本文档主题旨在阐明,当您使用第一代 Horizon Cloud 环境在 Microsoft Azure 订阅中创建容器,随后登录到 Microsoft Azure 门户并查看容器部署程序所创建的内容时,将看到哪些内容。在 Microsoft Azure 中部署容器期间,自动部署过程会创建一组网络安全组 (NSG),并将各个安全组与 VMware 控制的各个容器虚拟机 (VM) 上的单个特定网络接口(网卡)相关联。这些容器相关联的虚拟机是容器的管理器虚拟机,它们是在使用 Unified Access Gateway 配置容器时部署的虚拟机。

阅读此页面之前

在阅读此页面之前,请考虑以下几点。

切记:知识库文章 92424 中所述,已宣布终止提供第一代 Horizon Cloud 控制平面。第一代 Horizon Cloud 产品文档已更新,以便与该公告保持一致。
注:知识库文章 93762 中所述, Horizon 基础架构监控 功能已弃用,第一代租户无法再激活或使用该功能。从 2023 年 10 月起,对此页面中以前与该弃用功能相关的信息进行了相应更新。
注意: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。

自 2022 年 8 月起,Horizon Cloud Service - next-gen 公开发布,并提供了自己的使用 Horizon 控制平面下一代

您具有下一代环境还是第一代环境的一个特征是,在您登录到环境并看到 Horizon Universal Console 标签后在浏览器 URL 字段中显示的模式。对于下一代环境,控制台的 URL 地址包含类似于 /hcsadmin/ 的部分。第一代控制台的 URL 具有不同的部分 (/horizonadmin/)。

整体介绍

容器部署程序会根据适用于容器的 VMware 设计和架构将由部署程序创建的相应 NSG 与相应的网卡相关联。这些 NSG 在网卡级别使用,用来确保特定 VMware 管理的设备上的每个网卡都能够接收该设备应接收的在该网卡的连接子网上提供标准服务和进行容器操作的流量,并阻止所有该设备不应接收的流量。每个 NSG 都包含一组安全规则,用于定义允许进出每个网卡的流量。

此处所述的 NSG 不同于在使用 Horizon Universal Console 创建时由容器置备的基础虚拟机、场和 VDI 桌面使用的 NSG。这些 NSG 具有不同的使用情况信息。有关这些 NSG 的信息,请参阅以下主题:

警告: 此处介绍的部署程序创建的 NSG 规则是服务的配置要求。您不能删除或编辑自动创建并与容器虚拟机的网卡关联的任何 Horizon Cloud NSG。该指示包括如下操作:
  • 将这些 NSG 或 NSG 规则复制或移动到 Horizon Cloud 使用的任何子网
  • 在与容器虚拟机关联的网卡之间复制或移动这些 NSG 或 NSG 规则。

Horizon Cloud 创建的 NSG 以及其中的规则特定于特定网卡及其连接到的虚拟机,并且专用于这些网卡和虚拟机。如果对这些 NSG 或规则进行任何更改或尝试将其用于任何其他用途(即使在这些网卡连接到的同一子网上),可能会导致它们与连接到的网卡之间的所需网络流量中断。该中断又可能会导致所有容器操作中断。这些 NSG 的生命周期是由 Horizon Cloud 管理的,每个 NSG 具有特定的原因。这些原因包括:

  • 云控制平面能够与容器进行通信。
  • 管理容器的基础架构
  • 容器生命周期操作
由于这些部署程序创建的 NSG 是服务的配置要求,因此尝试更改或移动它们会被视为不支持使用 Horizon Cloud 和误用该产品,如 VMware Horizon Service 的服务级别协议中所述。

不过,您可以在容器的资源组外部的资源组中创建自己的 NSG 以包含您自己的组织的规则,容器的资源组是 Horizon Cloud 为容器的虚拟机自动创建和管理的。您自己的 NSG 中的规则不能与 Horizon Cloud 的容器虚拟机管理和运行要求发生冲突。此类 NSG 应附加到容器使用的管理、租户和 DMZ 子网。在 Horizon Cloud 管理的资源组中创建您自己的 NSG 时,如果这些资源组中的 NSG 与位于不同资源组中的资源相关联,将导致对 Horizon Cloud 管理的资源组执行的删除操作失败。

