要成功以端到端方式使用服务功能,您必须确保本文中所述的域名服务 (DNS) 名称可以解析,并且可以使用本文表格中确定的特定端口和协议从管理子网和租户子网中进行访问。

容器部署过程要求虚拟机可以通过所选 VNet 访问这些主机(DNS 名称)。在订阅中成功部署容器后,各种日常服务操作都需要对特定 DNS 名称进行网络访问,在提供新软件后,用于更新容器软件的容器更新过程也需要对特定 DNS 名称进行网络访问。本文介绍了这些 DNS 要求。

一些关键要点

关于必需的 DNS 名称
部署并运行 Horizon Cloud 容器时,需要通过 Microsoft Azure VNet 对特定 DNS 地址进行网络访问。要使容器部署程序正常工作,您必须将防火墙配置为允许对这些地址进行网络访问。下表说明了每个 DNS 地址的用途。

除了允许与这些 DNS 地址进行网络通信以外,您 VNet 上的 DNS 配置还必须可以解析本文中所述的名称。

如果选择相应选项以将外部网关部署到其自身的 VNet(而不是容器管理器的 VNet)中,该 VNet 的子网必须满足与容器管理器的 VNet 管理子网相同的 DNS 要求。

除了容器部署程序及其工作流以外,各项服务功能也需要能够访问特定的 DNS 地址,才可以在端到端之间正常使用这些功能。下面的表格中也提供了这些 DNS 名称。

其中的一些 DNS 名称具有区域元素。

在容器上激活 Horizon 基础架构监控时,将自动在容器管理器的 VNet 和管理子网中实例化 Horizon Edge 虚拟设备Horizon Edge 虚拟设备具有其自身的 DNS 名称要求。因此,在容器上激活 Horizon 基础架构监控之前,请确保满足下面的表格中列出的 Horizon Edge 虚拟设备的 DNS 要求。

VMware 生态系统中的紧密集成中所述,您可以将 Horizon Cloud 与更广泛的 VMware 生态系统中提供的其他产品结合使用。这些其他产品可能有额外的 DNS 要求。此处未详细说明此类额外的 DNS 要求。有关此类 DNS 要求,请参阅您将与容器集成的特定产品所对应的文档集。

关于在部署容器后执行与服务相关的日常操作所需的端口和协议
在成功部署容器后,需要使用特定的端口和协议来执行日常 Horizon Cloud 操作。有关详细信息,请参阅 Horizon Cloud 容器 - 端口和协议要求

区域控制平面 DNS 名称

“欢迎使用 Horizon 服务”电子邮件将指示您的租户帐户是在哪个区域控制平面实例中创建的。在向您发送欢迎电子邮件时,由于存在一个已知问题,您收到的电子邮件可能会显示区域的系统字符串名称,而不是易记名称。如果在欢迎电子邮件中看到系统字符串名称,您可以使用下表将电子邮件中显示的内容与区域控制平面 DNS 名称相关联。

表 1. 您的欢迎电子邮件中的区域映射到区域控制平面 DNS 名称
您的欢迎电子邮件显示 区域 DNS 名称
USA cloud.horizon.vmware.com
EU_CENTRAL_1Europe cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2Australia cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1USA-2 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1Europe-2 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1Australia-2 cloud-ap-2.horizon.vmware.com
Japan cloud-jp.horizon.vmware.com
UK cloud-uk.horizon.vmware.com
Europe-3 cloud-de.horizon.vmware.com

对于下面的表格中列出的适用于 Horizon Edge 虚拟设备的区域 DNS 地址,这些地址使用的区域与区域控制平面 DNS 名称相同。

有关首要容器部署过程、容器更新、各项服务功能激活以及日常操作的 DNS 要求

要成功以端到端方式使用服务功能,您必须确保以下 DNS 名称可以解析,并且可以使用下面的表格中列出的特定端口和协议从管理子网和租户子网中进行访问。一些服务功能需要能够访问特定的 DNS 名称,这些功能包括:

