El uso de Horizon Cloud Service - next-gen para crear Horizon Edge y Unified Access Gateway en la suscripción de Microsoft Azure crea varios grupos de seguridad de red predeterminados. Estos grupos de seguridad están visibles cuando se inicia sesión en el portal de Microsoft Azure y deben permanecer sin modificarse.
Como parte de la implementación de Horizon Edge y Unified Access Gateway en Microsoft Azure, un proceso de implementación automatizada crea un conjunto de grupos de seguridad de red (NSG) y asocia cada NSG a interfaces de red individuales (NIC) específicas en cada una de las máquinas virtuales de Horizon Edge y Unified Access Gateway controladas por VMware. Estas máquinas virtuales relacionadas con Edge y UAG son las máquinas virtuales de la instancia de la puerta de enlace de Edge y las máquinas virtuales que se implementan cuando la instancia de Edge está configurada con Unified Access Gateway.
Introducción general
En Horizon Cloud Service - next-gen, el implementador de Edge asocia el NSG adecuado creado por el implementador con la NIC adecuada, según el diseño y la arquitectura de Edge. Estos NSG se utilizan en el nivel de NIC para garantizar que cada NIC de un dispositivo administrado en concreto pueda recibir el tráfico que el dispositivo administrado debe recibir para el servicio estándar y las operaciones de Edge en la subred conectada de la NIC, y para bloquear todo el tráfico que se supone que el dispositivo no debería recibir. Cada NSG contiene un conjunto de reglas de seguridad que definen el tráfico permitido hacia y desde cada NIC.
Los NSG creados por el implementador que se describen aquí son independientes de los que se utilizan para las máquinas virtuales base, las granjas y los escritorios VDI aprovisionados por Edge cuando se crean mediante Horizon Universal Console.
Los NSG creados por Horizon Cloud Service - next-gen y las reglas dentro de ellos son específicos de las NIC y las máquinas virtuales específicas a las que están conectados, y son expresamente para los fines de esas NIC y máquinas virtuales. Cualquier cambio en los NSG o las reglas, o cualquier intento de usarlos para cualquier otro fin, incluso en las mismas subredes a las que están asociadas dichas NIC, probablemente provocará una interrupción en el tráfico de red requerido hacia y desde las NIC a las que están conectados. Esto puede provocar que se interrumpan todas las operaciones de Edge. Horizon Cloud Service - next-gen administra el ciclo de vida de estos NSG y existen razones específicas para cada uno.
Dado que estos NSG creados por el implementador son requisitos de configuración del servicio, los intentos de cambiarlos o moverlos se consideran un uso no compatible de Horizon Cloud Service - next-gen y un uso incorrecto de las ofertas de servicios.
Sin embargo, puede crear sus propios NSG que contengan las reglas de su propia organización dentro de los grupos de recursos fuera de los grupos de recursos de Edge que se crean y administran automáticamente mediante Horizon Cloud Service - next-gen para las máquinas virtuales de Edge. Las reglas de su propio NSG no deben entrar en conflicto con los requisitos de Horizon Cloud Service - next-gen para la administración y las operaciones de las máquinas virtuales de Edge. Este NSG debe asociarse a las subredes de administración, arrendatario y DMZ que utiliza Edge. Si crea sus propios NSG dentro de los grupos de recursos administrados por Horizon Cloud Service - next-gen, se producirá un error durante las acciones de eliminación en los grupos de recursos administrados de Horizon Cloud Service - next-gen si sus NSG en dichos grupos de recursos se asocian a un recurso que reside en un grupo de recursos distinto.
Como se describe en la documentación de Microsoft Azure, el objetivo de un grupo de seguridad de red (NSG) es filtrar el tráfico de red hacia y desde los recursos del entorno de Microsoft Azure mediante reglas de seguridad. Cada regla tiene un conjunto de propiedades, como el origen, el destino, el puerto, el protocolo, etc., que determinan el tráfico permitido para los recursos a los que está asociado el NSG. Las instancias de NSG que Horizon Cloud Service - next-gen crea automáticamente y asocia con las NIC de las máquinas virtuales de Edge controladas contienen reglas específicas que Horizon Cloud Service - next-gen ha determinado que se necesitan para la administración del servicio de Edge, para la correcta ejecución de las operaciones de Edge en curso y para administrar el ciclo de vida de Edge. Por lo general, cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de Edge que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud Service - next-gen, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Para obtener información relacionada, consulte Requisitos de puertos y protocolos para implementar Horizon 8 Edge.
