第一代租户 - 使用 Horizon Cloud Connector 和 Horizon 容器时的 DNS、端口和协议要求

将 Horizon Cloud Connector 虚拟设备与 Horizon 容器结合使用时，必须配置防火墙以允许设备访问所需的域名服务 (Domain Name Service, DNS) 地址。此外，如本主题中所述，您的代理设置需要配置的端口和协议，并且 DNS 必须解析特定名称。然后，在部署 Horizon Cloud Connector 虚拟设备，并且您已成功完成将该容器连接到 Horizon Cloud 的步骤后，需要特定的端口和协议才能执行 Horizon Cloud 和虚拟设备之间的日常操作。

重要说明：仅当您有权访问第一代控制平面中的第一代租户环境时，此信息才适用。如知识库文章 92424 中所述，第一代控制平面已终止提供 (EOA)。有关详细信息，请参阅该文章。

如当载入 Horizon 容器以将 Horizon 订阅许可证或云托管服务用于该容器时中所述，Horizon Cloud Connector 虚拟设备将在 Horizon 部署上激活订阅许可证，并允许在该 Horizon 部署中使用云托管服务。

注：（ Horizon Cloud Connector 2.0 及更高版本）除非另有说明，否则以下 DNS、端口和协议要求同样适用于 Horizon Cloud Connector 设备的主节点和工作节点。

如 VMware 生态系统中的紧密集成中所述，您可以将 Horizon Cloud 与更广泛的 VMware 生态系统中提供的其他产品结合使用。这些其他产品可能有额外的 DNS 要求。此处未详细说明此类额外的 DNS 要求。有关此类 DNS 要求，请参阅您将与连接到云的 Horizon 容器集成的特定产品所对应的文档集。

在租户范围内应用的容器连接性和服务操作的 DNS 要求

本节介绍在租户范围内应用的容器连接和服务操作的 DNS 要求。

使用 Horizon Cloud Connector 连接 Horizon Cloud 与 Horizon 容器的步骤包括使用浏览器导航到 Horizon Cloud Connector 设备的 IP 地址，连接后将显示登录屏幕。Horizon Cloud Connector 设备与 Horizon Cloud 云控制平面之间需要 Internet 连接，才能看到该登录屏幕。设备最初使用 HTTPS 建立与 Horizon Cloud 云控制平面的连接，然后使用出站 Internet 端口 443 打开持久的 WebSocket 连接。对于日常操作，Horizon Cloud Connector 设备和 Horizon Cloud 之间的连接要求出站 Internet 连接（使用端口 443）始终处于打开状态。您必须确保可以解析以下域名服务 (DNS) 名称，并且可以使用下表中列出的特定端口和协议访问这些名称。

重要说明：

请牢记以下几个要点：

对于所有租户帐户，需要能够访问 DNS 名称 cloud.horizon.vmware.com。除了可访问您的租户帐户中指定的区域的区域控制平面 DNS 名称之外，还需要能够访问 cloud.horizon.vmware.com。
Horizon Cloud Connector 使用行业认可的证书颁发机构 (CA) DigiCert 签名的 SSL 证书。这些证书使用引用 DigiCert 域上的特定 DNS 名称的 CRL（证书吊销列表）和 OCSP（联机证书状态协议）查询。要确保 Horizon Cloud Connector 连接，您必须将这些 DNS 名称配置为可解析并可供虚拟设备访问。如果无法访问这些 DNS 名称，您将无法访问 Horizon Cloud Connector 配置门户。具体名称由 DigiCert 确定，因此不在 VMware 的控制范围内。
如果您计划启用 Universal Broker 以便将其与容器结合使用，除了 DNS 名称外，还存在连接要求。有关详细信息，请参见 Universal Broker 的系统要求及其相关主题。

“欢迎使用 Horizon 服务”电子邮件将指示您的租户帐户是在哪个区域控制平面实例中创建的。在向您发送欢迎电子邮件时，由于存在一个已知问题，您收到的电子邮件可能会显示区域的系统字符串名称，而不是易记名称。如果在欢迎电子邮件中看到系统字符串名称，您可以使用下表将电子邮件中显示的内容与区域控制平面 DNS 名称相关联。

表 1. 您的欢迎电子邮件中的区域映射到区域控制平面 DNS 名称
您的欢迎电子邮件显示	区域 DNS 名称
`USA`	`cloud.horizon.vmware.com`
`EU_CENTRAL_1` 或 `Europe`	`cloud-eu-central-1.horizon.vmware.com`
`AP_SOUTHEAST_2` 或 `Australia`	`cloud-ap-southeast-2.horizon.vmware.com`
`PROD1_NORTHCENTRALUS2_CP1` 或 `USA-2`	`cloud-us-2.horizon.vmware.com`
`PROD1_NORTHEUROPE_CP1` 或 `Europe-2`	`cloud-eu-2.horizon.vmware.com`
`PROD1_AUSTRALIAEAST_CP1` 或 `Australia-2`	`cloud-ap-2.horizon.vmware.com`
`Japan`	`cloud-jp.horizon.vmware.com`
`UK`	`cloud-uk.horizon.vmware.com`
`Europe-3`	`cloud-de.horizon.vmware.com`


