El objetivo de este tema de la documentación es explicarle lo que verá después de utilizar Horizon Cloud para crear un pod en su suscripción de Microsoft Azure y, posteriormente, iniciar sesión en el portal de Microsoft Azure y examinar lo que el implementador del pod creó allí. Como parte de la implementación del pod en Microsoft Azure, el proceso de implementación automatizada crea un conjunto de grupos de seguridad de red (NSG) y asocia cada uno a interfaces de red individuales (NIC) específicas que se encuentran en cada una de las máquinas virtuales relacionadas con el pod controladas por VMware. Estas máquinas virtuales relacionadas con el pod son las máquinas virtuales del administrador de pods y las máquinas virtuales que se implementan cuando el pod se configura con Unified Access Gateway. Además, durante los flujos de trabajo relacionados con la implementación del pod, como la implementación de un pod o la adición de una configuración de puerta de enlace a un pod, la instancia de Jump Box temporal también tiene un NSG en su grupo de recursos de Jump Box temporal. El implementador de pods asocia el NSG adecuado creado por el implementador con la NIC adecuada, según el diseño y la arquitectura de VMware para el pod. Estos NSG se utilizan en el nivel de NIC para garantizar que cada NIC de un dispositivo administrado por VMware en concreto pueda recibir el tráfico que el dispositivo administrado por VMware debe recibir para el servicio estándar y las operaciones de pod en la subred conectada de la NIC, y para bloquear todo el tráfico que se supone que el dispositivo no debería recibir. Cada NSG contiene un conjunto de reglas de seguridad que definen el tráfico permitido hacia y desde cada NIC.

Los NSG que se describen aquí son independientes de los que se usan para las granjas y los escritorios VDI que se crean en el pod y tienen información de uso diferente. Para obtener información sobre los NSG que se utilizan para las granjas y los grupos, consulte Acerca de los grupos de seguridad de red y las granjas y Acerca de los grupos de seguridad de red y los escritorios VDI.

Advertencia: Las reglas de NSG creadas por el implementador que se describen aquí son requisitos de configuración del servicio. Nunca se debe eliminar ni editar ninguno de los NSG Horizon Cloud que se crean automáticamente y se asocian a las NIC de las máquinas virtuales del pod. Esta instrucción incluye acciones como las siguientes:
  • Copiar o mover estos NSG o estas reglas de NSG a cualquier subred utilizada por Horizon Cloud
  • Copiar o mover estos NSG o reglas de NSG entre las NIC que están asociadas a las máquinas virtuales del pod.

Los NSG creados por Horizon Cloud y las reglas dentro de ellos son específicos de las NIC y las máquinas virtuales específicas a las que están conectados, y son expresamente para los fines de esas NIC y máquinas virtuales. Cualquier cambio en los NSG o las reglas, o cualquier intento de usarlos para cualquier otro fin, incluso en las mismas subredes a las que están asociadas dichas NIC, probablemente provocará una interrupción en el tráfico de red requerido hacia y desde las NIC a las que están conectados. Esto puede provocar que se interrumpan todas las operaciones del pod. Horizon Cloud administra el ciclo de vida de estos NSG y existen razones específicas para cada uno. Estas razones incluyen:

  • La capacidad del plano de control de la nube para comunicarse con el pod.
  • Administración de la infraestructura del pod
  • Operaciones de ciclo de vida del pod
Dado que estos NSG creados por el implementador son requisitos de configuración del servicio, los intentos de cambiarlos o moverlos se consideran un uso no compatible de Horizon Cloud y un uso incorrecto de las ofertas de servicios, como se describe en el Acuerdo de nivel de servicio para el servicio VMware Horizon.

Sin embargo, puede crear sus propios NSG que contengan las reglas de su propia organización dentro de los grupos de recursos fuera de los grupos de recursos del pod que se crean y administran automáticamente mediante Horizon Cloud para las máquinas virtuales del pod. Las reglas de su propio NSG no deben entrar en conflicto con los requisitos de Horizon Cloud para la administración y las operaciones de las máquinas virtuales del pod. Este NSG debe asociarse a las subredes de administración, tenant y DMZ que utiliza el pod. Si crea sus propios NSG dentro de los grupos de recursos administrados por Horizon Cloud, se producirá un error durante las acciones de eliminación en los grupos de recursos administrados de Horizon Cloud si sus NSG en dichos grupos de recursos se asocian a un recurso que reside en un grupo de recursos distinto.

