El objetivo de este tema de la documentación es explicarle lo que verá después de utilizar un entorno de Horizon Cloud first-gen para crear un pod en su suscripción de Microsoft Azure y, posteriormente, iniciar sesión en el portal de Microsoft Azure y examinar lo que el implementador del pod creó allí. Como parte de la implementación del pod en Microsoft Azure, el proceso de implementación automatizada crea un conjunto de grupos de seguridad de red (NSG) y asocia cada uno a interfaces de red individuales (NIC) específicas que se encuentran en cada una de las máquinas virtuales relacionadas con el pod controladas por VMware. Estas máquinas virtuales relacionadas con el pod son las máquinas virtuales del administrador de pods y las máquinas virtuales que se implementan cuando el pod se configura con Unified Access Gateway.

Antes de leer esta página

Antes de leer esta página, tenga en cuenta los siguientes puntos.

Recordatorio: Como se describe en el artículo 92424 de la base de conocimientos, se anuncia la fecha de fin de disponibilidad del plano de control de Horizon Cloud first-gen. La documentación del producto Horizon Cloud first-gen se actualizó para estar en conformidad con ese anuncio.
Nota: Como se describe en el artículo 93762 de la base de conocimientos, la función de Supervisión de la infraestructura de Horizon se ha retirado y los arrendatarios de first-gen ya no pueden activarla ni utilizarla. A partir de octubre de 2023, la información de esta página que anteriormente estaba relacionada con esa función obsoleta se actualizó del modo correspondiente.
Atención: Esta información se aplica únicamente cuando tenga acceso a un entorno de arrendatario de first-gen en el plano de control de first-gen. Como se describe en el artículo 92424 de la base de conocimientos, el plano de control de first-gen ha llegado a la fecha de fin de disponibilidad (EOA). Consulte el artículo para obtener información.

A partir de agosto de 2022, Horizon Cloud Service - next-gen tiene disponibilidad general y cuenta con su propia guía, Uso del plano de control de Horizon next gen.

Una indicación del entorno que se tiene (next-gen o first-gen) es el patrón que aparece en el campo de URL del navegador después de iniciar sesión en el entorno y ver la etiqueta Horizon Universal Console. En entornos de next-gen, la dirección URL de la consola contiene un fragmento como /hcsadmin/. La URL de la consola de first-gen muestra una sección diferente (/horizonadmin/).

Introducción general

El implementador de pods asocia el NSG adecuado creado por el implementador con la NIC adecuada, según el diseño y la arquitectura de VMware para el pod. Estos NSG se utilizan en el nivel de NIC para garantizar que cada NIC de un dispositivo administrado por VMware en concreto pueda recibir el tráfico que el dispositivo administrado por VMware debe recibir para el servicio estándar y las operaciones de pod en la subred conectada de la NIC, y para bloquear todo el tráfico que se supone que el dispositivo no debería recibir. Cada NSG contiene un conjunto de reglas de seguridad que definen el tráfico permitido hacia y desde cada NIC.

Los NSG que se describen aquí son independientes de los que se utilizan para las máquinas virtuales base, las granjas y los escritorios VDI aprovisionados por el pod cuando se crean mediante Horizon Universal Console. Los NSG tienen información de uso diferente. Para obtener información sobre los NSG, consulte los siguientes temas:

Advertencia: Las reglas de NSG creadas por el implementador que se describen aquí son requisitos de configuración del servicio. Nunca se debe eliminar ni editar ninguno de los NSG Horizon Cloud que se crean automáticamente y se asocian a las NIC de las máquinas virtuales del pod. Esta instrucción incluye acciones como las siguientes:
  • Copiar o mover estos NSG o estas reglas de NSG a cualquier subred utilizada por Horizon Cloud
  • Copiar o mover estos NSG o reglas de NSG entre las NIC que están asociadas a las máquinas virtuales del pod.