源	目标（DNS 名称）	端口	协议	用途
Horizon Cloud Connector	cloud.horizon.vmware.com 加上以下名称之一，具体取决于在您的 Horizon Cloud 租户帐户中指定了哪个区域控制平面实例。区域实例是在创建帐户时设置的，如部署并载入到适用于 Microsoft Azure 的 Horizon Cloud 和 Horizon 容器中所述。 cloud-us-2.horizon.vmware.com cloud-eu-central-1.horizon.vmware.com cloud-eu-2.horizon.vmware.com cloud-ap-southeast-2.horizon.vmware.com cloud-ap-2.horizon.vmware.com cloud-jp.horizon.vmware.com cloud-uk.horizon.vmware.com cloud-de.horizon.vmware.com	443	TCP	区域控制平面实例。注：除了下述区域实例外， Horizon Cloud Connector 还需要所有租户帐户都能够访问 `cloud.horizon.vmware.com`。美国：cloud.horizon.vmware.com、cloud-us-2.horizon.vmware.com 欧洲：cloud-eu-central-1.horizon.vmware.com、cloud-eu-2.horizon.vmware.com 亚太地区：cloud-ap-southeast-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com 日本：cloud-jp.horizon.vmware.com 英国：cloud-uk.horizon.vmware.com 德国：cloud-de.horizon.vmware.com
注：（ Horizon Cloud Connector 2.0 及更高版本）此要求仅适用于主节点。 Horizon Cloud Connector	取决于在您的 Horizon Cloud 帐户中指定了哪个区域控制平面：北美：kinesis.us-east-1.amazonaws.com 欧洲、德国：kinesis.eu-central-1.amazonaws.com 澳大利亚：kinesis.ap-southeast-2.amazonaws.com 日本：kinesis.ap-northeast-1.amazonaws.com 英国：kinesis.eu-west-2.amazonaws.com	443	TCP	Cloud Monitoring Service (CMS)
Horizon Cloud Connector	*.digicert.com 如果您的组织禁止在允许的 DNS 名称中使用通配符，您可以改为允许使用特定的名称。例如，在编写本文时，进行证书验证所需的特定 DNS 名称为： ocsp.digicert.com crl3.digicert.com crl4.digicert.com www.digicert.com/CPS 这些 DNS 名称由 DigiCert 确定，并且可能会发生更改。有关如何获取证书所需的特定名称的说明，请参阅 VMware 知识库文章 (KB) 79859。	80、443	HTTP、HTTPS	用于从证书颁发机构 DigiCert 获取验证的 CRL 或 OCSP 查询
Horizon Cloud Connector	以下名称之一，具体取决于在您的 Horizon Cloud 租户帐户中指定了哪个区域控制平面实例。区域实例是在创建帐户时设置的，如部署并载入到适用于 Microsoft Azure 的 Horizon Cloud 和 Horizon 容器中所述。 connector-azure-us.vmwarehorizon.com connector-azure-eu.vmwarehorizon.com connector-azure-aus.vmwarehorizon.com connector-azure-jp.vmwarehorizon.com connector-azure-uk.vmwarehorizon.com connector-azure-de.vmwarehorizon.com	443	TCP	Universal Broker 服务的区域实例美国：connector-azure-us.vmwarehorizon.com 欧洲：connector-azure-eu.vmwarehorizon.com 澳大利亚：connector-azure-aus.vmwarehorizon.com 日本：connector-azure-jp.vmwarehorizon.com 英国：connector-azure-uk.vmwarehorizon.com 德国：connector-azure-de.vmwarehorizon.com
Horizon Cloud Connector	hydra-softwarelib-cdn.azureedge.net	443	TCP	用于在自动更新 Horizon Cloud Connector 期间从 CDN 存储库下载必要的 OVF 和 VMDK 文件。

Horizon Cloud Connector 虚拟设备所需的端口和协议

对于 Horizon Cloud Connector 和 Horizon Cloud 之间的日常操作，需要使用下表中的端口和协议。

表 2. Horizon Cloud Connector 端口
源	目标	端口	协议	描述
Horizon Cloud Connector	Horizon Cloud	443	HTTPS	用于将 Horizon Cloud Connector 与 Horizon Cloud 配对和传输数据。
Horizon Cloud Connector	连接服务器	443	HTTPS	对连接服务器的 API 调用。
Horizon Cloud Connector	连接服务器	4002	TCP	Cloud Connector 和连接服务器之间的 Java 消息服务 (JMS) 通信
Horizon Cloud Connector 设备的新版本	Horizon Cloud Connector 设备的现有版本	22	SSH	侦听启动更新过程的请求。
Web 浏览器	Horizon Cloud Connector	443	HTTPS	侦听启动配对过程的请求。
桌面或服务器虚拟机（来自网络上连接到云的 Horizon 容器）中的 Cloud Monitoring Service 代理	Horizon Cloud Connector 设备的 IP 地址，	11002	TCP	用于服务器或桌面虚拟机（将数据发送到 Horizon Cloud Connector）上的 Cloud Monitoring Service 代理
Horizon Cloud Connector	vCenter Server 的 SDK 端点，例如：https://`<FQDN of vCenter Server>`/sdk	443	TCP	自动更新功能需要使用此可选端口配置。自动更新功能默认处于停用状态，只能应请求为每个容器分别启用该功能。请参阅配置 Horizon Cloud Connector 虚拟设备的自动更新。
Horizon Cloud Connector	vCenter Server 的 SDK 端点，例如：https://`<FQDN of vCenter Server>`/sdk	443	HTTPS	Horizon 映像管理服务需要使用此可选端口配置。仅当为租户帐户启用了 Horizon 映像管理服务功能时，才需要配置此端口和协议。请参阅从云中管理 Horizon 映像。