本文档主题旨在阐明,当您使用第一代 Horizon Cloud 环境在 Microsoft Azure 订阅中创建容器,随后登录到 Microsoft Azure 门户并查看容器部署程序所创建的内容时,将看到哪些内容。在 Microsoft Azure 中部署容器期间,自动部署过程会创建一组网络安全组 (NSG),并将各个安全组与 VMware 控制的各个容器虚拟机 (VM) 上的单个特定网络接口(网卡)相关联。这些容器相关联的虚拟机是容器的管理器虚拟机,它们是在使用 Unified Access Gateway 配置容器时部署的虚拟机。
阅读此页面之前
在阅读此页面之前,请考虑以下几点。
自 2022 年 8 月起,Horizon Cloud Service - next-gen 公开发布,并提供了自己的使用 Horizon 控制平面下一代。
您具有下一代环境还是第一代环境的一个特征是,在您登录到环境并看到 Horizon Universal Console 标签后在浏览器 URL 字段中显示的模式。对于下一代环境,控制台的 URL 地址包含类似于 /hcsadmin/ 的部分。第一代控制台的 URL 具有不同的部分 (/horizonadmin/)。
整体介绍
容器部署程序会根据适用于容器的 VMware 设计和架构将由部署程序创建的相应 NSG 与相应的网卡相关联。这些 NSG 在网卡级别使用,用来确保特定 VMware 管理的设备上的每个网卡都能够接收该设备应接收的在该网卡的连接子网上提供标准服务和进行容器操作的流量,并阻止所有该设备不应接收的流量。每个 NSG 都包含一组安全规则,用于定义允许进出每个网卡的流量。
此处所述的 NSG 不同于在使用 Horizon Universal Console 创建时由容器置备的基础虚拟机、场和 VDI 桌面使用的 NSG。这些 NSG 具有不同的使用情况信息。有关这些 NSG 的信息,请参阅以下主题:
- Horizon Cloud 的“从商城导入虚拟机”向导创建的网络安全组 (NSG)
- 关于 Horizon Cloud 容器中的网络安全组和场
- 关于 Horizon Cloud 容器的网络安全组和 VDI 桌面
- 将这些 NSG 或 NSG 规则复制或移动到 Horizon Cloud 使用的任何子网
- 在与容器虚拟机关联的网卡之间复制或移动这些 NSG 或 NSG 规则。
Horizon Cloud 创建的 NSG 以及其中的规则特定于特定网卡及其连接到的虚拟机,并且专用于这些网卡和虚拟机。如果对这些 NSG 或规则进行任何更改或尝试将其用于任何其他用途(即使在这些网卡连接到的同一子网上),可能会导致它们与连接到的网卡之间的所需网络流量中断。该中断又可能会导致所有容器操作中断。这些 NSG 的生命周期是由 Horizon Cloud 管理的,每个 NSG 具有特定的原因。这些原因包括:
- 云控制平面能够与容器进行通信。
- 管理容器的基础架构
- 容器生命周期操作
不过,您可以在容器的资源组外部的资源组中创建自己的 NSG 以包含您自己的组织的规则,容器的资源组是 Horizon Cloud 为容器的虚拟机自动创建和管理的。您自己的 NSG 中的规则不能与 Horizon Cloud 的容器虚拟机管理和运行要求发生冲突。此类 NSG 应附加到容器使用的管理、租户和 DMZ 子网。在 Horizon Cloud 管理的资源组中创建您自己的 NSG 时,如果这些资源组中的 NSG 与位于不同资源组中的资源相关联,将导致对 Horizon Cloud 管理的资源组执行的删除操作失败。
如 Microsoft Azure 文档中所述,网络安全组 (NSG) 的用途是使用安全规则对进出 Microsoft Azure 环境中的资源的网络流量进行筛选。每个规则都有一组属性(如源、目标、端口、协议等),用于确定允许进出与 NSG 相关联的资源的流量。Horizon Cloud 自动创建并与 VMware 控制的容器虚拟机的网卡关联的 NSG 包含特定的规则,Horizon Cloud 已确定服务需要使用这些规则以管理容器,正确运行日常容器操作以及管理容器的生命周期。一般来说,在这些 NSG 中定义的每个规则都旨在为执行容器操作提供端口流量,该流量是服务实现 Horizon Cloud 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。另请参见 Horizon Cloud 容器的端口和协议要求。
下面的部分列出了 Horizon Cloud 在这些 NSG 中定义的 NSG 规则。
有关这些 NSG 的一般事实
此列表适用于由部署程序创建并与容器虚拟机上特定网卡相关联的所有 NSG。
- 这些 VMware 创建的 NSG 是为了保护 VMware 控制的软件设备的安全。当 VMware 将新软件添加到您的订阅中并需要其他规则时,这些新规则将添加到这些 NSG 中。
- 在 Microsoft Azure 门户中,NSG 的名称采用
vmw-hcs-podUUID模式,其中 podUUID 是容器的标识符,但用于已部署到其自已 VNet 中的外部网关配置的 NSG 除外。在这种例外情况下,与网关相关的 NSG 的名称采用vmw-hcs-ID模式,其中 ID 是该外部网关的部署 ID。注: 在某种情况下,您使用部署到在单独订阅中预先创建的现有资源组的选项将外部网关配置部署到该订阅中,此时,网关连接器虚拟机的管理网卡上的 NSG 的命名模式基于资源组的名称,而不是vmw-hcs-podUUID模式。例如,如果您将该资源组命名为hcsgateways,则 Horizon Cloud 在该资源组中创建一个名为hcsgateways-mgmt-nsg的 NSG,并将该 NSG 与网关连接器虚拟机的管理网卡相关联。通过从管理控制台的“容量”页面导航到容器的详细信息,可以找到这些标识符。
