要在 Horizon Cloud Service - next-gen 环境中创建 Horizon Edge 部署并安装或更新设备模块,您必须在相应的端口上允许相应的 URL。

在下表中,所列用途在 Horizon Edge 部署的上下文中适用。

允许管理子网的 URL 并检查 URL 访问

要根据您的站点位置和需求允许相应的 URL 和通配符子域,请执行以下任务:
  • 允许下表中的 URL 和通配符子域。例如,通过将这些 URL 和通配符子域添加到防火墙允许列表和网络安全组中。
  • 绕过 SSL 深层数据包检查,如下所示。
    • 在防火墙中,针对下表中的 URL 和通配符子域绕过这项检查。
    • 在代理服务器中绕过这项检查(如果适用)。

      如果 Horizon Edge 网关通过代理服务器连接到 Horizon Agent,请在代理服务器中针对下表中的 URL 和通配符子域绕过 SSL 深度数据包检查。

目标(DNS 名称) 端口 协议 代理流量(如果在部署中配置) 用途
*.blob.core.windows.net 443 TCP 用于对 Azure Blob Storage 进行编程访问,并在需要时上载 Horizon Edge 日志。

用于下载 Docker 映像以创建所需的 Horizon Edge 模块,这些模块对监控、SSO、UAG 更新等非常有用。

horizonedgeprod.azurecr.io 443 TCP 用于在下载 Docker 映像以创建所需的 Horizon Edge 模块时进行身份验证,这些模块对监控、SSO、UAG 更新等非常有用。

*.azure-devices.net 或以下某个特定于区域的名称,具体取决于哪个区域控制平面适用于您的租户帐户:

北美地区:

  • edgehubprodna.azure-devices.net

欧洲:

  • edgehubprodeu.azure-devices.net

日本:

  • edgehubprodjp.azure-devices.net
443/TCP TCP 用于将设备连接到 Horizon Cloud 控制平面、下载设备模块的配置,以及更新设备模块的运行时状态。
vmwareprod.wavefront.com 443 TCP 用于向 Tanzu Observability by Wavefront 发送运行衡量指标。VMware 运维人员将收到用于为客户提供支持的数据。

Tanzu Observability 是一个流分析平台。您可以将数据发送到 Tanzu Observability,并在自定义仪表板中查看数据并与之交互。请参阅 Tanzu Observability by Wavefront 文档。

*.data.vmwservices.com 或以下某个特定于区域的名称,具体取决于哪个区域 Workspace ONE Intelligence 目标适用于您的租户帐户:
  • eventproxy.na1.data.vmwservices.com
  • eventproxy.eu1.data.vmwservices.com
  • eventproxy.eu2.data.vmwservices.com
  • eventproxy.uk1.data.vmwservices.com
  • eventproxy.ca1.data.vmwservices.com
  • eventproxy.ap1.data.vmwservices.com
  • eventproxy.au1.data.vmwservices.com
  • eventproxy.in1.data.vmwservices.com
443 TCP 用于向 Workspace ONE Intelligence 发送事件或衡量指标。

请参阅 Workspace ONE Intelligence

如果您的防火墙或网络安全组 (NSG) 支持使用服务标记,请应用 Azure 服务标记 AzureCloud。如果您的防火墙或 NSG 不支持使用服务标记,请使用主机名 monitor.horizon.vmware.com 1514 和 1515 TCP 用于系统监控。
azcopyvnext.azureedge.net 443 TCP 用于将部署日志上载到 Azure Blob Storage 以进行故障排除。
  • management.azure.com
  • login.microsoftonline.com
  • mcr.microsoft.com
  • *.data.mcr.microsoft.com
  • packages.microsoft.com
  • acs-mirror.azureedge.net
443 HTTPS 用于修补 Horizon Edge 网关的 Microsoft 组件。
time.google.com 123 UDP 用于时间同步。
  • security.ubuntu.com
  • azure.archive.ubuntu.com
  • changelogs.ubuntu.com
  • motd.ubuntu.com
80 HTTP 用于修补 Ubuntu 组件。
*.file.core.windows.net 445 TCP 访问为导入软件包并在文件共享之间复制软件包的 App Volumes 工作流置备的文件共享。
softwareupdate.vmware.com 443 TCP 软件包服务器。用于下载系统的映像相关操作和自动代理更新过程中使用的代理相关软件的更新。

确定是否可以访问管理子网 URL

TechZone 中的实用程序页面上提供了 Horizon Cloud Service - next-gen Edge 子网 URL 检查器工具。如需了解相关信息,请参阅 TechZone 中的为 Horizon 8 环境部署 Horizon Edge 网关页面。

