El objetivo de este tema de la documentación es explicarle lo que verá después de utilizar un entorno de Horizon Cloud first-gen para crear un pod en su suscripción de Microsoft Azure y, posteriormente, iniciar sesión en el portal de Microsoft Azure y examinar lo que el implementador del pod creó allí. Como parte de la implementación del pod en Microsoft Azure, el proceso de implementación automatizada crea un conjunto de grupos de seguridad de red (NSG) y asocia cada uno a interfaces de red individuales (NIC) específicas que se encuentran en cada una de las máquinas virtuales relacionadas con el pod controladas por VMware. Estas máquinas virtuales relacionadas con el pod son las máquinas virtuales del administrador de pods y las máquinas virtuales que se implementan cuando el pod se configura con Unified Access Gateway.
Antes de leer esta página
Antes de leer esta página, tenga en cuenta los siguientes puntos.
A partir de agosto de 2022, Horizon Cloud Service - next-gen tiene disponibilidad general y cuenta con su propia guía, Uso del plano de control de Horizon next gen.
Una indicación del entorno que se tiene (next-gen o first-gen) es el patrón que aparece en el campo de URL del navegador después de iniciar sesión en el entorno y ver la etiqueta Horizon Universal Console. En entornos de next-gen, la dirección URL de la consola contiene un fragmento como /hcsadmin/. La URL de la consola de first-gen muestra una sección diferente (/horizonadmin/).
Introducción general
El implementador de pods asocia el NSG adecuado creado por el implementador con la NIC adecuada, según el diseño y la arquitectura de VMware para el pod. Estos NSG se utilizan en el nivel de NIC para garantizar que cada NIC de un dispositivo administrado por VMware en concreto pueda recibir el tráfico que el dispositivo administrado por VMware debe recibir para el servicio estándar y las operaciones de pod en la subred conectada de la NIC, y para bloquear todo el tráfico que se supone que el dispositivo no debería recibir. Cada NSG contiene un conjunto de reglas de seguridad que definen el tráfico permitido hacia y desde cada NIC.
Los NSG que se describen aquí son independientes de los que se utilizan para las máquinas virtuales base, las granjas y los escritorios VDI aprovisionados por el pod cuando se crean mediante Horizon Universal Console. Los NSG tienen información de uso diferente. Para obtener información sobre los NSG, consulte los siguientes temas:
- Los grupos de seguridad de red (NSG) creados por el asistente Importar máquina virtual - Catálogo de soluciones de Horizon Cloud
- Acerca de las granjas y los grupos de seguridad de red en un pod de Horizon Cloud
- Acerca de los grupos de seguridad de red y los escritorios VDI en un pod de Horizon Cloud
- Copiar o mover estos NSG o estas reglas de NSG a cualquier subred utilizada por Horizon Cloud
- Copiar o mover estos NSG o reglas de NSG entre las NIC que están asociadas a las máquinas virtuales del pod.
Los NSG creados por Horizon Cloud y las reglas dentro de ellos son específicos de las NIC y las máquinas virtuales específicas a las que están conectados, y son expresamente para los fines de esas NIC y máquinas virtuales. Cualquier cambio en los NSG o las reglas, o cualquier intento de usarlos para cualquier otro fin, incluso en las mismas subredes a las que están asociadas dichas NIC, probablemente provocará una interrupción en el tráfico de red requerido hacia y desde las NIC a las que están conectados. Esto puede provocar que se interrumpan todas las operaciones del pod. Horizon Cloud administra el ciclo de vida de estos NSG y existen razones específicas para cada uno. Estas razones incluyen:
- La capacidad del plano de control de la nube para comunicarse con el pod.
- Administración de la infraestructura del pod
- Operaciones de ciclo de vida del pod
Sin embargo, puede crear sus propios NSG que contengan las reglas de su propia organización dentro de los grupos de recursos fuera de los grupos de recursos del pod que se crean y administran automáticamente mediante Horizon Cloud para las máquinas virtuales del pod. Las reglas de su propio NSG no deben entrar en conflicto con los requisitos de Horizon Cloud para la administración y las operaciones de las máquinas virtuales del pod. Este NSG debe asociarse a las subredes de administración, arrendatario y DMZ que utiliza el pod. Si crea sus propios NSG dentro de los grupos de recursos administrados por Horizon Cloud, se producirá un error durante las acciones de eliminación en los grupos de recursos administrados de Horizon Cloud si sus NSG en dichos grupos de recursos se asocian a un recurso que reside en un grupo de recursos distinto.
