此页面大致介绍了一个典型第一代 Horizon Cloud Service on Microsoft Azure 部署中用于通信的所有可能端口和协议。使用这些表可确保您的网络配置和防火墙允许成功部署容器和执行日常操作所需的通信流量。

关于该页面

重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。
注:VMware 知识库文章 93762 中所述, Horizon 基础架构监控 功能已弃用,第一代租户无法再激活或使用该功能。从 2023 年 10 月起,已从此页面中移除与该弃用功能相关的端口和协议信息。

特定部署所需的特定端口和协议部分取决于您选择用于 Horizon Cloud Service on Microsoft Azure 部署的功能。如果您不打算使用特定的组件或协议,则其所需的通信流量对于您而言不是必需的,您可以忽略与该组件关联的端口。例如,如果您的最终用户仅使用 Blast Extreme 显示协议,则不需要允许 PCoIP 端口。

重要说明: 除了此处介绍的端口和协议以外,容器部署和日常操作的网络流量具有特定的主机名要求。

网络流量必须到达特定的主机名。如果部署配置为使用代理,一些网络服务应使用代理,而其他网络服务应直接连接。有关到主机名的网络流量的详细信息,请参阅第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称

有关 VMware 产品支持的其他端口的信息,请转到 VMware Ports and Protocols

在容器部署过程中,部署程序会在部署的所有虚拟机的网络接口 (NIC) 上创建网络安全组 (NSG)。有关这些 NSG 中定义的规则的详细信息,请参阅适用于 Horizon Cloud 容器内的虚拟机的默认网络安全组规则

用于日常操作的关键容器组件所需的端口和协议

除了 DNS 要求以外,下表还列出了为使容器能够在部署后正常执行日常操作所需的端口和协议。其中一些表还列出了特定情况下或者在容器上启用了特定功能的情况下所需的端口和协议。

在 Microsoft Azure 门户中,容器管理器虚拟机的名称中包含一个类似于 vmw-hcs-podID 的部分(其中 podID 是容器的 UUID)以及 node 部分。

注: 从 v2204 服务版本开始,新 Horizon Cloud Service on Microsoft Azure 部署默认已配置高可用性。该部署具有两个容器管理器虚拟机。在下表中,无论您在何处看到短语“容器管理器虚拟机”,该术语均适用于两个容器管理器虚拟机,除非另有说明。

从 2019 年 9 月服务版本的清单 1600 开始,系统将结合使用 Microsoft Azure 负载均衡器与容器管理器虚拟机。因此,从清单 1600 开始新部署的所有容器都具有 Microsoft Azure 负载均衡器。在清单 1600 之前首次部署并随后更新到更高清单版本的容器也具有 Microsoft Azure 负载均衡器。提及容器负载均衡器的表行适用于所有此类容器。

表 1. 容器操作端口和协议
目标 端口 协议 用途
容器管理器虚拟机 容器的另一个容器管理器虚拟机 4101 TCP 此流量是容器管理器虚拟机之间的 JMS 路由。
容器管理器虚拟机 Unified Access Gateway 虚拟机 9443 HTTPS 容器管理器虚拟机使用该端口通过管理子网在容器的 Unified Access Gateway 配置中配置设置。在最初部署具有 Unified Access Gateway 配置的容器以及编辑容器以添加 Unified Access Gateway 配置或更新该 Unified Access Gateway 配置的设置时,该端口要求适用。
容器的 Microsoft Azure 负载均衡器 容器管理器虚拟机 8080 HTTP 负载均衡器后端池中的虚拟机的运行状况检查。

对于在 v2204 版本之前部署的容器,如果未设置高可用性选项开关且尚未添加高可用性,负载均衡器将具有一个容器管理器虚拟机作为其后端池进行检查。

容器管理器虚拟机 域控制器 389 TCP

UDP

要求在 Active Directory 中注册您的 Horizon Cloud 租户。在载入第一个容器后,必须执行控制台中的“注册 AD 域”工作流。

如果将在该工作流中指定 LDAP,则 LDAP 服务需要此端口。LDAP 是大多数租户的默认协议。

目标是在 Active Directory 配置中包含域控制器角色的服务器。

容器管理器虚拟机 全局目录 3268 TCP 要求在 Active Directory 中注册您的 Horizon Cloud 租户。在载入第一个容器后,必须执行控制台中的“注册 AD 域”工作流。

