Bei Verwendung von Horizon Cloud Service - next-gen zum Erstellen eines Horizon Edge und Unified Access Gateway in Ihrem Microsoft Azure-Abonnement werden mehrere standardmäßige Netzwerksicherheitsgruppen angelegt. Diese Sicherheitsgruppen werden angezeigt, wenn Sie sich beim Microsoft Azure-Portal anmelden, und dürfen nicht verändert werden.
Im Rahmen der Bereitstellung von Horizon Edge und Unified Access Gateway in Microsoft Azure wird mittels eines automatisierten Bereitstellungsprozesses ein Satz an Netzwerksicherheitsgruppen (NSGs) erstellt, wobei jede NSG mit jeweils einzelnen spezifischen Netzwerkkarten (NICs) auf den von VMware gesteuerten Horizon Edge- und Unified Access Gateway-VMs verknüpft wird. Bei diesen Edge- und UAG-bezogenen VMs handelt es sich um die VMs des Edge-Gateways und die VMs, die bei Konfiguration des Edge mit Unified Access Gateway bereitgestellt werden.
Allgemeine Einführung
In Horizon Cloud Service - next-gen verknüpft der Edge-Bereitsteller die vom Bereitsteller erstellte NSG gemäß dem Design und der Architektur für den Edge mit der geeigneten Netzwerkkarte. Diese NSGs werden auf der Ebene der Netzwerkkarte verwendet, um sicherzustellen, dass jede Netzwerkkarte auf einer bestimmten verwalteten Appliance den Datenverkehr empfangen kann, den die verwaltete Appliance für Standarddienst- und Edge-Vorgänge über das angeschlossene Subnetz der Netzwerkkarte erhalten soll, und um den gesamten Datenverkehr zu blockieren, der von der Appliance nicht empfangen werden soll. Jede NSG enthält einen Satz mit Sicherheitsregeln, die den zulässigen Datenverkehr zu und von den einzelnen Netzwerkkarten definieren.
Die hier beschriebenen vom Bereitsteller erstellten NSGs sind von denjenigen getrennt, die für die Basis-VMs, Farmen und VDI-Desktops verwendet werden, die vom Edge bereitgestellt werden, wenn Sie sie mithilfe der Horizon Universal Console erstellen.
Die von Horizon Cloud Service - next-gen erstellten NSGs und die darin enthaltenen Regeln sind spezifisch für die jeweiligen Netzwerkkarten und VMs, an die Sie angehängt sind. Zudem sind sie ausdrücklich für die Zwecke dieser Netzwerkkarten und VMs vorgesehen. Jede Änderung an diesen NSGs oder Regeln oder jeder Versuch, sie für andere Zwecke verwenden – selbst in denselben Subnetzen, an die diese Netzwerkkarten angehängt sind – führt höchstwahrscheinlich dazu, dass der erforderliche Netzwerkdatenverkehr zu und von den NICs, an die Sie angehängt sind, gestört wird. Diese Unterbrechung wiederum kann dazu führen, dass alle Edge-Vorgänge unterbrochen werden. Der Lebenszyklus dieser NSGs wird von Horizon Cloud Service - next-gen verwaltet und es gibt bestimmte Gründe für jeden einzelnen.
Da es sich bei diesen vom Bereitsteller erstellten NSGs um die Konfigurationsanforderungen des Diensts handelt, werden Versuche, sie zu ändern oder zu verschieben, als nicht unterstützte Nutzung von Horizon Cloud Service - next-gen und als Missbrauch der Dienstangebote angesehen.