如 Microsoft Azure 文档中所述,网络安全组 (NSG) 的用途是使用安全规则对进出 Microsoft Azure 环境中的资源的网络流量进行筛选。每个规则都有一组属性(如源、目标、端口、协议等),用于确定允许进出与 NSG 相关联的资源的流量。Horizon Cloud 自动创建并与 VMware 控制的容器虚拟机的网卡关联的 NSG 包含特定的规则,Horizon Cloud 已确定服务需要使用这些规则以管理容器,正确运行日常容器操作以及管理容器的生命周期。一般来说,在这些 NSG 中定义的每个规则都旨在为执行容器操作提供端口流量,该流量是服务实现 Horizon Cloud 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。另请参见 Horizon Cloud 容器的端口和协议要求

下面的部分列出了 Horizon Cloud 在这些 NSG 中定义的 NSG 规则。

有关这些 NSG 的一般事实

此列表适用于由部署程序创建并与容器虚拟机上特定网卡相关联的所有 NSG。

  • 这些 VMware 创建的 NSG 是为了保护 VMware 控制的软件设备的安全。当 VMware 将新软件添加到您的订阅中并需要其他规则时,这些新规则将添加到这些 NSG 中。
  • 在 Microsoft Azure 门户中,NSG 的名称采用 vmw-hcs-podUUID 模式,其中 podUUID 是容器的标识符,但用于已部署到其自已 VNet 中的外部网关配置的 NSG 除外。在这种例外情况下,与网关相关的 NSG 的名称采用 vmw-hcs-ID 模式,其中 ID 是该外部网关的部署 ID。
    注: 在某种情况下,您使用部署到在单独订阅中预先创建的现有资源组的选项将外部网关配置部署到该订阅中,此时,网关连接器虚拟机的管理网卡上的 NSG 的命名模式基于资源组的名称,而不是 vmw-hcs-podUUID 模式。例如,如果您将该资源组命名为 hcsgateways,则 Horizon Cloud 在该资源组中创建一个名为 hcsgateways-mgmt-nsg 的 NSG,并将该 NSG 与网关连接器虚拟机的管理网卡相关联。

    通过从管理控制台的“容量”页面导航到容器的详细信息,可以找到这些标识符。

    注: 当您选择让容器的外部 Unified Access Gateway 使用自定义资源组时,由部署程序创建的网关连接器虚拟机的 NSG 名称包含该自定义资源组的名称,而不包含 vmw-hcs-ID 模式。例如,如果您指定将名为 ourhcspodgateway 的自定义资源组用于容器的外部网关,则由部署程序创建并与网关虚拟机的网卡相关联的 NSG 将被命名为 ourhcspodgateway-mgmt-nsg
  • NSG 和与其关联的虚拟机及 NIC 位于同一资源组中。例如,使用由部署程序创建的资源组将外部网关部署到容器的 VNet 中时,与外部 Unified Access Gateway 虚拟机上的网卡关联的 NSG 将位于名为 vmw-hcs-podUUID-uag 的资源组中。另请参阅第一代租户 - 为 Microsoft Azure 中部署的容器创建的资源组
  • Horizon Cloud 可以根据需要添加新规则或修改这些规则,以确保服务的可维护性。
  • 在容器更新过程中,将保留 NSG 和规则。它们不会被删除。
  • Horizon Cloud 规则从优先级 1000 开始,并且优先级通常以 100 为增量递增。当优先级达到 3000 时,Horizon Cloud 规则结束。
  • 源 IP 地址 168.63.129.16 的 AllowAzureInBound 规则允许 NSG 接受来自 Microsoft Azure 平台的入站通信,如 Microsoft Azure 文档主题什么是 IP 地址 168.63.129.16 中所述。所有与容器相关的虚拟机都是 Microsoft Azure 中的虚拟机。正如 Microsoft Azure 文档主题中所述,其 IP 地址 168.63.129.16 可帮助完成 Microsoft Azure 云平台为其云中的所有虚拟机执行的各种虚拟机管理任务。例如,此 IP 地址可帮助虚拟机中的虚拟机代理与 Microsoft Azure 平台通信,以发出虚拟机处于就绪状态的信号。
  • 在 Unified Access Gateway 实例的 NSG 中,将会为任何端口设置 AllowPcoipUdpInBound 规则,因为 PCoIP 流量在 4173+ 范围内使用的是可变端口号,这样就不能将流量限制到一组特定的端口。
  • 创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于此类 Microsoft Azure 默认规则是由 Microsoft Azure 自动创建的,因此本文档主题中未对它们进行介绍。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则
  • 在这些 NSG 中定义的每个规则都旨在为执行容器操作提供端口流量,该流量是服务实现 Horizon Cloud 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。另请参见 Horizon Cloud 容器的端口和协议要求
  • 编辑您的容器以指定用于场和 VDI 桌面分配的其他租户子网时,将更新容器管理器虚拟机和 Unified Access Gateway 虚拟机网卡上与租户子网相关的 NSG 中的规则,以包含这些额外的租户子网。
  • 如果向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署临时 jump box 虚拟机,则此临时 jump box 在临时 jump box 资源组中具有一个 NSG。在支持团队完成后删除 jump box 的资源组时,将删除该 NSG。

