Cette page est une référence pour tous les ports et protocoles possibles utilisés pour la communication dans un déploiement d'Horizon Cloud Service on Microsoft Azure standard d'Horizon Cloud Service - next-gen. Utilisez ces tableaux pour vous assurer que votre configuration réseau et vos pare-feu autoriseront le trafic de communication requis pour un déploiement réussi et des opérations quotidiennes.
Les ports et protocoles spécifiques requis pour votre déploiement particulier dépendront en partie des fonctionnalités que vous choisissez d'utiliser pour votre déploiement d'Horizon Cloud Service on Microsoft Azure. Si vous ne prévoyez pas d'utiliser un composant ou un protocole spécifique, le trafic de communication requis n'est pas nécessaire à vos objectifs. Vous pouvez alors ignorer les ports associés à ce composant. Par exemple, il n'est pas nécessaire d'autoriser les ports PCoIP si vos utilisateurs finaux n'utilisent que le protocole d'affichage Blast Extreme.
Ports et protocoles requis par Horizon Edge
Lorsque vous activez Surveillance de l'infrastructure Horizon, Horizon Edge est déployé et configuré dans l'abonnement associé. Le tableau suivant répertorie les ports et les protocoles nécessaires lors du processus d'activation qui déploie le dispositif et configure les VM du gestionnaire afin que le dispositif puisse collecter les données de surveillance qu'il vise à collecter à partir de ces composants. Ce tableau répertorie également les ports et les protocoles qui sont nécessaires en période de stabilité pendant les opérations de collecte des données que le dispositif vise à collecter.
| Source | Cible | Ports | Protocoles | Objectif |
|---|---|---|---|---|
| Horizon Edge | VM Unified Access Gateway | 9443 | HTTPS | Ce port est utilisé par la VM Edge sur le sous-réseau de gestion pour configurer les paramètres de la configuration d'Unified Access Gateway du dispositif Edge. Cette condition requise de port s'applique lors du déploiement initial d'une configuration d'Unified Access Gateway et lors de la modification d'un dispositif Edge pour ajouter une configuration d'Unified Access Gateway, ou les paramètres de mise à jour de cette configuration d'Unified Access Gateway surveillent également les statistiques de session à partir d'Unified Access Gateway. |
| Horizon Edge | Contrôleur de domaine | Kerberos : 88 LDAP : 389, 3268 LDAPS : 636, 3269 |
TCP UDP |
Enregistrement de votre instance d'Horizon Cloud NextGen dans le domaine, ainsi que pour la connexion SSO et la détection périodique des contrôleurs de domaine. Ces ports sont requis pour les services LDAP ou LDAPS lorsque LDAP/LDAPS sera spécifié dans ce workflow. LDAP est la valeur par défaut pour la plupart des locataires. La cible est le serveur qui contient un rôle de contrôleur de domaine dans la configuration d'Active Directory. |
| Horizon Edge | Services de certificats AD | 135 et un port compris entre 49152 et 65535 | RPC/TCP | Connexion à l'autorité de certification d'entreprise Microsoft (AD CS) pour obtenir des certificats de courte durée pour True SSO. Horizon Edge utilise le port TCP 135 pour la communication RPC initiale et un port compris entre 49152 et 65535 pour communiquer avec les Services de certificats Active Directory (AD CS). |
| Horizon Edge | Serveur DNS | 53 et 853 | TCP UDP |
Services DNS. |
| Horizon Edge | *.file.core.windows.net | 445 | TCP | Accédez aux partages de fichiers provisionnés pour les workflows App Volumes d'importation de modules et de réplication de ces derniers dans les partages de fichiers. |
| Horizon Edge |
|
443 | TCP | Utilisé pour l'accès par programme au stockage Blob Azure et pour charger les journaux Horizon Edge le cas échéant. Utilisé pour le téléchargement des images du Docker afin de créer les modules Horizon Edge requis qui sont utiles pour la surveillance, SSO, les mises à jour d'UAG, etc. |
| Horizon Edge | horizonedgeprod.azurecr.io | 443 | TCP | Utilisé pour l'authentification lors du téléchargement des images du Docker afin de créer les modules Horizon Edge requis, qui sont utiles pour la surveillance, SSO, les mises à jour d'UAG, etc. |
| Horizon Edge | *.azure-devices.net | 443 | TCP | Dispositif utilisé pour communiquer avec le plan de contrôle du cloud, télécharger les configurations du module du dispositif et mettre à jour l'état d'exécution du module du dispositif. Les points de terminaison concrets actuels sont les suivants : Amérique du Nord :
Europe :
Japon :
|