如果 LDAP 将成为该工作流中的指定协议,则 LDAP 服务需要此端口。LDAP 是大多数租户的默认协议。

目标是在 Active Directory 配置中包含全局目录角色的服务器。

容器管理器虚拟机 域控制器 88 TCP

UDP

Kerberos 服务。目标是在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。
容器管理器虚拟机 域控制器 636, 3269 TCP 要求在 Active Directory 中注册您的 Horizon Cloud 租户。在载入第一个容器后,必须执行控制台中的“注册 AD 域”工作流。

仅当 LDAPS 将成为该已注册 AD 的配置中的指定协议时,基于 SSL 的 LDAP (LDAP over SSL, LDAPS) 服务才需要这些端口。仅当您的租户支持使用服务的 LDAPS 功能时,才能为已注册的 AD 指定 LDAPS。否则,默认要求使用 LDAP。

容器管理器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
容器管理器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。
容器管理器虚拟机 True SSO 注册服务器 32111 TCP True SSO 注册服务器。要将 True SSO 与 Horizon 容器结合使用时需要使用该服务器。

32111 是安装注册服务器时使用的默认端口。在注册服务器安装过程中,可以根据您的要求配置此端口号。

另请参阅本主题中的 True SSO 和证书管理以及 Horizon Cloud on Microsoft Azure 部署 一节。

容器管理器虚拟机 Workspace ONE Access 服务 443 HTTPS
注: 此行适用于具有单容器代理配置的环境。此信息不适用于具有 Universal Broker 配置的环境。在具有单容器代理配置的环境中, Workspace ONE Access Connector 与一个容器通信,以获取最终用户授权(分配)。
如果未将 Workspace ONE Access 与容器集成,则是可选的。在具有单容器代理配置的环境中,此连接用于在容器与 Workspace ONE Access 服务之间建立信任关系,其中 Workspace ONE Access Connector 与容器同步。确保容器可以在端口 443 上访问您使用的 Workspace ONE Access 环境。如果使用 Workspace ONE Access 云服务,另请参阅 VMware 知识库文章 2149884,以查看 Workspace ONE Access Connector 和容器必须能够访问的 Workspace ONE Access 服务 IP 地址列表。

网关连接器虚拟机端口和协议要求

此表适用于在单独的 VNet 中部署了外部网关时所使用的网关连接器虚拟机。除了 DNS 要求以外,还需要使用下表中的端口和协议以使外部网关在部署后正常执行日常操作。

在下表中,“连接器虚拟机”一词是指网关的连接器虚拟机,用于管理云管理平面与外部网关之间的连接。在 Microsoft Azure 门户中,此虚拟机的名称中包含一个类似于 vmw-hcs-ID 的部分(其中 ID 是网关的部署程序 ID)以及一个 node 部分。

表 2. 容器操作端口和协议
目标 端口 协议 用途
连接器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
连接器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。

Unified Access Gateway 虚拟机端口和协议要求

除了 DNS 及上述主端口和协议要求以外,下表中的端口和协议与您在容器上配置的网关有关,使用这些端口和协议可使这些网关在部署后正常执行日常操作。

对于配置了 Unified Access Gateway 实例且启用了高可用性的容器所建立的连接,必须允许将流量从容器的 Unified Access Gateway 实例传输到下表中列出的目标。在容器部署期间,在 Microsoft Azure 环境中创建了一个网络安全组 (NSG) 以供容器的 Unified Access Gateway 实例使用。

表 3. 来自容器的 Unified Access Gateway 实例的流量的端口要求
目标 端口 协议 用途
Unified Access Gateway 容器的 Microsoft Azure 负载均衡器 8443 TCP 登录身份验证流量。来自 Unified Access Gateway 实例的流量将通过容器的负载均衡器到达容器管理器虚拟机。
Unified Access Gateway NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。

将租户配置为使用 Universal Broker 时,请确保满足以下几点要求:

  • 外部 Unified Access Gateway 配置必须建立从 DMZ 子网到 NTP 服务器的连接。
  • 内部 Unified Access Gateway 配置必须建立从租户子网到 NTP 服务器的连接。