En las secciones que aparecen a continuación, se enumeran las reglas de NSG que Horizon Cloud Service - next-gen define en los NSG creados por el implementador.
Datos generales sobre el NSG creado por el implementador
Esta lista se aplica a todos los NSG creados por el implementador que el implementador asocia con NIC específicas en las máquinas virtuales relacionadas con Edge.
- Estos NSG creados automáticamente son para la seguridad de los dispositivos de software controlados. Cuando se agrega nuevo software a la suscripción y se requieren reglas adicionales, esas nuevas reglas se agregan a estos NSG.
- Para Unified Access Gateway en el portal de Microsoft Azure, los NSG tienen nombres que contienen el patrón
vmw-hcs-UUID, donde UUID es el identificador de Edge, excepto los NSG que son para una configuración de puerta de enlace externa que se implementa en su propia VNet. En ese caso, los NSG relevantes de la puerta de enlace tienen nombres que contienen el patrónvmw-hcs-ID, donde ID es el identificador de implementación para dicha puerta de enlace externa.Nota: Para el escenario en el que la configuración de la puerta de enlace externa se implementa en una suscripción independiente mediante la opción para realizar la implementación en un grupo de recursos existente creado previamente en esa suscripción, el NSG de la NIC de administración de la máquina virtual del conector de puerta de enlace se denomina bajo un patrón basado en el nombre del grupo de recursos, en lugar del patrónvmw-hcs-UUID. Por ejemplo, si ese grupo de recursos se denominahcsgateways, en el grupo de recursos, Horizon Cloud Service - next-gen crea un NSG denominadohcsgateways-mgmt-nsgy asocia ese NSG con la NIC de administración de la máquina virtual del conector de puerta de enlace.Para Horizon Edge Gateway, el NSG tiene el patrón de nomenclatura
aks-agentpool-ID-nsg, dondeIDes un número aleatorio agregado por Microsoft Azure y el NSG forma parte del grupo de recursos con el patrón de nomenclaturavmw-hcs-UUID-edge-aks-node, dondeUUIDes el identificador de Edge.Para encontrar estos identificadores, vaya a los detalles de Edge para la página Capacidad de la consola administrativa.
Nota: Cuando se elige que la instancia de Unified Access Gateway externa de Edge utilice un grupo de recursos personalizado, el nombre del NSG creado por el implementador de la máquina virtual del conector de puerta de enlace contiene el nombre del grupo de recursos personalizado en lugar del patrónvmw-hcs-identificador. Por ejemplo, si especifica el uso de un grupo de recursos personalizado con el nombreourhcspodgatewaypara la puerta de enlace externa de Edge, los NSG que el implementador crea y se asocian con la NIC de la máquina virtual de puerta de enlace se denominanourhcspodgateway-mgmt-nsg. - Los NSG se encuentran en el mismo grupo de recursos que las máquinas virtuales y las NIC a las que están asociados. Como ejemplo, los NSG asociados a las NIC de las máquinas virtuales de Unified Access Gateway de tipo externo se encuentran en el grupo de recursos con el nombre
vmw-hcs-UUID-uag, cuando la puerta de enlace externa se implementa en la VNet de Edge y utiliza un grupo de recursos creado por el implementador. - Horizon Cloud puede agregar nuevas reglas o modificar estas reglas, según corresponda, para garantizar la capacidad de mantenimiento del servicio.
- Durante una actualización de Edge, se conservan las reglas y los NSG. No se eliminarán.
- Las reglas de Horizon Cloud Service - next-gen comienzan con la prioridad 1000 y las prioridades normalmente aumentan en incrementos de 100. Las reglas de Horizon Cloud Service - next-gen terminan con una regla con la prioridad 3000.
