执行日常 Horizon Cloud 操作时,对于使用 2019 年 9 月版本清单版本部署的容器或更新到 2019 年 9 月版本清单版本的容器,其特定端口和协议要求与 Microsoft Azure 中在 2019 年 9 月版本之前部署的容器有所不同。在 2019 年 9 月版本之前部署的容器具有清单版本 1493.1 或更早版本。
重要事项:
除了此处所述的端口和协议外,您还必须满足 DNS 要求。有关详细信息,请参阅Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求。
如果您的容器清单是 1600.x 或更高版本,则端口和协议要求是不同的。请参阅使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求。
清单版本容器的持续运维所需的端口和协议
除了 DNS 要求以外,还需要使用下表中的端口和协议以使容器在部署后正常执行日常操作。
注: 在此部分的表格中,“管理器虚拟机”一词是指容器管理器虚拟机。在 Microsoft Azure 门户中,此虚拟机的名称中包含一个类似于
vmw-hcs-podID 的部分(其中
podID 是容器的 UUID)以及
node 部分。
| 源 | 目标 | 端口 | 协议 | 用途 |
|---|---|---|---|---|
| 管理器虚拟机 | 域控制器 | 389 | TCP UDP |
LDAP 服务。在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。 |
| 管理器虚拟机 | 全局目录 | 3268 | TCP | LDAP 服务。在 Active Directory 配置中包含全局目录角色的服务器。要求在 Active Directory 中注册容器。 |
| 管理器虚拟机 | 域控制器 | 88 | TCP UDP |
Kerberos 服务。在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。 |
| 管理器虚拟机 | DNS 服务器 | 53 | TCP UDP |
DNS 服务。 |
| 管理器虚拟机 | NTP 服务器 | 123 | UDP | NTP 服务。提供 NTP 时间同步的服务器。 |
| 管理器虚拟机 | True SSO 注册服务器 | 32111 | TCP | True SSO 注册服务器。如果未在容器中使用 True SSO 注册服务器功能,则是可选的。 |
| 管理器虚拟机 | Workspace ONE Access 服务 | 443 | HTTPS |
注: 此行适用于具有单容器代理配置的环境。此信息不适用于具有 Universal Broker 配置的环境。在具有单容器代理配置的环境中,
Workspace ONE Access Connector 与一个容器通信,以获取最终用户授权(分配)。Universal Broker 功能适用于清单 2298 及更高版本的容器,而不适用于更早版本的清单。
如果未将 Workspace ONE Access 与容器集成,则是可选的。在具有单容器代理配置的环境中,此连接用于在容器与 Workspace ONE Access 服务之间建立信任关系,其中 Workspace ONE Access Connector 与容器同步。确保容器可以在端口 443 上访问您使用的 Workspace ONE Access 环境。如果使用 Workspace ONE Access 云服务,另请参阅 VMware 知识库文章 2149884,以查看 Workspace ONE Access Connector 和容器必须能够访问的 Workspace ONE Access 服务 IP 地址列表。 |
| 临时 jump box 虚拟机 | 管理器虚拟机 | 22 | TCP | 如容器 Jump Box 在容器部署和容器更新期间所需的端口和协议中所述,在容器部署和容器更新过程中,将会使用临时 jump box。即使正在进行的过程不需要这些端口,在容器部署和容器更新过程中,此 jump box 虚拟机也必须使用 SSH 通过管理器虚拟机的端口 22 与容器管理器虚拟机进行通信。有关 jump box 虚拟机需要此通信的各类情况的详细信息,请参阅容器 Jump Box 在容器部署和容器更新期间所需的端口和协议。 |
要将来自最终用户连接的流量传输到容器置备的虚拟桌面和远程应用程序,必须打开哪些端口取决于选择的最终用户连接方式:
- 当选择使用外部网关配置时,Unified Access Gateway 实例会自动部署到 Microsoft Azure 环境中,并且会将一个 Microsoft Azure 负载均衡器资源部署到其后端池内的这些实例中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并在 Microsoft Azure 中配置为公共负载均衡器。该图表具有以下特征的容器的 Horizon Cloud Pod 架构示意图:启用了高可用性、同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP描述了此公共负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。对于部署的容器,外部网关的负载均衡器位于名为
vmw-hcs-podID-uag的资源组中,其中 podID 是容器的 UUID。 - 当选择使用内部 Unified Access Gateway 配置时,Unified Access Gateway 实例会自动部署到 Microsoft Azure 环境中,并会将一个 Microsoft Azure 负载均衡器资源部署到其后端池内的这些实例中。该负载均衡器将与租户子网上这些实例的网卡进行通信,并在 Microsoft Azure 中配置为内部负载均衡器。该图表具有以下特征的容器的 Horizon Cloud Pod 架构示意图:启用了高可用性、同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP描述了此内部负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,公司网络上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。对于部署的容器,内部网关的负载均衡器位于名为
vmw-hcs-podID-uag-internal的资源组中,其中 podID 是容器的 UUID。 - 如果未选择任一 Unified Access Gateway 配置,您可以让最终用户直接连接到容器,例如,使用 VPN。对于该配置,您需使用管理控制台中的容器摘要页面将 SSL 证书上载到容器管理器虚拟机,如《VMware Horizon Cloud Service 管理指南》中所述。
有关最终用户可以在您的 Horizon Cloud 容器中使用的各种 Horizon Client 的详细信息,请参阅 Horizon Client 文档页面,网址为 https://docs.vmware.com/cn/VMware-Horizon-Client/index.html。
| 源 | 目标 | 端口 | 协议 | 用途 |
|---|---|---|---|---|
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | TCP | 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。 默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅《VMware Horizon Cloud Service 管理指南》中的“了解什么是 URL 内容重定向”主题。 |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 4172 | TCP UDP |