Sie können jedoch ihre eigenen NSGs mit den Regeln Ihrer eigenen Organisation in Ressourcengruppen außerhalb der Ressourcengruppen des Edge erstellen, die von Horizon Cloud Service - next-gen für die VMs des Edge automatisch erstellt und verwaltet werden. Die Regeln in ihren eigenen NSGs dürfen nicht mit den Horizon Cloud Service - next-gen-Anforderungen an die Verwaltung und Vorgänge der Edge-VMs in Konflikt stehen. Derartige NSGs sollten an die Verwaltungs-, Mandanten- und DMZ-Subnetze angehängt werden, die vom Edge verwendet werden. Das Erstellen eigener NSGs innerhalb der von Horizon Cloud Service - next-gen verwalteten Ressourcengruppen führt zu Fehlern beim Löschen von Aktionen für die von Horizon Cloud Service - next-gen verwalteten Ressourcengruppen, wenn Ihre NSGs in diesen Ressourcengruppen mit einer Ressource verknüpft sind, die sich in einer anderen Ressourcengruppe befindet.
Gemäß der Beschreibung in der Microsoft Azure-Dokumentation besteht der Zweck einer Netzwerksicherheitsgruppe (NSG) darin, den Netzwerkdatenverkehr zu und von Ressourcen in Ihrer Microsoft Azure-Umgebung mithilfe von Sicherheitsregeln zu filtern. Jede Regel verfügt über einen Satz mit Eigenschaften, z. B. Quelle, Ziel, Port, Protokoll usw., zur Bestimmung des zulässigen Datenverkehrs für die Ressourcen, denen die NSG zugeordnet ist. Die von Horizon Cloud Service - next-gen automatisch erstellten und mit den Netzwerkkarten der gesteuerten Edge-VMs verknüpften NSGs enthalten bestimmte Regeln, die Horizon Cloud Service - next-gen als erforderlich für die Dienstverwaltung des Edge, für die ordnungsgemäße Ausführung laufender Edge-Vorgänge und für die Verwaltung des Edge-Lebenszyklus einstuft. Im Allgemeinen ist jede in diesen NSGs definierte Regel dafür vorgesehen, den Port-Datenverkehr des Edge anzugeben, der wesentlicher Bestandteil der Diensterfüllung und des Standardgeschäftszwecks eines Horizon Cloud Service - next-gen-Abonnements ist, z. B. der VDI-Anwendungsfall zur Bereitstellung von virtuellen Desktops für Endbenutzer. Informationen hierzu finden Sie unter Port- und Protokollanforderungen für die Bereitstellung von Horizon 8 Edge.
In den nachfolgenden Abschnitten werden die NSG-Regeln aufgelistet, die Horizon Cloud Service - next-gen in diesen vom Bereitsteller erstellten NSGs definiert.
Allgemeine Fakten zur vom Bereitsteller erstellten NSG
Diese Liste gilt für alle vom Bereitsteller erstellten NSGs, die der Bereitsteller mit bestimmten Netzwerkkarten in Edge-bezogenen VMs verknüpft.
- Diese automatisch erstellten NSGs sind für die Sicherheit der gesteuerten Software-Appliances vorgesehen. Wenn Ihrem Abonnement neue Software hinzufügt wird und zusätzliche Regeln erforderlich sind, werden diese neuen Regeln diesen NSGs hinzugefügt.
- Für Unified Access Gateway im Microsoft Azure-Portal verfügen die NSGs über Namen, die das Muster
vmw-hcs-UUIDenthalten, wobei UUID der Edge-Bezeichner ist. Dies gilt jedoch nicht für NSGs, die für eine externe Gateway-Konfiguration verwendet werden, welche im eigenen VNet bereitgestellt wird. In diesem Fall haben die betreffenden NSGs des Gateways Namen, die das Mustervmw-hcs-IDenthalten, wobei ID die Bereitstellungs-ID für das besagte externe Gateway ist.Hinweis: Für das Szenario, in dem die externe Gateway-Konfiguration mithilfe der Option zum Bereitstellen einer vorhandenen Ressourcengruppe, die Sie in diesem Abonnement vorab erstellt haben, in einem separaten Abonnement bereitgestellt wird, wird die NSG auf der Management-Netzwerkkarte der Connector-VM in einem Muster basierend auf dem Namen der Ressourcengruppe benannt (statt nach dem Mustervmw-hcs-UUID). Beispiel: Wenn Sie dieser Ressourcengruppe den Namenhcsgatewayszugewiesen haben, erstellt Horizon Cloud Service - next-gen eine NSG mit dem Namenhcsgateways-mgmt-nsgund verknüpft diese NSG mit der Management-Netzwerkkarte der Gateway-Connector-VM.Für Horizon Edge Gateway weist die NSG das Benennungsmuster
aks-agentpool-ID-nsgauf, wobeiIDeine von Microsoft Azure hinzugefügte Zufallszahl und die NSG Teil der Ressourcengruppe mit dem Benennungsmustervmw-hcs-UUID-edge-aks-nodeist undUUIDals Edge-Bezeichner fungiert.Sie können diese Bezeichner ermitteln, indem Sie auf der Seite „Kapazität“ der Verwaltungskonsole zu den Details des Edge navigieren.
