Esta página es una referencia para todos los puertos y protocolos posibles utilizados para la comunicación dentro de una implementación típica de Horizon Cloud Service en Microsoft Azure en Horizon Cloud Service - next-gen. Utilice estas tablas para asegurarse de que la configuración de la red y los firewalls permitan el tráfico de comunicación que se requiere para una implementación correcta y para las operaciones diarias.
Los puertos y protocolos específicos requeridos para su implementación particular dependerán en parte de las funciones que seleccione para sus implementaciones de Horizon Cloud Service en Microsoft Azure. Si no tiene pensado utilizar un componente o protocolo específico, el tráfico de comunicación requerido no es necesario para sus fines y puede ignorar los puertos asociados con ese componente. Por ejemplo, si los usuarios finales solo van a utilizar el protocolo de visualización Blast Extreme, no es necesario permitir los puertos PCoIP.
Puertos y protocolos necesarios para el Horizon Edge
Al activar Supervisión de la infraestructura de Horizon, Horizon Edge se implementa y se configura en la suscripción asociada. En la siguiente tabla, se indican los puertos y los protocolos que se necesitan durante el proceso de activación, que implementa el dispositivo y configura las máquinas virtuales del administrador para que el dispositivo pueda recopilar los datos de supervisión que está diseñado para recopilar de esos componentes. En esta tabla también se indican los puertos y los protocolos que se necesitan durante las operaciones de estado estable de recopilación de los datos que el dispositivo está diseñado para recopilar.
| Origen | Destino | Puertos | Protocolos | Propósito |
|---|---|---|---|---|
| Horizon Edge | Unified Access Gateway máquinas virtuales | 9443 | HTTPS | La máquina virtual de Edge utiliza este puerto a través de la subred de administración para configurar los ajustes de la instancia de Unified Access Gateway de Edge. Este requisito de puerto se aplica al implementar inicialmente una configuración de Unified Access Gateway y cuando se edita una instancia de Edge para agregar una configuración de Unified Access Gateway o actualizar los ajustes de esa configuración de Unified Access Gateway también se supervisan las estadísticas de sesión de Unified Access Gateway. |
| Horizon Edge | Controlador de dominio | Kerberos: 88 LDAP: 389, 3268 LDAPS: 636, 3269 |
TCP UDP |
Registro de Horizon Cloud next-gen con el dominio y para el inicio de sesión SSO y la detección periódica de controladores de dominio. Estos puertos son necesarios para los servicios LDAP o LDAPS, si se va a especificar LDAP/LDAPS en ese flujo de trabajo. LDAP es el valor predeterminado para la mayoría de los tenants. El destino es el servidor que contiene una función de controlador de dominio en la configuración de Active Directory. |
| Horizon Edge | Servicios de certificados de AD | 135 y un puerto dentro del intervalo de 49152 a 65535 | RPC/TCP | Conexión a la entidad de certificación empresarial de Microsoft (AD CS) para obtener certificados de corta duración para True SSO. Horizon Edge utiliza el puerto TCP 135 para la comunicación RPC inicial y, a continuación, un puerto dentro del rango 49152-65535 para comunicarse con AD CS (Servicios de certificados de Active Directory). |
| Horizon Edge | servidor DNS | 53 y 853 | TCP UDP |