通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | TCP | 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量。 |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | UDP | 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。 |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 8443 | UDP | 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。 |
| 浏览器 | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | TCP | HTML Access |
| 源 | 目标 | 端口 | 协议 | 用途 |
|---|---|---|---|---|
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | TCP | 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。 默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅《VMware Horizon Cloud Service 管理指南》中的“了解什么是 URL 内容重定向”主题。 |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 4172 | TCP UDP |
通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | TCP | 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量。 |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | UDP | 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。 |
| Horizon Client | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 8443 | UDP | 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。 |
| 浏览器 | 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 | 443 | TCP | HTML Access |
| 源 | 目标 | 端口 | 协议 | 用途 |
|---|---|---|---|---|
| Horizon Client | 管理器虚拟机 | 443 | TCP | 登录身份验证流量 |
| Horizon Client | 桌面或场服务器虚拟机中的 Horizon Agent | 4172 | TCP UDP |
PCoIP |
| Horizon Client | 桌面或场服务器虚拟机中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme |
| Horizon Client | 桌面或场服务器虚拟机中的 Horizon Agent | 32111 | TCP | USB 重定向 |
| Horizon Client | 桌面或场服务器虚拟机中的 Horizon Agent | 9427 | TCP | 客户端驱动器重定向 CDR) 和多媒体重定向 (MMR) |
| 浏览器 | 桌面或场服务器虚拟机中的 Horizon Agent | 443 | TCP | HTML Access |
对于使用配置了 Unified Access Gateway 实例的容器进行的连接,必须允许将流量从容器的 Unified Access Gateway 实例传输到下表中列出的目标。在容器部署期间,在 Microsoft Azure 环境中创建了一个网络安全组 (NSG) 以供容器的 Unified Access Gateway 软件使用。
| 源 | 目标 | 端口 | 协议 | 用途 |
|---|---|---|---|---|
| Unified Access Gateway | 管理器虚拟机 | 443 | TCP | 登录身份验证流量 |
| Unified Access Gateway | 桌面或场服务器虚拟机中的 Horizon Agent | 4172 | TCP UDP |
PCoIP |
| Unified Access Gateway | 桌面或场服务器虚拟机中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme 默认情况下,在使用 Blast Extreme 时,客户端驱动器重定向 (CDR) 流量和 USB 流量是在该端口的侧通道中传输的。如果需要,可以将 CDR 流量拆分到 TCP 9427 端口上,并将 USB 重定向流量拆分到 TCP 32111 端口上。 |
| Unified Access Gateway | 桌面或场服务器虚拟机中的 Horizon Agent | 9427 | TCP | 对客户端驱动器重定向 (CDR) 和多媒体重定向 (MMR) 流量是可选的。 |
| Unified Access Gateway | 桌面或场服务器虚拟机中的 Horizon Agent | 32111 | TCP | 对 USB 重定向流量是可选的。 |
| Unified Access Gateway | 您的 RADIUS 实例 | 1812 | UDP | 对 Unified Access Gateway 配置使用 RADIUS 双因素身份验证时使用。此处显示了 RADIUS 的默认值。 |
以下端口必须允许来自在桌面虚拟机和场服务器虚拟机中安装的 Horizon Agent 相关软件的流量。
| 源 | 目标 | 端口 | 协议 | 用途 |
|---|---|---|---|---|
| 桌面或场服务器虚拟机中的 Horizon Agent | 管理器虚拟机 | 4001 | TCP | Java 消息服务(JMS,非 SSL),在代理尚未与容器配对时,由虚拟机中的代理使用。代理可与容器通信,以获取与容器配对所需的信息。代理配对后,将使用端口 4002 与容器进行通信。 |
| 桌面或场服务器虚拟机中的 Horizon Agent | 管理器虚拟机 | 4002 | TCP | Java 消息服务(JMS,SSL),当代理已与容器配对时,用来与容器通信。 |
| 桌面或场服务器虚拟机中的 FlexEngine 代理(适用于 VMware Dynamic Environment Manager 的代理) | 为供在桌面或场服务器虚拟机中运行的 FlexEngine 代理使用而设置的文件共享 | 445 | TCP | 如果您使用 VMware Dynamic Environment Manager 功能,则 FlexEngine 代理访问您的 SMB 文件共享。 |
在容器部署过程中,部署程序会在部署的所有虚拟机的网络接口 (NIC) 上创建网络安全组 (NSG)。有关这些 NSG 中定义的规则的详细信息,请参阅《Horizon Cloud 管理指南》。
注: 我们不会在 Horizon Cloud 知识库 (Knowledge Base, KB) 文章中列出 DNS 名称、IP 地址、端口和协议,而是在此处将它们作为 Horizon Cloud 核心文档的一部分提供。