Como se describe en la documentación de Microsoft Azure, el objetivo de un grupo de seguridad de red (NSG) es filtrar el tráfico de red hacia y desde los recursos del entorno de Microsoft Azure mediante reglas de seguridad. Cada regla tiene un conjunto de propiedades, como el origen, el destino, el puerto, el protocolo, etc., que determinan el tráfico permitido para los recursos a los que está asociado el NSG. Las instancias de NSG que Horizon Cloud crea automáticamente y asocia con las NIC de las máquinas virtuales del pod controladas por VMware contienen reglas específicas que Horizon Cloud ha determinado que se necesitan para la administración del servicio del pod, para la correcta ejecución de las operaciones del pod en curso y para administrar el ciclo de vida del pod. Por lo general, cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de pod que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Consulte también Requisitos de puertos y protocolos para un pod de Horizon Cloud.
En las secciones que aparecen a continuación, se enumeran las reglas de NSG que Horizon Cloud define en los NSG.
Aspectos generales sobre estos NSG
Esta lista se aplica a todos los NSG creados por el implementador que el implementador asocia con NIC específicas en las máquinas virtuales relacionadas con el pod.
- Estos NSG creados de VMware son para la seguridad de los dispositivos de software controlados de VMware. Cuando VMware agrega nuevo software a la suscripción y se requieren reglas adicionales, esas nuevas reglas se agregan a estos NSG.
- En el portal de Microsoft Azure, los NSG tienen nombres que contienen el patrón
vmw-hcs-podUUID
, donde podUUID es el identificador del pod, excepto los NSG que son para una configuración de puerta de enlace externa que se implementa en su propia VNet. En ese caso, los NSG relevantes de la puerta de enlace tienen nombres que contienen el patrónvmw-hcs-ID
, donde ID es el identificador de implementación para dicha puerta de enlace externa.Nota: Para el escenario en el que la configuración de la puerta de enlace externa se implementa en una suscripción independiente mediante la opción para realizar la implementación en un grupo de recursos existente creado previamente en esa suscripción, el NSG de la NIC de administración de la máquina virtual del conector de puerta de enlace se denomina bajo un patrón basado en el nombre del grupo de recursos, en lugar del patrónvmw-hcs-podUUID
. Por ejemplo, si ese grupo de recursos se denominahcsgateways
, en el grupo de recursos, Horizon Cloud crea un NSG denominadohcsgateways-mgmt-nsg
y asocia ese NSG con la NIC de administración de la máquina virtual del conector de puerta de enlace.Para encontrar estos identificadores, vaya a los detalles del pod desde la página Capacidad de la consola administrativa.
Nota: Cuando se elige que la instancia de Unified Access Gateway externa del pod utilice un grupo de recursos personalizado, el nombre del NSG creado por el implementador de la máquina virtual del conector de puerta de enlace contiene el nombre del grupo de recursos personalizado en lugar del patrónvmw-hcs-identificador
. Por ejemplo, si especifica el uso de un grupo de recursos personalizado con el nombreourhcspodgateway
para la puerta de enlace externa del pod, los NSG que el implementador crea y se asocian con la NIC de la máquina virtual de puerta de enlace se denominaránourhcspodgateway-mgmt-nsg
. - Los NSG se encuentran en el mismo grupo de recursos que las máquinas virtuales y las NIC a las que están asociados. Como ejemplo, los NSG asociados a las NIC de las máquinas virtuales de Unified Access Gateway de tipo externo se encuentran en el grupo de recursos con el nombre
vmw-hcs-podUUID-uag
, cuando la puerta de enlace externa se implementa en la VNet del pod y utilizando un grupo de recursos creado por el implementador. Consulte también Arrendatarios de first-gen: grupos de recursos creados para un pod implementado en Microsoft Azure. - Horizon Cloud puede agregar nuevas reglas o modificar estas reglas, según corresponda, para garantizar la capacidad de mantenimiento del servicio.
- Durante una actualización del pod, se conservan las reglas y los NSG. No se eliminarán.
- Las reglas de Horizon Cloud comienzan con la prioridad 1000 y las prioridades normalmente aumentan en incrementos de 100. Las reglas de Horizon Cloud terminan con una regla con la prioridad 3000.
