要从零日开始成功进行第一代 Horizon Cloud on Microsoft Azure 部署,您必须确保可以解析该文档页面中所述的主机名,并且可以使用该页面中确定的特定端口和协议从管理子网和租户子网中访问该主机名。
关于该页面
如 VMware 知识库文章 93762 中所述,Horizon 基础架构监控功能已弃用。从 2023 年 10 月起,已从此页面中移除与该弃用功能相关的端口和协议信息。
您具有下一代环境还是第一代环境的一个特征是,在您登录到环境并看到 Horizon Universal Console 标签后在浏览器 URL 字段中显示的模式。对于下一代环境,控制台的 URL 地址包含类似于 /hcsadmin/ 的部分。第一代控制台的 URL 具有不同的部分 (/horizonadmin/)。
简介
本页之所以同时包含“DNS 名称”和“主机名”这两个短语,是因为 DNS 是一种网络标准,用于解析主机名,以便可在这些主机之间进行通信。
主机名是为给定网络上的计算机实例分配的唯一名称。如软件网络行业中所述,系统使用域名系统 (DNS) 将主机名解析为其 IP 地址以便进行通信。
容器部署过程要求部署的实例通过为部署选定的 VNet 与本页中所述的主机名(DNS 名称)进行网络通信。
在您的订阅中成功部署容器后,各种日常服务操作需要对特定主机名进行网络访问,在发布新的容器软件时更新软件的容器更新过程也是如此。
本页介绍了相关要求。本页有时交替使用“DNS 名称”和“主机名”这两个短语。
一些关键要点
- 关于必需的 DNS 名称
-
部署并运行
Horizon Cloud 容器时,需要通过 Microsoft Azure VNet 对特定 DNS 地址进行网络访问。要使容器部署程序正常工作,您必须将防火墙配置为允许对这些地址进行网络访问。下表说明了每个 DNS 地址的用途。
除了允许与这些 DNS 地址进行网络通信以外,您 VNet 上的 DNS 配置还必须可以解析本文中所述的名称。
如果选择相应选项以将外部网关部署到其自身的 VNet(而不是容器管理器的 VNet)中,该 VNet 的子网必须满足与容器管理器的 VNet 管理子网相同的 DNS 要求。
除了容器部署程序及其工作流以外,各项服务功能也需要能够访问特定的 DNS 地址,才可以在端到端之间正常使用这些功能。下面的表格中也提供了这些 DNS 名称。
其中的一些 DNS 名称具有区域元素。
如 VMware 生态系统中的紧密集成中所述,您可以将 Horizon Cloud 与更广泛的 VMware 生态系统中提供的其他产品结合使用。这些其他产品可能有额外的 DNS 要求。此处未详细说明此类额外的 DNS 要求。有关此类 DNS 要求,请参阅您将与容器集成的特定产品所对应的文档集。
- 关于在部署容器后执行与服务相关的日常操作所需的端口和协议
- 在成功部署容器后,需要使用特定的端口和协议来执行日常 Horizon Cloud 操作。有关详细信息,请参阅 第一代租户 - Horizon Cloud 容器 - 端口和协议要求。
第一代租户 - 区域控制平面 DNS 名称
“欢迎使用 Horizon 服务”电子邮件将指示您的租户帐户是在哪个区域控制平面实例中创建的。在向您发送欢迎电子邮件时,由于存在一个已知问题,您收到的电子邮件可能会显示区域的系统字符串名称,而不是易记名称。如果在欢迎电子邮件中看到系统字符串名称,您可以使用下表将电子邮件中显示的内容与区域控制平面 DNS 名称相关联。
| 您的欢迎电子邮件显示 | 区域 DNS 名称 |
|---|---|
USA |
cloud.horizon.vmware.com |
EU_CENTRAL_1 或 Europe |
cloud-eu-central-1.horizon.vmware.com |
AP_SOUTHEAST_2 或 Australia |
cloud-ap-southeast-2.horizon.vmware.com |
PROD1_NORTHCENTRALUS2_CP1 或 USA-2 |
cloud-us-2.horizon.vmware.com |
PROD1_NORTHEUROPE_CP1 或 Europe-2 |
cloud-eu-2.horizon.vmware.com |
PROD1_AUSTRALIAEAST_CP1 或 Australia-2 |
