L'utilisation de Horizon Cloud Service - next-gen pour créer des dispositifs Horizon Edge et Unified Access Gateway dans votre abonnement Microsoft Azure crée plusieurs groupes de sécurité réseau par défaut. Ces groupes de sécurité s'affichent lorsque vous vous connectez au portail Microsoft Azure et doivent rester tels que fournis.
Dans le cadre du déploiement des dispositifs Horizon Edge et Unified Access Gateway dans Microsoft Azure, le processus de déploiement automatique crée un ensemble de groupes de sécurité réseau (NSG) et associe chacun d'entre eux aux interfaces réseau (cartes réseau) individuelles qui se trouvent sur chaque dispositif Horizon Edge contrôlé par VMware et les machines virtuelles (VM) Unified Access Gateway. Ces VM liées aux dispositifs Edge et UAG sont les VM de la passerelle Edge et les VM déployées lorsque le dispositif Edge est configuré avec Unified Access Gateway.
Présentation globale
Dans Horizon Cloud Service - next-gen, le système de déploiement du dispositif Edge associe le NSG créé par le système de déploiement approprié à la carte réseau adéquate, en fonction de la conception et de l'architecture du dispositif Edge. Ces NSG sont utilisés au niveau de la carte réseau pour vérifier que chaque carte réseau sur un dispositif spécifique géré peut recevoir le trafic que le dispositif géré est censé recevoir pour les opérations de service et de dispositif Edge standard sur le sous-réseau associé à la carte réseau et pour bloquer tout le trafic que ce dispositif n'est pas censé recevoir. Chaque NSG contient un ensemble de règles de sécurité qui définissent le trafic autorisé vers et depuis chaque carte réseau.
Les NSG créés par le système de déploiement décrits ici sont distincts de ceux utilisés pour les VM, les batteries de serveurs et les postes de travail VDI de base qui sont provisionnés par le dispositif Edge lorsque vous les créez à l'aide de la console Horizon Universal Console.
Les NSG créés par Horizon Cloud Service - next-gen et les règles à l'intérieur de ceux-ci sont propres aux cartes réseau et aux machines virtuelles spécifiques auxquelles ils sont attachés. Ils s'appliquent expressément dans le cadre de ces cartes réseau et de ces machines virtuelles. Toute modification apportée à ces NSG ou à ces règles, ou toute tentative de les utiliser à d'autres fins, même sur les mêmes sous-réseaux auxquels ces cartes réseau sont attachées, entraînera probablement une interruption du trafic réseau requis vers et depuis les cartes réseau auxquelles ils sont attachés. Cette interruption peut entraîner à son tour l'interruption de toutes les opérations du dispositif Edge. Le cycle de vie de ces NSG est géré par Horizon Cloud Service - next-gen. Il existe des raisons spécifiques pour chacun d'entre eux.
Étant donné que ces NSG créés par le système de déploiement sont des exigences de configuration du service, si vous tentez de les modifier ou de les déplacer, cela est considéré comme une utilisation non prise en charge d'Horizon Cloud Service - next-gen et une utilisation abusive des offres de service.
Toutefois, vous pouvez créer vos propres NSG contenant les règles de votre organisation dans des groupes de ressources en dehors de ceux du dispositif Edge qui sont créés automatiquement et gérés par Horizon Cloud Service - next-gen pour les VM du dispositif Edge. Les règles de vos propres NSG ne doivent pas entrer en conflit avec les conditions préalables d'Horizon Cloud Service - next-gen pour la gestion et les opérations des VM du dispositif Edge. Ces NSG doivent être attachés aux sous-réseaux de gestion, de locataire et de zone DMZ utilisés par le dispositif Edge. La création de vos propres NSG dans les groupes de ressources gérés par Horizon Cloud Service - next-gen entraîne un échec lors des actions de suppression sur les groupes de ressources gérés par Horizon Cloud Service - next-gen si vos NSG de ces groupes de ressources sont associés à une ressource qui se trouve dans un autre groupe de ressources.
