In diesem Dokumentationsthema wird erläutert, was angezeigt wird, wenn Sie sich nach der Verwendung von Horizon Cloud zum Erstellen eines Pods bei Ihrem Microsoft Azure-Abonnement und anschließend beim Microsoft Azure-Portal anmelden, um zu sehen, was der Pod-Bereitsteller dort erstellt hat. Im Rahmen der Bereitstellung des Pods in Microsoft Azure erstellt der automatisierte Bereitstellungsprozess einen Satz mit Netzwerksicherheitsgruppen (NSGs) und ordnet diesen jeweils einzelne spezifische Netzwerkkarten (NICs) zu, die sich auf den virtuellen Maschinen (VMs) des Pods befinden. Diese Pod-VMs sind die Manager-VMs des Pods und die VMs, die beim Konfigurieren des Pods mit Unified Access Gateway bereitgestellt werden. Während der Ausführung von Workflows bezüglich der Pod-Bereitstellung, z. B. Bereitstellen eines Pods oder Hinzufügen einer Gateway-Konfiguration zu einem Pod, verfügt die temporäre Jumpbox auch über eine NSG in der temporären Jumpbox-Ressourcengruppe. Der Pod-Bereitsteller ordnet die vom Bereitsteller erstellte NSG der entsprechenden Netzwerkkarte zu, die vom VMware-Design und der Architektur für den Pod festgelegt wird. Diese NSGs werden auf der Ebene der Netzwerkkarte verwendet, um sicherzustellen, dass jede Netzwerkkarte auf einer bestimmten Pod-VM den Datenverkehr empfangen kann, den die Netzwerkkarte für Pod-Vorgänge über das angeschlossene Subnetz der Netzwerkkarte erhalten soll, und um den gesamten Datenverkehr zu blockieren, der von der Netzwerkkarte nicht empfangen werden soll. Jede NSG enthält einen Satz mit Sicherheitsregeln, die den zulässigen Datenverkehr zu und von dieser Netzwerkkarte (NIC) definieren.

Die hier beschriebenen NSGs sind getrennt von denen, die für die von Ihnen im Pod erstellten Farmen und VDI-Desktops verwendet werden und weisen unterschiedliche Nutzungsdaten auf. Informationen zu den NSGs, die für Farmen und Pools verwendet werden, finden Sie unter Informationen zu Netzwerksicherheitsgruppen und Farmen und Informationen zu Netzwerksicherheitsgruppen und VDI-Desktops.

Warnung: Sie sollten nie Horizon Cloud-NSGs löschen oder bearbeiten, die automatisch erstellt und mit den Netzwerkkarten der Pod-VM verknüpft sind. Dazu gehören beispielsweise folgende Aktionen:
  • Kopieren oder Verschieben dieser NSGs oder NSG-Regeln in ein von Horizon Cloud verwendetes Subnetz
  • Kopieren oder Verschieben dieser NSGs oder NSG-Regeln zwischen den Netzwerkkarten, die den Pod-VMs zugeordnet sind.

Die von Horizon Cloud erstellten NSGs und die darin enthaltenen Regeln sind spezifisch für die jeweiligen Netzwerkkarten und VMs, an die Sie angehängt sind. Zudem sind sie ausdrücklich für die Zwecke dieser Netzwerkkarten und VMs vorgesehen. Jede Änderung an diesen NSGs oder Regeln oder jeder Versuch, sie für andere Zwecke verwenden – selbst in denselben Subnetzen, an die diese Netzwerkkarten angehängt sind – führt höchstwahrscheinlich dazu, dass der erforderliche Netzwerkdatenverkehr zu und von den NICs, an die Sie angehängt sind, gestört wird. Diese Unterbrechung wiederum kann dazu führen, dass alle Pod-Vorgänge unterbrochen werden. Der Lebenszyklus dieser NSGs wird von Horizon Cloud verwaltet und es gibt bestimmte Gründe für jeden einzelnen. Zu diesen Gründen gehören:

  • Die Möglichkeit der Cloud-Steuerungsebene, mit dem Pod zu kommunizieren.
  • Management der Pod-Infrastruktur
  • Vorgänge bezüglich des Pod-Lebenszyklus
Da jeder Versuch, diese NSGs oder die darin enthaltenen Regeln zu ändern oder erneut zu verwenden, wahrscheinlich zu einer Störung dieser Funktionen führt, wird er als nicht unterstützte Verwendung von Horizon Cloud betrachtet.