cloud-ap-2.horizon.vmware.com |
Japan |
cloud-jp.horizon.vmware.com |
UK |
cloud-uk.horizon.vmware.com |
Europe-3 |
cloud-de.horizon.vmware.com |
总体容器部署过程、容器更新、激活各种服务功能以及日常操作的主机名、DNS 要求
要成功以端到端方式使用服务功能,您必须确保可以解析以下主机名,并且可以使用下表中指示的特定端口和协议从管理子网和租户子网中访问这些主机名。要求能够访问特定主机名的一些服务功能包括:
- 容器部署程序,用于将基于容器管理器的容器自动部署到 Microsoft Azure 订阅中
- 容器更新功能,用于将容器的软件更新为较新软件版本
- 使用“从应用商店导入”向导的映像导入过程
- 代理相关功能,如自动代理更新 (AAU)
- Universal Broker
- 与 Cloud Monitoring Service (CMS) 相关的功能
- 尤其最适用于容器部署和容器更新
-
您必须确保可以解析以下主机名,并且可以使用下表中指示的特定端口和协议从管理子网和租户子网中访问这些主机名。这些工作流中使用的设备会使用特定的出站端口将这些流程所需的软件安全地下载到您的 Microsoft Azure 环境中。此外,还会使用这些 DNS 名称,以便与工作流相关的相应设备可以与云控制平面进行通信。
对于新容器部署,您必须配置网络防火墙、网络安全组 (NSG) 规则和代理服务器,以便与部署相关的主要设备能够通过所需端口访问相应 DNS 地址。否则,容器部署过程将失败。
- 使用相应功能将外部网关部署到其自身的 VNet 中时
- 该 VNet 中的管理子网必须满足下表中针对容器 VNet 中的管理子网所述的相同 DNS 要求。外部网关 VNet 的后端子网和 DMZ 子网没有特定的 DNS 要求。
- 部署具有外部网关和/或内部网关的容器时
- 您必须上载一个证书,容器部署程序将在这些网关配置中配置该证书。如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 网关配置中配置提供的证书期间, Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,容器部署将在其 连接阶段失败。这些名称高度依赖于用于获取证书的 CA,因此不在 VMware 的控制中。
- 计划使用 App Volumes on Azure 功能时
- 容器部署程序会置备一个 Azure 存储帐户,以供容器管理器资源组中容器的 App Volumes on Azure 功能使用。置备存储帐户后,Azure 云会为该存储帐户分配一个模式为 *.file.core.windows.net 的完全限定域名 (FQDN),其中 * 是 Azure 生成的存储帐户名称。此 FQDN 必须可由 DNS 服务器解析,以便 App Volumes 能够访问和挂载该存储帐户底层的文件共享并提供 App Volumes 功能。您必须确保 DNS 服务器始终都会为容器管理器实例中运行的 App Volumes Manager 进程以及 VDI 桌面中运行的 App Volumes Agent 解析该 FQDN。该端点是 Microsoft Azure 云环境中的 Microsoft Azure 端点,并直接在 Microsoft Azure 云空间中进行连接。
在租户范围内应用的有关新容器部署、容器更新和服务操作的 DNS 要求
下表介绍了可在租户范围内应用的有关新容器部署、容器更新和服务操作的 DNS 要求。
从 2021 年初开始,由于升级了服务的区域控制平面,任何区域控制平面实例将不再需要使用 d1mes20qfad06k.cloudfront.net DNS 名称。所有区域控制平面实例现在均使用 hydra-softwarelib-cdn.azureedge.net DNS 名称。下表的内容与当前实际情况一致。
| 子网源 | 目标(DNS 名称) | 端口 | 协议 | 代理流量(如果在部署中配置) | 用途 |
|---|---|---|---|---|---|