  • 容器部署程序,用于将基于容器管理器的 Horizon 容器自动部署到 Microsoft Azure 订阅中
  • 容器更新功能,用于将容器的软件更新为较新软件版本
  • 使用“从应用商店导入”向导的映像导入过程
  • 代理相关功能,如自动代理更新 (AAU)
  • Universal Broker
  • Horizon 基础架构监控及其 Horizon Edge 虚拟设备
  • 与云计算管理服务 (CMS) 相关的功能
尤其最适用于容器部署、容器更新以及在容器上激活 Horizon 基础架构监控
您必须确保以下 DNS 名称可以解析,并且可以使用下面的表格中列出的特定端口和协议从管理子网和租户子网中进行访问。这些工作流中使用的设备会使用特定的出站端口将这些流程所需的软件安全地下载到您的 Microsoft Azure 环境中。此外,还会使用这些 DNS 名称,以便与工作流相关的相应设备可以与云控制平面进行通信。

对于新容器部署,您必须配置网络防火墙、网络安全组 (NSG) 规则和代理服务器,以便与部署相关的主要设备能够通过所需端口访问相应 DNS 地址。否则,容器部署过程将失败。

在容器上激活 Horizon 基础架构监控时,会将 Horizon Edge 虚拟设备实例化到与该容器的容器管理器设备相同的 VNet 和管理子网中。您必须确保网络防火墙、NSG 规则和代理服务器的配置允许 Horizon Edge 虚拟设备 通过所需端口访问相应 DNS 地址。否则,该设备的部署将失败。

使用相应功能将外部网关部署到其自身的 VNet 中时
该 VNet 中的管理子网必须满足下表中针对容器 VNet 中的管理子网所述的相同 DNS 要求。外部网关 VNet 的后端子网和 DMZ 子网没有特定的 DNS 要求。
部署具有外部网关和/或内部网关的容器时
您必须上载一个证书,容器部署程序将在这些网关配置中配置该证书。如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 网关配置中配置提供的证书期间, Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,容器部署将在其 连接阶段失败。这些名称高度依赖于用于获取证书的 CA,因此不在 VMware 的控制中。

在租户范围内应用的有关新容器部署、容器更新和服务操作的 DNS 要求

下表介绍了可在租户范围内应用的有关新容器部署、容器更新和服务操作的 DNS 要求。有关 Horizon 基础架构监控激活和 Horizon Edge 虚拟设备的 DNS 要求,请参阅下一节内容。由于 Horizon 基础架构监控功能是按容器激活的,因此其 DNS 要求需在单独的表中进行介绍。