Los NSG creados por Horizon Cloud y las reglas dentro de ellos son específicos de las NIC y las máquinas virtuales específicas a las que están conectados, y son expresamente para los fines de esas NIC y máquinas virtuales. Cualquier cambio en los NSG o las reglas, o cualquier intento de usarlos para cualquier otro fin, incluso en las mismas subredes a las que están asociadas dichas NIC, probablemente provocará una interrupción en el tráfico de red requerido hacia y desde las NIC a las que están conectados. Esto puede provocar que se interrumpan todas las operaciones del pod. Horizon Cloud administra el ciclo de vida de estos NSG y existen razones específicas para cada uno. Estas razones incluyen:

  • La capacidad del plano de control de la nube para comunicarse con el pod.
  • Administración de la infraestructura del pod
  • Operaciones de ciclo de vida del pod
Dado que estos NSG creados por el implementador son requisitos de configuración del servicio, los intentos de cambiarlos o moverlos se consideran un uso no compatible de Horizon Cloud y un uso incorrecto de las ofertas de servicios, como se describe en el Acuerdo de nivel de servicio para el servicio VMware Horizon.

Sin embargo, puede crear sus propios NSG que contengan las reglas de su propia organización dentro de los grupos de recursos fuera de los grupos de recursos del pod que se crean y administran automáticamente mediante Horizon Cloud para las máquinas virtuales del pod. Las reglas de su propio NSG no deben entrar en conflicto con los requisitos de Horizon Cloud para la administración y las operaciones de las máquinas virtuales del pod. Este NSG debe asociarse a las subredes de administración, arrendatario y DMZ que utiliza el pod. Si crea sus propios NSG dentro de los grupos de recursos administrados por Horizon Cloud, se producirá un error durante las acciones de eliminación en los grupos de recursos administrados de Horizon Cloud si sus NSG en dichos grupos de recursos se asocian a un recurso que reside en un grupo de recursos distinto.

Como se describe en la documentación de Microsoft Azure, el objetivo de un grupo de seguridad de red (NSG) es filtrar el tráfico de red hacia y desde los recursos del entorno de Microsoft Azure mediante reglas de seguridad. Cada regla tiene un conjunto de propiedades, como el origen, el destino, el puerto, el protocolo, etc., que determinan el tráfico permitido para los recursos a los que está asociado el NSG. Las instancias de NSG que Horizon Cloud crea automáticamente y asocia con las NIC de las máquinas virtuales del pod controladas por VMware contienen reglas específicas que Horizon Cloud ha determinado que se necesitan para la administración del servicio del pod, para la correcta ejecución de las operaciones del pod en curso y para administrar el ciclo de vida del pod. Por lo general, cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de pod que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Consulte también Requisitos de puertos y protocolos para un pod de Horizon Cloud.

En las secciones que aparecen a continuación, se enumeran las reglas de NSG que Horizon Cloud define en los NSG.

Aspectos generales sobre estos NSG

Esta lista se aplica a todos los NSG creados por el implementador que el implementador asocia con NIC específicas en las máquinas virtuales relacionadas con el pod.

  • Estos NSG creados de VMware son para la seguridad de los dispositivos de software controlados de VMware. Cuando VMware agrega nuevo software a la suscripción y se requieren reglas adicionales, esas nuevas reglas se agregan a estos NSG.
  • En el portal de Microsoft Azure, los NSG tienen nombres que contienen el patrón vmw-hcs-podUUID, donde podUUID es el identificador del pod, excepto los NSG que son para una configuración de puerta de enlace externa que se implementa en su propia VNet. En ese caso, los NSG relevantes de la puerta de enlace tienen nombres que contienen el patrón vmw-hcs-ID, donde ID es el identificador de implementación para dicha puerta de enlace externa.
    Nota: Para el escenario en el que la configuración de la puerta de enlace externa se implementa en una suscripción independiente mediante la opción para realizar la implementación en un grupo de recursos existente creado previamente en esa suscripción, el NSG de la NIC de administración de la máquina virtual del conector de puerta de enlace se denomina bajo un patrón basado en el nombre del grupo de recursos, en lugar del patrón vmw-hcs-podUUID. Por ejemplo, si ese grupo de recursos se denomina hcsgateways, en el grupo de recursos, Horizon Cloud crea un NSG denominado hcsgateways-mgmt-nsg y asocia ese NSG con la NIC de administración de la máquina virtual del conector de puerta de enlace.