容器管理器虚拟机的部署程序创建的 NSG

容器管理器虚拟机具有两个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。

  • 管理 NIC 的 NSG 采用 vmw-hcs-podUUID-mgmt-nsg 模式进行命名。
  • 租户 NIC 的 NSG 采用 vmw-hcs-podUUID-tenant-nsg 模式进行命名。

在您的 Microsoft Azure 环境中,这些 NSG 驻留在以 vmw-hcs-podUUID 模式命名的容器资源组中。

表 1. 容器管理器虚拟机的管理 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 规则的用途
入站 1000 AllowSshInBound 22 任意 管理子网 任意 允许 如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与容器的管理器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。生存周期较短的 jump box 虚拟机会使用 SSH 通过虚拟机的端口 22 与容器管理器虚拟机进行通信。日常容器操作无需使用容器管理器虚拟机的端口 22。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowHttpsInBound 443 任意 管理子网 任意 允许 用于确保云控制平面能够与容器管理器的 REST API 端点进行安全通信。
入站 1300 AllowApacheGeodeInBound 10334-10336、41000-41002、41100-41102、42000-42002 任意 管理子网 任意 允许 这些端口用于在容器管理器虚拟机之间复制用户会话和与文件共享相关的信息。
入站 1400 AllowTelegrafInBound 9172 任意 管理子网 任意 允许 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。
入站 1500 AllowAgentJmsInBound 4001、4002 任意 管理子网 任意 允许 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
表 2. 容器管理器虚拟机的租户 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 允许 此规则提供了一个非典型的场景,在此类场景下,您可能已告知内部最终用户(例如企业网络中的该用户,通过 VPN)将其客户端连接到已映射到容器的 Microsoft Azure 负载均衡器的 FQDN。这种情况有时称为直接容器连接。对于向容器管理器发出的登录身份验证请求,Horizon Client 和 Horizon Web 客户端使用端口 443。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1100 AllowAgentHttpsInBound

3443

8443

TCP 租户子网 任意 允许

基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 App Volumes Agent 使用入站连接到该网卡的端口 3443,以访问在容器管理器中运行的 App Volumes Manager 服务。

Unified Access Gateway 实例使用入站连接到该网卡的端口 8443 在容器管理器中进行检查。网关实例使用此端点来确认是否已将新的客户端连接请求发送到容器管理器。

入站 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork 任意 允许 为了保持代码一致性和便于维护,容器部署程序始终将该规则写入到该 NSG 中。

在容器的外部网关部署在与容器分开的自身 VNet 的部署中,该规则支持在容器管理器中检查来自外部网关的 Unified Access Gateway 实例的入站流量。网关实例使用此端点来确认是否已将新的客户端连接请求发送到容器管理器。

入站 1120 AllowUagHttpsInBound 8443 TCP 管理子网 任意 允许 此规则计划在未来的服务版本中使用。
入站 1200 AllowAgentJmsInBound

4001

4002

TCP 租户子网 任意 允许

基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent 使用这些端口。

端口 4001 用于 Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该端口以在证书指纹验证和交换过程中与容器进行通信,从而与容器创建安全的 SSL 连接。

在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。
注: 稳定状态操作需要端口 4001 和 4002。有时,代理可能需要使用容器重新设置密钥。
入站 1210 AllowRouterJmsInBound 4101 TCP 租户子网 任意 允许 在为容器启用高可用性 (HA) 时,此流量是容器管理器虚拟机(节点 1 和节点 2)之间的 JMS 路由
入站 1300 AllowAgentUdpInBound 5678 UDP 租户子网 任意 允许 清单 1600 及更高版本级别的容器已停用此端口。在该服务的 2019 年 9 月版本中,自容器清单 1600 起,DaaS Agent 已合并到 Horizon Agent。以前,此端口 5678 和 UDP 协议用于支持 DaaS Agent 的使用。
入站 1400 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。