Sie können jedoch ihre eigenen NSGs mit den Regeln Ihrer eigenen Organisation in Ressourcengruppen außerhalb der Ressourcengruppen des Pods erstellen, die von Horizon Cloud für die VMs des Pods automatisch erstellt und verwaltet werden. Die Regeln in ihren eigenen NSGs dürfen nicht mit den Horizon Cloud-Anforderungen bezüglich des Managements und der Vorgänge der Pod-VMs in Konflikt stehen. Derartige NSGs sollten an die Management-, Mandanten- und DMZ-Subnetze angehängt werden, die vom Pod verwendet werden. Das Erstellen eigener NSGs innerhalb der von Horizon Cloud verwalteten Ressourcengruppen führt zu Fehlern beim Löschen von Aktionen für die von Horizon Cloud verwalteten Ressourcengruppen, wenn Ihre NSGs in diesen Ressourcengruppen mit einer Ressource verknüpft sind, die sich in einer anderen Ressourcengruppe befindet.

Gemäß der Beschreibung in der Microsoft Azure-Dokumentation besteht der Zweck einer Netzwerksicherheitsgruppe (NSG) darin, den Netzwerkdatenverkehr zu und von Ressourcen in Ihrer Microsoft Azure-Umgebung mithilfe von Sicherheitsregeln zu filtern. Jede Regel verfügt über einen Satz mit Eigenschaften, z. B. Quelle, Ziel, Port, Protokoll usw., zur Bestimmung des zulässigen Datenverkehrs für die Ressourcen, denen die NSG zugeordnet ist. Die von Horizon Cloud automatisch erstellten und mit den Netzwerkkarten der Pod-VM verknüpften NSGs enthalten bestimmte Regeln, die Horizon Cloud als erforderlich für das Service-Management des Pods, für die ordnungsgemäße Ausführung laufender Pod-Vorgänge und für die Verwaltung des Pod-Lebenszyklus einstuft. In den nachfolgenden Abschnitten werden die NSG-Regeln aufgelistet, die Horizon Cloud in diesen NSGs definiert.

Allgemeine Informationen zu diesen NSGs

Diese Liste gilt für alle vom Bereitsteller erstellten NSGs, die der Bereitsteller mit bestimmten Netzwerkkarten in den Pod-bezogenen VMs verknüpft.

  • Im Microsoft Azure-Portal verfügen die NSGs über Namen, die das Muster vmw-hcs-podUUID enthalten, wobei podUUID der Pod-Bezeichner ist. Dies gilt jedoch nicht für NSGs, die für eine externe Gateway-Konfiguration verwendet werden, welche im eigenen VNet bereitgestellt wird. In diesem Fall haben die betreffenden NSGs des Gateways Namen, die das Muster vmw-hcs-ID enthalten, wobei ID die Bereitstellungs-ID für das besagte externe Gateway ist.
    Hinweis: Für das Szenario, in dem die externe Gateway-Konfiguration mithilfe der Option zum Bereitstellen einer vorhandenen Ressourcengruppe, die Sie in diesem Abonnement vorab erstellt haben, in einem separaten Abonnement bereitgestellt wird, wird die NSG auf der Management-Netzwerkkarte der Connector-VM in einem Muster basierend auf dem Namen der Ressourcengruppe benannt (anstelle nach dem Muster vmw-hcs-podUUID). Beispiel: Wenn Sie dieser Ressourcengruppe den Namen hcsgateways zugewiesen haben, erstellt Horizon Cloud eine NSG mit dem Namen hcsgateways-mgmt-nsg und verknüpft diese NSG mit der Management-Netzwerkkarte der Gateway-Connector-VM.