该工具以 .exe 文件形式提供。要在 Horizon Edge 所处网络中基于 Windows 10 或更高版本的虚拟机上下载并使用 Horizon Cloud Service - next-gen Edge 子网 URL 检查器工具,请执行以下步骤。

  1. Horizon Cloud Service - next-gen Edge 子网 URL 检查器下载到 Horizon Edge 网络中部署的 Windows 虚拟机上。
  2. 双击该文件以运行可执行文件。

    此时将显示一个对话框。

  3. 单击
  4. 打开位于 C:/VMwareURLCheckerOutput/ 的输出文件夹。

    该文件夹包含每个区域控制平面的输出文件。

  5. 打开要部署 Horizon Edge 的区域的输出文件,以确定必要的 URL 是否可访问。
    下列详细信息适用。
    • 该文件显示管理子网所需 URL 的状态。
    • 每个 URL 的预期状态均为“可访问”。
    • 当 URL 的状态为“无法访问”时,请查看错误消息并进行必要的更改以取消阻止该问题。
  6. 根据需要重新运行可执行文件,直到所需区域中所有域的状态均为“可访问”。

允许租户(桌面)子网的 URL - 全局虚拟机 Hub DNS 主机名

如果使用全局虚拟机 Hub 实例满足您的站点需求,在您部署 Horizon Edge 网关时,请允许以下 URL 及其设置。

目标(DNS 名称) 端口 协议 用途
*.horizon.vmware.com 443 TCP 用于代理相关的操作,例如使用虚拟机 Hub 进行的证书签名以及续订。

允许租户(桌面)子网的 URL - 区域虚拟机 Hub DNS 主机名

如果使用区域虚拟机 Hub 实例可满足站点的需求,则在给定区域中部署 Horizon Edge 网关时,请使用所示的两个相应 URL。

每个区域虚拟机 Hub 实例的端口、协议和用途与全局虚拟机 Hub 实例的端口、协议和用途相匹配。

端口 443
协议 TCP
用途 用于代理相关的操作,例如使用虚拟机 Hub 进行的证书签名以及续订。
对于以下 Azure 区域 允许以下目标(DNS 名称)URL
  • westus2
  • westus
  • westus3
  • westcentralus
  • centralus
  • cloud-sg-us-r-westus2.horizon.vmware.com
  • cloud-sg-us-r-westus2-mqtt.horizon.vmware.com
  • eastus2
  • eastus
  • southcentralus
  • northcentralus
  • canadacentral
  • canadaeast
  • brazilsouth
  • brazilsoutheast
  • usgovvirginia
  • cloud-sg-us-r-eastus2.horizon.vmware.com
  • cloud-sg-us-r-eastus2-mqtt.horizon.vmware.com
  • northeurope
  • norwaywest
  • norwayeast
  • uaecentral
  • uaenorth
  • uksouth
  • ukwest
  • westeurope
  • cloud-sg-eu-r-northeurope.horizon.vmware.com
  • cloud-sg-eu-r-northeurope-mqtt.horizon.vmware.com
  • germanywestcentral
  • germanynorth
  • swedencentral
  • swedensouth
  • francecentral
  • francesouth
  • switzerlandnorth
  • switzerlandwest
  • cloud-sg-eu-r-germanywestcentral.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral-mqtt.horizon.vmware.com
  • japanwest
  • japaneast
  • cloud-sg-jp-r-japaneast.horizon.vmware.com
  • cloud-sg-jp-r-japaneast-mqtt.horizon.vmware.com
  • australiaeast
  • australiacentral
  • australiacentral2
  • australiasoutheast
  • cloud-sg-jp-r-australiaeast.horizon.vmware.com
  • cloud-sg-jp-r-australiaeast-mqtt.horizon.vmware.com
  • centralindia
  • jioindiawest
  • jioindiacentral
  • southindia
  • westindia
  • cloud-sg-jp-r-centralindia.horizon.vmware.com
  • cloud-sg-jp-r-centralindia-mqtt.horizon.vmware.com

允许 URL 以启用代理

如果您计划使用代理服务器控制来自环境的流量流,请打开所需要的端口,以允许 Horizon Edge 网关访问代理服务器。如果 Microsoft Azure Edge 的格式为 Edge 网关 (AKS),请参阅适用于 Azure Kubernetes 服务 (AKS) 集群的出站网络和 FQDN 规则