这是因为,如果服务检测到 Unified Access Gateway 设备与运行协调世界时 (Coordinated Universal Time, UTC) 的 Universal Broker NTP 服务器之间存在时间偏移,则会向您发送一封电子邮件,要求您解决时间偏移问题。Universal Broker 与 Unified Access Gateway 设备之间的时间偏移可能会导致最终用户连接失败。如果内部 Unified Access Gateway 配置无法从租户子网连接到 NTP 服务器,它们很可能会发生此类时间偏移,因为如果没有 NTP 服务器,这些 Unified Access Gateway 设备将依赖于底层虚拟机的时间。

如果要使用的 NTP 服务器是内部 NTP 服务器,并且不允许从 DMZ 接口进行通信,请创建 SR,以便 VMware Horizon Cloud Service 团队可以在部署后协助将路由添加到 Unified Access Gateway 配置,从而 Unified Access Gateway 可以与您的 NTP 服务器进行通信。VMware Horizon Cloud Service 团队会通过 API 调用来为您添加路由。

提示: 将租户配置为使用单容器代理时,可将上述要点视为最佳做法,因为在单容器代理场景中,Unified Access Gateway 设备的时间偏移不会影响最终用户连接。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme

默认情况下,在使用 Blast Extreme 时,客户端驱动器重定向 (CDR) 流量和 USB 流量是在该端口的侧通道中传输的。如果需要,可以将 CDR 流量拆分到 TCP 9427 端口上,并将 USB 重定向流量拆分到 TCP 32111 端口上。

Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 对客户端驱动器重定向 (CDR) 和多媒体重定向 (MMR) 流量是可选的。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP 对 USB 重定向流量是可选的。
Unified Access Gateway 您的 RADIUS 实例 1812 UDP 对 Unified Access Gateway 配置使用 RADIUS 双因素身份验证时使用。此处显示了 RADIUS 的默认值。
Unified Access Gateway 您的 RSA SecurID Authentication Manager 服务器 5555 TCP 对该 Unified Access Gateway 配置使用 RSA SecurID 双因素身份验证时使用。此处显示的是 RSA SecurID 身份验证 API 代理用于进行代理身份验证的通信端口的默认值。

Universal Broker 所需的端口和协议

要支持使用 Universal Broker 以便对容器中的最终用户分配进行代理,您必须按照下表所述配置端口 443。活动容器管理器通过端口 443 与 Universal Broker 服务建立持久 WebSocket 连接,并通过随机选择的端口从 Universal Broker 服务接收连接请求。

表 4. Universal Broker 的端口要求
源端口 目标 目标端口 协议 用途
活动容器管理器 从可用端口中随机选择 Universal Broker 服务 443 最初为 HTTPS,然后为 WebSocket 用于与 Universal Broker 服务建立持久的 WebSocket 连接

最终用户连接流量端口和协议要求

要从设备连接到容器置备的虚拟桌面和远程应用程序,最终用户需要使用已安装的兼容 VMware Horizon Client 或浏览器(称为 Horizon HTML Access Client)。要将来自最终用户客户端的流量传输到容器置备的虚拟桌面和远程应用程序,必须打开哪些端口取决于选择的最终用户连接方式:

