Für jeden in Ihrem Microsoft Azure-Abonnement bereitgestellten Horizon Cloud-Pod wird auch eine Netzwerksicherheitsgruppe (NSG) in der Ressourcengruppe des Pods erstellt, die als Vorlage dient. Mit dieser Vorlage können Sie sicherstellen, dass Sie diese zusätzlichen Ports geöffnet haben, die Sie möglicherweise für die von Ihren Farmen bereitgestellten Remoteanwendungen oder RDS-Desktops benötigen.
Netzwerksicherheitsgruppen (NSGs) in Microsoft Azure steuern den Netzwerkdatenverkehr zu den Ressourcen, die mit den virtuellen Azure-Netzwerken (Vnet) verbunden sind. Eine NSG definiert die Sicherheitsregeln, die diesen Netzwerkdatenverkehr zulassen oder verweigern. Weitere Informationen darüber, wie NSGs den Netzwerkdatenverkehr filtern, finden Sie in der Microsoft Azure-Dokumentation im Thema Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.
Wenn ein Horizon Cloud-Pod in Microsoft Azure bereitgestellt wird, wird eine NSG mit dem Namen vmw-hcs-podID-nsg-template in derselben Ressourcengruppe des Pods mit dem Namen vmw-hcs-podID erstellt, wobei podID der ID des Pods entspricht. Sie können die Pod-ID von der Detailseite des Pods abrufen, indem Sie auf der Seite „Kapazität“ der Horizon Universal Console navigieren.
Standardmäßig:
- Bei der Erstellung der einzelnen NSGs erstellt Microsoft Azure automatisch einige Standardregeln darin. In jeder erstellten NSG erstellt Microsoft Azure einige eingehende und ausgehende Regeln mit der Priorität 65000 und höher. Solche Microsoft Azure-Standardregeln werden in diesem Dokumentationsthema nicht beschrieben, da sie von Microsoft Azure automatisch erstellt werden, wenn jemand oder ein System eine NSG in Microsoft Azure erstellt. Diese Regeln werden nicht von Horizon Cloud erstellt. Einzelheiten zu diesen Standardregeln finden Sie im Microsoft Azure-Dokumentationsthema Standard-Sicherheitsregeln.
- Der Horizon Cloud-Pod-Bereitsteller erstellt die folgenden Sicherheitsregeln für eingehenden Datenverkehr in der NSG-Vorlage des Pods. Diese Standardsicherheitsregeln für den eingehenden Datenverkehr unterstützen den Endbenutzer-Client-Zugriff auf RDS-Sitzungs-Desktops und Remoteanwendungen für Blast und PCOIP sowie USB-Umleitung.
| Priorität | Name | Port | Protokoll | Quelle | Ziel | Aktion |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | Internet | Beliebig | Zulassen |
| 1100 | AllowBlastTcpIn | 22443 | TCP | Internet | Beliebig | Zulassen |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | Beliebig | Zulassen |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | Beliebig | Zulassen |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | Beliebig | Zulassen |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | Beliebig | Zulassen |
Wenn eine Farm erstellt wurde, erstellt das System zusätzlich zu dieser NSG-Vorlage eine NSG für diese Farm. Hierzu wird die NSG-Vorlage kopiert. Jede Farm verfügt über eine eigene NSG, die eine Kopie der NSG-Vorlage ist. Die NSG einer Farm wird den Netzwerkkarten der virtuellen Maschinen (VMs) dieser Farm zugewiesen. Standardmäßig verwendet jede Farm dieselben Sicherheitsregeln, die in der NSG-Vorlage des Pods konfiguriert sind.
Sie können sowohl die NSG-Vorlage als auch die NSG der einzelnen Farmen ändern. Wenn Ihre Farm beispielsweise eine Anwendung enthält, die einen zusätzlichen offenen Port benötigt, können Sie die NSG dieser Farm ändern, um den Netzwerkdatenverkehr auf diesem Port zuzulassen. Wenn Sie mehrere Farmen erstellen möchten, die denselben offenen Port benötigen, können Sie die NSG-Vorlage bearbeiten, bevor Sie die Farmen erstellen, um dieses Szenario zu unterstützen.