    Sie können diese Bezeichner ermitteln, indem Sie auf der Seite „Kapazität“ der Verwaltungskonsole zu den Details des Pods navigieren.

    Hinweis: Wenn Sie festlegen, dass das externe Unified Access Gateway des Pods eine benutzerdefinierte Ressourcengruppe verwendet, enthält der Name der vom Bereitsteller erstellten NSG der Gateway-Connector-VM den Namen dieser benutzerdefinierten Ressourcengruppe statt des Musters vmw-hcs-ID. Wenn Sie beispielsweise die Verwendung einer benutzerdefinierten Ressourcengruppe mit dem Namen ourhcspodgateway für das externe Gateway des Pods angeben, dann erhält die NSG, die der Bereitsteller erstellt und mit der Netzwerkkarte der Gateway-VM verknüpft, den Namen ourhcspodgateway-mgmt-nsg.
  • Die NSGs befinden sich in derselben Ressourcengruppe wie die VMs und Netzwerkkarten, denen sie zugeordnet sind. Beispiel: Die NSGs, die den Netzwerkkarten (NICs) auf den externen Unified Access Gateway-VMs zugeordnet sind, befinden sich in der Ressourcengruppe mit dem Namen vmw-hcs-podUUID-uag, wenn das externe Gateway im VNet des Pods bereitgestellt und eine vom Bereitsteller erstellte Ressourcengruppe verwendet wird. Siehe auch Für einen in Microsoft Azure bereitgestellten Pod erstellte Ressourcengruppen.
  • Horizon Cloud kann neue Regeln hinzufügen oder diese Regeln entsprechend ändern, um die Wartbarkeit des Diensts sicherzustellen.
  • Während eines Pod-Updates werden die NSGs und Regeln beibehalten. Sie werden nicht gelöscht.
  • Abgesehen von den NSG-Regeln für die temporäre Jump Box beginnen die Horizon Cloud-Regeln mit der Priorität 1000 und die Prioritäten steigen in Schritten von jeweils 100. Die Horizon Cloud-Regeln enden mit einer Regel mit der Priorität 3000. Für die NSG-Regeln der Jump Box beginnen die Horizon Cloud-Regeln mit der Priorität 100, und die Prioritäten steigen in Schritten von jeweils 1. Die Horizon Cloud-Regeln enden mit einer Regel mit der Priorität 1000.
  • Die AllowAzureInBound-Regeln für die Quell-IP-Adresse 168.63.129.16 stellen die NSGs bereit und lassen die eingehende Kommunikation von der Microsoft Azure-Plattform zu, wie im Microsoft Azure-Dokumentationsthema Was verbirgt sich hinter der IP-Adresse 168.63.129.16 beschrieben.
  • In den NSGs für die Unified Access Gateway-Instanzen werden die AllowPcoipUdpInBound-Regeln für jeden Port festgelegt, da der PCoIP-Datenverkehr variable Portnummern im Bereich 4173+ verwendet, sodass der Datenverkehr nicht auf bestimmte Ports beschränkt werden kann.
  • Bei der Erstellung der einzelnen NSGs erstellt Microsoft Azure automatisch einige Standardregeln darin. In jeder erstellten NSG erstellt Microsoft Azure einige eingehende und ausgehende Regeln mit der Priorität 65000 und höher. Derartige Microsoft Azure-Standardregeln werden in diesem Dokumentationsthema nicht beschrieben, da Sie von Microsoft Azure automatisch erstellt werden. Einzelheiten zu diesen Standardregeln finden Sie im Microsoft Azure-Dokumentationsthema Standard-Sicherheitsregeln.
  • Während der Ausführung von Workflows bezüglich der Pod-Bereitstellung, z. B. Bereitstellen eines Pods oder Hinzufügen einer Gateway-Konfiguration zu einem Pod, verfügt die temporäre Jump Box über eine NSG in der temporären Jump Box-Ressourcengruppe. Diese NSG wird gelöscht, wenn die Ressourcengruppe der Jump Box nach Abschluss des Workflows gelöscht wird.

