Pour créer un déploiement d'Horizon Edge et installer ou mettre à jour des modules de dispositif dans votre environnement Horizon Cloud Service - next-gen, vous devez autoriser les URL appropriées sur les ports correspondants.
Pour les tableaux suivants, les fins répertoriées sont utilisées dans le cadre d'un déploiement d'Horizon Edge.
Autoriser les URL pour le sous-réseau de gestion et vérifier l'accès à celles-ci
- Autorisez les URL et les sous-domaines génériques dans le tableau suivant. Par exemple, en ajoutant les URL et le sous-domaine générique à une liste autorisée pour le pare-feu et le groupe de sécurité réseau.
- Contournez l'inspection approfondie des paquets SSL comme suit.
- Dans le pare-feu pour les URL et les sous-domaines génériques dans le tableau suivant.
- Dans le serveur proxy, le cas échéant.
Si le système Passerelle Horizon Edge est connecté à Horizon Agent via un serveur proxy, contournez l'inspection approfondie des paquets SSL dans le serveur proxy pour les URL et les sous-domaines génériques dans le tableau suivant.
Destination (nom de DNS) | Port | Protocole | Trafic du proxy (si configuré sur le déploiement) | Objectif |
---|---|---|---|---|
*.blob.core.windows.net | 443 | TCP | Oui | Utilisé pour l'accès par programme au stockage Blob Azure et pour charger les journaux Horizon Edge le cas échéant. Utilisé pour le téléchargement des images du Docker afin de créer les modules Horizon Edge requis qui sont utiles pour la surveillance, SSO, les mises à jour d'UAG, etc. |
horizonedgeprod.azurecr.io | 443 | TCP | Oui | Utilisé pour l'authentification lors du téléchargement des images du Docker afin de créer les modules Horizon Edge requis, qui sont utiles pour la surveillance, SSO, les mises à jour d'UAG, etc. |
*.azure-devices.net ou l'un des noms spécifiques à la région ci-dessous, selon le plan de contrôle régional qui s'applique à votre compte de locataire : Amérique du Nord :
Europe :
Japon :
|
443/TCP | TCP | Oui | Utilisé pour connecter le dispositif au plan de contrôle Horizon Cloud, pour télécharger les configurations du module du dispositif et pour mettre à jour l'état d'exécution du module du dispositif. |
vmwareprod.wavefront.com | 443 | TCP | Oui | Utilisé pour l'envoi de mesures d'opération à Tanzu Observability by Wavefront. Les opérateurs VMware reçoivent les données avec lesquelles prendre en charge les clients. Tanzu Observability est une plate-forme d'analyse en continu. Vous pouvez envoyer vos données à Tanzu Observability, et afficher les données et interagir avec celles-ci dans les tableaux de bord personnalisés. Reportez-vous à la documentation de Tanzu Observability by Wavefront. |
*.data.vmwservices.com ou l'un des noms spécifiques à la région ci-dessous, selon la cible Workspace ONE Intelligence régionale qui s'applique à votre compte de locataire :
|
443 | TCP | Oui | Utilisé pour l'envoi d'événements ou de mesures à Workspace ONE Intelligence. Reportez-vous à Workspace ONE Intelligence. |
Si votre pare-feu ou groupe de sécurité réseau (NSG, Network Security Group) prend en charge l'utilisation des balises de service, appliquez la balise de service Azure AzureCloud. Si votre pare-feu ou votre NSG ne prend pas en charge l'utilisation de balises de service, utilisez le nom d'hôte monitor.horizon.vmware.com . |
1514 et 1515 | TCP | Non | Utilisé pour la surveillance du système. |
azcopyvnext.azureedge.net | 443 | TCP | Oui | Utilisé pour charger les journaux de déploiement dans le stockage Blob Azure à des fins de dépannage. |
|
443 | HTTPS | Oui | Utilisé pour l'application de correctifs aux composants Microsoft de la passerelle Horizon Edge. |
time.google.com | 123 | UDP | Oui | Utilisé pour la synchronisation de l'heure. |
|
80 | HTTP | Oui | Utilisé pour l'application de correctifs aux composants Ubuntu. |
*.file.core.windows.net | 445 | TCP | Non | Accédez aux partages de fichiers provisionnés pour les workflows App Volumes d'importation de packages et de réplication de ceux-ci dans les partages de fichiers. |
softwareupdate.vmware.com | 443 | TCP | Oui | Serveur de module logiciel. Utilisé pour le téléchargement des mises à jour du logiciel lié à l'agent utilisé dans les opérations liées à l'image du système et le processus automatisé de mise à jour de l'agent. |
Déterminer si les URL du sous-réseau de gestion sont accessibles
L'outil Vérificateur d'URL de sous-réseau du dispositif Edge Horizon Cloud Service - next-gen est disponible dans la zone Tech sur la page Utilitaires. Les informations associées sont disponibles sur la page Déploiement d'une passerelle Horizon Edge pour les environnements Horizon 8 de la zone Tech.