- Las reglas de
AllowAzureInBound
para la dirección IP 168.63.129.16 de origen proporcionan al NSG la aceptación de la comunicación de entrada desde la plataforma de Microsoft Azure, como se describe en el tema de la documentación de Microsoft Azure ¿Qué es la dirección IP 168.63.129.16?. Todas las máquinas virtuales relacionadas con el pod son máquinas virtuales de Microsoft Azure. Como se describe en el tema de la documentación de Microsoft Azure, su dirección IP 168.63.129.16 facilita varias tareas de administración de máquina virtual que la plataforma de nube de Microsoft Azure hace para todas las máquinas virtuales en su nube. Por ejemplo, esta dirección IP facilita que el agente de la máquina virtual que se encuentra dentro de la máquina virtual se comunique con la plataforma de Microsoft Azure para indicar que la máquina virtual está en estado Listo. - En los NSG para las instancias de Unified Access Gateway, las reglas
AllowPcoipUdpInBound
se establecen para cualquier puerto, ya que el tráfico PCoIP utiliza números de puerto variables en el rango a partir de 4173, por lo que el tráfico no se puede restringir a un conjunto específico de puertos. - Microsoft Azure crea automáticamente algunas reglas predeterminadas en cada NSG, cuando se crea. En cada NSG que se crea, Microsoft Azure crea algunas reglas de entrada y de salida con prioridad 65000 y superior. Estas reglas predeterminadas de Microsoft Azure no se describen en este tema de la documentación, ya que Microsoft Azure las crea automáticamente. Para obtener más información sobre estas reglas predeterminadas, consulte el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
- Cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de pod que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Consulte también Requisitos de puertos y protocolos para un pod de Horizon Cloud.
- Cuando se edita el pod para especificar subredes de arrendatarios adicionales para usarlas con las granjas y las asignaciones de escritorios VDI, las reglas de los NSG relacionados con la subred de arrendatarios en las NIC de las máquinas virtuales del administrador de pods y las máquinas virtuales de Unified Access Gateway se actualizan para incluir dichas subredes de arrendatarios adicionales.
- Si envía una solicitud de soporte a VMware y el equipo de asistencia determina que la forma de abordar esa solicitud es implementar una máquina virtual de Jump Box temporal, esta instancia temporal de Jump Box tiene un NSG en su grupo de recursos de Jump Box temporal. Este NSG se elimina cuando se borra el grupo de recursos de Jump Box porque el equipo de soporte terminó.
NSG creados por el implementador de la máquina virtual del administrador de pods
La máquina virtual del administrador de pods tiene dos NIC, una conectada a la subred de administración y la otra conectada a la subred del arrendatario. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.
- La NIC de administración tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-podUUID-mgmt-nsg
. - La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-podUUID-tenant-nsg
.
En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos del pod con el nombre definido bajo el patrón vmw-hcs- podUUID
.
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Objetivo de la regla |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowSshInBound | 22 | Cualquiera | Subred de administración | Cualquiera | Permitir | Si durante las operaciones de estado estable se envía una solicitud de soporte a VMware y el equipo de asistencia determina que el modo de solucionar el problema de la solicitud es implementar una máquina virtual de Jump Box para la comunicación SSH con la máquina virtual del administrador de pods, esta regla NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia. La máquina virtual de Jump Box de corta duración se comunica con una máquina virtual del administrador de pods mediante SSH con el puerto 22 de la máquina virtual. Las operaciones de pod diarias no requieren la disponibilidad del puerto 22 en la máquina virtual del administrador de pods. |
Entrante | 1100 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 1200 | AllowHttpsInBound | 443 | Cualquiera | Subred de administración | Cualquiera | Permitir | Para que el plano de control de la nube se comunique de forma segura con el endpoint de REST API del administrador de pods. |
Entrante | 1300 | AllowApacheGeodeInBound | 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 | Cualquiera | Subred de administración | Cualquiera | Permitir | Estos puertos se utilizan para replicar las sesiones de usuario y la información relacionada con recursos compartidos de archivos entre las máquinas virtuales del administrador de pods. |
Entrante | 1400 | AllowTelegrafInBound | 9172 | Cualquiera | Subred de administración | Cualquiera | Permitir | Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware. |