| Horizon Edge | vmwareprod.wavefront.com | 443 | TCP | Utilisé pour l'envoi de mesures d'opération à VMware Tanzu Observability by Wavefront. Les opérateurs VMware reçoivent les données avec lesquelles prendre en charge les clients. Tanzu Observability est une plate-forme d'analyse en continu. Vous pouvez envoyer vos données à Tanzu Observability, et afficher les données et interagir avec celles-ci dans des tableaux de bord personnalisés. Reportez-vous à la documentation de VMware Tanzu Observability by Wavefront. |
| Horizon Edge | *.data.vmwservices.com | 443 | TCP | Pour envoyer des événements ou des mesures à Workspace ONE Intelligence pour la surveillance des données. Reportez-vous à Workspace ONE Intelligence. Les points de terminaison concrets actuels sont les suivants :
|
| Horizon Edge | login.microsoftonline.com | 443 | TCP | Généralement utilisé par les applications pour s'authentifier auprès du service Microsoft Azure. |
| Horizon Edge | management.azure.com | 443 | TCP | Utilisé pour les demandes d'API du dispositif Edge aux points de terminaison de Microsoft Azure Resource Manager pour utiliser les services de Microsoft Azure Resource Manager. Microsoft Azure Resource Manager fournit une couche de gestion cohérente pour effectuer des tâches via Azure PowerShell, Azure CLI, le portail Azure, REST API et les SDK client. |
| Horizon Edge | *.horizon.vmware.com Spécifique de la région États-Unis
Union européenne
Japon
|
443 | TCP | Dispositif utilisé pour communiquer avec le plan de contrôle du cloud et pour les opérations de jour 2. |
| Horizon Edge | Serveur NTP | 123 | UDP | Services NTP |
Conditions requises pour les ports et protocoles de la VM Unified Access Gateway
Outre la configuration requise pour les principaux ports et protocoles répertoriés dans le tableau ci-dessus, les ports et protocoles des tableaux suivants sont associés aux passerelles que vous avez configurées pour qu'elles fonctionnent lors des opérations en cours après le déploiement.
Pour les connexions configurées avec des instances d'Unified Access Gateway, le trafic doit être autorisé depuis des instances d'Unified Access Gateway vers des cibles répertoriées dans le tableau ci-dessous.
| Source | Cible | Port | Protocole | Objectif |
|---|---|---|---|---|
| Unified Access Gateway | *.horizon.vmware.com | 53 ou 443 sur le réseau DMZ | TCP UDP |
Unified Access Gateway doit être en mesure de résoudre ces adresses à tout moment, ou l'utilisateur ne pourra pas lancer la session, car Unified Access Gateway extrait le JWK défini depuis : cloud-sg-<region>-r-<DC>.horizon.vmware.com. Les points de terminaison concrets actuels sont les suivants :
|
| Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 22443 | TCP UDP |
Blast Extreme Par défaut, le trafic de redirection de lecteur client (CDR) et le trafic USB sont à canal latéral dans ce port lorsque Blast Extreme est utilisé. Si vous préférez, le trafic CDR peut être séparé sur le port TCP 9427 et le trafic de redirection USB peut être séparé sur le port TCP 32111. |
| Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 9427 | TCP | Facultatif pour le trafic de redirection CDR et multimédia (MMR). |
| Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 32111 | TCP | Facultatif pour le trafic de redirection USB. |
| Unified Access Gateway | time.google.com | 123 | UDP | Services NTP |
| Unified Access Gateway | *.blob.core.windows.net *.blob.storage.azure.net | 443 | TCP | Utilisé pour l'accès par programme au stockage Blob Azure pour charger les journaux Unified Access Gateway le cas échéant. |
Ports et protocoles App Volumes
Pour prendre en charge les fonctionnalités d'App Volumes à utiliser avec Horizon Cloud Service on Microsoft Azure, vous devez configurer le port 445 pour le trafic de protocole TCP vers le sous-réseau de locataire (postes de travail). Le port 445 est le port SMB standard pour accéder à un partage de fichiers SMB sur Microsoft Windows. Les AppStacks sont stockés dans un partage de fichiers SMB situé dans le même groupe de ressources que celui des VM du gestionnaire d'espace.
| Source | Cible | Port | Protocole | Objectif |
|---|---|---|---|---|
| App Volumes Agent sur la machine virtuelle importée de base, les images standard, les machines virtuelles de poste de travail et les machines virtuelles RDSH de batterie de serveurs | *.file.core.windows.net | 445 | TCP | La virtualisation d'applications App Volumes sur les machines VDI et la capture de modules d'application sur les machines VDI dépendent de l'accès aux partages de fichiers. |
Conditions requises pour les ports et protocoles VDI
Le tableau suivant fournit les ports et protocoles requis pour les sous-réseaux de poste de travail (VDI ou locataire) configurés dans votre environnement.