    Para encontrar estos identificadores, vaya a los detalles del pod desde la página Capacidad de la consola administrativa.

    Nota: Cuando se elige que la instancia de Unified Access Gateway externa del pod utilice un grupo de recursos personalizado, el nombre del NSG creado por el implementador de la máquina virtual del conector de puerta de enlace contiene el nombre del grupo de recursos personalizado en lugar del patrón vmw-hcs-identificador. Por ejemplo, si especifica el uso de un grupo de recursos personalizado con el nombre ourhcspodgateway para la puerta de enlace externa del pod, los NSG que el implementador crea y se asocian con la NIC de la máquina virtual de puerta de enlace se denominarán ourhcspodgateway-mgmt-nsg.
  • Los NSG se encuentran en el mismo grupo de recursos que las máquinas virtuales y las NIC a las que están asociados. Como ejemplo, los NSG asociados a las NIC de las máquinas virtuales de Unified Access Gateway de tipo externo se encuentran en el grupo de recursos con el nombre vmw-hcs-podUUID-uag, cuando la puerta de enlace externa se implementa en la VNet del pod y utilizando un grupo de recursos creado por el implementador. Consulte también Arrendatarios de first-gen: grupos de recursos creados para un pod implementado en Microsoft Azure.
  • Horizon Cloud puede agregar nuevas reglas o modificar estas reglas, según corresponda, para garantizar la capacidad de mantenimiento del servicio.
  • Durante una actualización del pod, se conservan las reglas y los NSG. No se eliminarán.
  • Las reglas de Horizon Cloud comienzan con la prioridad 1000 y las prioridades normalmente aumentan en incrementos de 100. Las reglas de Horizon Cloud terminan con una regla con la prioridad 3000.
  • Las reglas de AllowAzureInBound para la dirección IP 168.63.129.16 de origen proporcionan al NSG la aceptación de la comunicación de entrada desde la plataforma de Microsoft Azure, como se describe en el tema de la documentación de Microsoft Azure ¿Qué es la dirección IP 168.63.129.16?. Todas las máquinas virtuales relacionadas con el pod son máquinas virtuales de Microsoft Azure. Como se describe en el tema de la documentación de Microsoft Azure, su dirección IP 168.63.129.16 facilita varias tareas de administración de máquina virtual que la plataforma de nube de Microsoft Azure hace para todas las máquinas virtuales en su nube. Por ejemplo, esta dirección IP facilita que el agente de la máquina virtual que se encuentra dentro de la máquina virtual se comunique con la plataforma de Microsoft Azure para indicar que la máquina virtual está en estado Listo.
  • En los NSG para las instancias de Unified Access Gateway, las reglas AllowPcoipUdpInBound se establecen para cualquier puerto, ya que el tráfico PCoIP utiliza números de puerto variables en el rango a partir de 4173, por lo que el tráfico no se puede restringir a un conjunto específico de puertos.
  • Microsoft Azure crea automáticamente algunas reglas predeterminadas en cada NSG, cuando se crea. En cada NSG que se crea, Microsoft Azure crea algunas reglas de entrada y de salida con prioridad 65000 y superior. Estas reglas predeterminadas de Microsoft Azure no se describen en este tema de la documentación, ya que Microsoft Azure las crea automáticamente. Para obtener más información sobre estas reglas predeterminadas, consulte el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
  • Cada regla definida en estos NSG está destinada a proporcionar el tráfico de puerto de las operaciones de pod que forma parte de la distribución del servicio para los fines empresariales estándar de una suscripción de Horizon Cloud, como los casos prácticos de VDI de escritorios virtuales que suministran escritorios virtuales a los usuarios finales. Consulte también Requisitos de puertos y protocolos para un pod de Horizon Cloud.
  • Cuando se edita el pod para especificar subredes de arrendatarios adicionales para usarlas con las granjas y las asignaciones de escritorios VDI, las reglas de los NSG relacionados con la subred de arrendatarios en las NIC de las máquinas virtuales del administrador de pods y las máquinas virtuales de Unified Access Gateway se actualizan para incluir dichas subredes de arrendatarios adicionales.
  • Si envía una solicitud de soporte a VMware y el equipo de asistencia determina que la forma de abordar esa solicitud es implementar una máquina virtual de Jump Box temporal, esta instancia temporal de Jump Box tiene un NSG en su grupo de recursos de Jump Box temporal. Este NSG se elimina cuando se borra el grupo de recursos de Jump Box porque el equipo de soporte terminó.