Como se describe en la documentación de Microsoft Azure, el objetivo de un grupo de seguridad de red (NSG) es filtrar el tráfico de red hacia y desde los recursos del entorno de Microsoft Azure mediante reglas de seguridad. Cada regla tiene un conjunto de propiedades, como el origen, el destino, el puerto, el protocolo, etc., que determinan el tráfico permitido para los recursos a los que está asociado el NSG. Las instancias de NSG que Horizon Cloud crea automáticamente y asocia con las NIC de las máquinas virtuales del pod controladas por VMware contienen reglas específicas que Horizon Cloud ha determinado que se necesitan para la administración del servicio del pod, para la correcta ejecución de las operaciones del pod en curso y para administrar el ciclo de vida del pod. Por lo general, cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de pod que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Consulte también Requisitos de puertos y protocolos para un pod de Horizon Cloud.

En las secciones que aparecen a continuación, se enumeran las reglas de NSG que Horizon Cloud define en los NSG.

Aspectos generales sobre estos NSG

Esta lista se aplica a todos los NSG creados por el implementador que el implementador asocia con NIC específicas en las máquinas virtuales relacionadas con el pod.

  • Estos NSG creados de VMware son para la seguridad de los dispositivos de software controlados de VMware. Cuando VMware agrega nuevo software a la suscripción y se requieren reglas adicionales, esas nuevas reglas se agregan a estos NSG.
  • En el portal de Microsoft Azure, los NSG tienen nombres que contienen el patrón vmw-hcs-podUUID, donde podUUID es el identificador del pod, excepto los NSG que son para una configuración de puerta de enlace externa que se implementa en su propia VNet. En ese caso, los NSG relevantes de la puerta de enlace tienen nombres que contienen el patrón vmw-hcs-ID, donde ID es el identificador de implementación para dicha puerta de enlace externa.
    Nota: Para el escenario en el que la configuración de la puerta de enlace externa se implementa en una suscripción independiente mediante la opción para realizar la implementación en un grupo de recursos existente creado previamente en esa suscripción, el NSG de la NIC de administración de la máquina virtual del conector de puerta de enlace se denomina bajo un patrón basado en el nombre del grupo de recursos, en lugar del patrón vmw-hcs-podUUID. Por ejemplo, si ese grupo de recursos se denomina hcsgateways, en el grupo de recursos, Horizon Cloud crea un NSG denominado hcsgateways-mgmt-nsg y asocia ese NSG con la NIC de administración de la máquina virtual del conector de puerta de enlace.

    Para encontrar estos identificadores, vaya a los detalles del pod desde la página Capacidad de la consola administrativa.