注意: 从 2021 年初开始,由于升级了服务的区域控制平面,任何区域控制平面实例将不再需要使用 d1mes20qfad06k.cloudfront.net DNS 名称。所有区域控制平面实例现在均使用 hydra-softwarelib-cdn.azureedge.net DNS 名称。下表的内容与当前实际情况一致。
表 2. 在租户范围内应用的有关新容器部署、容器更新和服务操作的 DNS 要求
子网源 目标(DNS 名称) 端口 协议 用途
管理 以下名称之一,具体取决于在您的 Horizon Cloud 租户帐户中指定了哪个区域控制平面实例。区域实例是在创建帐户时设置的,如部署并载入到适用于 Microsoft Azure 的 Horizon Cloud 和 Horizon 容器中所述。
  • cloud.horizon.vmware.com
  • cloud-us-2.horizon.vmware.com
  • cloud-eu-central-1.horizon.vmware.com
  • cloud-eu-2.horizon.vmware.com
  • cloud-ap-southeast-2.horizon.vmware.com
  • cloud-ap-2.horizon.vmware.com
  • cloud-jp.horizon.vmware.com
  • cloud-uk.horizon.vmware.com
  • cloud-de.horizon.vmware.com
443 TCP 区域控制平面实例
  • 美国:cloud.horizon.vmware.com、cloud-us-2.horizon.vmware.com
  • 欧洲:cloud-eu-central-1.horizon.vmware.com、cloud-eu-2.horizon.vmware.com
  • 亚太地区:cloud-ap-southeast-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com
  • 日本:cloud-jp.horizon.vmware.com
  • 英国:cloud-uk.horizon.vmware.com
  • 德国:cloud-de.horizon.vmware.com
管理 softwareupdate.vmware.com 443 TCP VMware 软件包服务器。用于下载系统的映像相关操作中使用的代理相关软件的更新。
管理 hydra-softwarelib-cdn.azureedge.net 443 TCP Horizon Cloud 内容交付服务器。在管理子网上,服务使用此站点来下载容器基础架构所使用的必要二进制文件。
管理 packages.microsoft.com 443 和 11371 TCP Microsoft 软件包服务器。用于安全地下载 Microsoft Azure 命令行界面 (CLI) 软件。
管理 azure.archive.ubuntu.com 80 TCP Ubuntu 软件包服务器。供与容器相关的基于 Linux 的虚拟机使用以获取 Ubuntu 操作系统更新。
管理 api.snapcraft.io 443 TCP Ubuntu 软件包服务器。供容器的基于 Linux 的虚拟机使用以获取 Ubuntu 操作系统更新。
管理 archive.ubuntu.com 80 TCP Ubuntu 软件包服务器。供容器的基于 Linux 的虚拟机使用以获取 Ubuntu 操作系统更新。
管理 changelogs.ubuntu.com 80 TCP Ubuntu 软件包服务器。供容器的基于 Linux 的虚拟机使用以跟踪 Ubuntu 操作系统更新。
管理 security.ubuntu.com 80 TCP Ubuntu 软件包服务器。供容器的基于 Linux 的虚拟机使用以获取与安全相关的 Ubuntu 操作系统更新。
管理 esm.ubuntu.com 80 和 443 TCP Ubuntu 软件包服务器。由容器的基于 Linux 的虚拟机用来跟踪 Ubuntu 基础操作系统和具有向外扩展性的基础架构中“高”和“严重”CVE(常见漏洞和暴露)的安全更新。
管理 以下目标之一,取决于您要将容器部署到的 Microsoft Azure 云:
  • Microsoft Azure(全球):login.microsoftonline.com
  • Microsoft Azure 德国:login.microsoftonline.de
  • Microsoft Azure 中国:login.chinacloudapi.cn
  • Microsoft Azure 美国政府:login.microsoftonline.us
443 TCP 应用程序通常使用此 Web 地址来进行 Microsoft Azure 服务的身份验证。有关 Microsoft Azure 文档中的一些说明,请参阅 OAuth 2.0 授权代码流Azure Active Directory v2.0 和 OpenID Connect 协议以及国家云国家云主题介绍了每个 Microsoft Azure 国家云的 Azure AD 身份验证端点有何不同。
管理 以下目标之一,取决于您要将容器部署到的 Microsoft Azure 云:
  • Microsoft Azure(全球):management.azure.com
  • Microsoft Azure 德国:management.microsoftazure.de
  • Microsoft Azure 中国:management.chinacloudapi.cn
  • Microsoft Azure 美国政府:management.usgovcloudapi.net
443 TCP 用于向 Microsoft Azure 资源管理器端点发起要求使用 Microsoft Azure 资源管理器服务的容器 API 请求。Microsoft Azure 资源管理器提供了一个一致的管理层,用于通过 Azure PowerShell、Azure CLI、Azure 门户、REST API 和客户端 SDK 执行任务。
管理 以下目标之一,取决于您要将容器部署到的 Microsoft Azure 云:
  • Microsoft Azure(全球):graph.windows.net
  • Microsoft Azure 德国:graph.cloudapi.de
  • Microsoft Azure 中国:graph.chinacloudapi.cn
  • Microsoft Azure 美国政府:graph.windows.net
443 TCP 访问 Azure Active Directory (Azure AD) Graph API,该 API 用于容器通过 OData REST API 端点对 Azure Active Directory (Azure AD) 进行的编程访问。
管理 如果您的防火墙或网络安全组 (NSG) 支持使用服务标记,请执行以下操作之一:
  • 全局 Azure SQL 服务标记:Sql
  • 用于部署容器的 Azure 区域的特定 SQL 服务标记:Sql.区域,如 Sql.WestUS