Hinweis: Wenn Sie festlegen, dass das externe Unified Access Gateway des Edge eine benutzerdefinierte Ressourcengruppe verwendet, enthält der Name der vom Bereitsteller erstellten NSG der Gateway-Connector-VM den Namen dieser benutzerdefinierten Ressourcengruppe statt des Mustersvmw-hcs-ID. Wenn Sie beispielsweise eine benutzerdefinierte Ressourcengruppe mit dem Namenourhcspodgatewayfür das externe Gateway des Edge angeben, dann erhält die NSG, die vom Bereitsteller erstellt und mit der Netzwerkkarte der Gateway-VM verknüpft wird, den Namenourhcspodgateway-mgmt-nsg. - Die NSGs befinden sich in derselben Ressourcengruppe wie die VMs und Netzwerkkarten, denen sie zugeordnet sind. Beispiel: Die NSGs, die den Netzwerkkarten (NICs) auf den externen Unified Access Gateway-VMs zugeordnet sind, befinden sich in der Ressourcengruppe mit dem Namen
vmw-hcs-UUID-uag, wenn das externe Gateway im VNet des Edge bereitgestellt und eine vom Bereitsteller erstellte Ressourcengruppe verwendet wird. - Horizon Cloud kann neue Regeln hinzufügen oder diese Regeln entsprechend ändern, um die Wartbarkeit des Diensts sicherzustellen.
- Während eines Edge-Updates werden die NSGs und Regeln beibehalten. Sie werden nicht gelöscht.
- Die Horizon Cloud Service - next-gen-Regeln beginnen mit der Priorität 1000 und die Prioritäten steigen in der Regel in 100er-Schritten. Die Horizon Cloud Service - next-gen-Regeln enden mit einer Regel mit der Priorität 3000.
- Die
AllowAzureInBound-Regeln für die Quell-IP-Adresse 168.63.129.16 stellen die NSGs bereit und lassen die eingehende Kommunikation von der Microsoft Azure-Plattform zu, wie im Microsoft Azure-Dokumentationsthema Was verbirgt sich hinter der IP-Adresse 168.63.129.16 beschrieben. Bei allen Edge-bezogenen VMs handelt es sich um VMs in Microsoft Azure. Wie im Microsoft Azure-Dokumentationsthema beschrieben, vereinfacht die IP-Adresse 168.63.129.16 verschiedene VM-Verwaltungsaufgaben, die die Microsoft Azure Cloud-Plattform für alle VMs in der Cloud ausführt. Beispielsweise erleichtert diese IP-Adresse die Kommunikation des VM-Agenten innerhalb der VM mit der Microsoft Azure-Plattform, um zu signalisieren, dass sich die VM im Zustand „Bereit“ befindet. - Bei der Erstellung der einzelnen NSGs erstellt Microsoft Azure automatisch einige Standardregeln darin. In jeder erstellten NSG erstellt Microsoft Azure einige eingehende und ausgehende Regeln mit der Priorität 65000 und höher. Derartige Microsoft Azure-Standardregeln werden in diesem Dokumentationsthema nicht beschrieben, da Sie von Microsoft Azure automatisch erstellt werden. Einzelheiten zu diesen Standardregeln finden Sie im Microsoft Azure-Dokumentationsthema Standard-Sicherheitsregeln.