L'outil est fourni sous la forme d'un fichier .exe. Pour télécharger et utiliser l'outil Vérificateur d'URL de sous-réseau du dispositif Edge Horizon Cloud Service - next-gen sur une machine virtuelle Windows 10 ou version ultérieure sur le réseau sur lequel réside votre dispositif Horizon Edge, procédez comme suit.
- Téléchargez le Vérificateur d'URL de sous-réseau du dispositif Edge Horizon Cloud Service - next-gen sur votre machine virtuelle Windows déployée sur le réseau Horizon Edge.
- Double-cliquez sur le fichier pour lancer l'exécutable.
Une boîte de dialogue apparaît.
- Cliquez sur Oui.
- Ouvrez le dossier de sortie dans C:/VMwareURLCheckerOutput/.
Le dossier contient les fichiers de sortie de chaque plan de contrôle régional.
- Ouvrez le fichier de sortie de la région dans laquelle vous déployez le dispositif Horizon Edge pour déterminer si les URL nécessaires sont accessibles.
Les détails suivants s'appliquent.
- Le fichier affiche l'état des URL requises pour le sous-réseau de gestion.
- L'état attendu pour chaque URL est ACCESSIBLE.
- Lorsque l'état de l'URL est INACCESSIBLE, affichez le message d'erreur et apportez les modifications nécessaires pour résoudre le problème.
- Relancez l'exécutable si nécessaire jusqu'à ce que l'état de tous les domaines dans la région souhaitée soit ACCESSIBLE.
Autoriser l'URL pour le sous-réseau de locataire (poste de travail) - Nom d'hôte DNS Hub de VM global
Si l'utilisation d'une instance globale du Hub de VM répond aux besoins de votre site, autorisez l'URL suivante ainsi que ses paramètres lorsque vous déployez une passerelle Passerelle Horizon Edge.
Destination (Nom de DNS) | Port | Protocole | Objectif |
---|---|---|---|
*.horizon.vmware.com | 443 | TCP | Pour les opérations liées à l'agent, telles que la signature de certificat utilisant le Hub de VM et le renouvellement. |
Autoriser les URL pour le sous-réseau de locataire (poste de travail) - noms d'hôtes DNS Hub de VM régionaux
Si l'utilisation d'instances régionales du Hub de VM répond aux besoins de votre site, utilisez les deux URL correspondantes lorsque vous déployez une passerelle Passerelle Horizon Edge dans une région donnée, comme indiqué.
Le port, le protocole et l'objectif de chaque instance régionale du Hub de VM correspondent à ceux d'une instance globale du Hub de VM, par exemple.
Port | 443 |
Protocole | TCP |
Objectif | Pour les opérations liées à l'agent, telles que la signature de certificat utilisant le Hub de VM et le renouvellement. |
Pour les régions Azure suivantes | Autoriser les URL de destination (nom DNS) suivantes |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Autoriser les URL pour l'activation du proxy
Si vous prévoyez d'utiliser un serveur proxy pour contrôler le flux de trafic à partir de votre environnement, ouvrez les ports requis pour autoriser la passerelle Passerelle Horizon Edge à atteindre le serveur proxy. Lorsque le format de votre dispositif Microsoft Azure Edge est Passerelle Edge (AKS), reportez-vous à la section Règles de réseau sortant et de nom de domaine complet pour les clusters AKS (Azure Kubernetes Service).