- Las reglas de
AllowAzureInBoundpara la dirección IP 168.63.129.16 de origen proporcionan al NSG la aceptación de la comunicación de entrada desde la plataforma de Microsoft Azure, como se describe en el tema de la documentación de Microsoft Azure ¿Qué es la dirección IP 168.63.129.16?. Todas las máquinas virtuales relacionadas con Edge son máquinas virtuales de Microsoft Azure. Como se describe en el tema de la documentación de Microsoft Azure, su dirección IP 168.63.129.16 facilita varias tareas de administración de máquina virtual que la plataforma de nube de Microsoft Azure hace para todas las máquinas virtuales en su nube. Por ejemplo, esta dirección IP facilita que el agente de la máquina virtual que se encuentra dentro de la máquina virtual se comunique con la plataforma de Microsoft Azure para indicar que la máquina virtual está en estado Listo. - Microsoft Azure crea automáticamente algunas reglas predeterminadas en cada NSG, cuando se crea. En cada NSG que se crea, Microsoft Azure crea algunas reglas de entrada y de salida con prioridad 65000 y superior. Estas reglas predeterminadas de Microsoft Azure no se describen en este tema de la documentación, ya que Microsoft Azure las crea automáticamente. Para obtener más información sobre estas reglas predeterminadas, consulte el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
- Cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de Edge que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud Service - next-gen, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Para obtener información relacionada, consulte Requisitos de puertos y protocolos para implementar Horizon 8 Edge.
- Cuando se edita la instancia de Edge para especificar subredes de arrendatarios adicionales para usarlas con las granjas y las asignaciones de escritorios VDI, las reglas de los NSG relacionados con la subred de arrendatarios en las NIC de las máquinas virtuales de puerta de enlace y las máquinas virtuales de Unified Access Gateway se actualizan para incluir dichas subredes de arrendatarios adicionales.
NSG creados por el implementador de Edge Gateway (AKS)
Edge Gateway (AKS) tiene un conjunto de escalado de máquina virtual (VM) donde cada instancia de máquina virtual tendrá una NIC conectada a la subred de administración. Microsoft Azure crea automáticamente un NSG específico y lo asocia con todas las NIC asociadas a las instancias del conjunto de escalado de máquinas virtuales.
Para el tipo Edge Gateway (VM), actualmente no estamos creando ningún NSG.
En el entorno de Microsoft Azure, el NSG de Edge (AKS) reside en el grupo de recursos de nodo aks de Edge, que se denomina según el patrón vmw-hcs-UUID-edge-aks-node.
aks-agentpool-ID-nsg, donde
ID es un número aleatorio asignado por Microsoft Azure.
Como se indicó anteriormente, Microsoft Azure crea las reglas que se muestran en las tablas siguientes de forma predeterminada, como se describe en el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
| Prioridad | Nombre | Puerto | Protocolo | Origen | Destino | Acción |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetInBound | Cualquiera | Cualquiera | VirtualNetwork | VirtualNetwork | Permitir |
| 65001 | AllowAzureLoadBalancerInBound | Cualquiera | Cualquiera | AzureLoadBalancer | Cualquiera | Permitir |
| 65500 | DenyAllInbound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar |
| Prioridad | Nombre | Puerto | Protocolo | Origen | Destino | Acción |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetOutBound | Cualquiera | Cualquiera | VirtualNetwork | VirtualNetwork | Permitir |
| 65001 | AllowInternetOutBound | Cualquiera | Cualquiera | Cualquiera | Internet | Permitir |
| 65500 | DenyAllOutbound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar |
NSG creados por el implementador de las máquinas virtuales de Unified Access Gateway de tipo externo
Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo externo tiene tres (3) NIC, una conectada a la subred de administración, una conectada a la subred del arrendatario y una conectada a la subred DMZ. El implementador crea un NSG específico para cada una de esas tres NIC y asocia cada NSG con su NIC correspondiente.
- La NIC de administración tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-ID-uag-management-nsg. - La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-ID-uag-tenant-nsg. - La NIC de DMZ tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-ID-uag-dmz-nsg.