Comme décrit dans la documentation de Microsoft Azure, l'objectif d'un groupe de sécurité réseau (NSG) est de filtrer le trafic réseau vers et depuis les ressources dans votre environnement Microsoft Azure à l'aide de règles de sécurité. Chaque règle dispose d'un ensemble de propriétés, telles que la source, la destination, le port, le protocole, etc. qui déterminent le trafic autorisé pour les ressources auxquelles le NSG est associé. Les NSG qu'Horizon Cloud Service - next-gen crée automatiquement et qu'il associe aux cartes réseau des VM de dispositif Edge contrôlées contiennent des règles spécifiques qu'Horizon Cloud Service - next-gen a jugées nécessaires pour la gestion du dispositif Edge du service, pour l'exécution appropriée des opérations du dispositif Edge en cours et pour la gestion du cycle de vie du dispositif Edge. Généralement, chaque règle définie dans ces NSG est destinée à fournir le trafic de port des opérations du dispositif Edge qui fait partie intégrante de l'exécution des objectifs commerciaux standard du service d'un abonnement à Horizon Cloud Service - next-gen, par exemple les cas d'utilisation VDI de la remise de postes de travail virtuels aux utilisateurs finaux. Pour des informations complémentaires, consultez Configuration requise des ports et des protocoles pour le déploiement d'Horizon 8 Edge.
Les sections ci-dessous répertorient les règles de NSG qu'Horizon Cloud Service - next-gen définit dans ces NSG créés par le système de déploiement.
Informations générales sur les NSG créés par le système de déploiement
Cette liste s'applique à tous les NSG créés par le système de déploiement que celui-ci associe à des cartes réseau spécifiques sur les VM associées au dispositif Edge.
- Ces NSG créés automatiquement sont destinés à la sécurité des dispositifs logiciels contrôlés. Lorsque de nouveaux logiciels sont ajoutés à votre abonnement et que des règles supplémentaires sont requises, ces nouvelles règles sont ajoutées à ces NSG.
- Pour Unified Access Gateway dans le portail Microsoft Azure, les NSG ont des noms qui contiennent le modèle
vmw-hcs-UUID, où UUID est l'identifiant du dispositif Edge, à l'exception des NSG qui sont destinés à une configuration de passerelle externe déployée dans son propre réseau virtuel. Dans ce cas, les NSG appropriés de la passerelle ont des noms qui contiennent le modèlevmw-hcs-ID, où ID est l'ID de déploiement de cette passerelle externe.Note : Pour le scénario dans lequel la configuration de la passerelle externe est déployée dans un abonnement distinct à l'aide de l'option de déploiement dans un groupe de ressources existant que vous avez créé dans cet abonnement, le NSG sur la carte réseau de gestion de la VM du connecteur de passerelle est nommé selon un modèle utilisant le nom du groupe de ressources au lieu du modèlevmw-hcs-UUID. Par exemple, si vous avez nommé ce groupe de ressourceshcsgateways, Horizon Cloud Service - next-gen crée un NSG nomméhcsgateways-mgmt-nsgà l'intérieur et l'associe à la carte réseau de gestion de la VM du connecteur de passerelle.Pour la passerelle Horizon Edge, le NSG dispose du modèle d'attribution de nom
aks-agentpool-ID-nsg, oùIDest un numéro aléatoire ajouté par Microsoft Azure et le NSG fait partie du groupe de ressources avec le mode d'attribution de nomvmw-hcs-UUID-edge-aks-node, oùUUIDest l'identifiant du dispositif Edge.Pour rechercher ces identifiants, vous pouvez accéder aux détails du dispositif Edge sur la page Capacité de la console d'administration.
Note : Lorsque vous choisissez de faire en sorte que l'instance externe d' Unified Access Gateway du dispositif Edge utilise un groupe de ressources personnalisées, le nom du NSG créé par le système de déploiement de la VM du connecteur de passerelle contient le nom de ce groupe de ressources personnalisées au lieu du modèlevmw-hcs-ID. Par exemple, si vous spécifiez l'utilisation d'un groupe de ressources personnalisées nomméourhcspodgatewaypour la passerelle externe de votre dispositif Edge, le NSG que le système de déploiement crée et associe à la carte réseau de la machine virtuelle de la passerelle est nomméourhcspodgateway-mgmt-nsg. - Les NSG sont situés dans le même groupe de ressources que les VM et les cartes réseau auxquelles ils sont associés. Par exemple, les NSG associés aux cartes réseau des VM Unified Access Gateway externes sont situés dans le groupe de ressources nommé
vmw-hcs-UUID-uaglors du déploiement de la passerelle externe dans le réseau virtuel du dispositif Edge et utilisant un groupe de ressources créé par le système de déploiement. - Horizon Cloud peut ajouter des règles ou modifier ces règles selon les besoins afin de garantir la facilité de maintenance du service.
