本文档主题旨在阐明,当您使用 Horizon Cloud 在 Microsoft Azure 订阅中创建容器,随后登录到 Microsoft Azure 门户并查看容器部署程序所创建的内容时,将看到哪些内容。在 Microsoft Azure 中部署容器期间,自动部署过程会创建一组网络安全组 (NSG),并将各个安全组与 VMware 控制的各个容器虚拟机 (VM) 上的单个特定网络接口(网卡)相关联。这些容器相关联的虚拟机是容器的管理器虚拟机,它们是在使用 Unified Access Gateway 配置容器时部署的虚拟机。此外,在容器部署相关工作流(例如,部署容器或将网关配置添加到容器中)期间,临时 jump box 在其临时 jump box 资源组中也具有一个 NSG。容器部署程序会根据适用于容器的 VMware 设计和架构将由部署程序创建的相应 NSG 与相应的网卡相关联。这些 NSG 在网卡级别使用,用来确保特定 VMware 管理的设备上的每个网卡都能够接收该设备应接收的在该网卡的连接子网上提供标准服务和进行容器操作的流量,并阻止所有该设备不应接收的流量。每个 NSG 都包含一组安全规则,用于定义允许进出每个网卡的流量。

此处介绍的 NSG 与您在容器中创建的场和 VDI 桌面使用的 NSG 不同,并具有不同的使用情况信息。有关用于场和池的 NSG 的信息,请参阅关于网络安全组和场关于网络安全组和 VDI 桌面

警告: 此处介绍的部署程序创建的 NSG 规则是服务的配置要求。您不能删除或编辑自动创建并与容器虚拟机的网卡关联的任何 Horizon Cloud NSG。该指示包括如下操作:
  • 将这些 NSG 或 NSG 规则复制或移动到 Horizon Cloud 使用的任何子网
  • 在与容器虚拟机关联的网卡之间复制或移动这些 NSG 或 NSG 规则。

Horizon Cloud 创建的 NSG 以及其中的规则特定于特定网卡及其连接到的虚拟机,并且专用于这些网卡和虚拟机。如果对这些 NSG 或规则进行任何更改或尝试将其用于任何其他用途(即使在这些网卡连接到的同一子网上),可能会导致它们与连接到的网卡之间的所需网络流量中断。该中断又可能会导致所有容器操作中断。这些 NSG 的生命周期是由 Horizon Cloud 管理的,每个 NSG 具有特定的原因。这些原因包括:

  • 云控制平面能够与容器进行通信。
  • 管理容器的基础架构
  • 容器生命周期操作
由于这些部署程序创建的 NSG 是服务的配置要求,因此尝试更改或移动它们会被视为不支持使用 Horizon Cloud 和误用该产品,如 VMware Horizon Service 的服务级别协议中所述。

不过,您可以在容器的资源组外部的资源组中创建自己的 NSG 以包含您自己的组织的规则,容器的资源组是 Horizon Cloud 为容器的虚拟机自动创建和管理的。您自己的 NSG 中的规则不能与 Horizon Cloud 的容器虚拟机管理和运行要求发生冲突。此类 NSG 应附加到容器使用的管理、租户和 DMZ 子网。在 Horizon Cloud 管理的资源组中创建您自己的 NSG 时,如果这些资源组中的 NSG 与位于不同资源组中的资源相关联,将导致对 Horizon Cloud 管理的资源组执行的删除操作失败。

如 Microsoft Azure 文档中所述,网络安全组 (NSG) 的用途是使用安全规则对进出 Microsoft Azure 环境中的资源的网络流量进行筛选。每个规则都有一组属性(如源、目标、端口、协议等),用于确定允许进出与 NSG 相关联的资源的流量。Horizon Cloud 自动创建并与 VMware 控制的容器虚拟机的网卡关联的 NSG 包含特定的规则,Horizon Cloud 已确定服务需要使用这些规则以管理容器,正确运行日常容器操作以及管理容器的生命周期。一般来说,在这些 NSG 中定义的每个规则都旨在为执行容器操作提供端口流量,该流量是服务实现 Horizon Cloud 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。另请参见 Horizon Cloud 容器的端口和协议要求