NSG creados por el implementador de la máquina virtual del administrador de pods

La máquina virtual del administrador de pods tiene dos NIC, una conectada a la subred de administración y la otra conectada a la subred del arrendatario. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.

  • La NIC de administración tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-mgmt-nsg.
  • La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-tenant-nsg.

En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos del pod con el nombre definido bajo el patrón vmw-hcs- podUUID.

Tabla 1. Reglas de NSG creados por el implementador en la NIC de administración de la máquina virtual del administrador de pods
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Objetivo de la regla
Entrante 1000 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Permitir Si durante las operaciones de estado estable se envía una solicitud de soporte a VMware y el equipo de asistencia determina que el modo de solucionar el problema de la solicitud es implementar una máquina virtual de Jump Box para la comunicación SSH con la máquina virtual del administrador de pods, esta regla NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia. La máquina virtual de Jump Box de corta duración se comunica con una máquina virtual del administrador de pods mediante SSH con el puerto 22 de la máquina virtual. Las operaciones de pod diarias no requieren la disponibilidad del puerto 22 en la máquina virtual del administrador de pods.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowHttpsInBound 443 Cualquiera Subred de administración Cualquiera Permitir Para que el plano de control de la nube se comunique de forma segura con el endpoint de REST API del administrador de pods.
Entrante 1300 AllowApacheGeodeInBound 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 Cualquiera Subred de administración Cualquiera Permitir Estos puertos se utilizan para replicar las sesiones de usuario y la información relacionada con recursos compartidos de archivos entre las máquinas virtuales del administrador de pods.
Entrante 1400 AllowTelegrafInBound 9172 Cualquiera Subred de administración Cualquiera Permitir Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware.
Entrante 1500 AllowAgentJmsInBound 4001, 4002 Cualquiera Subred de administración Cualquiera Permitir Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Tabla 2. Reglas de NSG creados por el implementador en la NIC del arrendatario de la máquina virtual del administrador de pods
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Cualquiera Permitir Esta regla proporciona un escenario atípico en el que es posible que haya informado a los usuarios finales internos (en la red corporativa, por ejemplo, a través de VPN) para establecer sus conexiones cliente a un FQDN que haya asignado al equilibrador de carga de Microsoft Azure del pod. Este escenario a veces se denomina conexión de pod directo. Para la solicitud de autenticación de inicio de sesión al administrador de pods, Horizon Client y el cliente web de Horizon utilizan el puerto 443. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1100 AllowAgentHttpsInBound

3443

8443

TCP Subred del arrendatario Cualquiera Permitir

El puerto 3443 de entrada a esta NIC lo utiliza App Volumes Agent en las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja para acceder al servicio App Volumes Manager que se ejecuta en el administrador de pods.

El puerto 8443 de entrada a esta NIC lo utilizan las instancias de Unified Access Gateway para realizar la comprobación con el administrador de pods. Las instancias de puerta de enlace utilizan este endpoint para confirmar el envío de nuevas solicitudes de conexión de cliente al administrador de pods.

Entrante 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Cualquiera Permitir Para que el código resulte coherente y facilitar el mantenimiento, el implementador de pods siempre escribe esta regla en este NSG.

En una implementación donde la puerta de enlace externa del pod se implementa en su propia VNet independiente del pod, esta regla admite el tráfico de entrada de las instancias de Unified Access Gateway de la puerta de enlace externa para realizar la comprobación con el administrador de pods. Las instancias de puerta de enlace utilizan este endpoint para confirmar el envío de nuevas solicitudes de conexión de cliente al administrador de pods.