- Jede in diesen NSGs definierte Regel ist dazu vorgesehen, den Edge-Datenverkehr des Pods anzugeben, der wesentlicher Bestandteil der Diensterfüllung und des Standardgeschäftszwecks eines Horizon Cloud Service - next-gen-Abonnements ist, z. B. der VDI-Anwendungsfall zur Bereitstellung von virtuellen Desktops für Endbenutzer. Informationen hierzu finden Sie unter Port- und Protokollanforderungen für die Bereitstellung von Horizon 8 Edge.
- Wenn Sie Ihren Edge bearbeiten, um zusätzliche Mandantensubnetze für die Verwendung mit Farmen und VDI-Desktop-Zuweisungen anzugeben, werden die Regeln in den Mandantensubnetz-bezogenen NSGs auf den Edge-Gateway-VMs und in den Netzwerkkarten der Unified Access Gateway-VMs aktualisiert, damit sie diese zusätzlichen Mandantensubnetze beinhalten.
Vom Bereitsteller erstellte NSGs des Edge-Gateway-AKS
Der Edge-Gateway-AKS verfügt über einen VM-Skalierungssatz, in dem jede VM-Instanz über eine mit dem Verwaltungssubnetz verbundene Netzwerkkarte verfügt. Microsoft Azure erstellt automatisch eine bestimmte NSG und verknüpft sie mit allen Netzwerkkarten, die den Instanzen des VM-Skalierungssatzes zugeordnet sind.
Für den Typ „Edge-Gateway-VM“ werden aktuell keine NSGs erstellt.
In Ihrer Microsoft Azure-Umgebung befindet sich die NSG des Edge-AKS in der AKS-Knotenressourcengruppe des Edge, die nach dem Muster vmw-hcs-UUID-edge-aks-node benannt ist.
aks-agentpool-ID-nsg benannt, wobei
ID eine Zufallszahl ist, die von Microsoft Azure zugewiesen wird.
Wie bereits erwähnt werden die in den folgenden Tabellen angezeigten Regeln standardmäßig von Microsoft Azure erstellt (siehe Beschreibung im Thema Standardsicherheitsregeln der Microsoft Azure-Dokumentation).
| Priorität | Name | Port | Protokoll | Quelle | Ziel | Aktion |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetInBound | Beliebig | Beliebig | VirtualNetwork | VirtualNetwork | Zulassen |
| 65001 | AllowAzureLoadBalancerInBound | Beliebig | Beliebig | AzureLoadBalancer | Beliebig | Zulassen |
| 65500 | DenyAllInbound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern |
| Priorität | Name | Port | Protokoll | Quelle | Ziel | Aktion |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetOutBound | Beliebig | Beliebig | VirtualNetwork | VirtualNetwork | Zulassen |
| 65001 | AllowInternetOutBound | Beliebig | Beliebig | Beliebig | Internet | Zulassen |
| 65500 | DenyAllOutbound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern |
Vom Bereitsteller erstellte NSGs der externen Unified Access Gateway-VMs
Alle VMs für die externe Unified Access Gateway-Konfiguration verfügen über drei (3) Netzwerkkarten. Dabei ist eine mit dem Verwaltungssubnetz, eine mit dem Mandantensubnetz und eine mit dem DMZ-Subnetz verbunden. Der Bereitsteller erstellt für jede dieser drei Netzwerkkarten eine bestimmte NSG und ordnet jede NSG der entsprechenden Netzwerkkarte zu.
- Die Verwaltungs-NIC verfügt über eine NSG, die nach dem Muster
vmw-hcs-ID-uag-management-nsgbenannt ist. - Die Mandanten-NIC verfügt über eine NSG, die nach dem Muster
vmw-hcs-ID-uag-tenant-nsgbenannt ist. - Die DMZ-NIC verfügt über eine NSG, die nach dem Muster
vmw-hcs-ID-uag-dmz-nsgbenannt ist.
In Ihrer Microsoft Azure-Umgebung werden diese NSGs nach dem Muster vmw-hcs-ID-uag benannt, wobei ID die Edge-ID ist, die in der Konsole auf der Detailseite des Edge angezeigt wird, sofern das externe Gateway nicht separat in einem eigenen VNet bereitgestellt wird, das sich vom VNet des Edge unterscheidet. Im Falle eines externen Gateways, das in einem eigenen VNet bereitgestellt wird, stellt die ID den auf der Detailseite des Edge angezeigte Wert der Bereitstellungs-ID dar.
| Richtung | Priorität | Name | Ports | Protokoll | Quelle | Ziel | Aktion | Zweck |
|---|---|---|---|---|---|---|---|---|
| Eingehend | 1000 | AllowHttpsInBound | 9443 | TCP | Management-Subnetz | Beliebig | Zulassen | Damit der Dienst die Administrationseinstellungen des Gateways mithilfe der zugehörigen Verwaltungsschnittstelle konfigurieren kann. Gemäß Beschreibung in der Unified Access Gateway-Produktdokumentation befindet sich die Verwaltungsschnittstelle an Port 9443/TCP. |
| Eingehend | 1100 | AllowAzureInBound | Beliebig | Beliebig | 168.63.129.16 | Beliebig | Zulassen | Damit die VM die eingehende Kommunikation von der Microsoft Azure-Plattform akzeptieren kann, wie im vorangegangenen Abschnitt „Allgemeine Fakten“ und im Microsoft Azure-Dokumentationsthema Was bedeutet die IP-Adresse 168.63.129.16 beschrieben. |
| Eingehend | 1200 | AllowSshInBound | 22 | Beliebig | Management-Subnetz | Beliebig | Zulassen | Damit VMware im Rahmen der Fehlerbehebung bei Bedarf einen Notfallzugriff auf die VM durchführen kann. Die Berechtigung wird von Ihnen vor dem Notfallzugriff angefordert. |
| Eingehend | 3000 | DenyAllInBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den eingehenden Datenverkehrs dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
| Ausgehend | 3000 | DenyAllOutBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wurde vom Bereitsteller hinzugefügt, um ausgehenden Datenverkehr von dieser Netzwerkkarte zu verweigern. |
| Richtung | Priorität | Name | Ports | Protokoll | Quelle | Ziel | Aktion | Zweck |
|---|---|---|---|---|---|---|---|---|
| Eingehend | 1000 | AllowAzureInBound | Beliebig | Beliebig | 168.63.129.16 | Beliebig | Zulassen | Damit die VM die eingehende Kommunikation von der Microsoft Azure-Plattform akzeptieren kann, wie im vorangegangenen Abschnitt „Allgemeine Fakten“ und im Microsoft Azure-Dokumentationsthema Was bedeutet die IP-Adresse 168.63.129.16 beschrieben. |
| Eingehend | 1400 | AllowPcoipUdpInBound | Beliebig | UDP | Mandanten-Subnetz | Beliebig | Zulassen | Diese Regel unterstützt die Standardkonfiguration, die für das Unified Access Gateway verwendet wird, das mit dem Horizon Agent arbeitet. Die Horizon Agents in den Desktop- und Farm-VMs senden PCoIP-Daten per UDP an die Unified Access Gateway-Instanzen zurück. |
| Eingehend | 3000 | DenyAllInBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den eingehenden Datenverkehrs dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
| Ausgehend | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt die Unified Access Gateway-Instanzen, die wegen neuer Client-Verbindungsanforderungen an die Edge-Gateways mit den VMs des Edge-Gateways kommunizieren. |
| Ausgehend | 1100 | AllowBlastOutBound | 22443 | Beliebig | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt den Anwendungsfall einer Horizon Client Blast Extreme-Sitzung mit dem Horizon Agent in einer Desktop- oder Farm-VM. |
| Ausgehend | 1200 | AllowPcoipOutBound | 4172 | Beliebig | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt den Anwendungsfall einer Horizon Client PCoIP-Sitzung mit dem Horizon Agent in einer Desktop-VM. |
| Ausgehend | 1300 | AllowUsbOutBound | 32111 | TCP | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt den Anwendungsfall des USB-Umleitungsdatenverkehrs. Die USB-Umleitung ist eine Agentenoption in den Desktop- oder Farm-VMs. Dieser Datenverkehr verwendet Port 32111 für eine Endbenutzer-Clientsitzung mit dem Horizon Agent in einer Desktop- oder Farm-VM. |
| Ausgehend | 1400 | AllowMmrOutBound | 9427 | TCP | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt die Anwendungsfälle des Multimedia-Umleitung (MMR)- und Clientlaufwerksumleitung (CDR)-Datenverkehrs. Diese Umleitungen sind Agentenoptionen in den Desktop- oder Farm-VMs. Dieser Datenverkehr verwendet Port 9427 für eine Endbenutzer-Clientsitzung mit dem Horizon Agent in einer Desktop- oder Farm-VM. |
| Ausgehend | 1500 | AllowAllOutBound | Beliebig | Beliebig | Beliebig | Mandanten-Subnetz | Zulassen | Bei Ausführung in einer VM, die mehrere Benutzersitzungen unterstützt, wählt der Horizon Agent verschiedene Ports aus, die für den PCoIP-Datenverkehr der Sitzung verwendet werden. Da diese Ports nicht im Voraus ermittelt werden können, kann vorab keine NSG-Regel definiert werden, die bestimmte Ports benennt, um diesen Datenverkehr zuzulassen. Aus diesem Grund unterstützt diese Regel, ähnlich wie bei der Priorität 1200, den Anwendungsfall mehrerer Horizon Client PCoIP-Sitzungen mit solchen VMs. |
| Ausgehend | 3000 | DenyAllOutBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den ausgehenden Datenverkehr dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
| Richtung | Priorität | Name | Ports | Protokoll | Quelle | Ziel | Aktion | Zweck |
|---|---|---|---|---|---|---|---|---|
| Eingehend | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Beliebig | Zulassen | Diese Regel stellt den eingehenden Datenverkehr externer Endbenutzer aus den Horizon Clients und dem Horizon Web Client bereit, um die Anmeldeauthentifizierungsanforderung an das Edge-Gateway zu stellen. Standardmäßig verwenden der Horizon Client und der Horizon-Webclient Port 443 für diese Anforderung. Um die einfache Umleitung für einen Benutzer zu erleichtern, der möglicherweise in seinem Client HTTP anstelle von HTTPS eingibt, kommt der Datenverkehr an Port 80 an und wird automatisch an Port 443 umgeleitet. |
| Eingehend | 1100 | AllowBlastInBound | 443 8443 |
Beliebig | Internet | Beliebig | Zulassen | Diese Regel unterstützt die Unified Access Gateway-Instanzen, die den Blast-Datenverkehr von den Horizon Clients der externen Endbenutzer erhalten. |
| Eingehend | 1200 | AllowPcoipInBound | 4172 | Beliebig | Internet | Beliebig | Zulassen | Diese Regel unterstützt die Unified Access Gateway-Instanzen, die den PCoIP-Datenverkehr von den Horizon Clients der externen Endbenutzer erhalten. |
| Eingehend | 1300 | AllowAzureInBound | Beliebig | Beliebig | 168.63.129.16 | Beliebig | Zulassen | Damit die VM die eingehende Kommunikation von der Microsoft Azure-Plattform akzeptieren kann, wie im vorangegangenen Abschnitt „Allgemeine Fakten“ und im Microsoft Azure-Dokumentationsthema Was bedeutet die IP-Adresse 168.63.129.16 beschrieben. |
| Eingehend | 3000 | DenyAllInBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den eingehenden Datenverkehrs dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
Vom Bereitsteller erstellte NSGs der internen Unified Access Gateway-VMs
Alle VMs für die interne Unified Access Gateway-Konfiguration verfügen über zwei (2) Netzwerkkarten. Dabei ist eine mit dem Verwaltungssubnetz und eine mit dem Mandantensubnetz verbunden. Der Bereitsteller erstellt für jede dieser beiden Netzwerkkarten eine spezifische NSG und ordnet jede NSG der passenden Netzwerkkarte zu.
- Die Management-Netzwerkkarte (NIC) verfügt über eine NSG, die nach dem Muster
vmw-hcs-podUUID-uag-management-nsgbenannt ist. - Die Mandanten-Netzwerkkarte (NIC) verfügt über eine NSG, die nach dem Muster
vmw-hcs-podUUID-uag-tenant-nsgbenannt ist.
In Ihrer Microsoft Azure-Umgebung befinden sich diese NSGs in der Ressourcengruppe des Edge, die nach dem Muster vmw-hcs-podUUID-uag-internal benannt ist.
| Richtung | Priorität | Name | Ports | Protokoll | Quelle | Ziel | Aktion | Zweck |
|---|---|---|---|---|---|---|---|---|
| Eingehend | 1000 | AllowHttpsInBound | 9443 | TCP | Management-Subnetz | Beliebig | Zulassen | Damit der Dienst die Administrationseinstellungen des Gateways mithilfe der zugehörigen Verwaltungsschnittstelle konfigurieren kann. Gemäß Beschreibung in der Unified Access Gateway-Produktdokumentation befindet sich die Verwaltungsschnittstelle an Port 9443/TCP. |
| Eingehend | 1100 | AllowAzureInBound | Beliebig | Beliebig | 168.63.129.16 | Beliebig | Zulassen | Damit die VM die eingehende Kommunikation von der Microsoft Azure-Plattform akzeptieren kann, wie im vorangegangenen Abschnitt „Allgemeine Fakten“ und im Microsoft Azure-Dokumentationsthema Was bedeutet die IP-Adresse 168.63.129.16 beschrieben. |
| Eingehend | 1200 | AllowSshInBound | 22 | Beliebig | Management-Subnetz | Beliebig | Beliebig | Damit VMware im Rahmen der Fehlerbehebung bei Bedarf einen Notfallzugriff auf die VM durchführen kann. Die Berechtigung wird von Ihnen vor dem Notfallzugriff angefordert. |
| Eingehend | 3000 | DenyAllInBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den eingehenden Datenverkehrs dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
| Ausgehend | 3000 | DenyAllOutBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wurde vom Bereitsteller hinzugefügt, um ausgehenden Datenverkehr von dieser Netzwerkkarte zu verweigern. |
| Richtung | Priorität | Name | Ports | Protokoll | Quelle | Ziel | Aktion | Zweck |
|---|---|---|---|---|---|---|---|---|
| Eingehend | 1000 | AllowAzureInBound | Beliebig | Beliebig | 168.63.129.16 | Beliebig | Zulassen | Damit die VM die eingehende Kommunikation von der Microsoft Azure-Plattform akzeptieren kann, wie im vorangegangenen Abschnitt „Allgemeine Fakten“ und im Microsoft Azure-Dokumentationsthema Was bedeutet die IP-Adresse 168.63.129.16 beschrieben. |
| Eingehend | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Beliebig | Zulassen | Diese Regel stellt den eingehenden Datenverkehr interner Endbenutzer aus den Horizon Clients und dem Horizon Web Client bereit, um die Anmeldeauthentifizierungsanforderung an das Edge-Gateway zu stellen. Standardmäßig verwenden der Horizon Client und der Horizon-Webclient Port 443 für diese Anforderung. Um die einfache Umleitung für einen Benutzer zu erleichtern, der möglicherweise in seinem Client HTTP anstelle von HTTPS eingibt, kommt der Datenverkehr an Port 80 an und wird automatisch an Port 443 umgeleitet. |
| Eingehend | 1200 | AllowBlastInBound | 443 8443 |
Beliebig | VirtualNetwork | Beliebig | Zulassen | Diese Regel unterstützt die Unified Access Gateway-Instanzen, die den Blast-Datenverkehr von den Horizon Clients der internen Endbenutzer erhalten. |
| Eingehend | 1300 | AllowPcoipInBound | 4172 | Beliebig | VirtualNetwork | Beliebig | Zulassen | Diese Regel unterstützt die Unified Access Gateway-Instanzen, die den PCoIP-Datenverkehr von den Horizon Clients der internen Endbenutzer erhalten. |
| Eingehend | 1400 | AllowPcoipUdpInBound | Beliebig | UDP | Mandanten-Subnetz | Beliebig | Zulassen | Diese Regel unterstützt die Standardkonfiguration, die für das Unified Access Gateway verwendet wird, das mit dem Horizon Agent arbeitet. Die Horizon Agents in den Desktop- und Farm-VMs senden PCoIP-Daten per UDP an die Unified Access Gateway-Instanzen zurück. |
| Eingehend | 3000 | DenyAllInBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den eingehenden Datenverkehrs dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
| Ausgehend | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt die Unified Access Gateway-Instanzen, die wegen neuer Client-Verbindungsanforderungen an den Edge mit den VMs des Edge-Gateways kommunizieren. |
| Ausgehend | 1100 | AllowBlastOutBound | 22443 | Beliebig | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt den Anwendungsfall einer Horizon Client Blast Extreme-Sitzung mit dem Horizon Agent in einer Desktop- oder Farm-VM. |
| Ausgehend | 1200 | AllowPcoipOutBound | 4172 | Beliebig | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt den Anwendungsfall einer Horizon Client PCoIP-Sitzung mit dem Horizon Agent in einer Desktop-VM. |
| Ausgehend | 1300 | AllowUsbOutBound | 32111 | TCP | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt den Anwendungsfall des USB-Umleitungsdatenverkehrs. Die USB-Umleitung ist eine Agentenoption in den Desktop- oder Farm-VMs. Dieser Datenverkehr verwendet Port 32111 für eine Endbenutzer-Clientsitzung mit dem Horizon Agent in einer Desktop- oder Farm-VM. |
| Ausgehend | 1400 | AllowMmrOutBound | 9427 | TCP | Beliebig | Mandanten-Subnetz | Zulassen | Diese Regel unterstützt die Anwendungsfälle des Multimedia-Umleitung (MMR)- und Clientlaufwerksumleitung (CDR)-Datenverkehrs. Diese Umleitungen sind Agentenoptionen in den Desktop- oder Farm-VMs. Dieser Datenverkehr verwendet Port 9427 für eine Endbenutzer-Clientsitzung mit dem Horizon Agent in einer Desktop- oder Farm-VM. |
| Ausgehend | 1500 | AllowAllOutBound | Beliebig | Beliebig | Beliebig | Mandanten-Subnetz | Zulassen | Bei Ausführung in einer VM, die mehrere Benutzersitzungen unterstützt, wählt der Horizon Agent verschiedene Ports aus, die für den PCoIP-Datenverkehr der Sitzung verwendet werden. Da diese Ports nicht im Voraus ermittelt werden können, kann vorab keine NSG-Regel definiert werden, die bestimmte Ports benennt, um diesen Datenverkehr zuzulassen. Aus diesem Grund unterstützt diese Regel, ähnlich wie bei der Priorität 1200, den Anwendungsfall mehrerer Horizon Client PCoIP-Sitzungen mit solchen VMs. |
| Ausgehend | 3000 | DenyAllOutBound | Beliebig | Beliebig | Beliebig | Beliebig | Verweigern | Wird durch den Bereitsteller hinzugefügt, um den ausgehenden Datenverkehr dieser Netzwerkkarte auf die Elemente in den vorherigen Zeilen zu beschränken. |