    Nota: Cuando se elige que la instancia de Unified Access Gateway externa del pod utilice un grupo de recursos personalizado, el nombre del NSG creado por el implementador de la máquina virtual del conector de puerta de enlace contiene el nombre del grupo de recursos personalizado en lugar del patrón vmw-hcs-identificador. Por ejemplo, si especifica el uso de un grupo de recursos personalizado con el nombre ourhcspodgateway para la puerta de enlace externa del pod, los NSG que el implementador crea y se asocian con la NIC de la máquina virtual de puerta de enlace se denominarán ourhcspodgateway-mgmt-nsg.
  • Los NSG se encuentran en el mismo grupo de recursos que las máquinas virtuales y las NIC a las que están asociados. Como ejemplo, los NSG asociados a las NIC de las máquinas virtuales de Unified Access Gateway de tipo externo se encuentran en el grupo de recursos con el nombre vmw-hcs-podUUID-uag, cuando la puerta de enlace externa se implementa en la VNet del pod y utilizando un grupo de recursos creado por el implementador. Consulte también Grupos de recursos creados para un pod implementado en Microsoft Azure.
  • Horizon Cloud puede agregar nuevas reglas o modificar estas reglas, según corresponda, para garantizar la capacidad de mantenimiento del servicio.
  • Durante una actualización del pod, se conservan las reglas y los NSG. No se eliminarán.
  • Excepto para las reglas de NSG de Jump Box temporal, las reglas de Horizon Cloud comienzan con la prioridad 1000 y las prioridades aumentan en incrementos que normalmente son de 100. Las reglas de Horizon Cloud terminan con una regla con la prioridad 3000. Para las reglas de NSG de Jump Box, las reglas de Horizon Cloud comienzan con la prioridad 100 y las prioridades aumentan en incrementos de 1. Las reglas de Horizon Cloud terminan con una regla con la prioridad 1000.
  • Las reglas de AllowAzureInBound para la dirección IP 168.63.129.16 de origen proporcionan al NSG la aceptación de la comunicación de entrada desde la plataforma de Microsoft Azure, como se describe en el tema de la documentación de Microsoft Azure ¿Qué es la dirección IP 168.63.129.16?. Todas las máquinas virtuales relacionadas con el pod son máquinas virtuales de Microsoft Azure. Como se describe en el tema de la documentación de Microsoft Azure, su dirección IP 168.63.129.16 facilita varias tareas de administración de máquina virtual que la plataforma de nube de Microsoft Azure hace para todas las máquinas virtuales en su nube. Por ejemplo, esta dirección IP facilita que el agente de la máquina virtual que se encuentra dentro de la máquina virtual se comunique con la plataforma de Microsoft Azure para indicar que la máquina virtual está en estado Listo.
  • En los NSG para las instancias de Unified Access Gateway, las reglas AllowPcoipUdpInBound se establecen para cualquier puerto, ya que el tráfico PCoIP utiliza números de puerto variables en el rango a partir de 4173, por lo que el tráfico no se puede restringir a un conjunto específico de puertos.
  • Microsoft Azure crea automáticamente algunas reglas predeterminadas en cada NSG, cuando se crea. En cada NSG que se crea, Microsoft Azure crea algunas reglas de entrada y de salida con prioridad 65000 y superior. Estas reglas predeterminadas de Microsoft Azure no se describen en este tema de la documentación, ya que Microsoft Azure las crea automáticamente. Para obtener más información sobre estas reglas predeterminadas, consulte el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
  • Durante los flujos de trabajo relacionados con la implementación del pod, como la implementación de un pod o la adición de una configuración de puerta de enlace a un pod, la instancia de Jump Box temporal también tiene un NSG en su grupo de recursos de Jump Box temporal. Este NSG se elimina cuando se elimina el grupo de recursos de Jump Box, al finalizar el flujo de trabajo.
  • Cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de pod que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Consulte también Requisitos de puertos y protocolos para un pod de Horizon Cloud.
  • Cuando se edita el pod para especificar subredes de arrendatarios adicionales para usarlas con las granjas y las asignaciones de escritorios VDI, las reglas de los NSG relacionados con la subred de arrendatarios en las NIC de las máquinas virtuales del administrador de pods y las máquinas virtuales de Unified Access Gateway se actualizan para incluir dichas subredes de arrendatarios adicionales.

NSG creados por el implementador de la máquina virtual del administrador de pods

La máquina virtual del administrador de pods tiene dos NIC, una conectada a la subred de administración y la otra conectada a la subred del tenant. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.

  • La NIC de administración tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-mgmt-nsg.
  • La NIC del tenant tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-tenant-nsg.

En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos del pod con el nombre definido bajo el patrón vmw-hcs- podUUID.