注: 当您选择让容器的外部 Unified Access Gateway 使用自定义资源组时,由部署程序创建的网关连接器虚拟机的 NSG 名称包含该自定义资源组的名称,而不包含vmw-hcs-ID模式。例如,如果您指定将名为ourhcspodgateway的自定义资源组用于容器的外部网关,则由部署程序创建并与网关虚拟机的网卡相关联的 NSG 将被命名为ourhcspodgateway-mgmt-nsg。 - NSG 和与其关联的虚拟机及 NIC 位于同一资源组中。例如,使用由部署程序创建的资源组将外部网关部署到容器的 VNet 中时,与外部 Unified Access Gateway 虚拟机上的网卡关联的 NSG 将位于名为
vmw-hcs-podUUID-uag的资源组中。另请参阅第一代租户 - 为 Microsoft Azure 中部署的容器创建的资源组。 - Horizon Cloud 可以根据需要添加新规则或修改这些规则,以确保服务的可维护性。
- 在容器更新过程中,将保留 NSG 和规则。它们不会被删除。
- Horizon Cloud 规则从优先级 1000 开始,并且优先级通常以 100 为增量递增。当优先级达到 3000 时,Horizon Cloud 规则结束。
- 源 IP 地址 168.63.129.16 的
AllowAzureInBound规则允许 NSG 接受来自 Microsoft Azure 平台的入站通信,如 Microsoft Azure 文档主题什么是 IP 地址 168.63.129.16 中所述。所有与容器相关的虚拟机都是 Microsoft Azure 中的虚拟机。正如 Microsoft Azure 文档主题中所述,其 IP 地址 168.63.129.16 可帮助完成 Microsoft Azure 云平台为其云中的所有虚拟机执行的各种虚拟机管理任务。例如,此 IP 地址可帮助虚拟机中的虚拟机代理与 Microsoft Azure 平台通信,以发出虚拟机处于就绪状态的信号。 - 在 Unified Access Gateway 实例的 NSG 中,将会为任何端口设置
AllowPcoipUdpInBound规则,因为 PCoIP 流量在 4173+ 范围内使用的是可变端口号,这样就不能将流量限制到一组特定的端口。 - 创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于此类 Microsoft Azure 默认规则是由 Microsoft Azure 自动创建的,因此本文档主题中未对它们进行介绍。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则。
- 在这些 NSG 中定义的每个规则都旨在为执行容器操作提供端口流量,该流量是服务实现 Horizon Cloud 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。另请参见 Horizon Cloud 容器的端口和协议要求。
- 在编辑您的容器以指定用于场和 VDI 桌面分配的其他租户子网时,将更新容器管理器虚拟机和 Unified Access Gateway 虚拟机网卡上与租户子网相关的 NSG 中的规则,以包含这些额外的租户子网。
- 如果向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署临时 jump box 虚拟机,则此临时 jump box 在临时 jump box 资源组中具有一个 NSG。在支持团队完成后删除 jump box 的资源组时,将删除该 NSG。
容器管理器虚拟机的部署程序创建的 NSG
容器管理器虚拟机具有两个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。
- 管理 NIC 的 NSG 采用
vmw-hcs-podUUID-mgmt-nsg模式进行命名。 - 租户 NIC 的 NSG 采用
vmw-hcs-podUUID-tenant-nsg模式进行命名。
在您的 Microsoft Azure 环境中,这些 NSG 驻留在以 vmw-hcs-podUUID 模式命名的容器资源组中。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 规则的用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowSshInBound | 22 | 任意 | 管理子网 | 任意 | 允许 | 如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与容器的管理器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。生存周期较短的 jump box 虚拟机会使用 SSH 通过虚拟机的端口 22 与容器管理器虚拟机进行通信。日常容器操作无需使用容器管理器虚拟机的端口 22。 |
| 入站 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1200 | AllowHttpsInBound | 443 | 任意 | 管理子网 | 任意 | 允许 | 用于确保云控制平面能够与容器管理器的 REST API 端点进行安全通信。 |
| 入站 | 1300 | AllowApacheGeodeInBound | 10334-10336、41000-41002、41100-41102、42000-42002 | 任意 | 管理子网 | 任意 | 允许 | 这些端口用于在容器管理器虚拟机之间复制用户会话和与文件共享相关的信息。 |
| 入站 | 1400 | AllowTelegrafInBound | 9172 | 任意 | 管理子网 | 任意 | 允许 | 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。 |
| 入站 | 1500 | AllowAgentJmsInBound | 4001、4002 | 任意 | 管理子网 | 任意 | 允许 | 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任意 | 允许 | 此规则提供了一个非典型的场景,在此类场景下,您可能已告知内部最终用户(例如企业网络中的该用户,通过 VPN)将其客户端连接到已映射到容器的 Microsoft Azure 负载均衡器的 FQDN。这种情况有时称为直接容器连接。对于向容器管理器发出的登录身份验证请求,Horizon Client 和 Horizon Web 客户端使用端口 443。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。 |