Entrante | 1500 | AllowAgentJmsInBound | 4001, 4002 | Cualquiera | Subred de administración | Cualquiera | Permitir | Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Cualquiera | Permitir | Esta regla proporciona un escenario atípico en el que es posible que haya informado a los usuarios finales internos (en la red corporativa, por ejemplo, a través de VPN) para establecer sus conexiones cliente a un FQDN que haya asignado al equilibrador de carga de Microsoft Azure del pod. Este escenario a veces se denomina conexión de pod directo. Para la solicitud de autenticación de inicio de sesión al administrador de pods, Horizon Client y el cliente web de Horizon utilizan el puerto 443. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443. |
Entrante | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | Subred del arrendatario | Cualquiera | Permitir | El puerto 3443 de entrada a esta NIC lo utiliza App Volumes Agent en las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja para acceder al servicio App Volumes Manager que se ejecuta en el administrador de pods. El puerto 8443 de entrada a esta NIC lo utilizan las instancias de Unified Access Gateway para realizar la comprobación con el administrador de pods. Las instancias de puerta de enlace utilizan este endpoint para confirmar el envío de nuevas solicitudes de conexión de cliente al administrador de pods. |
Entrante | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | Cualquiera | Permitir | Para que el código resulte coherente y facilitar el mantenimiento, el implementador de pods siempre escribe esta regla en este NSG. En una implementación donde la puerta de enlace externa del pod se implementa en su propia VNet independiente del pod, esta regla admite el tráfico de entrada de las instancias de Unified Access Gateway de la puerta de enlace externa para realizar la comprobación con el administrador de pods. Las instancias de puerta de enlace utilizan este endpoint para confirmar el envío de nuevas solicitudes de conexión de cliente al administrador de pods. |
Entrante | 1120 | AllowUagHttpsInBound | 8443 | TCP | Subred de administración | Cualquiera | Permitir | Esta regla está planificada para su uso en una futura versión de servicio. |
Entrante | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | Subred del arrendatario | Cualquiera | Permitir | Los agentes de Horizon de las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja usan estos puertos. El puerto 4001 es para Java Message Service (JMS sin SSL), que el agente utiliza en la máquina virtual para comunicarse con el pod como parte del proceso de verificación mediante huella digital de certificado e intercambio para proteger una conexión SSL con el pod.
Una vez que las claves se negocian e intercambian entre la máquina virtual y el administrador de pods, el agente utiliza el puerto 4002 para crear una conexión SSL segura.
Nota: Los puertos 4001 y 4002 son necesarios para las operaciones de estado estable. En ocasiones, es posible que el agente tenga que volver a establecer la clave con el pod.
|
Entrante | 1210 | AllowRouterJmsInBound | 4101 | TCP | Subred del arrendatario | Cualquiera | Permitir | Cuando un pod está habilitado para alta disponibilidad (HA), este tráfico es el enrutamiento JMS entre las máquinas virtuales del administrador de pods (nodo-1 y nodo-2) |
Entrante | 1300 | AllowAgentUdpInBound | 5678 | UDP | Subred del arrendatario | Cualquiera | Permitir | Obsoleto para los pods de los manifiestos 1600 y versiones posteriores. En la versión de septiembre de 2019 del servicio, DaaS Agent se incorporó a Horizon Agent a partir del manifiesto del pod 1600. Anteriormente, este puerto 5678 y UDP se usaban para admitir el uso de DaaS Agent. |
Entrante | 1400 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
NSG creados por el implementador de la máquina virtual de Unified Access Gateway de tipo externo
Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo externo tiene tres (3) NIC, una conectada a la subred de administración, una conectada a la subred del arrendatario y una conectada a la subred DMZ. El implementador crea un NSG específico para cada una de esas tres NIC y asocia cada NSG con su NIC correspondiente.
- La NIC de administración tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-ID-uag-management-nsg
. - La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-ID-uag-tenant-nsg
. - La NIC de DMZ tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-ID-uag-dmz-nsg
.
En el entorno de Microsoft Azure, estos NSG se nombran en el patrón vmw-hcs-ID-uag
, donde ID es el identificador del pod, tal como aparece en la página de detalles del pod de la consola, a menos que la puerta de enlace externa se implemente en su propia VNet, independiente de la VNet del pod. En el caso de una puerta de enlace externa implementada en su propia VNet, el ID es el valor de ID de implementación que aparece en la página de detalles del pod.