- Les NSG et règles sont conservés lors d'une mise à jour du dispositif Edge. Ils ne seront pas supprimés.
- Les règles Horizon Cloud Service - next-gen commencent à la priorité 1000 et les priorités augmentent généralement par incréments de 100. Les règles Horizon Cloud Service - next-gen se terminent par une règle à la priorité 3000.
- Les règles
AllowAzureInBoundrelatives à l'adresse IP source 168.63.129.16 permettent aux NSG d'accepter les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la rubrique Qu'est-ce que l'adresse IP 168.63.129.16 ? de la documentation de Microsoft Azure. Toutes les VM associées au dispositif Edge se trouvent dans Microsoft Azure. Comme décrit dans la rubrique de la documentation de Microsoft Azure, leur adresse IP 168.63.129.16 facilite les différentes tâches de gestion de VM que la plate-forme de cloud Microsoft Azure effectue pour toutes les VM de leur cloud. Par exemple, cette adresse IP facilite l'utilisation de l'agent sur la VM pour communiquer avec la plate-forme Microsoft Azure afin d'indiquer que l'état de la VM est Prêt. - Microsoft Azure crée automatiquement des règles par défaut dans chaque NSG au moment de sa création. Dans chaque NSG créé, Microsoft Azure crée des règles de trafic entrant et sortant à la priorité 65000 et suivantes. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.
- Chaque règle définie dans ces NSG est destinée à fournir le trafic de port des opérations du dispositif Edge qui fait partie intégrante de l'exécution des objectifs commerciaux standard du service d'un abonnement Horizon Cloud Service - next-gen, par exemple les cas d'utilisation VDI de la remise de postes de travail virtuels aux utilisateurs finaux. Pour des informations complémentaires, consultez Configuration requise des ports et des protocoles pour le déploiement d'Horizon 8 Edge.
- Lorsque vous modifiez votre dispositif Edge pour spécifier des sous-réseaux de locataires supplémentaires à utiliser avec des batteries de serveurs et des attributions de poste de travail VDI, les règles dans les NSG liés au sous-réseau de locataire sur les VM de la passerelle Edge et les cartes réseau des VM Unified Access Gateway sont mises à jour afin d'inclure ces sous-réseaux de locataires supplémentaires.
NSG créés par le système de déploiement AKS de la passerelle Edge
L'AKS de la passerelle Edge dispose d'un groupe identique de machines virtuelles (VM) dans lequel une carte réseau est connectée au sous-réseau de gestion pour chaque instance de machine virtuelle. Microsoft Azure crée automatiquement un NSG spécifique et l'associe à toutes les cartes réseau associées aux instances du groupe identique de VM.
Pour le type de VM de la passerelle Edge, nous ne créons actuellement aucun NSG.
Dans votre environnement Microsoft Azure, le NSG AKS Edge réside dans le groupe de ressources du nœud AKS du dispositif Edge, qui est nommé selon le modèle vmw-hcs-UUID-edge-aks-node.
aks-agentpool-ID-nsg, où
ID est un numéro aléatoire attribué par Microsoft Azure.