Entrante 1120 AllowUagHttpsInBound 8443 TCP Subred de administración Cualquiera Permitir Esta regla está planificada para su uso en una futura versión de servicio.
Entrante 1200 AllowAgentJmsInBound

4001

4002

TCP Subred del arrendatario Cualquiera Permitir

Los agentes de Horizon de las máquinas virtuales base, las máquinas virtuales de escritorio y las máquinas virtuales RDSH de granja usan estos puertos.

El puerto 4001 es para Java Message Service (JMS sin SSL), que el agente utiliza en la máquina virtual para comunicarse con el pod como parte del proceso de verificación mediante huella digital de certificado e intercambio para proteger una conexión SSL con el pod.

Una vez que las claves se negocian e intercambian entre la máquina virtual y el administrador de pods, el agente utiliza el puerto 4002 para crear una conexión SSL segura.
Nota: Los puertos 4001 y 4002 son necesarios para las operaciones de estado estable. En ocasiones, es posible que el agente tenga que volver a establecer la clave con el pod.
Entrante 1210 AllowRouterJmsInBound 4101 TCP Subred del arrendatario Cualquiera Permitir Cuando un pod está habilitado para alta disponibilidad (HA), este tráfico es el enrutamiento JMS entre las máquinas virtuales del administrador de pods (nodo-1 y nodo-2)
Entrante 1300 AllowAgentUdpInBound 5678 UDP Subred del arrendatario Cualquiera Permitir Obsoleto para los pods de los manifiestos 1600 y versiones posteriores. En la versión de septiembre de 2019 del servicio, DaaS Agent se incorporó a Horizon Agent a partir del manifiesto del pod 1600. Anteriormente, este puerto 5678 y UDP se usaban para admitir el uso de DaaS Agent.
Entrante 1400 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.

NSG creados por el implementador de la máquina virtual de Unified Access Gateway de tipo externo

Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo externo tiene tres (3) NIC, una conectada a la subred de administración, una conectada a la subred del arrendatario y una conectada a la subred DMZ. El implementador crea un NSG específico para cada una de esas tres NIC y asocia cada NSG con su NIC correspondiente.

  • La NIC de administración tiene un NSG con el nombre definido bajo el patrón vmw-hcs-ID-uag-management-nsg.
  • La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón vmw-hcs-ID-uag-tenant-nsg.
  • La NIC de DMZ tiene un NSG con el nombre definido bajo el patrón vmw-hcs-ID-uag-dmz-nsg.

En el entorno de Microsoft Azure, estos NSG se nombran en el patrón vmw-hcs-ID-uag, donde ID es el identificador del pod, tal como aparece en la página de detalles del pod de la consola, a menos que la puerta de enlace externa se implemente en su propia VNet, independiente de la VNet del pod. En el caso de una puerta de enlace externa implementada en su propia VNet, el ID es el valor de ID de implementación que aparece en la página de detalles del pod.

Tabla 3. Reglas de NSG creados por el implementador en la NIC de administración de las máquinas virtuales de Unified Access Gateway de tipo externo
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound 9443 TCP Subred de administración Cualquiera Permitir Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Permitir Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Agregado por el implementador para denegar el tráfico de salida desde esta NIC.
Tabla 4. Reglas de NSG creados por el implementador en la NIC del arrendatario de la máquinas virtuales de Unified Access Gateway de tipo externo
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1400 AllowPcoipUdpInBound Cualquiera UDP Subred del arrendatario Cualquiera Permitir Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 1000 AllowHttpsOutBound

443

8443

TCP Cualquiera Subred del arrendatario Permitir

Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con las máquinas virtuales del administrador de pods para las nuevas solicitudes de conexión de cliente a los administradores de pods.

