Para crear una implementación de Horizon Edge e instalar o actualizar los módulos del dispositivo en el entorno de Horizon Cloud Service - next-gen, debe permitir las URL adecuadas en los puertos correspondientes.
Para las siguientes tablas, los propósitos enumerados se encuentran en el contexto de una implementación de Horizon Edge.
Permitir URL para la subred de administración y comprobar el acceso a la URL
- Permita las URL y los subdominios comodín en la tabla siguiente. Por ejemplo, puede agregar las URL y el subdominio comodín a una lista de permitidos para el firewall y el grupo de seguridad de red.
- Omita la inspección profunda de paquetes SSL de la siguiente manera.
- En el firewall para las URL y los subdominios comodín de la tabla que aparece a continuación.
- En el servidor proxy, si corresponde.
Si Horizon Edge Gateway está conectado a Horizon Agent a través de un servidor proxy, omita la inspección profunda de paquetes SSL en el servidor proxy para las URL y los subdominios comodín en la tabla que aparece a continuación.
Destino (nombre DNS) | Puerto | Protocolo | Tráfico de proxy (si está configurado en la implementación) | Propósito |
---|---|---|---|---|
*.blob.core.windows.net | 443 | TCP | Sí | Se utiliza para el acceso mediante programación a Azure Blob Storage y para cargar los registros de Horizon Edge como y cuando sea necesario. Se utiliza para descargar las imágenes de Docker a fin de crear los módulos de Horizon Edge necesarios, que son útiles para la supervisión, SSO, actualizaciones de UAG, etc. |
horizonedgeprod.azurecr.io | 443 | TCP | Sí | Se utiliza para la autenticación al descargar imágenes de Docker para crear los módulos de Horizon Edge necesarios, que son útiles para la supervisión, SSO, actualizaciones de UAG, etc. |
*.azure-devices.net, o uno de los siguientes nombres específicos de la región, según el plano de control regional que se aplica a la cuenta de arrendatario: América del Norte:
Europa:
Japón:
|
443 / TCP | TCP | Sí | Se utiliza para conectar el dispositivo al plano de control de Horizon Cloud, para descargar configuraciones para el módulo del dispositivo y para actualizar el estado de tiempo de ejecución del módulo del dispositivo. |
vmwareprod.wavefront.com | 443 | TCP | Sí | Se utiliza para enviar métricas de operación a Tanzu Observability by Wavefront. Los operadores de VMware reciben los datos con los que dar soporte a los clientes. Tanzu Observability es una plataforma de análisis de transmisión. Puede enviar sus datos a Tanzu Observability y ver e interactuar con los datos en paneles de control personalizados. Consulte la documentación de Tanzu Observability by Wavefront. |
*.data.vmwservices.com, o uno de los siguientes nombres específicos de la región, según el destino regional de Workspace ONE Intelligence que se aplica a la cuenta de arrendatario:
|
443 | TCP | Sí | Se utiliza para enviar eventos o métricas a Workspace ONE Intelligence. Consulte Workspace ONE Intelligence. |
Si el firewall o el grupo de seguridad de red (NSG) admiten el uso de etiquetas de servicio, aplique la etiqueta de servicio AzureCloud de Azure. Si el firewall o el grupo de seguridad de red (NSG) no admiten el uso de etiquetas de servicio, utilice el nombre de host monitor.horizon.vmware.com . |
1514 y 1515 | TCP | No | Se utiliza para la supervisión del sistema. |
azcopyvnext.azureedge.net | 443 | TCP | Sí | Se utiliza para cargar registros de implementación en Azure Blob Storage con fines de solución de problemas. |
|
443 | HTTPS | Sí | Se utiliza para aplicar revisiones a los componentes de Microsoft de Horizon Edge Gateway. |
time.google.com | 123 | UDP | Sí | Se utiliza para la sincronización de hora. |
|
80 | HTTP | Sí | Se utiliza para aplicar revisiones a los componentes de Ubuntu. |
*.file.core.windows.net | 445 | TCP | No | Acceso a los recursos compartidos de archivos aprovisionados por los flujos de trabajo de App Volumes para importar y replicar paquetes en varios recursos compartidos de archivos. |
softwareupdate.vmware.com | 443 | TCP | Sí | Servidor de paquete de software. Se utiliza para descargar actualizaciones del software relacionado con el agente que se usa en las operaciones relacionadas con la imagen del sistema y el proceso de actualización de agente automatizado. |
Determinar si se puede acceder a las URL de subred de administración
La herramienta Comprobador de URL de subred de Edge de Horizon Cloud Service - next-gen está disponible en Tech Zone, en la página Utilidades. Puede encontrar información relacionada en la página de Implementación de Horizon Edge Gateway para entornos de Horizon 8 de Tech Zone.