下面的部分列出了 Horizon Cloud 在这些 NSG 中定义的 NSG 规则。

有关这些 NSG 的一般事实

此列表适用于由部署程序创建并与容器虚拟机上特定网卡相关联的所有 NSG。

  • 这些 VMware 创建的 NSG 是为了保护 VMware 控制的软件设备的安全。当 VMware 将新软件添加到您的订阅中并需要其他规则时,这些新规则将添加到这些 NSG 中。
  • 在 Microsoft Azure 门户中,NSG 的名称采用 vmw-hcs-podUUID 模式,其中 podUUID 是容器的标识符,但用于已部署到其自已 VNet 中的外部网关配置的 NSG 除外。在这种例外情况下,与网关相关的 NSG 的名称采用 vmw-hcs-ID 模式,其中 ID 是该外部网关的部署 ID。
    注: 在某种情况下,您使用部署到在单独订阅中预先创建的现有资源组的选项将外部网关配置部署到该订阅中,此时,网关连接器虚拟机的管理网卡上的 NSG 的命名模式基于资源组的名称,而不是 vmw-hcs-podUUID 模式。例如,如果您将该资源组命名为 hcsgateways,则 Horizon Cloud 在该资源组中创建一个名为 hcsgateways-mgmt-nsg 的 NSG,并将该 NSG 与网关连接器虚拟机的管理网卡相关联。

    通过从管理控制台的“容量”页面导航到容器的详细信息,可以找到这些标识符。

    注: 当您选择让容器的外部 Unified Access Gateway 使用自定义资源组时,由部署程序创建的网关连接器虚拟机的 NSG 名称包含该自定义资源组的名称,而不包含 vmw-hcs-ID 模式。例如,如果您指定将名为 ourhcspodgateway 的自定义资源组用于容器的外部网关,则由部署程序创建并与网关虚拟机的网卡相关联的 NSG 将被命名为 ourhcspodgateway-mgmt-nsg
  • NSG 和与其关联的虚拟机及 NIC 位于同一资源组中。例如,使用由部署程序创建的资源组将外部网关部署到容器的 VNet 中时,与外部 Unified Access Gateway 虚拟机上的网卡关联的 NSG 将位于名为 vmw-hcs-podUUID-uag 的资源组中。另请参阅为 Microsoft Azure 中部署的容器创建的资源组
  • Horizon Cloud 可以根据需要添加新规则或修改这些规则,以确保服务的可维护性。
  • 在容器更新过程中,将保留 NSG 和规则。它们不会被删除。
  • Horizon Cloud 规则从优先级 1000 开始,并且优先级通常以 100 为增量递增,但临时 jump box 的 NSG 规则除外。Horizon Cloud 规则结束时的优先级为 3000。对于 jump box 的 NSG 规则,Horizon Cloud 规则从优先级 100 开始,并且优先级以 1 为增量递增。Horizon Cloud 规则结束时的优先级为 1000。
  • 源 IP 地址 168.63.129.16 的 AllowAzureInBound 规则允许 NSG 接受来自 Microsoft Azure 平台的入站通信,如 Microsoft Azure 文档主题什么是 IP 地址 168.63.129.16 中所述。所有与容器相关的虚拟机都是 Microsoft Azure 中的虚拟机。正如 Microsoft Azure 文档主题中所述,其 IP 地址 168.63.129.16 可帮助完成 Microsoft Azure 云平台为其云中的所有虚拟机执行的各种虚拟机管理任务。例如,此 IP 地址可帮助虚拟机中的虚拟机代理与 Microsoft Azure 平台通信,以发出虚拟机处于就绪状态的信号。
  • 在 Unified Access Gateway 实例的 NSG 中,将会为任何端口设置 AllowPcoipUdpInBound 规则,因为 PCoIP 流量在 4173+ 范围内使用的是可变端口号,这样就不能将流量限制到一组特定的端口。
  • 创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于此类 Microsoft Azure 默认规则是由 Microsoft Azure 自动创建的,因此本文档主题中未对它们进行介绍。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则
  • 在部署相关工作流(例如,部署容器或将网关配置添加到容器中)期间,临时 jump box 在其临时 jump box 资源组中也具有一个 NSG。在工作流完成后删除 jump box 的资源组时,将删除该 NSG。
  • 在这些 NSG 中定义的每个规则都旨在为执行容器操作提供端口流量,该流量是服务实现 Horizon Cloud 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。另请参见 Horizon Cloud 容器的端口和协议要求
  • 编辑您的容器以指定用于场和 VDI 桌面分配的其他租户子网时,将更新容器管理器虚拟机和 Unified Access Gateway 虚拟机网卡上与租户子网相关的 NSG 中的规则,以包含这些额外的租户子网。