| 入站 | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | 租户子网 | 任意 | 允许 | 基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 App Volumes Agent 使用入站连接到该网卡的端口 3443,以访问在容器管理器中运行的 App Volumes Manager 服务。 Unified Access Gateway 实例使用入站连接到该网卡的端口 8443 在容器管理器中进行检查。网关实例使用此端点来确认是否已将新的客户端连接请求发送到容器管理器。 |
| 入站 | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | 任意 | 允许 | 为了保持代码一致性和便于维护,容器部署程序始终将该规则写入到该 NSG 中。 在容器的外部网关部署在与容器分开的自身 VNet 的部署中,该规则支持在容器管理器中检查来自外部网关的 Unified Access Gateway 实例的入站流量。网关实例使用此端点来确认是否已将新的客户端连接请求发送到容器管理器。 |
| 入站 | 1120 | AllowUagHttpsInBound | 8443 | TCP | 管理子网 | 任意 | 允许 | 此规则计划在未来的服务版本中使用。 |
| 入站 | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | 租户子网 | 任意 | 允许 | 基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent 使用这些端口。 端口 4001 用于 Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该端口以在证书指纹验证和交换过程中与容器进行通信,从而与容器创建安全的 SSL 连接。
在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。
注: 稳定状态操作需要端口 4001 和 4002。有时,代理可能需要使用容器重新设置密钥。
|
| 入站 | 1210 | AllowRouterJmsInBound | 4101 | TCP | 租户子网 | 任意 | 允许 | 在为容器启用高可用性 (HA) 时,此流量是容器管理器虚拟机(节点 1 和节点 2)之间的 JMS 路由 |
| 入站 | 1300 | AllowAgentUdpInBound | 5678 | UDP | 租户子网 | 任意 | 允许 | 清单 1600 及更高版本级别的容器已停用此端口。在该服务的 2019 年 9 月版本中,自容器清单 1600 起,DaaS Agent 已合并到 Horizon Agent。以前,此端口 5678 和 UDP 协议用于支持 DaaS Agent 的使用。 |
| 入站 | 1400 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
外部 Unified Access Gateway 虚拟机的部署程序创建的 NSG
外部 Unified Access Gateway 配置的每个虚拟机具有三 (3) 个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网,还有一个 NIC 连接到 DMZ 子网。部署程序会为这三个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。
- 管理网卡的 NSG 采用
vmw-hcs-ID-uag-management-nsg模式进行命名。 - 租户网卡的 NSG 采用
vmw-hcs-ID-uag-tenant-nsg模式进行命名。 - DMZ 网卡的 NSG 采用
vmw-hcs-ID-uag-dmz-nsg模式进行命名。
在您的 Microsoft Azure 环境中,这些 NSG 采用 vmw-hcs-ID-uag 模式进行命名,其中 ID 是显示在控制台中容器详细信息页面上的容器 ID,除非将外部网关部署到自身的 VNet(不同于容器的 VNet)中。如果将外部网关部署到其自已的 VNet 中,则 ID 是容器详细信息页面上显示的部署 ID 值。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子网 | 任意 | 允许 | 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。 |
| 入站 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1200 | AllowSshInBound | 22 | 任意 | 管理子网 | 任意 | 允许 | 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于拒绝来自此网卡的出站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | 租户子网 | 任意 | 允许 | 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | 租户子网 | 允许 | 此规则支持 Unified Access Gateway 实例与容器管理器虚拟机进行通信,以便向容器管理器发送新的客户端连接请求。 |
| 出站 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。 |
| 出站 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。 |