Comme indiqué précédemment, Microsoft Azure crée les règles affichées par défaut dans les tableaux suivants, comme décrit dans la rubrique de la documentation de Microsoft Azure Règles de sécurité par défaut.
| Priorité | Nom | Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|---|---|
| 65 000 | AllowVnetInBound | Toutes | Toutes | VirtualNetwork | VirtualNetwork | Autoriser |
| 65 001 | AllowAzureLoadBalancerInBound | Toutes | Toutes | AzureLoadBalancer | Toutes | Autoriser |
| 65 500 | DenyAllInbound | Toutes | Toutes | Toutes | Toutes | Refuser |
| Priorité | Nom | Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|---|---|
| 65 000 | AllowVnetOutBound | Toutes | Toutes | VirtualNetwork | VirtualNetwork | Autoriser |
| 65 001 | AllowInternetOutBound | Toutes | Toutes | Toutes | Internet | Autoriser |
| 65 500 | DenyAllOutbound | Toutes | Toutes | Toutes | Toutes | Refuser |
NSG créés par le système de déploiement des VM Unified Access Gateway externes
Chacune des VM pour la configuration externe d'Unified Access Gateway dispose de trois (3) cartes réseau : une connectée au sous-réseau de gestion, une connectée au sous-réseau de locataire et une autre connectée au sous-réseau de zone DMZ. Le système de déploiement crée un NSG spécifique pour chacune de ces trois cartes réseau et associe chaque NSG à sa carte réseau appropriée.
- La carte réseau de gestion dispose d'un NSG nommé dans le modèle
vmw-hcs-ID-uag-management-nsg. - La carte réseau de locataire dispose d'un NSG nommé dans le modèle
vmw-hcs-ID-uag-tenant-nsg. - La carte réseau de la zone DMZ dispose d'un NSG nommé dans le modèle
vmw-hcs-ID-uag-dmz-nsg.
Dans votre environnement Microsoft Azure, ces NSG sont nommés selon le modèle vmw-hcs-ID-uag où ID est l'ID du dispositif Edge tel qu'il est affiché sur la page de détails du dispositif Edge dans la console, sauf si la passerelle externe est déployée dans son propre réseau virtuel distinct de celui du dispositif Edge. Dans le cas d'une passerelle externe déployée dans son propre réseau virtuel, l'ID est la valeur de l'ID de déploiement affichée sur la page de détails du dispositif Edge.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 9443 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP. |
| Entrant | 1100 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1200 | AllowSshInBound | 22 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Pour que VMware effectue un accès d'urgence à la VM si nécessaire à des fins de dépannage. L'autorisation vous est demandée avant tout accès d'urgence. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour refuser le trafic sortant de cette carte réseau. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1400 | AllowPcoipUdpInBound | Toutes | UDP | Sous-réseau de locataire | Toutes | Autoriser | Cette règle prend en charge la configuration standard utilisée pour Unified Access Gateway utilisant Horizon Agent. Les agents Horizon Agent sur les VM de poste de travail et de batterie de serveurs renvoient les données PCoIP aux instances d'Unified Access Gateway à l'aide d'UDP. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway communiquant avec les VM de la passerelle Edge pour l'envoi de nouvelles demandes de connexion client aux passerelles Edge. |
| Sortant | 1100 | AllowBlastOutBound | 22443 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client Blast Extreme dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1200 | AllowPcoipOutBound | 4172 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client PCoIP dans Horizon Agent sur une VM de poste de travail. |
| Sortant | 1300 | AllowUsbOutBound | 32111 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation du trafic de redirection USB. La redirection USB est une option d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 32 111 pour une session client de l'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1400 | AllowMmrOutBound | 9427 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les cas d'utilisation du trafic de redirection multimédia (MMR) et de redirection de pilote client (CDR). Ces redirections sont des options d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 9427, pour une session cliente d'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1500 | AllowAllOutBound | Toutes | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Lors de l'exécution sur une machine virtuelle prenant en charge plusieurs sessions utilisateur, Horizon Agent choisit des ports différents à utiliser pour le trafic PCoIP des sessions. Étant donné que ces ports ne peuvent pas être déterminés à l'avance, vous ne pouvez pas définir à l'avance une règle de NSG nommant des ports spécifiques pour autoriser le trafic. Par conséquent, comme pour la règle à la priorité 1200, cette règle prend en charge le cas d'utilisation de plusieurs sessions PCoIP d'Horizon Client avec ces VM. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau aux éléments des lignes précédentes. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Toutes | Autoriser | Cette règle fournit le trafic entrant des utilisateurs finaux externes à partir des clients Horizon Client et du client Web Horizon pour demander l'authentification de connexion à la passerelle Edge. Par défaut, Horizon Client et le client Web Horizon utilisent le port 443 pour cette demande. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443. |
| Entrant | 1100 | AllowBlastInBound | 443 8443 |
Toutes | Internet | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic Blast des clients Horizon Client d'utilisateurs finaux externes. |
| Entrant | 1200 | AllowPcoipInBound | 4172 | Toutes | Internet | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic PCoIP des clients Horizon Client d'utilisateurs finaux externes. |
| Entrant | 1300 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
NSG créés par le système de déploiement des VM Unified Access Gateway internes
Chacune des VM de la configuration interne d'Unified Access Gateway dispose de deux (2) cartes réseau : une connectée au sous-réseau de gestion et une autre connectée au sous-réseau de locataire. Le système de déploiement crée un NSG spécifique pour chacune de ces deux cartes réseau et associe chaque NSG à sa carte réseau appropriée.