Importante: Cuando el pod utiliza la función para tener su puerta de enlace externa en una VNet independiente (que incluye el caso en el que esa puerta de enlace utiliza una suscripción independiente de la suscripción del pod), el NSG para la NIC del tenant de la máquina virtual del administrador de pods tiene una regla entrante adicional llamada AllowGatewayBrokeringHttpsInBound para el puerto TCP 8443 con VirtualNetwork como el origen. Las reglas de NSG creadas por el implementador en la NIC del tenant de la máquina virtual del administrador de pods cuando la puerta de enlace externa se encuentra en una VNet independiente se enumeran en la tercera tabla que aparece a continuación.
Tabla 1. Reglas de NSG creados por el implementador en la NIC de administración de la máquina virtual del administrador de pods
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Objetivo de la regla
Entrante 1000 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Permitir Como se describe en el tema Requisitos de DNS para un pod de Horizon Cloud en Microsoft Azure, la máquina virtual de Jump Box de corta duración se comunica con una máquina virtual del administrador de pods mediante SSH con el puerto 22 de la máquina virtual en la creación inicial de un pod y durante las actualizaciones de software posteriores en el pod. También tal como se describe en ese tema, las operaciones de pod cotidianas no requieren la disponibilidad del puerto 22 en la máquina virtual del administrador de pods. Sin embargo, si durante las operaciones de estado estable se realiza una solicitud de soporte a VMware y el equipo de soporte determina el modo de solucionar el problema de la solicitud es implementar una máquina virtual de Jump Box para la comunicación SSH con la máquina virtual del administrador de pods, esta regla de NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowHttpsInBound 443 Cualquiera Subred de administración Cualquiera Permitir Para que el plano de control de nube se comunique de forma segura con el endpoint de REST API del administrador de pods.
Entrante 1300 AllowApacheGeodeInBound 10334 - 10335, 41000-41002, 42000-42002 Cualquiera Subred de administración Cualquiera Permitir Estos puertos se utilizan para replicar las sesiones de usuario en las máquinas virtuales del administrador de pods.
Entrante 1400 AllowTelegrafInBound 9172 Cualquiera Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 1500 AllowAgentJmsInBound 4001, 4002 Cualquiera Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Tabla 2. Reglas de NSG creados por el implementador en la NIC del tenant de la máquina virtual del administrador de pods
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Cualquiera Permitir Esta regla proporciona un escenario atípico en el que es posible que haya informado a los usuarios finales internos (en la red corporativa, por ejemplo, a través de VPN) para establecer sus conexiones cliente a un FQDN que haya asignado al equilibrador de carga de Microsoft Azure del pod. Este escenario a veces se denomina conexión de pod directo. Para la solicitud de autenticación de inicio de sesión en el agente de conexión del pod, Horizon Client y el cliente web de Horizon utilizan el puerto 443. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1100 AllowAgentHttpsInBound

3443

8443

TCP Subred del tenant Cualquiera Permitir

El puerto 3443 de entrada a esta NIC lo utiliza App Volumes Agent en las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja para acceder al servicio App Volumes Manager que se ejecuta en la máquina virtual del administrador de pods.

El puerto 8443 de entrada a esta NIC lo utilizan las instancias de Unified Access Gateway para realizar la comprobación con el agente de conexión de la máquina virtual del administrador de pods. Las instancias de puerta de enlace usan este endpoint para confirmar el envío de nuevas solicitudes de brokering de cliente a la máquina virtual del administrador de pods.

Entrante 1120 AllowUagHttpsInBound 8443 TCP Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 1200 AllowAgentJmsInBound

4001

4002

TCP Subred del tenant Cualquiera Permitir

Los agentes de Horizon de las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja usan estos puertos.

El puerto 4001 es para Java Message Service (JMS sin SSL), que el agente utiliza en la máquina virtual para comunicarse con el pod como parte del proceso de verificación mediante huella digital de certificado e intercambio para proteger una conexión SSL con el pod.

Una vez que las claves se negocian e intercambian entre la máquina virtual y el administrador de pods, el agente utiliza el puerto 4002 para crear una conexión SSL segura.
Nota: Los puertos 4001 y 4002 son necesarios para las operaciones de estado estable. En ocasiones, es posible que el agente tenga que volver a establecer la clave con el pod.
Entrante 1210 AllowRouterJmsInBound 4101 TCP Subred del tenant Cualquiera Permitir Cuando un pod está habilitado para alta disponibilidad (HA), este tráfico es el enrutamiento JMS entre las máquinas virtuales del administrador de pods (nodo-1 y nodo-2)
Entrante 1300 AllowAgentUdpInBound 5678 UDP Subred del tenant Cualquiera Permitir Obsoleto para los pods de los manifiestos 1600 y versiones posteriores. En la versión de septiembre de 2019 del servicio, DaaS Agent se incorporó a Horizon Agent a partir del manifiesto del pod 1600. Anteriormente, este puerto 5678 y UDP se usaban para admitir el uso de DaaS Agent.
Entrante 1400 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Tabla 3. Cuando la puerta de enlace externa reside en una VNet independiente, las reglas de NSG creadas por el implementador en la NIC del tenant de la máquina virtual del administrador de pods
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Cualquiera Permitir Esta regla proporciona un escenario atípico en el que es posible que haya informado a los usuarios finales internos (en la red corporativa, por ejemplo, a través de VPN) para establecer sus conexiones cliente a un FQDN que haya asignado al equilibrador de carga de Microsoft Azure del pod. Este escenario a veces se denomina conexión de pod directo. Para la solicitud de autenticación de inicio de sesión en el agente de conexión del pod, Horizon Client y el cliente web de Horizon utilizan el puerto 443. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1100 AllowAgentHttpsInBound

3443

8443

TCP Subred del tenant Cualquiera Permitir

El puerto 3443 de entrada a esta NIC lo utiliza App Volumes Agent en las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja para acceder al servicio App Volumes Manager que se ejecuta en la máquina virtual del administrador de pods.