Servicios DNS. |
| Horizon Edge | *.file.core.windows.net | 445 | TCP | Acceso a los recursos compartidos de archivos aprovisionados para los flujos de trabajo de App Volumes de importación de paquetes y replicación de los paquetes entre recursos compartidos de archivos. |
| Horizon Edge |
|
443 | TCP | Se utiliza para el acceso mediante programación a Azure Blob Storage y para cargar los registros de Horizon Edge como y cuando sea necesario. Se utiliza para descargar las imágenes de Docker a fin de crear los módulos de Horizon Edge necesarios, que son útiles para la supervisión, SSO, actualizaciones de UAG, etc. |
| Horizon Edge | horizonedgeprod.azurecr.io | 443 | TCP | Se utiliza para la autenticación al descargar imágenes de Docker para crear los módulos de Horizon Edge necesarios, que son útiles para la supervisión, SSO, actualizaciones de UAG, etc. |
| Horizon Edge | *.azure-devices.net | 443 | TCP | Dispositivo utilizado para comunicarse con el plano de control de la nube, descargar configuraciones para el módulo del dispositivo y actualizar el estado de tiempo de ejecución del módulo del dispositivo. Los endpoints concretos actuales son: América del Norte:
Europa:
Japón:
|
| Horizon Edge | vmwareprod.wavefront.com | 443 | TCP | Se utiliza para enviar métricas de operación a VMware Tanzu Observability by Wavefront. Los operadores de VMware reciben los datos con los que dar soporte a los clientes. Tanzu Observability es una plataforma de análisis de transmisión. Puede enviar sus datos a Tanzu Observability y ver e interactuar con los datos en paneles de control personalizados. Consulte la documentación de VMware Tanzu Observability by Wavefront. |
| Horizon Edge | *.data.vmwservices.com | 443 | TCP | Para enviar eventos o métricas a Workspace ONE Intelligence a fin de supervisar datos. Consulte Workspace ONE Intelligence. Los endpoints concretos actuales son:
|
| Horizon Edge | login.microsoftonline.com | 443 | TCP | Por lo general, las aplicaciones lo utilizan para autenticarse en el servicio de Microsoft Azure. |
| Horizon Edge | management.azure.com | 443 | TCP | Se utiliza para las solicitudes de API de Edge a los endpoints del administrador de recursos de Microsoft Azure para usar los servicios de dicho administrador. El administrador de recursos de Microsoft Azure proporciona una capa de administración coherente para llevar a cabo tareas a través de Azure PowerShell, Azure CLI, el portal de Azure, la REST API y los SDK de cliente. |
| Horizon Edge | *.horizon.vmware.com Región específica EE. UU.
UNIÓN EUROPEA
JAPÓN
|
443 | TCP | Dispositivo utilizado para comunicarse con el plano de control de la nube y para las operaciones del día 2. |
| Horizon Edge | Servidor NTP | 123 | UDP | Servicios NTP |
Requisitos de protocolos y puertos de máquina virtual de Unified Access Gateway
Además de los requisitos de protocolos y puertos principales indicados en la tabla anterior, los puertos y los protocolos de las tablas siguientes se relacionan con las puertas de enlace configuradas en el pod para funcionar correctamente en las operaciones en curso después de la implementación.
En el caso de las conexiones configuradas con instancias de Unified Access Gateway, debe permitirse el tráfico desde las instancias de Unified Access Gateway hacia los destinos que se indican en la siguiente tabla.