La herramienta se proporciona como un archivo .exe. Para descargar y utilizar la herramienta de comprobación de URL de subred de Edge de Horizon Cloud Service - next-gen en una máquina virtual basada en Windows 10 o una versión posterior en la red en la que reside Horizon Edge, realice los siguientes pasos.
- Descargue la herramienta de comprobación de direcciones URL de subred de Edge de Horizon Cloud Service - next-gen en la máquina Windows virtual implementada en la red de Horizon Edge.
- Haga doble clic en el archivo para ejecutar el archivo ejecutable.
Aparece un cuadro de diálogo
- Haga clic en Sí.
- Abra la carpeta de salida en C:/VMwareURLCheckerOutput/.
La carpeta contiene los archivos de salida de cada plano de control regional.
- Abra el archivo de salida de la región en la que va a implementar Horizon Edge para determinar si se puede acceder a las URL necesarias.
Se aplican los detalles siguientes:
- El archivo muestra el estado de las URL requeridas para la subred de administración.
- El estado esperado para cada URL es ACCESIBLE.
- Cuando una URL tiene un estado NO ACCESIBLE, observe el mensaje de error y realice los cambios necesarios para desbloquear el problema.
- Vuelva a ejecutar el ejecutable según sea necesario hasta que el estado de todos los dominios de la región que desee sea ACCESIBLE.
Permitir URL para subred de arrendatario (escritorio): nombre de host de DNS de Hub de máquina virtual global
Si el uso de una instancia global de Hub de máquina virtual se adapta a las necesidades de su sitio, cuando implemente una instancia de Horizon Edge Gateway, autorice la siguiente URL y sus ajustes.
Destino (nombre DNS) | Puerto | Protocolo | Propósito |
---|---|---|---|
*.horizon.vmware.com | 443 | TCP | Para las operaciones relacionadas con el agente, como la firma de certificados mediante Hub de máquina virtual y la renovación. |
Permitir URL para la subred de arrendatario (escritorio): nombres de host de DNS regionales de Hub de máquina virtual
Si el uso de instancias de Hub de máquina virtual regionales satisface las necesidades del sitio, cuando implemente una instancia de Horizon Edge Gateway en una región determinada, utilice las dos URL correspondientes, como se indica.
El puerto, el protocolo y el propósito de cada instancia regional de Hub de máquina virtual coinciden con los de una instancia de Hub de máquina virtual global; por ejemplo.
Puerto | 443 |
Protocolo | TCP |
Propósito | Para las operaciones relacionadas con el agente, como la firma de certificados mediante Hub de máquina virtual y la renovación. |
Para las siguientes regiones de Azure | Permitir las siguientes URL de destino (nombre DNS) |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Permitir las URL para habilitar proxy
Si tiene pensado utilizar un servidor proxy para controlar el flujo de tráfico desde su entorno, abra los puertos requeridos para permitir que Horizon Edge Gateway acceda al servidor proxy. Cuando el formato de la instancia de Microsoft Azure Edge es Edge Gateway (AKS), consulte Red saliente y reglas de FQDN para clústeres del servicio Kubernetes de Azure (AKS).