El puerto 8443 de entrada a esta NIC lo utilizan las instancias de Unified Access Gateway para realizar la comprobación con el agente de conexión de la máquina virtual del administrador de pods. Las instancias de puerta de enlace usan este endpoint para confirmar el envío de nuevas solicitudes de brokering de cliente al pod.

Entrante 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Cualquiera Permitir Cuando la puerta de enlace externa del pod se implementa en su propia VNet independiente del pod, esta regla admite el tráfico de entrada de las instancias de Unified Access Gateway de la puerta de enlace externa para realizar la comprobación con el agente de conexión de la máquina virtual del administrador de pods. Las instancias de puerta de enlace usan este endpoint para confirmar el envío de nuevas solicitudes de brokering de cliente al agente de conexión.
Entrante 1120 AllowUagHttpsInBound 8443 TCP Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 1200 AllowAgentJmsInBound

4001

4002

TCP Subred del tenant Cualquiera Permitir

Los agentes de Horizon de las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja usan estos puertos.

El puerto 4001 es para Java Message Service (JMS sin SSL), que el agente utiliza en la máquina virtual para comunicarse con el pod como parte del proceso de verificación mediante huella digital de certificado e intercambio para proteger una conexión SSL con el pod.

Una vez que las claves se negocian e intercambian entre la máquina virtual y el administrador de pods, el agente utiliza el puerto 4002 para crear una conexión SSL segura.
Nota: Los puertos 4001 y 4002 son necesarios para las operaciones de estado estable. En ocasiones, es posible que el agente tenga que volver a establecer la clave con el pod.
Entrante 1210 AllowRouterJmsInBound 4101 TCP Subred del tenant Cualquiera Permitir Cuando un pod está habilitado para alta disponibilidad (HA), este tráfico es el enrutamiento JMS entre las máquinas virtuales del administrador de pods (nodo-1 y nodo-2)
Entrante 1300 AllowAgentUdpInBound 5678 UDP Subred del tenant Cualquiera Permitir Obsoleto para los pods de los manifiestos 1600 y versiones posteriores. En la versión de septiembre de 2019 del servicio, DaaS Agent se incorporó a Horizon Agent a partir del manifiesto del pod 1600. Anteriormente, este puerto 5678 y UDP se usaban para admitir el uso de DaaS Agent.
Entrante 1400 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.

NSG creados por el implementador de la máquina virtual de Unified Access Gateway de tipo externo

Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo externo tiene tres (3) NIC, una conectada a la subred de administración, una conectada a la subred del tenant y una conectada a la subred DMZ. El implementador crea un NSG específico para cada una de esas tres NIC y asocia cada NSG con su NIC correspondiente.

  • La NIC de administración tiene un NSG con el nombre definido bajo el patrón vmw-hcs-ID-uag-management-nsg.
  • La NIC del tenant tiene un NSG con el nombre definido bajo el patrón vmw-hcs-ID-uag-tenant-nsg.
  • La NIC de DMZ tiene un NSG con el nombre definido bajo el patrón vmw-hcs-ID-uag-dmz-nsg.

En el entorno de Microsoft Azure, estos NSG se nombran en el patrón vmw-hcs-ID-uag, donde ID es el identificador del pod, tal como aparece en la página de detalles del pod de la consola, a menos que la puerta de enlace externa se implemente en su propia VNet, independiente de la VNet del pod. En el caso de una puerta de enlace externa implementada en su propia VNet, el ID es el valor de ID de implementación que aparece en la página de detalles del pod.