容器管理器虚拟机的部署程序创建的 NSG

容器管理器虚拟机具有两个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。

  • 管理 NIC 的 NSG 采用 vmw-hcs-podUUID-mgmt-nsg 模式进行命名。
  • 租户 NIC 的 NSG 采用 vmw-hcs-podUUID-tenant-nsg 模式进行命名。

在您的 Microsoft Azure 环境中,这些 NSG 驻留在以 vmw-hcs-podUUID 模式命名的容器资源组中。

重要事项: 当容器使用该功能将其外部网关部署到单独的 VNet 中时(包括该网关使用不同于容器订阅的单独订阅的情况),容器管理器虚拟机租户网卡的 NSG 将额外为端口 8443 TCP 实施一个名为 AllowGatewayBrokeringHttpsInBound 的入站规则,并将 VirtualNetwork 为源。外部网关位于单独的 VNet 中时容器管理器虚拟机的租户网卡上部署程序创建的 NSG 规则将在下面的第三个表中列出。
表 1. 容器管理器虚拟机的管理 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 规则的用途
入站 1000 AllowSshInBound 22 任意 管理子网 任意 允许 如主题Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求中所述,在最初创建容器时以及随后在容器中进行软件更新期间,短期 jump box 虚拟机会使用开启了虚拟机端口 22 的 SSH 与容器管理器虚拟机进行通信。此外,正如该主题中所述,日常容器操作不需要在容器管理器虚拟机上使用端口 22。但是,如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与容器的管理器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowHttpsInBound 443 任意 管理子网 任意 允许 用于确保云控制平面能够与容器管理器的 REST API 端点进行安全通信。
入站 1300 AllowApacheGeodeInBound 10334 - 10335、41000 - 41002、42000 - 42002 任意 管理子网 任意 允许 这些端口用于跨容器管理器虚拟机复制用户会话。
入站 1400 AllowTelegrafInBound 9172 任意 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 1500 AllowAgentJmsInBound 4001、4002 任意 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
表 2. 容器管理器虚拟机的租户 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 允许 此规则提供了一个非典型的场景,在此类场景下,您可能已告知内部最终用户(例如企业网络中的该用户,通过 VPN)将其客户端连接到已映射到容器的 Microsoft Azure 负载均衡器的 FQDN。这种情况有时称为直接容器连接。对于容器中的有关连接代理的登录身份验证请求,Horizon Client 和 Horizon Web 客户端使用端口 443。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1100 AllowAgentHttpsInBound

3443

8443

TCP 租户子网 任意 允许

基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 App Volumes Agent 使用入站连接到该网卡的端口 3443,以访问在容器管理器虚拟机中运行的 App Volumes Manager 服务。