Saliente 1100 AllowBlastOutBound 22443 Cualquiera Cualquiera Subred del arrendatario Permitir Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1200 AllowPcoipOutBound 4172 Cualquiera Cualquiera Subred del arrendatario Permitir Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio.
Saliente 1300 AllowUsbOutBound 32111 TCP Cualquiera Subred del arrendatario Permitir Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1400 AllowMmrOutBound 9427 TCP Cualquiera Subred del arrendatario Permitir Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1500 AllowAllOutBound Cualquiera Cualquiera Cualquiera Subred del arrendatario Permitir Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores.
Tabla 5. Reglas de NSG creados por el implementador en la NIC de DMZ de las máquinas virtuales de Unified Access Gateway de tipo externo
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound

80

443

TCP Internet Cualquiera Permitir Esta regla proporciona el tráfico de entrada de los usuarios finales externos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión al administrador de pods. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1100 AllowBlastInBound

443

8443

Cualquiera Internet Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales externos.
Entrante 1200 AllowPcoipInBound 4172 Cualquiera Internet Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales externos.
Entrante 1300 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.

NSG creados por el implementador de la máquina virtual de Unified Access Gateway de tipo interno

Cada una de las máquinas virtuales de la configuración de Unified Access Gateway de tipo interno tiene dos (2) NIC, una conectada a la subred de administración y una conectada a la subred del arrendatario. El implementador crea un NSG específico para cada una de esas dos NIC y asocia cada NSG con su NIC correspondiente.

  • La NIC de administración tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-uag-management-nsg.
  • La NIC del arrendatario tiene un NSG con el nombre definido bajo el patrón vmw-hcs-podUUID-uag-tenant-nsg.

En el entorno de Microsoft Azure, estos NSG residen en el grupo de recursos del pod con el nombre definido bajo el patrón vmw-hcs- podUUID-uag-internal.

Tabla 6. Reglas de NSG creados por el implementador en la NIC de administración de las máquinas virtuales de Unified Access Gateway de tipo interno
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowHttpsInBound 9443 TCP Subred de administración Cualquiera Permitir Para que el servicio configure los ajustes de administración de la puerta de enlace mediante la interfaz de administración. Como se describe en la documentación del producto de Unified Access Gateway, su interfaz de administración se encuentra en el puerto 9443/TCP.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Cualquiera Para que VMware pueda realizar el acceso de emergencia a la máquina virtual si es necesario para la solución de problemas. Se le solicitará permiso antes de cualquier acceso de emergencia.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Agregado por el implementador para denegar el tráfico de salida desde esta NIC.
Tabla 7. Reglas de NSG creados por el implementador en la NIC del arrendatario de las máquinas virtuales de Unified Access Gateway de tipo interno
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Cualquiera Permitir Esta regla proporciona el tráfico de entrada de los usuarios finales internos desde Horizon Client y el cliente web de Horizon para la solicitud de autenticación de inicio de sesión al administrador de pods. De forma predeterminada, las instancias de Horizon Client y el cliente web de Horizon utilizan el puerto 443 para esta solicitud. Para admitir el redireccionamiento sencillo para mayor comodidad de un usuario que quizás pueda escribir HTTP en el cliente en lugar de HTTPS, el tráfico llega al puerto 80 y se redirecciona automáticamente al puerto 443.
Entrante 1200 AllowBlastInBound

443

8443

Cualquiera VirtualNetwork Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de Blast de las instancias de Horizon Client de los usuarios finales internos.
Entrante 1300 AllowPcoipInBound 4172 Cualquiera VirtualNetwork Cualquiera Permitir Esta regla admite las instancias de Unified Access Gateway que reciben el tráfico de PCoIP de las instancias de Horizon Client de los usuarios finales internos.
Entrante 1400 AllowPcoipUdpInBound Cualquiera UDP Subred del arrendatario Cualquiera Permitir Esta regla es compatible con la configuración estándar utilizada para Unified Access Gateway funcionando con Horizon Agent. Las instancias de Horizon Agent de las máquinas virtuales de granja y de escritorio envían los datos de PCoIP de vuelta a las instancias de Unified Access Gateway mediante UDP.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.
Saliente 1000 AllowHttpsOutBound

443

8443

TCP Cualquiera Subred del arrendatario Permitir

Esta regla es compatible con las instancias de Unified Access Gateway que se comunican con las máquinas virtuales del administrador de pods para las nuevas solicitudes de conexión de cliente al pod.