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowHttpsInBound | 9443 | TCP | Subred de administración | Cualquiera | Permitir | Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP. |
Entrante | 1100 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 1200 | AllowSshInBound | 22 | Cualquiera | Subred de administración | Cualquiera | Permitir | Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Agregado por el implementador para denegar el tráfico de salida desde esta NIC. |
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 1400 | AllowPcoipUdpInBound | Cualquiera | UDP | Subred del arrendatario | Cualquiera | Permitir | Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
Saliente | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con las máquinas virtuales del administrador de pods para las nuevas solicitudes de conexión de cliente a los administradores de pods. |
Saliente | 1100 | AllowBlastOutBound | 22443 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio. |
Saliente | 1200 | AllowPcoipOutBound | 4172 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio. |
Saliente | 1300 | AllowUsbOutBound | 32111 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
Saliente | 1400 | AllowMmrOutBound | 9427 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
Saliente | 1500 | AllowAllOutBound | Cualquiera | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales. |
Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores. |
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Cualquiera | Permitir | Esta regla proporciona el tráfico de entrada de los usuarios finales externos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión al administrador de pods. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443. |
Entrante | 1100 | AllowBlastInBound | 443 8443 |
Cualquiera | Internet | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales externos. |
Entrante | 1200 | AllowPcoipInBound | 4172 | Cualquiera | Internet | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales externos. |
Entrante | 1300 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
NSG creados por el implementador de la máquina virtual de Unified Access Gateway de tipo interno
Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo interno tiene dos (2) NIC, una conectada a la subred de administración y una conectada a la subred del arrendatario. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.
- La NIC de administración tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-podUUID-uag-management-nsg
. - La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón
vmw-hcs-podUUID-uag-tenant-nsg
.
En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos del pod con el nombre definido bajo el patrón vmw-hcs- podUUID-uag-internal
.
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowHttpsInBound | 9443 | TCP | Subred de administración | Cualquiera | Permitir | Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP. |
Entrante | 1100 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 1200 | AllowSshInBound | 22 | Cualquiera | Subred de administración | Cualquiera | Cualquiera | Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Agregado por el implementador para denegar el tráfico de salida desde esta NIC. |
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Cualquiera | Permitir | Esta regla proporciona el tráfico de entrada de los usuarios finales internos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión al administrador de pods. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443. |
Entrante | 1200 | AllowBlastInBound | 443 8443 |
Cualquiera | VirtualNetwork | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales internos. |
Entrante | 1300 | AllowPcoipInBound | 4172 | Cualquiera | VirtualNetwork | Cualquiera | Permitir | Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales internos. |
Entrante | 1400 | AllowPcoipUdpInBound | Cualquiera | UDP | Subred del arrendatario | Cualquiera | Permitir | Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
Saliente | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con las máquinas virtuales del administrador de pods para las nuevas solicitudes de conexión de cliente al pod. |
Saliente | 1100 | AllowBlastOutBound | 22443 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio. |
Saliente | 1200 | AllowPcoipOutBound | 4172 | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio. |
Saliente | 1300 | AllowUsbOutBound | 32111 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
Saliente | 1400 | AllowMmrOutBound | 9427 | TCP | Cualquiera | Subred del arrendatario | Permitir | Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio. |
Saliente | 1500 | AllowAllOutBound | Cualquiera | Cualquiera | Cualquiera | Subred del arrendatario | Permitir | Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales. |
Saliente | 3000 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores. |
NSG creado por el implementador de la máquina virtual del conector de puerta de enlace cuando se implementa una puerta de enlace externa en su propia VNet
La máquina virtual del conector de puerta de enlace tiene una única NIC. Esta NIC está conectada a la subred de administración de la VNet de la puerta de enlace externa. El implementador crea un solo NSG y lo asocia específicamente con esa NIC. De forma predeterminada, el NSG creado por el implementador para la NIC de administración del conector de puerta de enlace tiene las mismas reglas que el NSG creado por el implementador para la máquina virtual del administrador de pods.