Unified Access Gateway 实例使用入站连接到该网卡的端口 8443 以检查容器管理器虚拟机的连接代理。网关实例使用此端点来确认是否已将新的客户端代理请求发送到容器管理器虚拟机。

入站 1120 AllowUagHttpsInBound 8443 TCP 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 1200 AllowAgentJmsInBound

4001

4002

TCP 租户子网 任意 允许

基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent 使用这些端口。

端口 4001 用于 Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该端口以在证书指纹验证和交换过程中与容器进行通信,从而与容器创建安全的 SSL 连接。

在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。
注: 稳定状态操作需要端口 4001 和 4002。有时,代理可能需要使用容器重新设置密钥。
入站 1210 AllowRouterJmsInBound 4101 TCP 租户子网 任意 允许 在为容器启用高可用性 (HA) 时,此流量是容器管理器虚拟机(节点 1 和节点 2)之间的 JMS 路由
入站 1300 AllowAgentUdpInBound 5678 UDP 租户子网 任意 允许 清单 1600 及更高版本级别的容器已停用此端口。在该服务的 2019 年 9 月版本中,自容器清单 1600 起,DaaS Agent 已合并到 Horizon Agent。以前,此端口 5678 和 UDP 协议用于支持 DaaS Agent 的使用。
入站 1400 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
表 3. 外部网关位于单独的 VNet 中时容器管理器虚拟机的租户网卡上部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 允许 此规则提供了一个非典型的场景,在此类场景下,您可能已告知内部最终用户(例如企业网络中的该用户,通过 VPN)将其客户端连接到已映射到容器的 Microsoft Azure 负载均衡器的 FQDN。这种情况有时称为直接容器连接。对于容器中的有关连接代理的登录身份验证请求,Horizon Client 和 Horizon Web 客户端使用端口 443。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1100 AllowAgentHttpsInBound

3443

8443

TCP 租户子网 任意 允许

基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 App Volumes Agent 使用入站连接到该网卡的端口 3443,以访问在容器管理器虚拟机中运行的 App Volumes Manager 服务。

Unified Access Gateway 实例使用入站连接到该网卡的端口 8443 以检查容器管理器虚拟机的连接代理。网关实例使用此端点来确认是否已将新的客户端代理请求发送到容器。

入站 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork 任意 允许 当容器的外部网关部署在其自身独立于容器的 VNet 中时,此规则支持来自外部网关的 Unified Access Gateway 实例的入站流量,以便检查容器管理器虚拟机的连接代理。网关实例使用此端点来确认是否已将新的客户端代理请求发送到该连接代理。
入站 1120 AllowUagHttpsInBound 8443 TCP 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 1200 AllowAgentJmsInBound

4001

4002

TCP 租户子网 任意 允许

基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent 使用这些端口。

端口 4001 用于 Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该端口以在证书指纹验证和交换过程中与容器进行通信,从而与容器创建安全的 SSL 连接。

在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。
注: 稳定状态操作需要端口 4001 和 4002。有时,代理可能需要使用容器重新设置密钥。
入站 1210 AllowRouterJmsInBound 4101 TCP 租户子网 任意 允许 在为容器启用高可用性 (HA) 时,此流量是容器管理器虚拟机(节点 1 和节点 2)之间的 JMS 路由
入站 1300 AllowAgentUdpInBound 5678 UDP 租户子网 任意 允许 清单 1600 及更高版本级别的容器已停用此端口。在该服务的 2019 年 9 月版本中,自容器清单 1600 起,DaaS Agent 已合并到 Horizon Agent。以前,此端口 5678 和 UDP 协议用于支持 DaaS Agent 的使用。
入站 1400 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。

外部 Unified Access Gateway 虚拟机的部署程序创建的 NSG

外部 Unified Access Gateway 配置的每个虚拟机具有三 (3) 个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网,还有一个 NIC 连接到 DMZ 子网。部署程序会为这三个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。

