对于部署到 Microsoft Azure 云中的每个 Horizon Cloud 容器,还会在该容器的资源组中创建一个网络安全组 (NSG) 以充当模板。您可以使用此模板来确保您已打开可能需要用于 VDI 桌面分配所提供的 VDI 桌面的其他端口。
在 Microsoft Azure 中,网络安全组 (NSG) 控制传输到与 Azure 虚拟网络 (VNet) 连接的资源的网络流量。NSG 会定义一些安全规则来允许或拒绝此网络流量。有关 NSG 如何筛选网络流量的详细信息,请参阅 Microsoft Azure 文档主题使用网络安全组筛选网络流量。
将 Horizon Cloud 容器部署到 Microsoft Azure 中时,会在该容器中名为 vmw-hcs-podID 的同一资源组内,创建一个名为 vmw-hcs-podID-nsg-template 的 NSG,其中,podID 是容器的 ID。您可以从容器的详细信息页面(可从 Horizon Universal Console 中的“容量”页面导航到该详细信息页面)中获取容器的 ID。
默认情况下:
- 创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于当任何人或任意系统在 Microsoft Azure 中创建 NSG 时,Microsoft Azure 会自动创建此类 Microsoft Azure 默认规则,因此本文档主题中未对它们进行介绍。这些规则不是由 Horizon Cloud 创建的。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则。
- Horizon Cloud 容器部署程序在容器的模板 NSG 中创建以下入站安全规则。这些默认的入站安全规则支持您的最终用户客户端使用 Blast、PCOIP 和 USB 重定向访问他们的 VDI 桌面。
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | Internet | 任意 | 允许 |
| 1100 | AllowBlastTcpIn | 22443 | TCP | Internet | 任意 | 允许 |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | 任意 | 允许 |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | 任意 | 允许 |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | 任意 | 允许 |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | 任意 | 允许 |
除了此模板 NSG 之外,在创建 VDI 桌面分配时,系统还会通过复制此模板 NSG 为该分配的桌面池创建一个 NSG。每个 VDI 桌面分配的池都有自己的 NSG,即是模板 NSG 的副本。池的 NSG 分配给该池的 VDI 桌面分配虚拟机 (VM) 的网卡。默认情况下,每个 VDI 桌面池都使用与在容器的模板 NSG 中配置的相同默认安全规则。
您可以修改模板 NSG 和每个 VDI 桌面分配的 NSG。例如,如果您在 VDI 桌面中有应用程序,并且您知道需要为该应用程序打开其他端口,则可以通过修改相应 VDI 桌面分配池的 NSG 来允许该端口上的网络流量。如果您计划创建多个 VDI 桌面分配,并且这些 VDI 桌面分配需要打开相同的端口,一种简单的方法是先对模板 NSG 进行编辑,然后再创建这些 VDI 桌面分配。
