在自我管理/转换 VNet 中部署 Horizon Cloud Pod 后,将在 CSM 和 NSX Manager 中自动创建以下实体。
注: 仅在
NSX 3.1.1 和更高版本中提供了自动创建实体功能。
CSM 中的 Horizon Cloud 虚拟机
- Horizon Cloud 虚拟机可以是管理虚拟机或最终用户的 VDI。
- CSM 将 Horizon Cloud 管理虚拟机与最终用户消耗性 VDI 区别开来,如下所示:
- 在 中将三种类型的 Horizon Cloud 管理虚拟机(UAG、基本和节点)标记为 Horizon 管理虚拟机。Horizon Cloud 管理员可以完全控制在 Microsoft Azure 中分配给这些虚拟机的安全组。
- 在 Horizon Cloud Pod 中启动的所有 VDI(使用启用了 NSX Cloud 的任何映像)是由 NSX 管理的(如果它们在启动时启用了 NSX Cloud)。NSX Tools 安装在此类 VDI 上,并在 NSX 实施模式下像其他管理的虚拟机一样对其进行管理。在 中,您可以看到这些 VDI 带有 Horizon VDI 标签。
有关详细信息,请参见NSX 管理指南中的“以 NSX 实施模式管理虚拟机”。
另请参见 Horizon Cloud Service 产品文档中的“Microsoft Azure 中的 VMware NSX Cloud 和 Horizon Cloud Pod”。
在 NSX Manager 中创建的 Horizon Cloud 实体
| NSX Manager 组件 | 自动创建的实体 | 详细信息 |
|---|---|---|
| HorizonUAGPolicyService | 该服务允许在 Horizon Cloud UAG 和 VDI 之间进行通信。有关详细信息,请参见下表:在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略 | |
| HorizonNodeVMPolicyService | 该服务用于允许从 VDI 到 Horizon Cloud 管理节点虚拟机的通信。有关详细信息,请参见下表:在基础架构类别中为 Horizon Cloud 集成自动创建的 DFW 策略 | |
|
这些组的组定义如下所示:
您可以管理在 vmw-hcs-<id>-vdi 组中包含的 VDI。其他组由 Horizon Cloud 进行管理。 Horizon Cloud jumpbox 虚拟机是在 vmw-hcs-<id>-node 中进行分组的。 |
|
| 由 Horizon Cloud 提供名称的 Horizon Cloud VDI | 这些是 Horizon Cloud 中的 VDI,它们在 NSX Manager 中划分为虚拟机。NSX Manager 中的所有安全策略和其他配置都针对的是这些虚拟机。 | |
|
这些系统标记用于为安全策略创建组。 |
安全策略
在中,将使用以下名称创建一个 DFW 策略:vmw-hcs-<pod_id>-security-policy。该策略具有以下允许规则。
| DFW 规则名称 | 源 | 目标 | 服务/端口 | 协议 |
|---|---|---|---|---|
| AllowHCSUAGToVDI | Unified Access Gateway | VDI | HorizonUAGPolicyService TCP(源:任意;目标:22443、32111、4172、443、8443、9427) UDP(源:任意 | 目标:22443、4172) |
TCP 和 UDP |
| AllowVDIToHCSNode | VDI | 节点虚拟机 | HorizonNodeVMPolicyService(源:任意;目标:3099、4001、4002) | TCP |
注: VNet 中的 NSX 管理的 VDI 的所有网络连接均通过 Microsoft Azure。
NSX 仅管理从 VNet 传出的流量。
有关发现的标记的详细信息,请参见NSX 管理指南中的“使用 NSX 和公有云标记对虚拟机进行分组”:这些是您在 Microsoft Azure 中应用于 VDI 的标记,它们在 NSX Manager 中可见以启用基于标记的分组。