| 管理 | 以下名称之一,具体取决于在您的 Horizon Cloud 租户帐户中指定了哪个区域控制平面实例。区域实例是在创建帐户时设置的,如部署并载入到适用于 Microsoft Azure 的 Horizon Cloud 和 Horizon 容器中所述。
|
443 | TCP | 是 | 区域控制平面实例
|
| 管理 | softwareupdate.vmware.com | 443 | TCP | 是 | VMware 软件包服务器。用于下载系统的映像相关操作中使用的代理相关软件的更新。 |
| 管理 | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | 否 容器管理器和 Unified Access Gateway 二进制清单存储在此处,并从中提供这些清单。仅在容器和网关部署和升级期间使用这些清单。到该端点的连接配置为直接连接,而不通过代理。 |
Horizon Cloud 内容交付服务器。在管理子网上,服务使用此站点来下载容器基础架构所使用的必要二进制文件。 |
| 管理 | packages.microsoft.com | 443 和 11371 | TCP | 否 该站点不在应用程序和服务范围内。因此,连接不使用配置的代理。 该端点是 Microsoft Azure 云环境中的 Microsoft Azure 端点,并直接在 Microsoft Azure 云空间中进行连接。 |
Microsoft 软件包服务器。用于安全地下载 Microsoft Azure 命令行界面 (CLI) 软件。 |
| 管理 | azure.archive.ubuntu.com | 80 | TCP | 否 该站点不在应用程序和服务范围内。因此,连接不使用配置的代理。 该端点是 Microsoft Azure 云环境中的 Microsoft Azure 端点,并直接在 Microsoft Azure 云空间中进行连接。 |
Ubuntu 软件包服务器。供与容器相关的基于 Linux 的虚拟机使用以获取 Ubuntu 操作系统更新。 |
| 管理 | api.snapcraft.io | 443 | TCP | 否 该端点不在应用程序和服务范围内。连接不使用配置的代理。 |
Ubuntu 软件包服务器。容器管理器和 Unified Access Gateway 实例运行 Ubuntu 操作系统。这些 Ubuntu 操作系统配置为从该 Ubuntu 站点中获取这些 Ubuntu 操作系统的更新。 |
| 管理 | archive.ubuntu.com | 80 | TCP | 否 该端点不在应用程序和服务范围内。连接不使用配置的代理。 |
Ubuntu 软件包服务器。容器管理器和 Unified Access Gateway 实例运行 Ubuntu 操作系统。这些 Ubuntu 操作系统配置为从该 Ubuntu 站点中获取这些 Ubuntu 操作系统的更新。 |
| 管理 | changelogs.ubuntu.com | 80 | TCP | 否 该站点不在应用程序和服务范围内。因此,连接不使用配置的代理。 |
Ubuntu 软件包服务器。容器管理器和 Unified Access Gateway 实例运行 Ubuntu 操作系统。这些 Ubuntu 操作系统配置为使用此 Ubuntu 站点跟踪 Ubuntu 操作系统更新。 |
| 管理 | security.ubuntu.com | 80 | TCP | 否 该端点不在应用程序和服务范围内。连接不使用配置的代理。 |
Ubuntu 软件包服务器。容器管理器和 Unified Access Gateway 实例运行 Ubuntu 操作系统。这些 Ubuntu 操作系统配置为使用该 Ubuntu 站点获取与安全相关的 Ubuntu 操作系统更新。 |
| 管理 | esm.ubuntu.com | 80 和 443 | TCP | 否 该端点不在应用程序和服务范围内。连接不使用配置的代理。 |
Ubuntu 软件包服务器。容器管理器和 Unified Access Gateway 实例运行 Ubuntu 操作系统。这些 Ubuntu 操作系统配置为使用该 Ubuntu 站点跟踪 Ubuntu 基础操作系统和扩展基础架构中的较高和严重 CVE(常见漏洞和暴露)的安全更新。 |
| 管理 | 以下目标之一,取决于您要将容器部署到的 Microsoft Azure 云:
|
