在自我管理/转换 VNet 中部署 Horizon Cloud Pod 后,将在 CSM 和 NSX Manager 中自动创建以下实体。
注: 仅在
NSX-T Data Center 3.1.1 和更高版本中提供了自动创建实体功能。
CSM 中的 Horizon Cloud 虚拟机
- Horizon Cloud 虚拟机可以是管理虚拟机或最终用户的 VDI。
- CSM 将 Horizon Cloud 管理虚拟机与最终用户消耗性 VDI 区别开来,如下所示:
- 在 Horizon 管理虚拟机。Horizon Cloud 管理员可以完全控制在 Microsoft Azure 中分配给这些虚拟机的安全组。 中将三种类型的 Horizon Cloud 管理虚拟机(UAG、基本和节点)标记为
- 在 Horizon Cloud Pod 中启动的所有 VDI(使用启用了 NSX Cloud 的任何映像)是由 NSX 管理的(如果它们在启动时启用了 NSX Cloud)。NSX Tools 安装在此类 VDI 上,并在 NSX 实施模式下像其他管理的虚拟机一样对其进行管理。在 中,您可以看到这些 VDI 带有 Horizon VDI 标签。
有关详细信息,请参见NSX-T Data Center 管理指南中的“以 NSX 实施模式管理虚拟机”。
另请参见 Horizon Cloud Service 产品文档中的“Microsoft Azure 中的 VMware NSX Cloud 和 Horizon Cloud Pod”。
在 NSX Manager 中创建的 Horizon Cloud 实体
NSX Manager 组件 | 自动创建的实体 | 详细信息 |
---|---|---|
HorizonUAGPolicyService | 该服务允许在 Horizon Cloud UAG 和 VDI 之间进行通信。有关详细信息,请参见下表:在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略 | |
HorizonNodeVMPolicyService | 该服务用于允许从 VDI 到 Horizon Cloud 管理节点虚拟机的通信。有关详细信息,请参见下表:在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略 | |
|
这些组的组定义如下所示:
您可以管理在 vmw-hcs-<id>-vdi 组中包含的 VDI。其他组由 Horizon Cloud 进行管理。 Horizon Cloud jumpbox 虚拟机是在 vmw-hcs-<id>-node 中进行分组的。 |
|
由 Horizon Cloud 提供名称的 Horizon Cloud VDI | 这些是 Horizon Cloud 中的 VDI,它们在 NSX Manager 中划分为虚拟机。NSX Manager 中的所有安全策略和其他配置都针对的是这些虚拟机。 | |
|
这些系统标记用于为安全策略创建组。 |
安全策略
在vmw-hcs-<pod_id>-security-policy。该策略具有以下允许规则。
中,将使用以下名称创建一个 DFW 策略:DFW 规则名称 | 源 | 目标 | 服务/端口 | 协议 |
---|---|---|---|---|
AllowHCSUAGToVDI | Unified Access Gateway | VDI | HorizonUAGPolicyService TCP(源:任意;目标:22443、32111、4172、443、8443、9427) UDP(源:任意 | 目标:22443、4172) |
TCP 和 UDP |
AllowVDIToHCSNode | VDI | 节点虚拟机 | HorizonNodeVMPolicyService(源:任意;目标:3099、4001、4002) | TCP |
注: VNet 中的 NSX 管理的 VDI 的所有网络连接均通过 Microsoft Azure。
NSX-T Data Center 仅管理从 VNet 传出的流量。
有关发现的标记的详细信息,请参见NSX-T Data Center 管理指南中的“使用 NSX-T Data Center 和公有云标记对虚拟机进行分组”:这些是您在 Microsoft Azure 中应用于 VDI 的标记,它们在 NSX Manager 中可见以启用基于标记的分组。