Para cada pod de Horizon Cloud implementado en la suscripción de Microsoft Azure, también se crea un grupo de seguridad de red (NSG) en el grupo de recursos del pod para que actúe como plantilla. Puede utilizar esta plantilla para asegurarse de que haya abierto los puertos adicionales que necesite para las aplicaciones remotas o los escritorios RDS proporcionados por las granjas.
En Microsoft Azure, un grupo de seguridad de red (NSG) controla el tráfico de red a los recursos conectados a redes virtuales (VNet) de Azure. Un NSG define las reglas de seguridad que permiten o deniegan ese tráfico de red. Para obtener información más detallada sobre cómo los NSG filtran el tráfico de red, consulte el tema de la documentación de Microsoft Azure Filtrar tráfico de red con grupos de seguridad de red.
Cuando se implementa un pod de Horizon Cloud en Microsoft Azure, se crea un NSG denominado vmw-hcs-podID-nsg-template en el mismo grupo de recursos del pod con el nombre vmw-hcs-podID, donde podID es el ID del pod. Puede obtener el ID del pod en la página de detalles del pod, desplazándose desde la página Capacidad de Horizon Universal Console.
De forma predeterminada:
- Microsoft Azure crea automáticamente algunas reglas predeterminadas en cada NSG, cuando se crea. En cada NSG que se crea, Microsoft Azure crea algunas reglas de entrada y de salida con prioridad 65000 y superior. Estas reglas predeterminadas de Microsoft Azure no se describen en este tema de la documentación, ya que Microsoft Azure las crea automáticamente cuando un sistema crea un NSG en Microsoft Azure. Estas reglas no se crean mediante Horizon Cloud. Para obtener más información sobre estas reglas predeterminadas, consulte el tema de la documentación de Microsoft Azure Reglas de seguridad predeterminadas.
- El implementador de pods de Horizon Cloud crea las siguientes reglas de seguridad de entrada en el NSG de plantilla del pod. Estas reglas de seguridad entrante predeterminadas permiten el acceso de los clientes de usuario final a las aplicaciones remotas y los escritorios de sesión RDS para el redireccionamiento USB, PCOIP y Blast.
| Prioridad | Nombre | Puerto | Protocolo | Origen | Destino | Acción |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | Internet | Cualquiera | Permitir |
| 1100 | AllowBlastTcpIn | 22443 | TCP | Internet | Cualquiera | Permitir |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | Cualquiera | Permitir |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | Cualquiera | Permitir |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | Cualquiera | Permitir |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | Cualquiera | Permitir |
Además de este NSG de plantilla, cuando se crea una granja, el sistema crea un NSG para esa granja copiando el NSG de plantilla. Cada granja tiene su propio NSG que es una copia del NSG de plantilla. Se asigna un NSG de la granja a las NIC de las máquinas virtuales (VM) de esa granja. De forma predeterminada, cada granja utiliza las mismas reglas de seguridad predeterminadas que las que están configuradas en el NSG de plantilla del pod.
Se pueden modificar el NSG de plantilla y los NSG por granja. Por ejemplo, si tiene una aplicación en una granja que sabe que necesita un puerto adicional abierto para dicha aplicación, se recomienda modificar el NSG de esa granja para permitir el tráfico de red en ese puerto. Si va a crear varias granjas que necesitan el mismo puerto abierto, una manera sencilla de admitir este escenario es editar el NSG de plantilla antes de crear esas granjas.