| Source | Cible | Port | Protocole | Objectif |
|---|---|---|---|---|
| Sous-réseau de poste de travail (locataire) | *.horizon.vmware.com | 443 | Protocole MQTT sur TCP | Pour les opérations liées à l'agent, telles que la signature de certificat à l'aide du Hub de VM et le renouvellement. Les points de terminaison concrets actuels sont les suivants : États-Unis :
Union européenne :
Japon :
|
| Sous-réseau de poste de travail (locataire) | Contrôleur de domaine | 88 | TCP UDP |
Services Kerberos. La cible est le serveur qui contient un rôle de contrôleur de domaine dans une configuration Active Directory. L'enregistrement du dispositif Edge dans Active Directory est obligatoire. |
| Sous-réseau de poste de travail (locataire) | Contrôleur de domaine | Kerberos : 88 LDAP : 389, 3268 LDAPS : 636, 3269 |
TCP UDP |
Ces ports sont requis pour les services LDAP ou LDAPS pour la connectivité entre la VM et le contrôleur de domaine si la VDI ne parvient pas à atteindre un contrôleur de domaine, le lancement de sessions est alors impossible. |
| Sous-réseau de poste de travail (locataire) | Serveur DNS | 53 et 853 | TCP UDP |
Services DNS |
| Sous-réseau de poste de travail (locataire) | Serveur NTP | 123 | UDP | Services NTP |
| Sous-réseau de poste de travail (locataire) | *.blob.core.windows.net | 443 | TCP | Chargement du bundle de journaux DCT. Lorsqu'un administrateur client clique sur la collecte des journaux DCT pour une VM après le traitement de la demande, le bundle est chargé de VDI vers blob pour que ce bundle puisse être téléchargé à partir d'Horizon Universal Console. |
| Sous-réseau de poste de travail (locataire) | Horizon Edge | 31883 | Protocole MQTT sur TCP UDP |
Horizon Agent s'exécutant sur la VM vers le protocole MQTT s'exécutant sur Edge. |
| Sous-réseau de poste de travail (locataire) | Horizon Edge | 32443 | TCP | Single Sign-On lorsque le format de votre dispositif Microsoft Azure Edge est Passerelle Edge (VM). |
| Sous-réseau de poste de travail (locataire) | Horizon Edge | 443 | TCP | Single Sign-On lorsque le format de votre dispositif Microsoft Azure Edge est Passerelle Edge (AKS). |
| Sous-réseau de poste de travail (locataire) et sous-réseau de gestion | softwareupdate.vmware.com | 443 | TCP | Serveur de package logiciel VMware. Utilisé pour le téléchargement des mises à jour du logiciel lié à l'agent utilisé dans les opérations liées à l'image du système et le processus automatisé de mise à jour de l'agent. |
| Sous-réseau de poste de travail (locataire) | Point de terminaison de liaison privée | 443 | TCP | Connectivité du poste de travail au service de connexion dans le plan de contrôle du cloud. |
| Sous-réseau de poste de travail (locataire) et sous-réseau de gestion | Services de certificats AD | 135 et 445, et un port compris entre 49152 et 6553 | RPC/TCP | Pour ajouter des postes de travail au domaine. |
Conditions requises pour les ports et protocoles de trafic de connexion des utilisateurs finaux
Pour obtenir des informations détaillées sur les différentes instances d'Horizon Client que vos utilisateurs finaux peuvent utiliser avec votre dispositif Dispositif virtuel Horizon Edge, reportez-vous à la page de documentation d'Horizon Client à l'adresse https://docs.vmware.com/fr/VMware-Horizon-Client/index.html. Le choix du mode de connexion de vos utilisateurs finaux détermine quels ports doivent être ouverts pour le trafic à partir des connexions des utilisateurs finaux pour accéder aux applications distantes et aux postes de travail virtuels.
| Source | Cible | Port | Protocole | Objectif |
|---|---|---|---|---|
| Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | TCP | Pour transporter le trafic de redirection CDR, MMR, USB et RDP par tunnel. Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Le port 80 (accès HTTP) peut être utilisé dans certains cas. |
| Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 ou 443 | TCP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données à partir d'Horizon Client. |
| Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | UDP | Blast Extreme via Unified Access Gateway pour le trafic de données. |
| Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 | UDP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données (transport adaptatif). |
| Navigateur | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | TCP | Pour transporter le trafic de redirection CDR, MMR, USB et RDP par tunnel. Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Le port 80 (accès HTTP) peut être utilisé dans certains cas. |
| Navigateur | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 ou 443 | TCP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données à partir du client Horizon HTML Access (client Web). |
| Horizon Client/navigateur | *.horizon.vmware.com | 443 | TCP | Après la connexion et la création de la liste des éléments de lancement, lorsque le client clique dessus pour lancer le poste de travail, la redirection du trafic de protocole vers Unified Access Gateway se produit à partir de l'une de ces URL en fonction de l'emplacement de l'organisation du client sélectionné lors de l'intégration. Les points de terminaison concrets actuels sont les suivants :
|