当您选择用于将外部网关配置部署在容器自身的 VNet 中的部署程序选项时
部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为公共负载均衡器该图表具有以下特征的 Horizon Cloud Pod 架构示意图:容器同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP描述了此公共负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,外部网关的负载均衡器位于名为 vmw-hcs-podID-uag 的资源组中,其中 podID 是容器的 UUID。
当您选择用于部署内部 Unified Access Gateway 配置的部署程序选项时
默认情况下,内部网关配置会部署在容器自身的 VNet 中。部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与租户子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为内部负载均衡器该图表具有以下特征的 Horizon Cloud Pod 架构示意图:容器同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP描述了此内部负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,公司网络上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,内部网关的负载均衡器位于名为 vmw-hcs-podID-uag-internal 的资源组中,其中 podID 是容器的 UUID。
当您选择用于将外部网关配置部署在其自身的 VNet(而不是容器的 VNet)中的部署程序选项,或者用于使用其自身的订阅的选项(这是使用其自身的 VNet 的特殊子案例,因为 VNet 不会跨订阅)时
部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为公共负载均衡器图表将外部网关部署在其自身的 VNet(不同于容器的 VNet)中时的外部网关架构元素示意图描述了此公共负载均衡器和 Unified Access Gateway 实例在网关自身的 VNet 中的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,外部网关的负载均衡器位于名为 vmw-hcs-ID-uag 的资源组中,其中 ID 是容器详细信息页面的 部署程序 ID 字段中显示的值。如本 管理指南中所述,您可以从控制台的“容量”页面访问容器的详细信息页面。
当容器上没有配置 Unified Access Gateway
注: 对于已将租户配置为使用单容器代理的生产环境,进行内部最终用户连接的最佳做法是在容器上使用内部 Unified Access Gateway 网关配置。在单容器代理场景下,这些连接将使用该网关配置。
在具有单容器代理和 Workspace ONE Access 与容器集成的配置中,您通常会让最终用户通过 Workspace ONE Access 进行连接。在这种情况下,必须配置 Workspace ONE Access 和直接指向容器的 Workspace ONE Access Connector。您的最终用户使用 Workspace ONE Access 连接到其容器置备的资源。 对于该配置,您需使用控制台中的容器摘要页面将 SSL 证书上载到容器管理器虚拟机,如《VMware Horizon Cloud Service 管理指南》中所述。然后,完成将 Workspace ONE Access 与容器集成的步骤。
表 5. 容器配置具有外部 Unified Access Gateway 实例时的外部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关的传输来自 Horizon Client 的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输来自 Horizon HTML Access 客户端(Web 客户端)的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。浏览器中的 Horizon HTML Access 客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
表 6. 容器配置具有内部 Unified Access Gateway 实例时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅《VMware Horizon Cloud Service 管理指南》中的“了解什么是 URL 内容重定向”主题。

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关的传输来自 Horizon Client 的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。

浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 或 443,具体取决于部署中的设置 TCP Blast Extreme 通过 Unified Access Gateway 上的 Blast 安全网关传输来自 Horizon HTML Access 客户端(Web 客户端)的数据流量。对于 Horizon Cloud 容器,应使用部署向导中的 Blast Extreme TCP 端口菜单选择此端口。确保您的网络允许客户端对您为外部网关指定的任一对象进行出站访问。浏览器中的 Horizon HTML Access 客户端使用此 URL,以便通过位于 Unified Access Gateway 实例前面的负载均衡器建立与这些实例的 Horizon Blast 会话。

从 2021 年 10 月服务版本开始,对于新部署的网关配置,部署程序允许为其在相应的 Unified Access Gateway 配置中配置的 Blast Extreme TCP 端口选择 8443 或 443。以前,部署程序默认配置 443,并且没有任何选择。如果您的网关配置是在 2021 年 10 月服务版本之前部署的,则该配置通常会在其 Unified Access Gateway 管理设置的“Blast 外部 URL”字段中设置 443 端口。

注: 端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。端口 443 的效率较低且性能较差。使用端口 443 将导致实例中出现 CPU 拥堵。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站而不允许 8443)的情况下,才会在部署中使用端口 443。
表 7. 使用直接连接(例如,通过 VPN)时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 容器的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。来自客户端的流量将通过容器的负载均衡器到达容器管理器虚拟机。
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP USB 重定向
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 客户端驱动器重定向 CDR) 和多媒体重定向 (MMR)
浏览器 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 443 TCP HTML Access

从基础虚拟机、VDI 桌面虚拟机和场 RDSH 虚拟机中安装的代理传输的流量的端口和协议要求

以下端口必须允许基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中安装的代理相关软件与容器管理器虚拟机之间传输的流量。

