对于部署到 Microsoft Azure 订阅中的每个 Horizon Cloud 容器,还会在该容器的资源组中创建一个网络安全组 (NSG) 以充当模板。您可以使用此模板来确保您已打开可能需要用于场所提供的远程应用程序或 RDS 桌面的其他端口。
在 Microsoft Azure 中,网络安全组 (NSG) 控制传输到与 Azure 虚拟网络 (VNet) 连接的资源的网络流量。NSG 会定义一些安全规则来允许或拒绝此网络流量。有关 NSG 如何筛选网络流量的详细信息,请参阅 Microsoft Azure 文档主题使用网络安全组筛选网络流量。
将 Horizon Cloud 容器部署到 Microsoft Azure 中时,会在该容器中名为 vmw-hcs-podID 的同一资源组内,创建一个名为 vmw-hcs-podID-nsg-template 的 NSG,其中,podID 是容器的 ID。您可以从容器的详细信息页面(可从 Horizon Universal Console 中的“容量”页面导航到该详细信息页面)中获取容器的 ID。
默认情况下:
- 创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于当任何人或任意系统在 Microsoft Azure 中创建 NSG 时,Microsoft Azure 会自动创建此类 Microsoft Azure 默认规则,因此本文档主题中未对它们进行介绍。这些规则不是由 Horizon Cloud 创建的。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则。
- Horizon Cloud 容器部署程序在容器的模板 NSG 中创建以下入站安全规则。这些默认的入站安全规则支持最终用户客户端访问 RDS 会话桌面和远程应用程序以进行 Blast、PCOIP 和 USB 重定向。
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | Internet | 任意 | 允许 |
| 1100 | AllowBlastTcpIn | 22443 | TCP | Internet | 任意 | 允许 |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | 任意 | 允许 |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | 任意 | 允许 |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | 任意 | 允许 |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | 任意 | 允许 |
除了此模板 NSG 之外,在创建场时,系统还会通过复制此模板 NSG 为该场创建一个 NSG。每个场都有自己的 NSG,即是模板 NSG 的副本。场的 NSG 分配给该场的虚拟机 (VM) 的网卡。默认情况下,每个场都使用与在容器的模板 NSG 中配置的相同默认安全规则。
您可以修改模板 NSG 和每个场的 NSG。例如,如果您在场中有应用程序,并且您知道需要为该应用程序打开其他端口,则可以通过修改该场的 NSG 来允许该端口上的网络流量。如果您计划创建多个场,并且这些场需要打开相同的端口,一种简单的方法是先对模板 NSG 进行编辑,然后再创建这些场。