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 1000 | AllowSshInBound | 22 | Cualquiera | Subred de administración | Cualquiera | Permitir | Si durante las operaciones de estado estable se envía una solicitud de soporte a VMware y el equipo de asistencia determina que el modo de solucionar el problema es implementar una máquina virtual de Jump Box para la comunicación SSH con esta máquina virtual del conector de puerta de enlace, esta regla NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia. La máquina virtual de Jump Box de corta duración se comunica con esta máquina virtual del conector de puerta de enlace mediante SSH con el puerto 22 de la máquina virtual. Las operaciones de pod diarias no requieren la disponibilidad del puerto 22 en la máquina virtual del conector de puerta de enlace. |
Entrante | 1100 | AllowAzureInBound | Cualquiera | Cualquiera | 168.63.129.16 | Cualquiera | Permitir | Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16. |
Entrante | 1200 | AllowHttpsInBound | 443 | Cualquiera | Subred de administración | Cualquiera | Permitir | Para que el plano de control de la nube se comunique de forma segura con el endpoint de REST API del conector de puerta de enlace. |
Entrante | 1300 | AllowApacheGeodeInBound | 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 | Cualquiera | Subred de administración | Cualquiera | Permitir | Estos puertos se utilizan para replicar las sesiones de usuario y la información relacionada con recursos compartidos de archivos en las máquinas virtuales del administrador de pods y las máquinas virtuales del conector de puerta de enlace. |
Entrante | 1400 | AllowTelegrafInBound | 9172 | Cualquiera | Subred de administración | Cualquiera | Permitir | Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware. |
Entrante | 1500 | AllowAgentJmsInBound | 4001, 4002 | Cualquiera | Subred de administración | Cualquiera | Permitir | Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware. |
Entrante | 3000 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar | Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores. |
NSG creado por el implementador de la máquina virtual de Jump Box temporal
Si envía una solicitud de soporte a VMware y el equipo de asistencia determina que la forma de abordar esa solicitud es implementar una máquina virtual de Jump Box temporal, esta instancia temporal de Jump Box tiene un NSG en su grupo de recursos de Jump Box temporal. Este NSG se elimina cuando el grupo de recursos de Jump Box se elimina cuando el equipo de soporte ha completado dicho trabajo. Se le solicitará permiso antes de cualquier acceso de emergencia.
Dirección | Prioridad | Nombre | Puertos | Protocolo | Origen | Destino | Acción | Propósito |
---|---|---|---|---|---|---|---|---|
Entrante | 100 | AllowSSHInBound | 22 | Cualquiera | Subred de administración | Subred de administración | Permitir | Para la comunicación SSH con los dispositivos administrados por VMware involucrados en la investigación del equipo de soporte de VMware para la solicitud de servicio. La máquina virtual de Jump Box de corta duración se comunica mediante SSH y el puerto 22.
Nota: En los casos en los que el plano de control de nube haya perdido el acceso al pod, el equipo de asistencia puede implementar un Jump Box de emergencia con una IP pública para establecer acceso al pod. Ese escenario requerirá que esta regla tenga Source=Any y Destination=Any.
|
Saliente | 100 | AllowSSHOutbound | 22 | TCP | Subred de administración | Subred de administración | Permitir | Para que la máquina virtual de Jump Box ejecute sus funciones diseñadas. |
Saliente | 101 | AllowHttpsOutbound | 443 | TCP | Subred de administración | Cualquiera | Permitir | Para que la máquina virtual de Jump Box descargue componentes de software específicos ubicados externamente, como la CLI (interfaz de línea de comandos) de Microsoft Azure, con el fin de realizar las funciones para la que se la diseñó. |
Saliente | 102 | AllowHttpOutbound | 80 | TCP | Subred de administración | Cualquiera | Permitir | Para que la máquina virtual de Jump Box descargue componentes de software específicos ubicados externamente, como las actualizaciones de software de Ubuntu, con el fin de realizar las funciones para la que se la diseñó. |
Saliente | 103 | AllowUagOutbound | 9443 | TCP | Subred de administración | Subred de administración | Permitir | Para que la máquina virtual de Jump Box realice las funciones para la que se la diseñó relacionadas con la configuración de administración de puerta de enlace mediante la interfaz de administración de la puerta de enlace. |
Saliente | 104 | AllowDnsOutbound | 53 | Cualquiera | Subred de administración | Cualquiera | Permitir | Para que la máquina virtual de Jump Box acceda a los servicios DNS. |
Saliente | 105 | AllowHttpProxyOutbound | Cualquiera | TCP | Cualquiera | Cualquiera | Permitir | Cuando la implementación del pod está configurada para utilizar un proxy con un puerto de proxy que no es el 80, el implementador de la instancia de temporal de Jump Box crea esta regla en este NSG. Esta regla admite la instancia temporal de Jump Box en un entorno de proxy de este tipo. Cuando no se especifica ningún proxy en la configuración de la implementación del pod, o se especifica un proxy con el puerto proxy 80, esta regla no aparece en este NSG. |
Saliente | 1000 | DenyAllOutBound | Cualquiera | TCP | Cualquiera | Cualquiera | Denegar | Limita el tráfico saliente de esta NIC mediante TCP a los elementos de las filas anteriores. |