目标 端口 协议 用途
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 Horizon Agent 容器管理器虚拟机 4001 TCP Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该服务来在证书指纹验证和交换过程中与容器进行通信,以保护与容器的 SSL 连接。在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。例如,“导入的虚拟机”页面上的重置代理配对操作需要通过端口 4001 进行通信,以便在导入的基础虚拟机和容器之间进行该代理配对工作流。
注: 稳定状态操作需要端口 4001 和 4002。有时候代理可能需要为容器重新设置密钥,因此端口 4001 必须保持为打开状态。
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 Horizon Agent 容器管理器虚拟机 4002 TCP Java 消息服务(JMS,SSL),这些虚拟机中的代理使用该服务来通过安全的 SSL 连接与容器进行通信。
桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent VMware Cloud Services 主机名 scapi.vmware.com 443 TCP 用于 VMware 服务使用情况数据计划。从租户子网出站后,来自 Horizon Agent 的流量将被发送到 VMware Cloud Services 主机名 scapi.vmware.com。
桌面虚拟机或场 RDSH 虚拟机中的 FlexEngine 代理(适用于 VMware Dynamic Environment Manager 的代理) 设置为供桌面虚拟机或场 RDSH 虚拟机中运行的 FlexEngine 代理使用的那些文件共享 445 TCP 如果您使用 VMware Dynamic Environment Manager 功能,则 FlexEngine 代理访问您的 SMB 文件共享。

App Volumes 功能所需的端口和协议

适用于 Horizon Cloud on Microsoft Azure 的 App Volumes 应用程序 - 概述和必备条件中所述,为了能够使用 App Volumes 功能(可用于 Horizon Cloud 容器),必须为容器租户子网上的 TCP 协议流量配置端口 445。端口 445 是标准 SMB 端口,用于访问 Microsoft Windows 上的 SMB 文件共享。AppStack 存储在 SMB 文件共享中,该文件共享与容器管理器虚拟机位于同一个资源组中。

此外,如第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称中所述,当 Azure 云置备该 SMB 文件共享时,Azure 云会分配模式为 *.file.core.windows.net 的完全限定域名 (FQDN),其中 * 是 Azure 生成的、SMB 文件共享的存储帐户名称。此 FQDN 必须可由 DNS 服务器解析,App Volumes 才能访问并挂载这些文件共享并检索 AppStack。您必须确保 DNS 服务器始终都会为容器管理器实例中运行的 App Volumes Manager 进程以及 VDI 桌面中运行的 App Volumes Agent 解析该 FQDN。

重要说明: 如果要集成 Horizon Cloud 容器和 NSX Cloud 版本 3.1.1 及更高版本,并且要使用 App Volumes 分配,您必须在部署 NSX PCG 之后并在使用该容器创建第一个 App Volumes 分配之前,在 NSX 防火墙规则中为容器租户子网手动打开此端口 445/TCP。
表 8. App Volumes 的端口要求
目标 端口 协议 用途
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 App Volumes 代理 容器管理器的资源组中的 SMB 文件共享 445 TCP 在容器的租户子网上,用于访问 SMB 文件共享中存储的 App Volumes AppStack。

Workspace ONE Assist for Horizon 的集成 - DNS、端口和协议要求

Workspace ONE Assist for HorizonWorkspace ONE UEM 产品系列中的一款产品。从 Horizon Cloud 2021 年 8 月版开始,在满足特定要求的情况下,您可以将该产品与从 Horizon Cloud 租户的容器中置备的 VDI 桌面集成使用。有关要求的完整详细信息,请参阅 VMware Workspace ONE Assist 文档区域中的《VMware Workspace ONE Assist for Horizon》指南

使用协助功能需要在 VDI 桌面虚拟机和支持与 Horizon Cloud 租户集成的 Workspace ONE Assist 服务器之间进行出站通信。

DNS 要求
确保 Workspace ONE Assist 服务器的 DNS 名称可解析,并且可从 VDI 桌面虚拟机将驻留的容器租户子网中访问。前面提到的 《VMware Workspace ONE Assist for Horizon》指南提供了 Workspace ONE Assist 服务器的 DNS 名称。
端口和协议要求
必须允许安装了 Workspace ONE Assist for Horizon 应用程序的 VDI 桌面虚拟机中使用端口 443、TCP 和 HTTPS 的出站流量。

活动支持请求、临时 Jump Box 端口和协议需要时

如果您向 VMware 发起支持请求,并且支持团队确定为该请求提供服务的方式是部署一个临时 jump box 虚拟机,以便与 VMware 管理的设备进行 SSH 通信,则该 jump box 将需要使用此处所述的端口和协议。

