDR、MMR、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输来自 Horizon HTML Access Client(Web 客户端)的数据流量。
Horizon Client/浏览器 *.horizon.vmware.com 443 TCP 在登录并列出启动项后,当客户单击以启动桌面时,根据在载入时选择的客户组织位置,协议流量将从其中的一个 URL 重定向到 Unified Access Gateway。当前具体端点包括:
  • cloud-sg-us-r-westus2.horizon.vmware.com
  • cloud-sg-us-r-eastus2.horizon.vmware.com
  • cloud-sg-eu-r-northeurope.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral.horizon.vmware.com
  • cloud-sg-jp-r-japaneast.horizon.vmware.com