| 出站 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | 租户子网 | 允许 | 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。 |
| 出站 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | 租户子网 | 允许 | 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。 |
| 出站 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | 租户子网 | 允许 | 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,类似于优先级为 1200 的规则,此规则支持使用此类虚拟机的多个 Horizon Client PCoIP 会话的用例。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | 任意 | 允许 | 此规则为外部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向容器管理器发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。 |
| 入站 | 1100 | AllowBlastInBound | 443 8443 |
任意 | Internet | 任意 | 允许 | 此规则支持接收来自外部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。 |
| 入站 | 1200 | AllowPcoipInBound | 4172 | 任意 | Internet | 任意 | 允许 | 此规则支持接收来自外部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。 |
| 入站 | 1300 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
内部 Unified Access Gateway 虚拟机的部署程序创建的 NSG
内部 Unified Access Gateway 配置的每个虚拟机具有两 (2) 个 NIC,一个 NIC 连接到管理子网,另一个 NIC 连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。
- 管理 NIC 的 NSG 采用
vmw-hcs-podUUID-uag-management-nsg模式进行命名。 - 租户 NIC 的 NSG 采用
vmw-hcs-podUUID-uag-tenant-nsg模式进行命名。
在您的 Microsoft Azure 环境中,这些 NSG 驻留在以 vmw-hcs-podUUID-uag-internal 模式命名的容器资源组中。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子网 | 任意 | 允许 | 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。 |
| 入站 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1200 | AllowSshInBound | 22 | 任意 | 管理子网 | 任意 | 任意 | 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于拒绝来自此网卡的出站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任意 | 允许 | 此规则为内部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向容器管理器发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。 |
| 入站 | 1200 | AllowBlastInBound | 443 8443 |
任意 | VirtualNetwork | 任意 | 允许 | 此规则支持接收来自内部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。 |
| 入站 | 1300 | AllowPcoipInBound | 4172 | 任意 | VirtualNetwork | 任意 | 允许 | 此规则支持接收来自内部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。 |
| 入站 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | 租户子网 | 任意 | 允许 | 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | 租户子网 | 允许 | 此规则支持 Unified Access Gateway 实例与容器管理器虚拟机进行通信,以便向容器发送新的客户端连接请求。 |
| 出站 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。 |
| 出站 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。 |
| 出站 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | 租户子网 | 允许 | 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。 |
| 出站 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | 租户子网 | 允许 | 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。 |