如果您的防火墙或网络安全组 (NSG) 不支持使用服务标记,则可以使用数据库的主机名。此名称采用以下格式:*.postgres.database.azure.com。

5432 TCP 用于容器与 Microsoft Azure PostgreSQL 数据库服务器的通信。从 2019 年 9 月版本开始,自该版本日期之后新部署的容器以及更新到该版本清单版本的容器,均会配置为使用 Microsoft Azure PostgreSQL 数据库服务器。

有关安全组中服务标记的信息,请参阅 Microsoft Azure 文档主题服务标记

管理 以下名称之一,具体取决于在您的 Horizon Cloud 租户帐户中指定了哪个区域控制平面实例。区域实例是在创建帐户时设置的,如部署并载入到适用于 Microsoft Azure 的 Horizon Cloud 和 Horizon 容器中所述。
  • connector-azure-us.vmwarehorizon.com
  • connector-azure-eu.vmwarehorizon.com
  • connector-azure-aus.vmwarehorizon.com
  • connector-azure-jp.vmwarehorizon.com
  • connector-azure-uk.vmwarehorizon.com
  • connector-azure-de.vmwarehorizon.com

443 TCP Universal Broker 服务的区域实例
  • 美国:connector-azure-us.vmwarehorizon.com
  • 欧洲:connector-azure-eu.vmwarehorizon.com
  • 澳大利亚:connector-azure-aus.vmwarehorizon.com
  • 日本:connector-azure-jp.vmwarehorizon.com
  • 英国:connector-azure-uk.vmwarehorizon.com
  • 德国:connector-azure-de.vmwarehorizon.com
管理 取决于哪个区域控制平面适用于您的 Horizon Cloud 帐户:
  • 北美:kinesis.us-east-1.amazonaws.com
  • 欧洲、德国:kinesis.eu-central-1.amazonaws.com
  • 澳大利亚:kinesis.ap-southeast-2.amazonaws.com
  • 日本:kinesis.ap-northeast-1.amazonaws.com
  • 英国:kinesis.eu-west-2.amazonaws.com
443 TCP Cloud Monitoring Service (CMS)
管理 - 容器管理器虚拟机、Unified Access Gateway 虚拟机、网关连接器虚拟机、Horizon Edge 虚拟设备

如果您的防火墙或网络安全组 (NSG) 支持使用服务标记,请应用 Azure 服务标记 AzureCloud

如果您的防火墙或 NSG 不支持使用服务标记,请使用主机名:

  • 商业环境 - 允许使用主机名 monitor.horizon.vmware.com
  • 美国联邦环境 - 请向 VMware 联邦支持团队提交案例,请求监控系统主机名。

1514

1515

TCP 用于系统监控
租户 hydra-softwarelib-cdn.azureedge.net 443 TCP Horizon Cloud 内容交付服务器。在租户子网上,此站点由各种与系统映像相关的进程使用,包括系统的“从商城导入映像”自动工作流和代理配对工作流中所涉及的进程。
租户 scapi.vmware.com 443 TCP VMware Cloud Services,用于 VMware 服务使用情况数据计划。从租户子网出站后,容器置备的桌面实例和场服务器实例中的 Horizon Agent 将发送与代理相关的配置信息。

Horizon Edge 虚拟设备 DNS 要求

在容器上激活 Horizon 基础架构监控时,将在 Microsoft Azure 订阅中实例化基于 Linux 的 Horizon Edge 虚拟设备Horizon Edge 虚拟设备将部署到容器订阅中,且容器的管理子网(与容器的容器管理器设备的管理子网相同)中有一个网卡。在下表中,所列用途的适用环境即是此虚拟设备。