外部 Unified Access Gateway 虚拟机的部署程序创建的 NSG

外部 Unified Access Gateway 配置的每个虚拟机具有三 (3) 个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网,还有一个 NIC 连接到 DMZ 子网。部署程序会为这三个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。

  • 管理网卡的 NSG 采用 vmw-hcs-ID-uag-management-nsg 模式进行命名。
  • 租户网卡的 NSG 采用 vmw-hcs-ID-uag-tenant-nsg 模式进行命名。
  • DMZ 网卡的 NSG 采用 vmw-hcs-ID-uag-dmz-nsg 模式进行命名。

在您的 Microsoft Azure 环境中,这些 NSG 采用 vmw-hcs-ID-uag 模式进行命名,其中 ID 是显示在控制台中容器详细信息页面上的容器 ID,除非将外部网关部署到自身的 VNet(不同于容器的 VNet)中。如果将外部网关部署到其自已的 VNet 中,则 ID 是容器详细信息页面上显示的部署 ID 值。

表 3. 外部 Unified Access Gateway 虚拟机的管理 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound 9443 TCP 管理子网 任意 允许 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowSshInBound 22 任意 管理子网 任意 允许 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于拒绝来自此网卡的出站流量。
表 4. 外部 Unified Access Gateway 虚拟机的租户 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1400 AllowPcoipUdpInBound 任意 UDP 租户子网 任意 允许 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 1000 AllowHttpsOutBound

443

8443

TCP 任意 租户子网 允许

此规则支持 Unified Access Gateway 实例与容器管理器虚拟机进行通信,以便向容器管理器发送新的客户端连接请求。

出站 1100 AllowBlastOutBound 22443 任意 任意 租户子网 允许 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。
出站 1200 AllowPcoipOutBound 4172 任意 任意 租户子网 允许 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。
出站 1300 AllowUsbOutBound 32111 TCP 任意 租户子网 允许 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。
出站 1400 AllowMmrOutBound 9427 TCP 任意 租户子网 允许 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。
出站 1500 AllowAllOutBound 任意 任意 任意 租户子网 允许 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,类似于优先级为 1200 的规则,此规则支持使用此类虚拟机的多个 Horizon Client PCoIP 会话的用例。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。
表 5. 外部 Unified Access Gateway 虚拟机的 DMZ NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound

80

443

TCP Internet 任意 允许 此规则为外部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向容器管理器发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1100 AllowBlastInBound

443

8443

任意 Internet 任意 允许 此规则支持接收来自外部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。
入站 1200 AllowPcoipInBound 4172 任意 Internet 任意 允许 此规则支持接收来自外部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。
入站 1300 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。

内部 Unified Access Gateway 虚拟机的部署程序创建的 NSG

内部 Unified Access Gateway 配置的每个虚拟机具有两 (2) 个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。

  • 管理 NIC 的 NSG 采用 vmw-hcs-podUUID-uag-management-nsg 模式进行命名。
  • 租户 NIC 的 NSG 采用 vmw-hcs-podUUID-uag-tenant-nsg 模式进行命名。

在您的 Microsoft Azure 环境中,这些 NSG 驻留在以 vmw-hcs-podUUID-uag-internal 模式命名的容器资源组中。

表 6. 内部 Unified Access Gateway 虚拟机的管理 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowHttpsInBound 9443 TCP 管理子网 任意 允许 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowSshInBound 22 任意 管理子网 任意 任意 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于拒绝来自此网卡的出站流量。
表 7. 内部 Unified Access Gateway 虚拟机的租户 NIC 上的部署程序创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 允许 此规则为内部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向容器管理器发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。
入站 1200 AllowBlastInBound

443

8443

任意 VirtualNetwork 任意 允许 此规则支持接收来自内部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。
入站 1300 AllowPcoipInBound 4172 任意 VirtualNetwork 任意 允许 此规则支持接收来自内部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。
入站 1400 AllowPcoipUdpInBound 任意 UDP 租户子网 任意 允许 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。
出站 1000 AllowHttpsOutBound

443

8443

TCP 任意 租户子网 允许

此规则支持 Unified Access Gateway 实例与容器管理器虚拟机进行通信,以便向容器发送新的客户端连接请求。

出站 1100 AllowBlastOutBound 22443 任意 任意 租户子网 允许 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。
出站 1200 AllowPcoipOutBound 4172 任意 任意 租户子网 允许 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。
出站 1300 AllowUsbOutBound 32111 TCP 任意 租户子网 允许 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。
出站 1400 AllowMmrOutBound 9427 TCP 任意 租户子网 允许 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。
出站 1500 AllowAllOutBound 任意 任意 任意 租户子网 允许 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,与优先级为 1200 的规则类似,该规则支持与此类虚拟机建立多个 Horizon Client PCoIP 会话的用例。
出站 3000 DenyAllOutBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。