| Origen | Destino | Puerto | Protocolo | Propósito |
|---|---|---|---|---|
| Unified Access Gateway | *.horizon.vmware.com | 53 o 443 en una red de DMZ | TCP UDP |
Unified Access Gateway necesita poder resolver estas direcciones en cualquier momento o el usuario no podrá iniciar la sesión porque Unified Access Gateway recupera el conjunto de JWK de: cloud-sg-<región>-r-<DC>.horizon.vmware.com. Los endpoints concretos actuales son los siguientes:
|
| Unified Access Gateway | Horizon Agent en las máquinas virtuales RDSH de granja o escritorio | 22443 | TCP UDP |
Blast Extreme De forma predeterminada, cuando se utiliza Blast Extreme, el tráfico de redireccionamiento de unidades cliente (CDR) y el tráfico USB se canaliza en este puerto. Si se prefiere, puede separar el tráfico de CDR hacia el puerto TCP 9427 y el tráfico de redireccionamiento USB hacia el puerto TCP 32111. |
| Unified Access Gateway | Horizon Agent en las máquinas virtuales RDSH de granja o escritorio | 9427 | TCP | Opcional para el tráfico de redireccionamiento multimedia (MMR) y CDR. |
| Unified Access Gateway | Horizon Agent en las máquinas virtuales RDSH de granja o escritorio | 32111 | TCP | Opcional para el tráfico de redireccionamiento USB. |
| Unified Access Gateway | time.google.com | 123 | UDP | Servicios NTP |
| Unified Access Gateway | *.blob.core.windows.net *.blob.storage.azure.net | 443 | TCP | Se utiliza para el acceso mediante programación a Azure Blob Storage a fin de cargar los registros de Unified Access Gateway como y cuando sea necesario. |
Puertos y protocolos de App Volumes
Para admitir funciones de App Volumes para su uso con Horizon Cloud Service en Microsoft Azure, debe configurar el puerto 445 para el tráfico de protocolo TCP a la subred del arrendatario (escritorios). El puerto 445 es el puerto SMB estándar para acceder a los recursos compartidos de archivos SMB en Microsoft Windows. Las AppStacks se almacenan en un recurso compartido de archivos SMB ubicado en el grupo de recursos de la máquina virtual del administrador de pods.
| Origen | Destino | Puerto | Protocolo | Propósito |
|---|---|---|---|---|
| El agente de App Volumes en la máquina virtual importada base, las imágenes maestras, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja | *.file.core.windows.net | 445 | TCP | La virtualización de aplicaciones de App Volumes en las máquinas VDI y la captura de paquetes de aplicaciones en las máquinas VDI dependen del acceso a los recursos compartidos de archivos. |
Requisitos de puertos y protocolos de VDI
La siguiente tabla proporciona los puertos y los protocolos necesarios para las subredes de escritorio (VDI o arrendatario) configuradas en el entorno.
| Origen | Destino | Puerto | Protocolo | Propósito |
|---|---|---|---|---|
| Subred de escritorio (arrendatario) | *.horizon.vmware.com | 443 | TCP MQTT | Para operaciones relacionadas con el agente (como la firma de certificados mediante el hub de máquina virtual y la renovación). Los endpoints concretos actuales son: EE. UU.:
UNIÓN EUROPEA:
JAPÓN:
|
| Subred de escritorio (arrendatario) | Controlador de dominio | 88 | TCP UDP |
Servicios Kerberos. El destino es el servidor que contiene una función de controlador de dominio en una configuración de Active Directory. Es necesario registrar Edge en Active Directory. |
| Subred de escritorio (arrendatario) | Controlador de dominio | Kerberos: 88 LDAP: 389, 3268 LDAPS: 636, 3269 |
TCP UDP |
Estos puertos son necesarios para los servicios LDAP o LDAPS para la conectividad de la máquina virtual al controlador de dominio; en caso de que la VDI no pueda acceder a ningún controlador de dominio, no se podrá iniciar la sesión. |
| Subred de escritorio (arrendatario) | Servidor DNS | 53 y 853 | TCP UDP |
Servicios DNS |
| Subred de escritorio (arrendatario) | Servidor NTP | 123 | UDP | Servicios NTP |
| Subred de escritorio (arrendatario) | *.blob.core.windows.net | 443 | TCP | Carga del paquete de registros DCT. Cuando un administrador de cliente hace clic en la recopilación de registros DCT de cualquier máquina virtual después del procesamiento de solicitudes, el paquete se cargará de VDI a blob para que ese paquete esté disponible para su descarga desde Horizon Universal Console. |