En el entorno de Microsoft Azure, estos NSG se nombran en el patrón vmw-hcs-ID-uag, donde ID es el identificador de Edge, tal como aparece en la página de detalles de Edge de la consola, a menos que la puerta de enlace externa se implemente en su propia VNet, independiente de la VNet de Edge. En el caso de una puerta de enlace externa implementada en su propia VNet, el ID es el valor de ID de implementación que aparece en la página de detalles de Edge.
| Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
|---|---|---|---|---|---|---|---|---|
| Entrante | 1000 | AllowHttpsInBound | 9443 | TCP | Subred de administración | Cualquiera | Permitir | Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP. |
| Entrante | 1100 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
| Entrante | 1200 | AllowSshInBound | 22 | Cualquiera | Subred de administración | Cualquiera | Permitir | Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia. |
| Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
| Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Agregado por el implementador para denegar el tráfico de salida desde esta NIC. |
| Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
|---|---|---|---|---|---|---|---|---|
| Entrante | 1000 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
| Entrante | 1400 | AllowPcoipUdpInBound | Cualquiera | UDP | Subred del arrendatario | Cualquiera | Permitir | Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP. |
| Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
| Saliente | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con las máquinas virtuales de puerta de enlace de Edge para las nuevas solicitudes de conexión de cliente a las puertas de enlace de Edge. |
| Saliente | 1100 | AllowBlastOutBound | 22443 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio. |
| Saliente | 1200 | AllowPcoipOutBound | 4172 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio. |
| Saliente | 1300 | AllowUsbOutBound | 32111 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
| Saliente | 1400 | AllowMmrOutBound | 9427 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
| Saliente | 1500 | AllowAllOutBound | Cualquiera | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales. |
| Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores. |
| Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
|---|---|---|---|---|---|---|---|---|
| Entrante | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Cualquiera | Permitir | Esta regla proporciona el tráfico de entrada de los usuarios finales externos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión a la puerta de enlace de Edge. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443. |
| Entrante | 1100 | AllowBlastInBound | 443 8443 |
Cualquiera | Internet | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales externos. |
| Entrante | 1200 | AllowPcoipInBound | 4172 | Cualquiera | Internet | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales externos. |
| Entrante | 1300 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
| Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
NSG creados por el implementador de las máquinas virtuales de Unified Access Gateway de tipo interno
Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo interno tiene dos (2) NIC, una conectada a la subred de administración y una conectada a la subred del arrendatario. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.
- La NIC de administración tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-podUUID-uag-management-nsg. - La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-podUUID-uag-tenant-nsg.
En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos de Edge con el nombre definido bajo el patrón vmw-hcs-podUUID-uag-internal.
| Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
|---|---|---|---|---|---|---|---|---|
| Entrante | 1000 | AllowHttpsInBound | 9443 | TCP | Subred de administración | Cualquiera | Permitir | Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP. |
| Entrante | 1100 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
| Entrante | 1200 | AllowSshInBound | 22 | Cualquiera | Subred de administración | Cualquiera | Cualquiera | Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia. |
| Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
| Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Agregado por el implementador para denegar el tráfico de salida desde esta NIC. |
| Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
|---|---|---|---|---|---|---|---|---|
| Entrante | 1000 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
| Entrante | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Cualquiera | Permitir | Esta regla proporciona el tráfico de entrada de los usuarios finales internos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión a la puerta de enlace de Edge. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443. |
| Entrante | 1200 | AllowBlastInBound | 443 8443 |
Cualquiera | VirtualNetwork | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales internos. |
| Entrante | 1300 | AllowPcoipInBound | 4172 | Cualquiera | VirtualNetwork | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales internos. |
| Entrante | 1400 | AllowPcoipUdpInBound | Cualquiera | UDP | Subred del arrendatario | Cualquiera | Permitir | Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP. |
| Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
| Saliente | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con las máquinas virtuales de de enlace de Edge para las nuevas solicitudes de conexión de cliente a Edge. |
| Saliente | 1100 | AllowBlastOutBound | 22443 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio. |
| Saliente | 1200 | AllowPcoipOutBound | 4172 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio. |
| Saliente | 1300 | AllowUsbOutBound | 32111 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
| Saliente | 1400 | AllowMmrOutBound | 9427 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
| Saliente | 1500 | AllowAllOutBound | Cualquiera | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales. |
| Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores. |