Tabla 4. Reglas de NSG creados por el implementador en la NIC de administración de las máquinas virtuales de Unified Access Gateway de tipo externo
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound 9443 TCP Subred de administración Cualquiera Permitir Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Permitir Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Agregado por el implementador para denegar el tráfico de salida desde esta NIC.
Tabla 5. Reglas de NSG creados por el implementador en la NIC del tenant de la máquinas virtuales de Unified Access Gateway de tipo externo
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1400 AllowPcoipUdpInBound Cualquiera UDP Subred del tenant Cualquiera Permitir Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 1000 AllowHttpsOutBound

443

8443

TCP Cualquiera Subred del tenant Permitir

Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con el agente de conexión de las máquinas virtuales del administrador de pods para las nuevas solicitudes de brokering de cliente al pod.

Saliente 1100 AllowBlastOutBound 22443 Cualquiera Cualquiera Subred del tenant Permitir Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1200 AllowPcoipOutBound 4172 Cualquiera Cualquiera Subred del tenant Permitir Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio.
Saliente 1300 AllowUsbOutBound 32111 TCP Cualquiera Subred del tenant Permitir Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1400 AllowMmrOutBound 9427 TCP Cualquiera Subred del tenant Permitir Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1500 AllowAllOutBound Cualquiera Cualquiera Cualquiera Subred del tenant Permitir Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores.
Tabla 6. Reglas de NSG creados por el implementador en la NIC de DMZ de las máquinas virtuales de Unified Access Gateway de tipo externo
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound

80

443

TCP Internet Cualquiera Permitir Esta regla proporciona el tráfico de entrada de los usuarios finales externos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión al agente de conexión en el pod. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1100 AllowBlastInBound

443

8443

Cualquiera Internet Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales externos.
Entrante 1200 AllowPcoipInBound 4172 Cualquiera Internet Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales externos.
Entrante 1300 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.

NSG creados por el implementador de la máquina virtual de Unified Access Gateway de tipo interno

Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo interno tiene dos (2) NIC, una conectada a la subred de administración y una conectada a la subred del tenant. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.

  • La NIC de administración tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-uag-management-nsg.
  • La NIC del tenant tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-uag-tenant-nsg.

En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos del pod con el nombre definido bajo el patrón vmw-hcs- podUUID-uag-internal.

Tabla 7. Reglas de NSG creados por el implementador en la NIC de administración de las máquinas virtuales de Unified Access Gateway de tipo interno
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound 9443 TCP Subred de administración Cualquiera Permitir Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Cualquiera Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Agregado por el implementador para denegar el tráfico de salida desde esta NIC.
Tabla 8. Reglas de NSG creados por el implementador en la NIC del tenant de las máquinas virtuales de Unified Access Gateway de tipo interno
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Cualquiera Permitir Esta regla proporciona el tráfico de entrada de los usuarios finales internos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión al agente de conexión en el pod. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1200 AllowBlastInBound

443

8443

Cualquiera VirtualNetwork Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales internos.
Entrante 1300 AllowPcoipInBound 4172 Cualquiera VirtualNetwork Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales internos.
Entrante 1400 AllowPcoipUdpInBound Cualquiera UDP Subred del tenant Cualquiera Permitir Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 1000 AllowHttpsOutBound

443

8443

TCP Cualquiera Subred del tenant Permitir

Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con el agente de conexión de las máquinas virtuales del administrador de pods para las nuevas solicitudes de brokering de cliente al pod.

Saliente 1100 AllowBlastOutBound 22443 Cualquiera Cualquiera Subred del tenant Permitir Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1200 AllowPcoipOutBound 4172 Cualquiera Cualquiera Subred del tenant Permitir Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio.
Saliente 1300 AllowUsbOutBound 32111 TCP Cualquiera Subred del tenant Permitir Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1400 AllowMmrOutBound 9427 TCP Cualquiera Subred del tenant Permitir Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1500 AllowAllOutBound Cualquiera Cualquiera Cualquiera Subred del tenant Permitir Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales..
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores.

NSG creado por el implementador de la máquina virtual del conector de puerta de enlace cuando se implementa una puerta de enlace externa en su propia VNet

La máquina virtual del conector de puerta de enlace tiene una única NIC. Esta NIC está conectada a la subred de administración de la VNet de la puerta de enlace externa. El implementador crea un solo NSG y lo asocia específicamente con esa NIC. De forma predeterminada, el NSG creado por el implementador para la NIC de administración del conector de puerta de enlace tiene las mismas reglas que el NSG creado por el implementador para la máquina virtual del administrador de pods.