Vom Bereitsteller der Pod Manager-VM erstellte NSGs

Die Pod Manager-VM verfügt über zwei Netzwerkkarten, wobei eine mit dem Management-Subnetz und die andere mit dem Mandanten-Subnetz verbunden ist. Der Bereitsteller erstellt für jede dieser beiden Netzwerkkarten eine spezifische NSG und ordnet jede NSG der passenden Netzwerkkarte zu.

  • Die Management-Netzwerkkarte (NIC) verfügt über eine NSG, die nach dem Muster vmw-hcs-podUUID-mgmt-nsg benannt ist.
  • Die Mandanten-Netzwerkkarte (NIC) verfügt über eine NSG, die nach dem Muster vmw-hcs-podUUID-tenant-nsg benannt ist.

In Ihrer Microsoft Azure-Umgebung befinden sich diese NSGs in der Ressourcengruppe des Pods, die nach dem Muster vmw-hcs-podUUID benannt ist.

Wichtig: Wenn der Pod die Funktion für die Verwendung seines externen Gateways in einem separaten VNet verwendet (einschließlich wenn das Gateway ein anderes Abonnement verwendet als das Abonnement des Pods), enthält die NSG für die Mandanten-NIC der VM des Pod-Managers eine zusätzliche eingehende Regel mit dem Namen AllowGatewayBrokeringHttpsInBound für Port 8443 TCP mit VirtualNetwork als Quelle. Die vom Bereitsteller erstellten NSG-Regeln auf der Mandanten-NIC der VM des Pod-Managers, wenn sich das externe Gateway in einem separaten VNet befindet, sind in der dritten Tabelle unten aufgeführt.
Tabelle 1. Vom Bereitsteller erstellte NSG-Regeln auf der Management-Netzwerkkarte (NIC) der Pod Manager-VM
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowSshInBound 22 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 1100 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 1200 AllowHttpsInBound 443 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 1300 AllowApacheGeodeInBound 10334, 41000-41002, 42000-42002 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 1400 AllowTelegrafInBound 9172 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern
Tabelle 2. Vom Bereitsteller erstellte NSG-Regeln auf der Mandanten-Netzwerkkarte (NIC) der Pod Manager-VM
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Beliebig Zulassen
Eingehend 1100 AllowAgentHttpsInBound

3443

8443

TCP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1200 AllowAgentJmsInBound

4001

4002

TCP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1210 AllowRouterJmsInBound 4101 TCP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1300 AllowAgentUdpInBound 5678 UDP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1400 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern
Tabelle 3. Wenn sich das externe Gateway in einem separaten VNet befindet, werden vom Bereitsteller erstellte NSG-Regeln auf der Mandanten-NIC der VM des Pod-Managers erstellt
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Beliebig Zulassen
Eingehend 1100 AllowAgentHttpsInBound

3443

8443

TCP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Beliebig Zulassen
Eingehend 1200 AllowAgentJmsInBound

4001

4002

TCP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1210 AllowRouterJmsInBound 4101 TCP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1300 AllowAgentUdpInBound 5678 UDP Mandanten-Subnetz Beliebig Zulassen
Eingehend 1400 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern

Vom Bereitsteller externer Unified Access Gateway-VMs erstellte NSGs

Alle VMs für die externe Unified Access Gateway-Konfiguration verfügen über drei (3) Netzwerkkarten. Dabei ist eine mit dem Management-Subnetz, eine mit dem Mandanten-Subnetz und eine mit dem DMZ-Subnetz verbunden. Der Bereitsteller erstellt für jede dieser drei Netzwerkkarten eine bestimmte NSG und ordnet jede NSG der entsprechenden Netzwerkkarte zu.