443 | TCP | 是 | 应用程序通常使用此 Web 地址来进行 Microsoft Azure 服务的身份验证。有关 Microsoft Azure 文档中的一些说明,请参阅 OAuth 2.0 授权代码流、Azure Active Directory v2.0 和 OpenID Connect 协议以及国家云。国家云主题介绍了每个 Microsoft Azure 国家云的 Azure AD 身份验证端点有何不同。 |
| 管理 | 以下目标之一,取决于您要将容器部署到的 Microsoft Azure 云:
|
443 | TCP | 是 | 用于向 Microsoft Azure 资源管理器端点发起要求使用 Microsoft Azure 资源管理器服务的容器 API 请求。Microsoft Azure 资源管理器提供了一个一致的管理层,用于通过 Azure PowerShell、Azure CLI、Azure 门户、REST API 和客户端 SDK 执行任务。 |
| 管理 | 以下目标之一,取决于您要将容器部署到的 Microsoft Azure 云:
|
443 | TCP | 是 | 访问 Azure Active Directory (Azure AD) Graph API,该 API 用于容器通过 OData REST API 端点对 Azure Active Directory (Azure AD) 进行的编程访问。 |
| 管理 | 如果您的防火墙或网络安全组 (NSG) 支持使用服务标记,请执行以下操作之一:
如果您的防火墙或网络安全组 (NSG) 不支持使用服务标记,则可以使用数据库的主机名。此名称采用以下格式:*.postgres.database.azure.com。 |
5432 | TCP | 否 此端点是 Microsoft Azure 云环境中的 Microsoft Azure PostgreSQL 数据库服务。该连接直接在 Microsoft Azure 云空间内进行。 |
用于容器与为该 Horizon Cloud on Microsoft Azure 部署配置的 Microsoft Azure PostgreSQL 数据库服务进行通信。 有关安全组中服务标记的信息,请参阅 Microsoft Azure 文档主题服务标记。 |
| 管理 | 以下名称之一,具体取决于在您的 Horizon Cloud 租户帐户中指定了哪个区域控制平面实例。区域实例是在创建帐户时设置的,如部署并载入到适用于 Microsoft Azure 的 Horizon Cloud 和 Horizon 容器中所述。
|
443 | TCP | 是 | Universal Broker 服务的区域实例
|
| 管理 | 取决于哪个区域控制平面适用于您的 Horizon Cloud 帐户:
|
443 | TCP | 是 | Cloud Monitoring Service (CMS) |
| 管理 |
|
443 | TCP | 否 | *.blob.core.windows.net 端点用于以编程方式访问 Azure Blob 存储。此端点是 Microsoft Azure 云环境中的 Microsoft Azure 端点,与该端点的通信直接在 Microsoft Azure 云空间内进行。 sauron-jp.horizon.vmware.com 端点让 VMware 监控系统能够检测 VMware 受管实例上的安全事件。启用VMware对已部署实例的管理责任,这需要对这些实例进行强制VMware系统监控。 |
| 租户 | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | 否 | Horizon Cloud 内容交付服务器。在租户子网上,此站点由各种与系统映像相关的进程使用,包括系统的“从商城导入映像”自动工作流和代理配对工作流中所涉及的进程。 |
| 租户 | scapi.vmware.com | 443 | TCP | 否 | VMware Cloud Services,用于 VMware 服务使用情况数据计划。从租户子网出站后,容器置备的桌面实例和场服务器实例中的 Horizon Agent 将发送与代理相关的配置信息。 |