- La carte réseau de gestion dispose d'un NSG nommé dans le modèle
vmw-hcs-podUUID-uag-management-nsg. - La carte réseau de locataire dispose d'un NSG nommé dans le modèle
vmw-hcs-podUUID-uag-tenant-nsg.
Dans votre environnement Microsoft Azure, ces NSG se trouvent dans le groupe de ressources du dispositif Edge nommé selon le modèle vmw-hcs-podUUID-uag-internal.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 9443 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP. |
| Entrant | 1100 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1200 | AllowSshInBound | 22 | Toutes | Sous-réseau de gestion | Toutes | Toutes | Pour que VMware effectue un accès d'urgence à la VM si nécessaire à des fins de dépannage. L'autorisation vous est demandée avant tout accès d'urgence. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour refuser le trafic sortant de cette carte réseau. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Toutes | Autoriser | Cette règle fournit le trafic entrant des utilisateurs finaux internes à partir des clients Horizon Client et du client Web Horizon pour demander l'authentification de connexion à la passerelle Edge. Par défaut, Horizon Client et le client Web Horizon utilisent le port 443 pour cette demande. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443. |
| Entrant | 1200 | AllowBlastInBound | 443 8443 |
Toutes | VirtualNetwork | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic Blast des clients Horizon Client d'utilisateurs finaux internes. |
| Entrant | 1300 | AllowPcoipInBound | 4172 | Toutes | VirtualNetwork | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic PCoIP des clients Horizon Client d'utilisateurs finaux internes. |
| Entrant | 1400 | AllowPcoipUdpInBound | Toutes | UDP | Sous-réseau de locataire | Toutes | Autoriser | Cette règle prend en charge la configuration standard utilisée pour Unified Access Gateway utilisant Horizon Agent. Les agents Horizon Agent sur les VM de poste de travail et de batterie de serveurs renvoient les données PCoIP aux instances d'Unified Access Gateway à l'aide d'UDP. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway communiquant avec les VM de la passerelle Edge pour l'envoi de nouvelles demandes de connexion client au dispositif Edge. |
| Sortant | 1100 | AllowBlastOutBound | 22443 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client Blast Extreme dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1200 | AllowPcoipOutBound | 4172 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client PCoIP dans Horizon Agent sur une VM de poste de travail. |
| Sortant | 1300 | AllowUsbOutBound | 32111 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation du trafic de redirection USB. La redirection USB est une option d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 32 111 pour une session client de l'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1400 | AllowMmrOutBound | 9427 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les cas d'utilisation du trafic de redirection multimédia (MMR) et de redirection de pilote client (CDR). Ces redirections sont des options d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 9427, pour une session cliente d'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1500 | AllowAllOutBound | Toutes | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Lors de l'exécution sur une machine virtuelle prenant en charge plusieurs sessions utilisateur, Horizon Agent choisit des ports différents à utiliser pour le trafic PCoIP des sessions. Étant donné que ces ports ne peuvent pas être déterminés à l'avance, vous ne pouvez pas définir à l'avance une règle de NSG nommant des ports spécifiques pour autoriser le trafic. Par conséquent, comme pour la règle à la priorité 1200, cette règle prend en charge le cas d'utilisation de plusieurs sessions PCoIP d'Horizon Client avec ces VM. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau aux éléments des lignes précédentes. |