Saliente 1100 AllowBlastOutBound 22443 Cualquiera Cualquiera Subred del arrendatario Permitir Esta regla admite el caso práctico de una sesión de Horizon Client Blast Extreme en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1200 AllowPcoipOutBound 4172 Cualquiera Cualquiera Subred del arrendatario Permitir Esta regla admite el caso práctico de una sesión de Horizon Client PCoIP en Horizon Agent en una máquina virtual de escritorio.
Saliente 1300 AllowUsbOutBound 32111 TCP Cualquiera Subred del arrendatario Permitir Esta regla admite el caso práctico del tráfico de redireccionamiento USB. El redireccionamiento USB es una opción de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 32111 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1400 AllowMmrOutBound 9427 TCP Cualquiera Subred del arrendatario Permitir Esta regla admite los casos prácticos de tráfico de redireccionamiento multimedia (MMR) y redireccionamiento de controlador cliente (CDR). Estos redireccionamientos son opciones de agente en las máquinas virtuales de granja o de escritorio. Ese tráfico utiliza el puerto 9427 para una sesión de cliente de usuario final en Horizon Agent en una máquina virtual de granja o de escritorio.
Saliente 1500 AllowAllOutBound Cualquiera Cualquiera Cualquiera Subred del arrendatario Permitir Cuando se ejecuta en una máquina virtual que admite varias sesiones de usuario, Horizon Agent elige puertos diferentes para usar en el tráfico PCoIP de las sesiones. Dado que estos puertos no pueden determinarse con antelación, una regla de NSG que denomine puertos específicos para permitir el tráfico no se puede definir por adelantado. Por lo tanto, al igual que la regla con la prioridad 1200, esta regla admite el caso práctico de varias sesiones de Horizon Client PCoIP con dichas máquinas virtuales.
Saliente 3000 DenyAllOutBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de salida de esta NIC a los elementos de las filas anteriores.

NSG creado por el implementador de la máquina virtual del conector de puerta de enlace cuando se implementa una puerta de enlace externa en su propia VNet

La máquina virtual del conector de puerta de enlace tiene una única NIC. Esta NIC está conectada a la subred de administración de la VNet de la puerta de enlace externa. El implementador crea un solo NSG y lo asocia específicamente con esa NIC. De forma predeterminada, el NSG creado por el implementador para la NIC de administración del conector de puerta de enlace tiene las mismas reglas que el NSG creado por el implementador para la máquina virtual del administrador de pods.

Tabla 8. Reglas de NSG creada por el implementador en la NIC de administración del conector de la puerta de enlace externa
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 1000 AllowSshInBound 22 Cualquiera Subred de administración Cualquiera Permitir Si durante las operaciones de estado estable se envía una solicitud de soporte a VMware y el equipo de asistencia determina que el modo de solucionar el problema es implementar una máquina virtual de Jump Box para la comunicación SSH con esta máquina virtual del conector de puerta de enlace, esta regla NSG admite este caso práctico. Se le solicitará permiso antes de cualquier acceso de emergencia. La máquina virtual de Jump Box de corta duración se comunica con esta máquina virtual del conector de puerta de enlace mediante SSH con el puerto 22 de la máquina virtual. Las operaciones de pod diarias no requieren la disponibilidad del puerto 22 en la máquina virtual del conector de puerta de enlace.
Entrante 1100 AllowAzureInBound Cualquiera Cualquiera 168.63.129.16 Cualquiera Permitir Para que la máquina virtual acepte la comunicación de entrada de la plataforma Microsoft Azure, como se describe en la anterior sección de cuestiones generales y en el tema de la documentación de Microsoft Azure Qué es la dirección IP 168.63.129.16.
Entrante 1200 AllowHttpsInBound 443 Cualquiera Subred de administración Cualquiera Permitir Para que el plano de control de la nube se comunique de forma segura con el endpoint de REST API del conector de puerta de enlace.
Entrante 1300 AllowApacheGeodeInBound 10334 - 10336, 41000-41002, 41100-41102, 42000-42002 Cualquiera Subred de administración Cualquiera Permitir Estos puertos se utilizan para replicar las sesiones de usuario y la información relacionada con recursos compartidos de archivos en las máquinas virtuales del administrador de pods y las máquinas virtuales del conector de puerta de enlace.
Entrante 1400 AllowTelegrafInBound 9172 Cualquiera Subred de administración Cualquiera Permitir Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware.
Entrante 1500 AllowAgentJmsInBound 4001, 4002 Cualquiera Subred de administración Cualquiera Permitir Obsoleto. Esta instancia de NSG fue utilizada por la función de Supervisión de la infraestructura de Horizon, que está obsoleta como se describe en el artículo 93762 de la base de conocimientos de VMware.
Entrante 3000 DenyAllInBound Cualquiera Cualquiera Cualquiera Cualquiera Denegar Lo agrega el implementador para limitar el tráfico de entrada de esta NIC a los elementos de las filas anteriores.