  • Die Verwaltungs-NIC verfügt über eine NSG, die nach dem Muster vmw-hcs-ID-uag-management-nsg benannt ist.
  • Die Mandanten-NIC verfügt über eine NSG, die nach dem Muster vmw-hcs-ID-uag-tenant-nsg benannt ist.
  • Die DMZ-NIC verfügt über eine NSG, die nach dem Muster vmw-hcs-ID-uag-dmz-nsg benannt ist.

In Ihrer Microsoft Azure-Umgebung werden diese NSGs nach dem Muster vmw-hcs-ID-uag benannt, wobei ID die Pod-ID ist, die in der Konsole auf der Detailseite des Pods angezeigt wird, sofern das externe Gateway nicht separat in einem eigenen VNet, das vom VNet des Pods verschieden ist, bereitgestellt wird. Im Falle eines externen Gateways, das in einem eigenen VNet bereitgestellt wird, ist die ID der auf der Detailseite des Pods angezeigte Wert der Bereitstellungs-ID.

Tabelle 4. Vom Bereitsteller erstellte NSG-Regeln auf der Management-Netzwerkkarte (NIC) externer Unified Access Gateway-VMs
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowHttpsInBound 9443 TCP Management-Subnetz Beliebig Zulassen
Eingehend 1100 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 1200 AllowSshInBound 22 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern
Ausgehend 3000 DenyAllOutBound Beliebig Beliebig Beliebig Beliebig Verweigern
Tabelle 5. Vom Bereitsteller erstellte NSG-Regeln auf der Mandanten-Netzwerkkarte (NIC) externer Unified Access Gateway-VMs
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 1400 AllowPcoipUdpInBound Beliebig UDP Mandanten-Subnetz Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern
Ausgehend 1000 AllowHttpsOutBound

443

8443

TCP Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1100 AllowBlastOutBound 22443 Beliebig Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1200 AllowPcoipOutBound 4172 Beliebig Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1300 AllowUsbOutBound 32111 TCP Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1400 AllowMmrOutBound 9427 TCP Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1500 AllowAllOutBound Beliebig Beliebig Beliebig Mandanten-Subnetz Zulassen
Ausgehend 3000 DenyAllOutBound Beliebig Beliebig Beliebig Beliebig Verweigern
Tabelle 6. Vom Bereitsteller erstellte NSG-Regeln auf der DMZ-Netzwerkkarte (NIC) externer Unified Access Gateway-VMs
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowHttpsInBound

80

443

TCP Internet Beliebig Zulassen
Eingehend 1100 AllowBlastInBound

443

8443

Beliebig Internet Beliebig Zulassen
Eingehend 1200 AllowPcoipInBound 4172 Beliebig Internet Beliebig Zulassen
Eingehend 1300 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern

Vom Bereitsteller interner Unified Access Gateway-VMs erstellte NSGs

Alle VMs für die interne Unified Access Gateway-Konfiguration verfügen über zwei (2) Netzwerkkarten. Dabei ist eine mit dem Management-Subnetz und eine mit dem Mandanten-Subnetz verbunden. Der Bereitsteller erstellt für jede dieser beiden Netzwerkkarten eine spezifische NSG und ordnet jede NSG der passenden Netzwerkkarte zu.

  • Die Management-Netzwerkkarte (NIC) verfügt über eine NSG, die nach dem Muster vmw-hcs-podUUID-uag-management-nsg benannt ist.
  • Die Mandanten-Netzwerkkarte (NIC) verfügt über eine NSG, die nach dem Muster vmw-hcs-podUUID-uag-tenant-nsg benannt ist.

In Ihrer Microsoft Azure-Umgebung befinden sich diese NSGs in der Ressourcengruppe des Pods, die nach dem Muster vmw-hcs-podUUID-uag-internal benannt ist.