将外部网关部署到其自已的 VNet 中时网关连接器虚拟机的部署程序创建的 NSG

网关连接器虚拟机具有单个网卡。此网卡将连接到外部网关的 VNet 管理子网。部署程序会创建一个 NSG,并将该 NSG 与该特定网卡相关联。默认情况下,部署程序为网关连接器的管理网卡创建的 NSG 与部署程序为容器管理器虚拟机创建的 NSG 具有相同的规则。

表 8. 部署程序在外部网关连接器虚拟机的管理网卡上创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 1000 AllowSshInBound 22 任意 管理子网 任意 允许 如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与此网关连接器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。生存周期较短的 jump box 虚拟机会使用 SSH 通过虚拟机的端口 22 与此网关连接器虚拟机进行通信。日常容器操作无需使用网关连接器虚拟机的端口 22。
入站 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 允许 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。
入站 1200 AllowHttpsInBound 443 任意 管理子网 任意 允许 用于确保云控制平面能够与网关连接器的 REST API 端点进行安全通信。
入站 1300 AllowApacheGeodeInBound 10334-10336、41000-41002、41100-41102、42000-42002 任意 管理子网 任意 允许 这些端口用于在容器管理器虚拟机和网关连接器虚拟机之间复制用户会话和与文件共享相关的信息。
入站 1400 AllowTelegrafInBound 9172 任意 管理子网 任意 允许 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。
入站 1500 AllowAgentJmsInBound 4001、4002 任意 管理子网 任意 允许 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。
入站 3000 DenyAllInBound 任意 任意 任意 任意 拒绝 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。

临时 jump box 虚拟机的部署程序创建的 NSG

如果向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署临时 jump box 虚拟机,则此临时 jump box 在临时 jump box 资源组中具有一个 NSG。在支持团队在完成此项工作后删除 jump box 的资源组时,将删除该 NSG。在进行任何紧急访问之前,都将需要向您申请相关权限。

表 9. 服务在临时 Jump Box 虚拟机的管理网卡上创建的 NSG 规则
方向 优先级 名称 端口 协议 目标 操作 用途
入站 100 AllowSSHInBound 22 任意 管理子网 管理子网 允许 便于与 VMware 技术支持团队调查您的服务请求时所涉及的 VMware 管理的设备进行 SSH 通信。生存周期较短的 jump box 虚拟机使用 SSH 和端口 22 进行通信。
注: 如果云控制平面无法访问容器,那么支持团队可能会部署具有公用 IP 的紧急 jump box,以建立对容器的访问。该场景将要求此规则具有 Source=Any 和 Destination=Any。
出站 100 AllowSSHOutbound 22 TCP 管理子网 管理子网 允许 便于 jump box 虚拟机执行其设计的功能。
出站 101 AllowHttpsOutbound 443 TCP 管理子网 任意 允许 便于 jump box 虚拟机下载特定的外部软件组件(如 Microsoft Azure CLI(命令行界面)),以执行其设计的功能。
出站 102 AllowHttpOutbound 80 TCP 管理子网 任意 允许 便于 jump box 虚拟机下载特定的外部软件组件(如 Ubuntu 软件更新),以执行其设计的功能。
出站 103 AllowUagOutbound 9443 TCP 管理子网 管理子网 允许 便于 jump box 虚拟机通过网关的管理界面执行与网关管理设置相关的设计的功能。
出站 104 AllowDnsOutbound 53 任意 管理子网 任意 允许 用于 jump box 虚拟机访问 DNS 服务。
出站 105 AllowHttpProxyOutbound 任意 TCP 任意 任意 允许 在容器部署配置为使用具有不同于 80 的代理端口的代理时,临时 jump box 部署程序在该 NSG 中创建该规则。该规则在此类代理环境中支持临时 jump box。

在容器部署配置未指定任何代理或指定具有代理端口 80 的代理时,不会在该 NSG 中出现该规则。

出站 1000 DenyAllOutBound 任意 TCP 任意 任意 拒绝 使用 TCP 限制此网卡中流向前述行项的出站流量。