Pour chaque espace Horizon Cloud déployé dans votre cloud Microsoft Azure, un groupe de sécurité réseau est également créé dans le groupe de ressources de l'espace pour agir en tant que modèle. Vous pouvez utiliser ce modèle pour vous assurer que vous avez ouvert les ports supplémentaires dont vous pourriez avoir besoin pour les applications distantes ou les postes de travail RDS fournis par vos batteries de serveurs.

Dans Microsoft Azure, un groupe de sécurité réseau gère le trafic réseau vers les ressources connectées aux réseaux virtuels Azure. Un groupe de sécurité réseau définit les règles de sécurité qui autorisent ou empêchent le trafic réseau. Pour plus d’informations sur la manière dont les groupes de sécurité réseau filtrent le trafic réseau, reportez-vous à la rubrique Filtrer le trafic réseau avec des groupes de sécurité réseau de la documentation Microsoft Azure.

Lorsqu’un espace Horizon Cloud est déployé dans Microsoft Azure, un groupe de sécurité réseau nommé vmw-hcs-podID-nsg-template est créé dans le même groupe de ressources que l'espace nommé vmw-hcs-podID (où podID est l'ID de l'espace). Vous pouvez obtenir l'ID de l'espace à partir de la page de détails de l'espace, en accédant à la page Capacité de la console d'administration d'Horizon Cloud.

Par défaut, le modèle de groupe de sécurité réseau de l'espace est configuré sans règle de sécurité de trafic sortant et avec les règles de sécurité de trafic entrant suivantes. Ces règles de sécurité de trafic entrant par défaut prennent en charge l'accès du client des utilisateurs finaux à leurs postes de travail de session RDS et applications distantes pour Blast et PCOIP et la redirection USB.

Tableau 1. Règles de sécurité de trafic entrant dans le modèle de groupe de sécurité réseau de l'espace
Priorité Nom Port Protocole Source Destination Action
1000 AllowBlastUdpIn 22443 UDP Internet Toutes Autoriser
1100 AllowBlastTcpIn 22443 TCP Internet Toutes Autoriser
1200 AllowPcoipTcpIn 4172 TCP Internet Toutes Autoriser
1300 AllowPcoipUdpIn 4172 UDP Internet Toutes Autoriser
1400 AllowTcpSideChannelIn 9427 TCP Internet Toutes Autoriser
1500 AllowUsbRedirectionIn 32111 TCP Internet Toutes Autoriser

En plus de ce modèle de groupe de sécurité réseau, lorsqu’une batterie de serveurs est créée, le système crée un groupe de sécurité réseau pour cette batterie de serveurs en copiant le modèle de groupe de sécurité réseau. Chaque batterie de serveurs a son propre groupe de sécurité réseau qui est une copie du modèle de groupe de sécurité réseau. Un groupe de sécurité réseau d’une batterie de serveurs est attribué aux cartes réseau des machines virtuelles de cette batterie de serveurs. Par défaut, chaque batterie de serveurs utilise les mêmes règles de sécurité par défaut que celles configurées dans le modèle de groupe de sécurité réseau de l'espace.

Vous pouvez modifier le modèle de groupe de sécurité réseau et les groupes de sécurité réseau par batterie de serveurs. Par exemple, si vous avez une application dans une batterie de serveurs dont vous savez qu'elle a besoin d’un port supplémentaire ouvert pour cette application, vous modifiez le groupe de sécurité réseau de cette batterie de serveurs pour autoriser le trafic réseau sur ce port. Si vous prévoyez de créer plusieurs batteries de serveurs qui nécessitent le même port ouvert, un moyen simple pour prendre en charge ce scénario consiste à modifier le modèle de groupe de sécurité réseau avant de créer ces batteries de serveurs.

Important : Lorsque vous planifiez de modifier le modèle de base, effectuez une copie avant de le modifier. La copie peut être une sauvegarde au cas où vous devriez rétablir les paramètres par défaut d'origine.