| 出站 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | 租户子网 | 允许 | 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,与优先级为 1200 的规则类似,该规则支持与此类虚拟机建立多个 Horizon Client PCoIP 会话的用例。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。 |
将外部网关部署到其自已的 VNet 中时网关连接器虚拟机的部署程序创建的 NSG
网关连接器虚拟机具有单个网卡。此网卡将连接到外部网关的 VNet 管理子网。部署程序会创建一个 NSG,并将该 NSG 与该特定网卡相关联。默认情况下,部署程序为网关连接器的管理网卡创建的 NSG 与部署程序为容器管理器虚拟机创建的 NSG 具有相同的规则。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowSshInBound | 22 | 任意 | 管理子网 | 任意 | 允许 | 如果在稳定状态操作期间,您向 VMware 发出支持请求,并且支持团队确定解决该请求的方法是部署一个 jump box 虚拟机,以便使用 SSH 与此网关连接器虚拟机进行通信,则此 NSG 规则支持这种用例。在进行任何紧急访问之前,都将需要向您申请相关权限。生存周期较短的 jump box 虚拟机会使用 SSH 通过虚拟机的端口 22 与此网关连接器虚拟机进行通信。日常容器操作无需使用网关连接器虚拟机的端口 22。 |
| 入站 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1200 | AllowHttpsInBound | 443 | 任意 | 管理子网 | 任意 | 允许 | 用于确保云控制平面能够与网关连接器的 REST API 端点进行安全通信。 |
| 入站 | 1300 | AllowApacheGeodeInBound | 10334-10336、41000-41002、41100-41102、42000-42002 | 任意 | 管理子网 | 任意 | 允许 | 这些端口用于在容器管理器虚拟机和网关连接器虚拟机之间复制用户会话和与文件共享相关的信息。 |
| 入站 | 1400 | AllowTelegrafInBound | 9172 | 任意 | 管理子网 | 任意 | 允许 | 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。 |
| 入站 | 1500 | AllowAgentJmsInBound | 4001、4002 | 任意 | 管理子网 | 任意 | 允许 | 已弃用。此 NSG 曾由 Horizon 基础架构监控功能使用,该功能已弃用,如 VMware 知识库文章 93762 中所述。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
临时 jump box 虚拟机的部署程序创建的 NSG
如果向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署临时 jump box 虚拟机,则此临时 jump box 在临时 jump box 资源组中具有一个 NSG。在支持团队在完成此项工作后删除 jump box 的资源组时,将删除该 NSG。在进行任何紧急访问之前,都将需要向您申请相关权限。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 100 | AllowSSHInBound | 22 | 任意 | 管理子网 | 管理子网 | 允许 | 便于与 VMware 技术支持团队调查您的服务请求时所涉及的 VMware 管理的设备进行 SSH 通信。生存周期较短的 jump box 虚拟机使用 SSH 和端口 22 进行通信。
注: 如果云控制平面无法访问容器,那么支持团队可能会部署具有公用 IP 的紧急 jump box,以建立对容器的访问。该场景将要求此规则具有 Source=Any 和 Destination=Any。
|
| 出站 | 100 | AllowSSHOutbound | 22 | TCP | 管理子网 | 管理子网 | 允许 | 便于 jump box 虚拟机执行其设计的功能。 |
| 出站 | 101 | AllowHttpsOutbound | 443 | TCP | 管理子网 | 任意 | 允许 | 便于 jump box 虚拟机下载特定的外部软件组件(如 Microsoft Azure CLI(命令行界面)),以执行其设计的功能。 |
| 出站 | 102 | AllowHttpOutbound | 80 | TCP | 管理子网 | 任意 | 允许 | 便于 jump box 虚拟机下载特定的外部软件组件(如 Ubuntu 软件更新),以执行其设计的功能。 |
| 出站 | 103 | AllowUagOutbound | 9443 | TCP | 管理子网 | 管理子网 | 允许 | 便于 jump box 虚拟机通过网关的管理界面执行与网关管理设置相关的设计的功能。 |
| 出站 | 104 | AllowDnsOutbound | 53 | 任意 | 管理子网 | 任意 | 允许 | 用于 jump box 虚拟机访问 DNS 服务。 |
| 出站 | 105 | AllowHttpProxyOutbound | 任意 | TCP | 任意 | 任意 | 允许 | 在容器部署配置为使用具有不同于 80 的代理端口的代理时,临时 jump box 部署程序在该 NSG 中创建该规则。该规则在此类代理环境中支持临时 jump box。 在容器部署配置未指定任何代理或指定具有代理端口 80 的代理时,不会在该 NSG 中出现该规则。 |
| 出站 | 1000 | DenyAllOutBound | 任意 | TCP | 任意 | 任意 | 拒绝 | 使用 TCP 限制此网卡中流向前述行项的出站流量。 |