NSG creado por el implementador de la máquina virtual de Jump Box temporal

Si envía una solicitud de soporte a VMware y el equipo de asistencia determina que la forma de abordar esa solicitud es implementar una máquina virtual de Jump Box temporal, esta instancia temporal de Jump Box tiene un NSG en su grupo de recursos de Jump Box temporal. Este NSG se elimina cuando el grupo de recursos de Jump Box se elimina cuando el equipo de soporte ha completado dicho trabajo. Se le solicitará permiso antes de cualquier acceso de emergencia.

Tabla 9. Reglas NSG creadas por el servicio en la NIC de administración de la máquina virtual de Jump Box temporal
Dirección Prioridad Nombre Puertos Protocolo Origen Destino Acción Propósito
Entrante 100 AllowSSHInBound 22 Cualquiera Subred de administración Subred de administración Permitir Para la comunicación SSH con los dispositivos administrados por VMware involucrados en la investigación del equipo de soporte de VMware para la solicitud de servicio. La máquina virtual de Jump Box de corta duración se comunica mediante SSH y el puerto 22.
Nota: En los casos en los que el plano de control de nube haya perdido el acceso al pod, el equipo de asistencia puede implementar un Jump Box de emergencia con una IP pública para establecer acceso al pod. Ese escenario requerirá que esta regla tenga Source=Any y Destination=Any.
Saliente 100 AllowSSHOutbound 22 TCP Subred de administración Subred de administración Permitir Para que la máquina virtual de Jump Box ejecute sus funciones diseñadas.
Saliente 101 AllowHttpsOutbound 443 TCP Subred de administración Cualquiera Permitir Para que la máquina virtual de Jump Box descargue componentes de software específicos ubicados externamente, como la CLI (interfaz de línea de comandos) de Microsoft Azure, con el fin de realizar las funciones para la que se la diseñó.
Saliente 102 AllowHttpOutbound 80 TCP Subred de administración Cualquiera Permitir Para que la máquina virtual de Jump Box descargue componentes de software específicos ubicados externamente, como las actualizaciones de software de Ubuntu, con el fin de realizar las funciones para la que se la diseñó.
Saliente 103 AllowUagOutbound 9443 TCP Subred de administración Subred de administración Permitir Para que la máquina virtual de Jump Box realice las funciones para la que se la diseñó relacionadas con la configuración de administración de puerta de enlace mediante la interfaz de administración de la puerta de enlace.
Saliente 104 AllowDnsOutbound 53 Cualquiera Subred de administración Cualquiera Permitir Para que la máquina virtual de Jump Box acceda a los servicios DNS.
Saliente 105 AllowHttpProxyOutbound Cualquiera TCP Cualquiera Cualquiera Permitir Cuando la implementación del pod está configurada para utilizar un proxy con un puerto de proxy que no es el 80, el implementador de la instancia de temporal de Jump Box crea esta regla en este NSG. Esta regla admite la instancia temporal de Jump Box en un entorno de proxy de este tipo.

Cuando no se especifica ningún proxy en la configuración de la implementación del pod, o se especifica un proxy con el puerto proxy 80, esta regla no aparece en este NSG.

Saliente 1000 DenyAllOutBound Cualquiera TCP Cualquiera Cualquiera Denegar Limita el tráfico saliente de esta NIC mediante TCP a los elementos de las filas anteriores.