| 租户 | *.file.core.windows.net | 445 | TCP | 否 此端点是 Microsoft Azure 云环境中的 Microsoft Azure 文件存储服务。该连接直接在 Microsoft Azure 云空间内进行。 |
用于 App Volumes on Azure 功能。用于以编程方式访问容器管理器资源组中的 SMB 文件共享,以便访问存储在该 SMB 文件共享中的 App Volumes AppStack。 |
强制性 VMware 系统监控要求 - monitor.horizon.vmware.com
本节中所述的强制性要求使 VMware 监控系统能够检测在 Horizon Cloud on Microsoft Azure 部署的管理、租户和 DMZ 子网中部署的 VMware 受管实例上所发生的安全事件。
对于 Horizon Cloud on Microsoft Azure 部署,VMware 可控制和管理部署中的以下资源:容器管理器实例、Unified Access Gateway 实例、与 App Volumes 相关的 Azure 文件、Azure PostgreSQL 服务,以及与支持相关的 jump box 实例(对各种情况进行故障排除时需要)。
VMware 对已部署实例的管理责任要求对这些实例进行强制性 VMware 系统监控。
强制性 VMware 系统监控要求您满足下述要求。
概括来讲,部署的实例必须能在端口 1514(TCP 和 UDP)和端口 1515(TCP 和 UDP)上出站访问主机名 monitor.horizon.vmware.com。
- 当网络启用了 SSL 检查时适用的要求
- 在网络上启用 SSL 检查后,必须指定排除主机 monitor.horizon.vmware.com。
- 部署具有内部网关配置时适用的要求
-
您必须按照
知识库文章 90145 中的所有相关步骤和信息,为内部网关配置建立出站通信。按照该知识库文章中的说明进行操作,包括文章末尾的最后说明。
然后,如果还要使用代理或防火墙进行出站通信,则必须满足使用代理或防火墙进行出站通信时适用的以下要求。
- 使用代理或防火墙进行出站通信时适用的要求
-
使用代理或防火墙进行出站通信时,必须按如下所述方式允许在代理或防火墙上进行通信:
- 商业环境 - 允许在 1514(TCP 和 UDP)和 1515(TCP 和 UDP)上访问主机名 monitor.horizon.vmware.com
- 美国联邦环境 - 请向 VMware 联邦支持团队提交案例,请求监控系统主机名。
在此类环境中,您必须针对以下源允许上述通信:
- 管理 - 容器管理器实例
- DMZ - 外部网关配置的 Unified Access Gateway 实例
- 租户 - 内部网关配置的 Unified Access Gateway 实例
注: 当部署具有内部网关配置时,您必须满足前面所述的适用于内部网关配置的要求,相关步骤,请参阅 知识库文章 90145。
如果需要活动支持请求、临时 Jump Box 端口和协议
如果您向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署一个临时 jump box 虚拟机,以便与 VMware 管理的设备进行 SSH 通信,则该 jump box 将需要使用此处所述的端口和协议。
对于与支持相关的 jump box 部署,将需要向您申请相关权限。VMware 技术支持团队将根据具体支持情况告知您需满足的任何要求。
这种与支持相关的 jump box 虚拟机设计为作为源与以下目标通信:
- 容器的容器管理器虚拟机端口 22 (使用 SSH)和端口 22。
- Unified Access Gateway 虚拟机端口 9443(使用 HTTPS)。
- 网关连接器虚拟机端口 22(使用 SSH),针对将外部网关部署在其自己的 VNet 中的部署。
由于这些虚拟机是动态分配 IP 地址的,因此以下网络规则允许所述的通信。在支持请求活动期间,始终向 VMware 技术支持团队寻求指导和监督,以了解与支持相关的 jump box 部署的要求。
- 将管理子网 CIDR 作为源和目标,并指定目标端口 22、源端口任意和协议 TCP。
- 在涉及 Unified Access Gateway 配置时,将管理子网 CIDR 作为源和目标,并指定目标端口 9443、源端口任意和协议 TCP。
