在自我管理/转换 VNet 中部署 Horizon Cloud Pod 后,将在 CSMNSX Manager 中自动创建以下实体。

注: 仅在 NSX-T Data Center 3.1.1 和更高版本中提供了自动创建实体功能。

CSM 中的 Horizon Cloud 虚拟机

  • Horizon Cloud 虚拟机可以是管理虚拟机或最终用户的 VDI。
  • CSM 将 Horizon Cloud 管理虚拟机与最终用户消耗性 VDI 区别开来,如下所示:
    • CSM > > Azure > 实例中将三种类型的 Horizon Cloud 管理虚拟机(UAG、基本和节点)标记为 Horizon 管理虚拟机。Horizon Cloud 管理员可以完全控制在 Microsoft Azure 中分配给这些虚拟机的安全组。
    • 在 Horizon Cloud Pod 中启动的所有 VDI(使用启用了 NSX Cloud 的任何映像)是由 NSX 管理的(如果它们在启动时启用了 NSX Cloud)。NSX Tools 安装在此类 VDI 上,并在 NSX 实施模式下像其他管理的虚拟机一样对其进行管理。在 CSM > > Azure > 实例中,您可以看到这些 VDI 带有 Horizon VDI 标签。

      有关详细信息,请参见NSX-T Data Center 管理指南中的“以 NSX 实施模式管理虚拟机”。

      另请参见 Horizon Cloud Service 产品文档中的“Microsoft Azure 中的 VMware NSX Cloud 和 Horizon Cloud Pod”。

在 NSX Manager 中创建的 Horizon Cloud 实体

NSX Manager 组件 自动创建的实体 详细信息
清单 > 服务 HorizonUAGPolicyService 该服务允许在 Horizon Cloud UAG 和 VDI 之间进行通信。有关详细信息,请参见下表:在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略
清单 > 服务 HorizonNodeVMPolicyService 该服务用于允许从 VDI 到 Horizon Cloud 管理节点虚拟机的通信。有关详细信息,请参见下表:在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略
清单 >
  • vmw-hcs-<pod-id>-base
  • vmw-hcs-<pod-id>-node
  • vmw-hcs-<pod-id>-uag
  • vmw-hcs-<pod-id>-vdi
这些组的组定义如下所示:
  • Horizon Cloud 在 Microsoft Azure 中应用于这些虚拟机的实例类型标签。
  • 还托管 Horizon Cloud Pod 的自我管理/转换 VNet 的 Microsoft Azure ID。

您可以管理在 vmw-hcs-<id>-vdi 组中包含的 VDI。其他组由 Horizon Cloud 进行管理。

Horizon Cloud jumpbox 虚拟机是在 vmw-hcs-<id>-node 中进行分组的。

清单 > 虚拟机 由 Horizon Cloud 提供名称的 Horizon Cloud VDI 这些是 Horizon Cloud 中的 VDI,它们在 NSX Manager 中划分为虚拟机。NSX Manager 中的所有安全策略和其他配置都针对的是这些虚拟机。
清单 > 标记
  • 标记范围:azure:instance_type
  • 标记值:
    • HORIZON_MGMT
    • HORIZON_BASE
    • HORIZON_UAG
    • HORIZON_VDI
这些系统标记用于为安全策略创建组。

安全策略

安全 > 分布式防火墙 > 基础架构中,将使用以下名称创建一个 DFW 策略:vmw-hcs-<pod_id>-security-policy。该策略具有以下允许规则。

表 1. 在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略
DFW 规则名称 目标 服务/端口 协议
AllowHCSUAGToVDI Unified Access Gateway VDI HorizonUAGPolicyService

TCP(源:任意;目标:22443、32111、4172、443、8443、9427)

UDP(源:任意 | 目标:22443、4172)

TCP 和 UDP
AllowVDIToHCSNode VDI 节点虚拟机 HorizonNodeVMPolicyService(源:任意;目标:3099、4001、4002) TCP
注: VNet 中的 NSX 管理的 VDI 的所有网络连接均通过 Microsoft Azure。 NSX-T Data Center 仅管理从 VNet 传出的流量。

有关发现的标记的详细信息,请参见NSX-T Data Center 管理指南中的“使用 NSX-T Data Center 和公有云标记对虚拟机进行分组”:这些是您在 Microsoft Azure 中应用于 VDI 的标记,它们在 NSX Manager 中可见以启用基于标记的分组。