Tabla 9. Reglas de NSG creada por el implementador en la NIC de administración del conector de la puerta de enlace externa
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Permitir Como se describe en el tema Requisitos de DNS para un pod de Horizon Cloud en Microsoft Azure, la máquina virtual de Jump Box de corta duración se comunica con la máquina virtual del conector de puerta de enlace mediante SSH con el puerto 22 de la máquina virtual durante su creación inicial y durante las actualizaciones de software posteriores en el pod. También tal como se describe en ese tema, las operaciones de pod cotidianas no requieren la disponibilidad del puerto 22 en la máquina virtual del conector de puerta de enlace. Sin embargo, si durante las operaciones de estado estable se realiza una solicitud de soporte a VMware y el equipo de soporte determina el modo de solucionar el problema de la solicitud es implementar una máquina virtual de Jump Box para la comunicación SSH con la máquina virtual del conector de puerta de enlace, esta regla de NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowHttpsInBound 443 Cualquiera Subred de administración Cualquiera Permitir Para que el plano de control de nube se comunique de forma segura con el endpoint de REST API del conector de puerta de enlace.
Entrante 1300 AllowApacheGeodeInBound 10334 - 10335, 41000-41002, 42000-42002 Cualquiera Subred de administración Cualquiera Permitir Estos puertos se utilizan para replicar las sesiones de usuario en las máquinas virtuales del administrador de pods y las máquinas virtuales del conector de puerta de enlace.
Entrante 1400 AllowTelegrafInBound 9172 Cualquiera Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 1500 AllowAgentJmsInBound 4001, 4002 Cualquiera Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.

NSG creado por el implementador de la máquina virtual de Jump Box temporal

Durante los flujos de trabajo relacionados con la implementación del pod, como la implementación de un pod o la adición de una configuración de puerta de enlace a un pod, la instancia de Jump Box temporal también tiene un NSG en su grupo de recursos de Jump Box temporal. Este NSG se elimina cuando se elimina el grupo de recursos de Jump Box, al finalizar el flujo de trabajo.

Tabla 10. Reglas de NSG creadas por el implementador en la NIC de administración de la máquina virtual de Jump Box
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 100 AllowSSHInBound 22 Cualquiera Cualquiera Cualquiera Permitir Como se describe en el tema Requisitos de DNS para un pod de Horizon Cloud en Microsoft Azure, las operaciones de pod en curso no requieren tráfico de entrada al puerto 22 de la máquina virtual de Jump Box de corta duración. Sin embargo, si durante las operaciones de estado estable se realiza una solicitud de soporte a VMware y el equipo de soporte determina el modo de solucionar el problema de la solicitud es implementar una máquina virtual de Jump Box para la comunicación SSH con la máquina virtual del administrador de pods, esta regla de NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia.
Saliente 100 AllowSSHOutbound 22 TCP Subred de administración Subred de administración Permitir Para que la máquina virtual de Jump Box realice sus funciones diseñadas de configuración del resto de máquinas virtuales implementadas por el servicio, según lo requiera el servicio.
Saliente 101 AllowHttpsOutbound 443 TCP Subred de administración Cualquiera Permitir Para que la máquina virtual de Jump Box descargue componentes de software específicos ubicados externamente, como la CLI de Microsoft Azure (interfaz de línea de comandos). Jump Box utiliza este software para realizar sus funciones diseñadas de configuración del resto de máquinas virtuales implementadas por el servicio.
Saliente 102 AllowHttpOutbound 80 TCP Subred de administración Cualquiera Permitir Para que la máquina virtual de Jump Box descargue componentes de software de ubicación externa específicos, como las actualizaciones de software de Ubuntu para las máquinas virtuales basadas en Linux del pod. Jump Box utiliza este software para realizar sus funciones diseñadas de configuración del resto de máquinas virtuales implementadas por el servicio.
Saliente 103 AllowUagOutbound 9443 TCP Subred de administración Subred de administración Permitir Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP.
Saliente 104 AllowDnsOutbound 53 Cualquiera Subred de administración Cualquiera Permitir Para que la máquina virtual de Jump Box acceda a los servicios DNS.
Saliente 1000 DenyAllOutBound Cualquiera TCP Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de salida de esta NIC mediante TCP a los elementos de las filas anteriores.