注: 与上表不同,此表中没有含 uk 的 DNS 名称。如发行说明中所述,此 Horizon 基础架构监控功能当前处于“有限可用性”状态。
表 3. Horizon 基础架构监控的 DNS 要求
子网源 目标(DNS 名称) 端口/协议 用途
管理
  • azure.archive.ubuntu.com
  • archive.ubuntu.com
  • changelogs.ubuntu.com
  • security.ubuntu.com
80 和 443/TCP Ubuntu 软件包服务器。供基于 Linux 的设备使用以获取 Ubuntu 操作系统更新。
管理 esm.ubuntu.com 80 和 443/TCP Ubuntu 软件包服务器。由基于 Linux 的设备用来跟踪 Ubuntu 基础操作系统和具有向外扩展性的基础架构中“高”和“严重”CVE(常见漏洞和暴露)的安全更新。
管理
  • *.blob.core.windows.net
  • horizonedgeprod.azurecr.io
443/TCP 用于对 Azure Blob Storage 进行编程访问。

用于从设备模块所需的 DNS 地址下载 Docker 映像。

管理

*.azure-devices.net 或以下某个特定于区域的名称,具体取决于哪个区域控制平面适用于您的租户帐户:

北美地区:

  • edgehubprodna.azure-devices.net

欧洲:

  • edgehubprodeu.azure-devices.net

澳大利亚:

  • edgehubprodap.azure-devices.net

日本:

  • edgehubprodjp.azure-devices.net
443/TCP 用于将设备连接到 Horizon Cloud 控制平面、下载设备模块的配置,以及更新设备模块的运行时状态。
管理
  • *.docker.com
  • *.docker.io
  • docker.io
  • cloud.google.com
  • gcr.io
  • ghcr.io
  • dl.k8s.io
  • k8s.gcr.io
  • storage.googleapis.com
  • cloud.weave.works
  • packages.cloud.google.com
  • apt.kubernetes.io
443/TCP 用于下载设备所需的 Docker 二进制文件和 Kubernetes 二进制文件。
管理 取决于哪个区域控制平面适用于您的租户帐户:

北美地区:

  • kinesis.us-east-1.amazonaws.com
  • sauron.horizon.vmware.com

欧洲:

  • kinesis.eu-central-1.amazonaws.com
  • sauron-eu.horizon.vmware.com

澳大利亚:

  • kinesis.ap-southeast-2.amazonaws.com
  • sauron-ap.horizon.vmware.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com
  • sauron-jp.horizon.vmware.com
443/TCP 用于将设备收集的容器监控数据发送到 Horizon Cloud 控制平面。
管理

如果您的防火墙或网络安全组 (NSG) 支持使用服务标记,请应用 Azure 服务标记 AzureCloud

如果您的防火墙或 NSG 不支持使用服务标记,请使用主机名:

  • 商业环境 - 允许使用主机名 monitor.horizon.vmware.com
  • 美国联邦环境 - 请向 VMware 联邦支持团队提交案例,请求监控系统主机名。
1514 和 1515/TCP 用于系统监控

如果需要活动支持请求、临时 Jump Box 端口和协议

如果您向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署一个临时 jump box 虚拟机,以便与 VMware 管理的设备进行 SSH 通信,则该 jump box 将需要使用此处所述的端口和协议。

对于与支持相关的 jump box 部署,将需要向您申请相关权限。VMware 技术支持团队将根据具体支持情况告知您需满足的任何要求。

这种与支持相关的 jump box 虚拟机设计为作为源与以下目标通信:

  • 容器的容器管理器虚拟机端口 22 (使用 SSH)和端口 22。
  • Unified Access Gateway 虚拟机端口 9443(使用 HTTPS)。
  • 网关连接器虚拟机端口 22(使用 SSH),针对将外部网关部署在其自己的 VNet 中的部署。
  • Horizon Edge 虚拟设备 端口 22(使用 SSH),针对配置了 Horizon 基础架构监控 的部署。

由于这些虚拟机是动态分配 IP 地址的,因此以下网络规则允许所述的通信。在支持请求活动期间,始终向 VMware 技术支持团队寻求指导和监督,以了解与支持相关的 jump box 部署的要求。

  • 将管理子网 CIDR 作为源和目标,并指定目标端口 22、源端口任意和协议 TCP。
  • 在涉及 Unified Access Gateway 配置时,将管理子网 CIDR 作为源和目标,并指定目标端口 9443、源端口任意和协议 TCP。