Para cada pod de Horizon Cloud implementado en la nube de Microsoft Azure, también se crea un grupo de seguridad de red (NSG) en el grupo de recursos del pod para que actúe como plantilla. Puede utilizar esta plantilla para asegurarse de que ha abierto los puertos adicionales que necesita para los escritorios VDI proporcionados por las asignaciones de escritorio VDI.
En Microsoft Azure, un grupo de seguridad de red (NSG) controla el tráfico de red a los recursos conectados a redes virtuales (VNet) de Azure. Un NSG define las reglas de seguridad que permiten o deniegan ese tráfico de red. Para obtener información más detallada sobre cómo los NSG filtran el tráfico de red, consulte el tema de la documentación de Microsoft Azure Filtrar tráfico de red con grupos de seguridad de red.
Cuando se implementa un pod de Horizon Cloud en Microsoft Azure, se crea un NSG denominado vmw-hcs-podID-nsg-template en el mismo grupo de recursos del pod con el nombre vmw-hcs-podID, donde podID es el ID del pod. Puede obtener el ID del pod en la página de detalles del pod, desplazándose desde la página Capacidad de Horizon Universal Console.
De forma predeterminada:
- Microsoft Azure crea automáticamente algunas reglas predeterminadas en cada NSG, cuando se crea. En cada NSG que se crea, Microsoft Azure crea algunas reglas de entrada y de salida con prioridad 65000 y superior. Estas reglas predeterminadas de Microsoft Azure no se describen en este tema de la documentación, ya que Microsoft Azure las crea automáticamente cuando un sistema crea un NSG en Microsoft Azure. Estas reglas no se crean mediante Horizon Cloud. Para obtener más información sobre estas reglas predeterminadas, consulte el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
- El implementador de pods de Horizon Cloud crea las siguientes reglas de seguridad de entrada en el NSG de plantilla del pod. Estas reglas de seguridad entrante predeterminadas sustentan el acceso de sus clientes de usuario final a los escritorios VDI mediante el redireccionamiento USB, PCOIP y Blast.
| Prioridad | Nombre | Puerto | Protocolo | Origen | Destino | Acción |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | Internet | Cualquiera | Permitir |
| 1100 | AllowBlastTcpIn | 22443 | TCP | Internet | Cualquiera | Permitir |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | Cualquiera | Permitir |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | Cualquiera | Permitir |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | Cualquiera | Permitir |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | Cualquiera | Permitir |
Además de este NSG de plantilla, cuando se crea una asignación de escritorio VDI, el sistema crea un NSG para el grupo de escritorios de esa asignación copiando el NSG de plantilla. Cada grupo de la asignación de escritorio VDI tiene su propio NSG que es una copia del NSG de plantilla. A las NIC de las máquinas virtuales (VM) de escritorio VDI del grupo se les asigna un NSG de ese grupo. De forma predeterminada, cada grupo de escritorios VDI utiliza las mismas reglas de seguridad predeterminadas que las que están configuradas en el NSG de plantilla del pod.
El NSG de plantilla y los NSG por asignación de escritorio VDI se pueden modificar. Por ejemplo, si hubiera una aplicación en un escritorio VDI que necesitara un puerto adicional abierto, se modificaría el NSG del grupo de asignación de escritorio VDI correspondiente para permitir el tráfico de red en ese puerto. Si va a crear varias asignaciones de escritorio VDI que necesitan el mismo puerto abierto, una manera sencilla de admitir ese escenario es editar el NSG de plantilla antes de crear las asignaciones de escritorio VDI.