| Subred de escritorio (arrendatario) | Horizon Edge | 31883 | TCP MQTT UDP |
Horizon Agent ejecutándose en la máquina virtual a MQTT que se ejecuta en Edge. |
| Subred de escritorio (arrendatario) | Horizon Edge | 32443 | TCP | Inicio de sesión único (Single Sign-On) cuando el formato de la instancia de Edge de Microsoft Azure es Edge Gateway (máquina virtual). |
| Subred de escritorio (arrendatario) | Horizon Edge | 443 | TCP | Inicio de sesión único (Single Sign-On) cuando el formato de la instancia de Edge de Microsoft Azure es Edge Gateway (AKS). |
| Subred de escritorio (arrendatario) y subred de administración | softwareupdate.vmware.com | 443 | TCP | Servidor de paquete de software de VMware. Se utiliza para descargar actualizaciones del software relacionado con el agente que se usa en las operaciones relacionadas con la imagen del sistema y el proceso de actualización de agente automatizado. |
| Subred de escritorio (arrendatario) | Endpoint de vínculo privado | 443 | TCP | Conectividad de escritorio con el servicio de conexión en el plano de control de la nube. |
| Subred de escritorio (arrendatario) y subred de administración | Servicios de certificados de AD | 135 y 445 y un puerto dentro del intervalo de 49152 a 6553 | RPC/TCP | Para agregar escritorios al dominio. |
Requisitos de protocolos y puertos de tráfico de conexión de usuario final
Para obtener información detallada acerca de los distintos clientes de Horizon Client que los usuarios finales pueden utilizar con Dispositivo virtual de Horizon Edge, consulte la página de la documentación de Horizon Client en https://docs.vmware.com/es/VMware-Horizon-Client/index.html. Los puertos que deben estar abiertos para el tráfico desde las conexiones de los usuarios finales para acceder a sus aplicaciones remotas y escritorios virtuales dependerán de la selección que realice respecto de cómo se conectarán los usuarios finales.
| Origen | Destino | Puerto | Protocolo | Propósito |
|---|---|---|---|---|
| Horizon Client | Equilibrador de carga de Microsoft Azure para estas instancias de Unified Access Gateway | 443 | TCP | Para transportar CDR, MMR, redireccionamiento USB y tráfico RDP en túnel. SSL (acceso HTTPS) está habilitado de forma predeterminada para las conexiones cliente. En algunos casos, puede utilizarse el puerto 80 (acceso HTTP). |
| Horizon Client | Equilibrador de carga de Microsoft Azure para estas instancias de Unified Access Gateway | 8443 o 443 | TCP | Blast Extreme a través de la puerta de enlace segura de Blast en Unified Access Gateway para el tráfico de datos desde Horizon Client. |
| Horizon Client | Equilibrador de carga de Microsoft Azure para estas instancias de Unified Access Gateway | 443 | UDP | Blast Extreme a través de Unified Access Gateway para el tráfico de datos. |
| Horizon Client | Equilibrador de carga de Microsoft Azure para estas instancias de Unified Access Gateway | 8443 | UDP | Blast Extreme a través de la puerta de enlace segura de Blast en Unified Access Gateway para el tráfico de datos (transporte adaptativo). |
| Navegador | Equilibrador de carga de Microsoft Azure para estas instancias de Unified Access Gateway | 443 | TCP | Para transportar CDR, MMR, redireccionamiento USB y tráfico RDP en túnel. SSL (acceso HTTPS) está habilitado de forma predeterminada para las conexiones cliente. En algunos casos, puede utilizarse el puerto 80 (acceso HTTP). |
| Navegador | Equilibrador de carga de Microsoft Azure para estas instancias de Unified Access Gateway | 8443 o 443 | TCP | Blast Extreme a través de la puerta de enlace segura de Blast en Unified Access Gateway para el tráfico de datos desde el cliente HTML Access de Horizon (cliente web). |
| Horizon Client/Navegador | *.horizon.vmware.com | 443 | TCP | Después de iniciar sesión e indicar los elementos de inicio, cuando el cliente hace clic para iniciar el escritorio, el redireccionamiento del tráfico de protocolo a Unified Access Gateway se produce desde una de estas URL según la ubicación de la organización del cliente seleccionada en el momento de la incorporación. Los endpoints concretos actuales son:
|