Tabelle 7. Vom Bereitsteller erstellte NSG-Regeln auf der Management-Netzwerkkarte (NIC) interner Unified Access Gateway-VMs
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowHttpsInBound 9443 TCP Management-Subnetz Beliebig Zulassen
Eingehend 1100 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 1200 AllowSshInBound 22 Beliebig Management-Subnetz Beliebig Beliebig
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern
Ausgehend 3000 DenyAllOutBound Beliebig Beliebig Beliebig Beliebig Verweigern
Tabelle 8. Vom Bereitsteller erstellte NSG-Regeln auf der Mandanten-Netzwerkkarte (NIC) interner Unified Access Gateway-VMs
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Beliebig Zulassen
Eingehend 1200 AllowBlastInBound

443

8443

Beliebig VirtualNetwork Beliebig Zulassen
Eingehend 1300 AllowPcoipInBound 4172 Beliebig VirtualNetwork Beliebig Zulassen
Eingehend 1400 AllowPcoipUdpInBound Beliebig UDP Mandanten-Subnetz Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern
Ausgehend 1000 AllowHttpsOutBound

443

8443

TCP Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1100 AllowBlastOutBound 22443 Beliebig Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1200 AllowPcoipOutBound 4172 Beliebig Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1300 AllowUsbOutBound 32111 TCP Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1400 AllowMmrOutBound 9427 TCP Beliebig Mandanten-Subnetz Zulassen
Ausgehend 1500 AllowAllOutBound Beliebig Beliebig Beliebig Mandanten-Subnetz Zulassen
Ausgehend 3000 DenyAllOutBound Beliebig Beliebig Beliebig Beliebig Verweigern

Die vom Bereitsteller der Gateway-Connector-VM erstellte NSG, wenn ein externes Gateway in einem eigenen VNet bereitgestellt wird

Die Gateway-Connector-VM verfügt über eine einzelne Netzwerkkarte. Diese Netzwerkkarte ist mit dem Verwaltungssubnetz des VNet des externen Gateways verknüpft. Der Bereitsteller erstellt eine einzelne NSG und ordnet diese NSG spezifisch dieser Netzwerkkarte zu.

Tabelle 9. Vom Bereitsteller erstellte NSG-Regeln auf der Management-Netzwerkkarte für die Connector-VM des externen Gateways
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 1000 AllowSshInBound 22 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 1100 AllowAzureInBound Beliebig Beliebig 168.63.129.16 Beliebig Zulassen
Eingehend 1200 AllowHttpsInBound 443 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 1300 AllowApacheGeodeInBound 10334, 41000-41002, 42000-42002 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 1400 AllowTelegrafInBound 9172 Beliebig Management-Subnetz Beliebig Zulassen
Eingehend 3000 DenyAllInBound Beliebig Beliebig Beliebig Beliebig Verweigern

Vom Bereitsteller erstellte NSG der temporären Jump Box-VM

Während der Ausführung von Workflows bezüglich der Pod-Bereitstellung, z. B. Bereitstellen eines Pods oder Hinzufügen einer Gateway-Konfiguration zu einem Pod, verfügt die temporäre Jump Box über eine NSG in der temporären Jump Box-Ressourcengruppe. Diese NSG wird gelöscht, wenn die Ressourcengruppe der Jump Box nach Abschluss des Workflows gelöscht wird.

Tabelle 10. Vom Bereitsteller erstellte NSG-Regeln auf der Management-Netzwerkkarte der Jump Box-VM
Richtung Priorität Name Ports Protokoll Quelle Ziel Aktion
Eingehend 100 AllowSSHInBound 22 Beliebig Beliebig Beliebig Zulassen
Ausgehend 100 AllowSSHOutbound 22 TCP Management-Subnetz Management-Subnetz Zulassen
Ausgehend 101 AllowHttpsOutbound 443 TCP Management-Subnetz Beliebig Zulassen
Ausgehend 102 AllowHttpOutbound 80 TCP Management-Subnetz Beliebig Zulassen
Ausgehend 103 AllowUagOutbound 9443 TCP Management-Subnetz Management-Subnetz Zulassen
Ausgehend 104 AllowDnsOutbound 53 Beliebig Management-Subnetz Beliebig Zulassen
Ausgehend 1000 DenyAllOutBound Beliebig TCP Beliebig Beliebig Verweigern