执行日常 Horizon Cloud 操作时,对于使用 2019 年 9 月版本清单版本部署的容器或更新到 2019 年 9 月版本清单版本的容器,其特定端口和协议要求与 Microsoft Azure 中在 2019 年 9 月版本之前部署的容器有所不同。在 2019 年 9 月版本之前部署的容器具有清单版本 1493.1 或更早版本。

重要事项:

除了此处所述的端口和协议外,您还必须满足 DNS 要求。有关详细信息,请参阅Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求

如果您的容器清单是 1600.x 或更高版本,则端口和协议要求是不同的。请参阅使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求

清单版本容器的持续运维所需的端口和协议

除了 DNS 要求以外,还需要使用下表中的端口和协议以使容器在部署后正常执行日常操作。

注: 在此部分的表格中,“管理器虚拟机”一词是指容器管理器虚拟机。在 Microsoft Azure 门户中,此虚拟机的名称中包含一个类似于 vmw-hcs-podID 的部分(其中 podID 是容器的 UUID)以及 node 部分。
表 1. 容器操作端口和协议
目标 端口 协议 用途
管理器虚拟机 域控制器 389 TCP

UDP

LDAP 服务。在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。
管理器虚拟机 全局目录 3268 TCP LDAP 服务。在 Active Directory 配置中包含全局目录角色的服务器。要求在 Active Directory 中注册容器。
管理器虚拟机 域控制器 88 TCP

UDP

Kerberos 服务。在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。
管理器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
管理器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。
管理器虚拟机 True SSO 注册服务器 32111 TCP True SSO 注册服务器。如果未在容器中使用 True SSO 注册服务器功能,则是可选的。
管理器虚拟机 Workspace ONE Access 服务 443 HTTPS
注: 此行适用于具有单容器代理配置的环境。此信息不适用于具有 Universal Broker 配置的环境。在具有单容器代理配置的环境中, Workspace ONE Access Connector 与一个容器通信,以获取最终用户授权(分配)。Universal Broker 功能适用于清单 2298 及更高版本的容器,而不适用于更早版本的清单。
如果未将 Workspace ONE Access 与容器集成,则是可选的。在具有单容器代理配置的环境中,此连接用于在容器与 Workspace ONE Access 服务之间建立信任关系,其中 Workspace ONE Access Connector 与容器同步。确保容器可以在端口 443 上访问您使用的 Workspace ONE Access 环境。如果使用 Workspace ONE Access 云服务,另请参阅 VMware 知识库文章 2149884,以查看 Workspace ONE Access Connector 和容器必须能够访问的 Workspace ONE Access 服务 IP 地址列表。
临时 jump box 虚拟机 管理器虚拟机 22 TCP 容器 Jump Box 在容器部署和容器更新期间所需的端口和协议中所述,在容器部署和容器更新过程中,将会使用临时 jump box。即使正在进行的过程不需要这些端口,在容器部署和容器更新过程中,此 jump box 虚拟机也必须使用 SSH 通过管理器虚拟机的端口 22 与容器管理器虚拟机进行通信。有关 jump box 虚拟机需要此通信的各类情况的详细信息,请参阅容器 Jump Box 在容器部署和容器更新期间所需的端口和协议

要将来自最终用户连接的流量传输到容器置备的虚拟桌面和远程应用程序,必须打开哪些端口取决于选择的最终用户连接方式:

有关最终用户可以在您的 Horizon Cloud 容器中使用的各种 Horizon Client 的详细信息,请参阅 Horizon Client 文档页面,网址为 https://docs.vmware.com/cn/VMware-Horizon-Client/index.html

表 2. 容器配置具有外部 Unified Access Gateway 实例时的外部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅了解什么是 URL 内容重定向

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP HTML Access
表 3. 容器配置具有内部 Unified Access Gateway 实例时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅了解什么是 URL 内容重定向

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP HTML Access
表 4. 使用直接容器连接(例如,通过 VPN)时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 管理器虚拟机 443 TCP 登录身份验证流量
Horizon Client 桌面或场服务器虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client 桌面或场服务器虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client 桌面或场服务器虚拟机中的 Horizon Agent 32111 TCP USB 重定向
Horizon Client 桌面或场服务器虚拟机中的 Horizon Agent 9427 TCP 客户端驱动器重定向 CDR) 和多媒体重定向 (MMR)
浏览器 桌面或场服务器虚拟机中的 Horizon Agent 443 TCP HTML Access

对于使用配置了 Unified Access Gateway 实例的容器进行的连接,必须允许将流量从容器的 Unified Access Gateway 实例传输到下表中列出的目标。在容器部署期间,在 Microsoft Azure 环境中创建了一个网络安全组 (NSG) 以供容器的 Unified Access Gateway 软件使用。

表 5. 来自容器的 Unified Access Gateway 实例的流量的端口要求
目标 端口 协议 用途
Unified Access Gateway 管理器虚拟机 443 TCP 登录身份验证流量
Unified Access Gateway 桌面或场服务器虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway 桌面或场服务器虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme

默认情况下,在使用 Blast Extreme 时,客户端驱动器重定向 (CDR) 流量和 USB 流量是在该端口的侧通道中传输的。如果需要,可以将 CDR 流量拆分到 TCP 9427 端口上,并将 USB 重定向流量拆分到 TCP 32111 端口上。

Unified Access Gateway 桌面或场服务器虚拟机中的 Horizon Agent 9427 TCP 对客户端驱动器重定向 (CDR) 和多媒体重定向 (MMR) 流量是可选的。
Unified Access Gateway 桌面或场服务器虚拟机中的 Horizon Agent 32111 TCP 对 USB 重定向流量是可选的。
Unified Access Gateway 您的 RADIUS 实例 1812 UDP 对 Unified Access Gateway 配置使用 RADIUS 双因素身份验证时使用。此处显示了 RADIUS 的默认值。

以下端口必须允许来自在桌面虚拟机和场服务器虚拟机中安装的 Horizon Agent 相关软件的流量。

目标 端口 协议 用途
桌面或场服务器虚拟机中的 Horizon Agent 管理器虚拟机 4001 TCP Java 消息服务(JMS,非 SSL),在代理尚未与容器配对时,由虚拟机中的代理使用。代理可与容器通信,以获取与容器配对所需的信息。代理配对后,将使用端口 4002 与容器进行通信。
桌面或场服务器虚拟机中的 Horizon Agent 管理器虚拟机 4002 TCP Java 消息服务(JMS,SSL),当代理已与容器配对时,用来与容器通信。
桌面或场服务器虚拟机中的 FlexEngine 代理(适用于 VMware Dynamic Environment Manager 的代理) 为供在桌面或场服务器虚拟机中运行的 FlexEngine 代理使用而设置的文件共享 445 TCP 如果您使用 VMware Dynamic Environment Manager 功能,则 FlexEngine 代理访问您的 SMB 文件共享。

在容器部署过程中,部署程序会在部署的所有虚拟机的网络接口 (NIC) 上创建网络安全组 (NSG)。有关这些 NSG 中定义的规则的详细信息,请参阅适用于 Microsoft Azure 中部署的 Horizon Cloud 容器内的虚拟机的默认网络安全组规则

注: 我们不会在 Horizon Cloud 知识库 (Knowledge Base, KB) 文章中列出 DNS 名称、IP 地址、端口和协议,而是在此处将它们作为 Horizon Cloud 核心文档的一部分提供。