  • 管理网卡的 NSG 采用 vmw-hcs-ID-uag-management-nsg 模式进行命名。
  • 租户网卡的 NSG 采用 vmw-hcs-ID-uag-tenant-nsg 模式进行命名。
  • DMZ 网卡的 NSG 采用 vmw-hcs-ID-uag-dmz-nsg 模式进行命名。

在您的 Microsoft Azure 环境中,这些 NSG 采用 vmw-hcs-ID-uag 模式进行命名,其中 ID 是显示在控制台中容器详细信息页面上的容器 ID,除非将外部网关部署到自身的 VNet(不同于容器的 VNet)中。如果将外部网关部署到其自已的 VNet 中,则 ID 是容器详细信息页面上显示的部署 ID 值。

表 4. 外部 Unified Access Gateway 虚拟机的管理 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound 9443 TCP 管理子网 任意 允许 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowSshInBound 22 任意 管理子网 任意 允许 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于拒绝来自此网卡的出站流量。
表 5. 外部 Unified Access Gateway 虚拟机的租户 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1400 AllowPcoipUdpInBound 任意 UDP 租户子网 任意 允许 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 1000 AllowHttpsOutBound

443

8443

TCP 任意 租户子网 允许

此规则支持 Unified Access Gateway 实例与容器管理器虚拟机中的连接代理进行通信,以便向容器发送新的客户端代理请求。

出站 1100 AllowBlastOutBound 22443 任意 任意 租户子网 允许 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。
出站 1200 AllowPcoipOutBound 4172 任意 任意 租户子网 允许 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。
出站 1300 AllowUsbOutBound 32111 TCP 任意 租户子网 允许 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。
出站 1400 AllowMmrOutBound 9427 TCP 任意 租户子网 允许 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。
出站 1500 AllowAllOutBound 任意 任意 任意 租户子网 允许 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,类似于优先级为 1200 的规则,此规则支持使用此类虚拟机的多个 Horizon Client PCoIP 会话的用例。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。
表 6. 外部 Unified Access Gateway 虚拟机的 DMZ NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound

80

443

TCP Internet 任意 允许 此规则为外部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向容器中的连接代理发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1100 AllowBlastInBound

443

8443

任意 Internet 任意 允许 此规则支持接收来自外部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。
入站 1200 AllowPcoipInBound 4172 任意 Internet 任意 允许 此规则支持接收来自外部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。
入站 1300 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。

内部 Unified Access Gateway 虚拟机的部署程序创建的 NSG

内部 Unified Access Gateway 配置的每个虚拟机具有两 (2) 个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。

  • 管理 NIC 的 NSG 采用 vmw-hcs-podUUID-uag-management-nsg 模式进行命名。
  • 租户 NIC 的 NSG 采用 vmw-hcs-podUUID-uag-tenant-nsg 模式进行命名。

在您的 Microsoft Azure 环境中,这些 NSG 驻留在以 vmw-hcs-podUUID-uag-internal 模式命名的容器资源组中。

表 7. 内部 Unified Access Gateway 虚拟机的管理 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound 9443 TCP 管理子网 任意 允许 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowSshInBound 22 任意 管理子网 任意 任意 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于拒绝来自此网卡的出站流量。
表 8. 内部 Unified Access Gateway 虚拟机的租户 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 允许 此规则为内部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向容器中的连接代理发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1200 AllowBlastInBound

443

8443

任意 VirtualNetwork 任意 允许 此规则支持接收来自内部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。
入站 1300 AllowPcoipInBound 4172 任意 VirtualNetwork 任意 允许 此规则支持接收来自内部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。
入站 1400 AllowPcoipUdpInBound 任意 UDP 租户子网 任意 允许 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 1000 AllowHttpsOutBound