对于与支持相关的 jump box 部署,将需要向您申请相关权限。VMware 技术支持团队将根据具体支持情况告知您需满足的通信要求。

这种与支持相关的 jump box 虚拟机设计为作为源与以下目标通信。

  • 容器的容器管理器虚拟机端口 22 (使用 SSH)和端口 22。
  • Unified Access Gateway 虚拟机端口 9443(使用 HTTPS)。
  • 网关连接器虚拟机端口 22(使用 SSH),针对将外部网关部署在其自己的 VNet 中的部署。

支持请求和部署中所用设备的性质决定了必须允许哪些 VMware 管理的特定设备作为通信目标。

表 9. 与支持相关的 Jump Box 端口和协议
目标 端口 协议 用途
Jump box 虚拟机
  • 容器管理器虚拟机
  • 网关连接器虚拟机
22 SSH 如果 VMware 技术支持团队需要与列出的一个或多个设备进行此通信以满足您的支持请求,则 jump box 虚拟机会通过管理子网与目标设备上的端口 22 进行通信。
Jump box 虚拟机 Unified Access Gateway 虚拟机 9443 HTTPS 如果 VMware 技术支持团队需要进行此通信来满足您的支持请求,则 jump box 虚拟机会通过管理子网进行通信,以在 Unified Access Gateway 配置中配置相关设置。

由于这些虚拟机是动态分配 IP 地址的,因此以下网络规则允许所述的通信。在支持请求活动期间,始终向 VMware 技术支持团队寻求指导和监督,以了解与支持相关的 jump box 部署的要求。

  • 将管理子网 CIDR 作为源和目标,并指定目标端口 22、源端口任意和协议 TCP。
  • 在涉及 Unified Access Gateway 配置时,将管理子网 CIDR 作为源和目标,并指定目标端口 9443、源端口任意和协议 TCP。

True SSO 和证书管理以及 Horizon Cloud on Microsoft Azure 部署

Horizon Cloud 容器置备的桌面虚拟机不会直接与注册服务器通信。Horizon Cloud on Microsoft Azure 部署的活动容器管理器虚拟机会将证书请求中继到注册服务器。获取证书后,桌面虚拟机中的 Horizon Agent 将使用该证书代表桌面用户执行证书登录操作。

Horizon Cloud on Microsoft Azure 部署的容器管理器虚拟机的请求响应架构与 Horizon 部署的 Horizon Connection Server 相同。在 Horizon Cloud on Microsoft Azure 部署中,容器管理器虚拟机会与主虚拟机子网(也称为租户子网)以及可能已经使用“编辑容器”工作流添加了 VDI 管理员的任何额外虚拟机子网上的桌面虚拟机建立连接。

以下两类证书将通过不同组件进行验证:用户证书和通道证书。True SSO 将添加经过身份验证服务器验证的用户证书。对于 Horizon Cloud on Microsoft Azure 部署,该身份验证服务器是 Microsoft Active Directory 服务器。由于 Microsoft 架构决定了可用于此证书验证的端口号,而且这些端口是 Microsoft 架构本身的一部分,并不是特定于 Horizon Cloud on Microsoft Azure 部署本身,因此可以使用一系列广泛的端口号进行此验证。

Horizon Cloud on Microsoft Azure 部署中使用 True SSO 时,Horizon Agent 会生成一个 CSR,然后通过该容器管理器虚拟机与该 Horizon Agent 之间已有的通信通道,将其发送到部署的活动容器管理器虚拟机。容器管理器虚拟机通过安全的 SSL 加密 TCP 通道(端口 32111 或客户在注册服务器安装中配置的端口)将请求中继到注册服务器。注册服务器生成一个 CMC 请求,附加容器管理器提供的 CSR 和用户名,使用注册代理证书对 CMC 进行签名,然后使用 MS-DCOM (RPC) 协议将其提交给证书颁发机构。

Horizon Agent 接收证书,将其作为登录凭据进行序列化,并将其提交到 Windows 登录流程。LSASS Windows 组件接收证书,对其进行验证(检查其是否有效且可信,以及本地计算机是否持有证书的私钥),然后将其发送到域控制器 (DC)。DC 可以选择检查用户证书中指定的 CRL。

具有丰富视觉效果的网络图

有关对这些组件、端口和协议之间关系进行的具有丰富视觉效果的描述,请参见 VMware Digital Workspace Tech Zone 的网络图和说明,网址为 https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams