Zum Erstellen einer Horizon Edge-Bereitstellung und Aktualisieren der Appliance-Module in Ihrer Horizon Cloud Service - next-gen-Umgebung, müssen Sie die entsprechenden URLs auf den jeweiligen Ports zulassen.

In den folgenden Tabellen beziehen sich die aufgeführten Zwecke auf eine Horizon Edge-Bereitstellung.

Zulassen von URLs für das Verwaltungs-Subnetz und Überprüfen des URL-Zugriffs

Führen Sie die folgenden Aufgaben aus, um die entsprechenden URLs und Wildcard-Unterdomänen entsprechend dem Standort Ihrer Website und Ihren Anforderungen zuzulassen:
  • Lassen Sie die URLs und Platzhalter-Unterdomänen in der folgenden Tabelle zu. Beispielsweise durch Hinzufügen der URLs und der Platzhalter-Unterdomäne zu einer Positivliste für die Firewall und Netzwerksicherheitsgruppe.
  • Umgehen Sie SSL-DPI (Deep Packet Inspection) wie folgt.
    • In der Firewall für die URLs und Platzhalter-Unterdomänen in der folgenden Tabelle.
    • Gegebenenfalls auf dem Proxyserver.

      Wenn der Horizon Edge Gateway daher über einen Proxyserver mit dem Horizon Agent verbunden ist, umgehen Sie SSL-DPI im Proxyserver für die URLs und Platzhalter-Unterdomänen in der folgenden Tabelle.

Ziel (DNS-Name) Port Protokoll Proxy-Datenverkehr (sofern in der Bereitstellung konfiguriert) Zweck
*.blob.core.windows.net 443 TCP Ja Wird für den programmgesteuerten Zugriff auf den Azure Blob Storage und zum Hochladen der Horizon Edge-Protokolle bei Bedarf verwendet.

Wird zum Herunterladen von Docker-Images für die Erstellung der erforderlichen Horizon Edge-Module verwendet, die für die Überwachung, SSO, UAG-Updates usw. geeignet sind.
horizonedgeprod.azurecr.io 443 TCP Ja Wird zur Authentifizierung während des Herunterladens von Docker-Images für die Erstellung der erforderlichen Horizon Edge-Module verwendet, die für die Überwachung, SSO, UAG-Updates usw. geeignet sind.

*.azure-devices.net oder einer der folgenden regionsspezifischen Namen, je nachdem, welche regionale Steuerungsebene für Ihr Mandantenkonto gilt:

Nordamerika:

  • edgehubprodna.azure-devices.net

Europa:

  • edgehubprodeu.azure-devices.net

Japan:

  • edgehubprodjp.azure-devices.net
 443/TCP TCP Ja Wird zum Verbinden der Appliance mit der Horizon Cloud-Steuerungsebene, zum Herunterladen von Konfigurationen für das Appliance-Modul und zum Aktualisieren des Laufzeitstatus des Appliance-Moduls verwendet.
vmwareprod.wavefront.com 443 TCP Ja Wird zum Senden von Betriebsmetriken an Tanzu Observability by Wavefront verwendet. VMware Operatoren erhalten die Daten, um Kunden zu unterstützen.

Tanzu Observability ist eine Streaming-Analyseplattform. Sie können Ihre Daten an Tanzu Observability senden und die Daten in benutzerdefinierten Dashboards anzeigen und mit ihnen interagieren. Weitere Informationen finden Sie in der Dokumentation zu Tanzu Observability by Wavefront.
*.data.vmwservices.com, oder einen der folgenden regionsspezifischen Namen, je nachdem, welches regionale Workspace ONE Intelligence-Ziel für Ihr Mandantenkonto gilt:
  • eventproxy.na1.data.vmwservices.com
  • eventproxy.eu1.data.vmwservices.com
  • eventproxy.eu2.data.vmwservices.com
  • eventproxy.uk1.data.vmwservices.com
  • eventproxy.ca1.data.vmwservices.com
  • eventproxy.ap1.data.vmwservices.com
  • eventproxy.au1.data.vmwservices.com
  • eventproxy.in1.data.vmwservices.com
 443 TCP Ja Wird zum Senden von Ereignissen oder Metriken an Workspace ONE Intelligence verwendet.

Weitere Informationen finden Sie unter Workspace ONE Intelligence.
Wenn Ihre Firewall oder Netzwerksicherheitsgruppe (NSG) die Verwendung von Diensttags unterstützt, wenden Sie das Azure-Diensttag AzureCloud an. Wenn Ihre Firewall oder NSG die Verwendung von Diensttags nicht unterstützt, verwenden Sie den Hostnamen monitor.horizon.vmware.com. 1514 und 1515 TCP Nein Wird für die Systemüberwachung verwendet.
azcopyvnext.azureedge.net 443 TCP Ja Wird verwendet, um Bereitstellungsprotokolle zu Fehlerbehebungszwecken in Azure Blob Storage hochzuladen.
  • management.azure.com
  • login.microsoftonline.com
  • mcr.microsoft.com
  • *.data.mcr.microsoft.com
  • packages.microsoft.com
  • acs-mirror.azureedge.net
 443 HTTPS Ja Wird zum Patchen von Microsoft-Komponenten des Horizon Edge Gateway verwendet.
time.google.com 123 UDP Ja Wird für die Uhrzeitsynchronisierung verwendet.
  • security.ubuntu.com
  • azure.archive.ubuntu.com
  • changelogs.ubuntu.com
  • motd.ubuntu.com
 80 HTTP Ja Wird zum Patchen von Ubuntu-Komponenten verwendet.
*.file.core.windows.net 445 TCP Nein Der Zugriff auf Dateien wird für die App Volumes-Workflows zum Importieren von Paketen und Replizieren der Pakete über Dateifreigaben bereitgestellt.
softwareupdate.vmware.com 443 TCP Ja Softwarepaketserver. Dient zum Herunterladen von Updates der Agent-bezogenen Software, die bei den Image-bezogenen Vorgängen des Systems und beim automatisierten Agent-Update verwendet wird.

Ermitteln, ob die URLs des Verwaltungs-Subnetzes erreichbar sind

Das URL Checker-Tool für Horizon Cloud Service - next-gen-Edge-Subnetze ist in der TechZone auf der Seite Dienstprogramme verfügbar. Verwandte Informationen finden Sie auf der Seite Bereitstellen eines Horizon Edge Gateways für Horizon 8-Umgebungen in der TechZone.

Das Tool wird als Datei mit der Erweiterung .exe bereitgestellt. Führen Sie die folgenden Schritte aus, um das URL Checker-Tool für Horizon Cloud Service – next-gen-Edge-Subnetze auf eine virtuellen Maschine mit Windows 10 oder höher herunterzuladen und in dem Netzwerk zu verwenden, in dem sich der Horizon Edge befindet.

  1. Laden Sie den URL Checker für Horizon Cloud Service - next-gen-Edge-Subnetze auf Ihre virtuelle Windows-Maschine herunter, die im Horizon Edge-Netzwerk bereitgestellt wird.
  2. Doppelklicken Sie auf die Datei, um die ausführbare Datei auszuführen.

    Ein Dialogfeld wird angezeigt.

  3. Klicken Sie auf Ja.
  4. Öffnen Sie den Ausgabeordner unter C:/VMwareURLCheckerOutput/.

    Der Ordner enthält die Ausgabedateien für jede regionale Steuerungsebene.

  5. Öffnen Sie die Ausgabedatei der Region, in der Sie die Horizon Edge bereitstellen, um festzustellen, ob die erforderlichen URLs erreichbar sind.
    Es gelten die folgenden Angaben.
    • Die Datei zeigt den Status der erforderlichen URLs für das Verwaltungs-Subnetz an.
    • Der erwartete Status für jede URL lautet ERREICHBAR.
    • Wenn eine URL den Status NICHT ERREICHBAR aufweist, sehen Sie sich die Fehlermeldung an und nehmen Sie die notwendigen Änderungen vor, um das Problem zu beheben.
  6. Führen Sie die ausführbare Datei ggf. erneut aus, bis der Status für alle Domänen in Ihrer gewünschten Region ERREICHBAR lautet.

URL für das Mandantensubnetz (Desktop) zulassen – Globaler VM-Hub-DNS-Hostname

Wenn die Verwendung einer globalen VM-Hub-Instanz den Anforderungen Ihrer Website entspricht, lassen Sie bei der Bereitstellung eines Horizon Edge Gateway die folgende URL und ihre Einstellungen zu.

Ziel (DNS-Name) Port Protokoll Zweck
*.horizon.vmware.com 443 TCP Für Agent-bezogene Vorgänge, wie z. B. das Signieren von Zertifikaten mit VM-Hub und deren Verlängerung.

URLs für das Mandantensubnetz (Desktop) zulassen – Regionale VM-Hub-DNS-Hostnamen

Wenn die Verwendung von regionalen VM-Hub-Instanzen den Anforderungen Ihrer Site entspricht, verwenden Sie bei der Bereitstellung eines Horizon Edge Gateway in einer bestimmten Region die beiden entsprechenden URLs wie angegeben.

Der Port, das Protokoll und der Zweck für jede regionale VM-Hub-Instanz entsprechen denen einer globalen VM-Hub-Instanz.

Port 443
Protokoll TCP
Zweck Für Agent-bezogene Vorgänge, wie z. B. das Signieren von Zertifikaten mit VM-Hub und deren Verlängerung.
Für die folgenden Azure-Regionen Folgende Ziel-URLs (DNS-Name) zulassen
  • westus2
  • westus
  • westus3
  • westcentralus
  • centralus
  • cloud-sg-us-r-westus2.horizon.vmware.com
  • cloud-sg-us-r-westus2-mqtt.horizon.vmware.com
  • eastus2
  • eastus
  • southcentralus
  • northcentralus
  • canadacentral
  • canadaeast
  • brazilsouth
  • brazilsoutheast
  • usgovvirginia
  • cloud-sg-us-r-eastus2.horizon.vmware.com
  • cloud-sg-us-r-eastus2-mqtt.horizon.vmware.com
  • northeurope
  • norwaywest
  • norwayeast
  • uaecentral
  • uaenorth
  • uksouth
  • ukwest
  • westeurope
  • cloud-sg-eu-r-northeurope.horizon.vmware.com
  • cloud-sg-eu-r-northeurope-mqtt.horizon.vmware.com
  • germanywestcentral
  • germanynorth
  • swedencentral
  • swedensouth
  • francecentral
  • francesouth
  • switzerlandnorth
  • switzerlandwest
  • cloud-sg-eu-r-germanywestcentral.horizon.vmware.com
  • cloud-sg-eu-r-germanywestcentral-mqtt.horizon.vmware.com
  • japanwest
  • japaneast
  • cloud-sg-jp-r-japaneast.horizon.vmware.com
  • cloud-sg-jp-r-japaneast-mqtt.horizon.vmware.com
  • australiaeast
  • australiacentral
  • australiacentral2
  • australiasoutheast
  • cloud-sg-jp-r-australiaeast.horizon.vmware.com
  • cloud-sg-jp-r-australiaeast-mqtt.horizon.vmware.com
  • centralindia
  • jioindiawest
  • jioindiacentral
  • southindia
  • westindia
  • cloud-sg-jp-r-centralindia.horizon.vmware.com
  • cloud-sg-jp-r-centralindia-mqtt.horizon.vmware.com

URLs für Proxy-Aktivierung zulassen

Wenn Sie einen Proxyserver zum Steuern des Datenverkehrs in Ihrer Umgebung verwenden möchten, öffnen Sie die benötigten Ports, damit das Horizon Edge Gateway den Proxyserver erreichen kann. Wenn der Microsoft Azure Edge das Format „Edge-Gateway (AKS)“ aufweist, finden Sie weitere Informationen unter Ausgehende Netzwerk- und FQDN-Regeln für Azure Kubernetes Service-Cluster (AKS).