443

8443

TCP 任意 租户子网 允许

此规则支持 Unified Access Gateway 实例与容器管理器虚拟机中的连接代理进行通信,以便向容器发送新的客户端代理请求。

出站 1100 AllowBlastOutBound 22443 任意 任意 租户子网 允许 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。
出站 1200 AllowPcoipOutBound 4172 任意 任意 租户子网 允许 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。
出站 1300 AllowUsbOutBound 32111 TCP 任意 租户子网 允许 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。
出站 1400 AllowMmrOutBound 9427 TCP 任意 租户子网 允许 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。
出站 1500 AllowAllOutBound 任意 任意 任意 租户子网 允许 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,类似于优先级为 1200 的规则,此规则支持使用此类虚拟机的多个 Horizon Client PCoIP 会话的用例。。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。

将外部网关部署到其自已的 VNet 中时网关连接器虚拟机的部署程序创建的 NSG

网关连接器虚拟机具有单个网卡。此网卡将连接到外部网关的 VNet 管理子网。部署程序会创建一个 NSG,并将该 NSG 与该特定网卡相关联。默认情况下,部署程序为网关连接器的管理网卡创建的 NSG 与部署程序为容器管理器虚拟机创建的 NSG 具有相同的规则。

表 9. 部署程序在外部网关连接器虚拟机的管理网卡上创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowSshInBound 22 任意 管理子网 任意 允许 如主题Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求中所述,在初始创建容器以及随后在容器中进行软件更新期间,短期 jump box 虚拟机会使用开启了虚拟机端口 22 的 SSH 与此网关连接器虚拟机进行通信。此外,正如该主题中所述,日常容器操作不需要在网关连接器虚拟机上使用端口 22。但是,如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与网关连接器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowHttpsInBound 443 任意 管理子网 任意 允许 用于确保云控制平面能够与网关连接器的 REST API 端点进行安全通信。
入站 1300 AllowApacheGeodeInBound 10334 - 10335、41000 - 41002、42000 - 42002 任意 管理子网 任意 允许 这些端口用于在容器管理器虚拟机和网关连接器虚拟机之间复制用户会话。
入站 1400 AllowTelegrafInBound 9172 任意 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 1500 AllowAgentJmsInBound 4001、4002 任意 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。

临时 jump box 虚拟机的部署程序创建的 NSG

在部署相关工作流(例如,部署容器或将网关配置添加到容器中)期间,临时 jump box 在其临时 jump box 资源组中也具有一个 NSG。在工作流完成后删除 jump box 的资源组时,将删除该 NSG。

表 10. 部署程序在 jump box 虚拟机的管理网卡上创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 100 AllowSSHInBound 22 任意 任意 任意 允许 如主题Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求中所述,执行日常容器操作不要求入站流量进入短期 jump box 虚拟机的端口 22。但是,如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与容器的管理器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。
出站 100 AllowSSHOutbound 22 TCP 管理子网 管理子网 允许 便于 jump box 虚拟机执行其设计的功能,即根据服务的需要配置其他服务部署的虚拟机。
出站 101 AllowHttpsOutbound 443 TCP 管理子网 任意 允许 便于 jump box 虚拟机下载特定的外部软件组件,如 Microsoft Azure CLI(命令行界面)。jump box 会使用此软件来执行所设计的功能,配置其他服务部署的虚拟机。
出站 102 AllowHttpOutbound 80 TCP 管理子网 任意 允许 便于 jump box 虚拟机下载特定的外部软件组件,例如容器的基于 Linux 的虚拟机的 Ubuntu 软件更新。jump box 会使用此软件来执行所设计的功能,配置其他服务部署的虚拟机。
出站 103 AllowUagOutbound 9443 TCP 管理子网 管理子网 允许 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。
出站 104 AllowDnsOutbound 53 任意 管理子网 任意 允许 用于 jump box 虚拟机访问 DNS 服务。
出站 1000 DenyAllOutBound 任意 TCP 任意 任意 拒绝 由部署程序添加,用于使用 TCP 限制此网卡中流向前述行项的出站流量。