Pour chaque espace Horizon Cloud déployé dans votre cloud Microsoft Azure, un groupe de sécurité réseau est également créé dans le groupe de ressources de l'espace pour agir en tant que modèle. Vous pouvez utiliser ce modèle pour vous assurer que vous avez ouvert les ports supplémentaires dont vous pourriez avoir besoin pour les postes de travail VDI fournis par vos attributions de poste de travail VDI.
Dans Microsoft Azure, un groupe de sécurité réseau gère le trafic réseau vers les ressources connectées aux réseaux virtuels Azure. Un groupe de sécurité réseau définit les règles de sécurité qui autorisent ou empêchent le trafic réseau. Pour plus d’informations sur la manière dont les groupes de sécurité réseau filtrent le trafic réseau, reportez-vous à la rubrique Filtrer le trafic réseau avec des groupes de sécurité réseau de la documentation Microsoft Azure.
Lorsqu’un espace Horizon Cloud est déployé dans Microsoft Azure, un groupe de sécurité réseau nommé vmw-hcs-podID-nsg-template
est créé dans le même groupe de ressources que l'espace nommé vmw-hcs-podID
(où podID
est l'ID de l'espace). Vous pouvez obtenir l'ID de l'espace depuis la page de détails de l'espace, en accédant à la page Capacité d'Horizon Universal Console.
Par défaut :
- Microsoft Azure crée automatiquement des règles par défaut dans chaque NSG au moment de sa création. Dans chaque NSG créé, Microsoft Azure crée des règles de trafic entrant et sortant à la priorité 65000 et suivantes. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure lorsqu'un utilisateur ou un système crée un NSG dans Microsoft Azure. Ces règles ne sont pas créées par Horizon Cloud. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.
- Le système de déploiement de l'espace Horizon Cloud crée les règles de sécurité entrantes suivantes dans le NSG du modèle de l'espace. Ces règles de sécurité de trafic entrant par défaut prennent en charge l'accès du client de vos utilisateurs finaux à leurs postes de travail VDI à l'aide de Blast, de PCOIP et de la redirection USB.
Priorité | Nom | Port | Protocole | Source | Destination | Action |
---|---|---|---|---|---|---|
1000 | AllowBlastUdpIn | 22443 | UDP | Internet | Toutes | Autoriser |
1100 | AllowBlastTcpIn | 22443 | TCP | Internet | Toutes | Autoriser |
1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | Toutes | Autoriser |
1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | Toutes | Autoriser |
1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | Toutes | Autoriser |
1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | Toutes | Autoriser |
En plus de ce modèle de groupe de sécurité réseau, lorsqu’une attribution de poste de travail VDI est créée, le système crée un groupe de sécurité réseau pour le pool de postes de travail de cette attribution en copiant le modèle de groupe de sécurité réseau. Chaque pool de l’attribution de poste de travail VDI a son propre groupe de sécurité réseau qui est une copie du modèle de groupe de sécurité réseau. Un groupe de sécurité réseau d’un pool est attribué aux cartes réseau des machines virtuelles de poste de travail VDI de ce pool. Par défaut, chaque pool de postes de travail VDI utilise les mêmes règles de sécurité par défaut que celles configurées dans le modèle de groupe de sécurité réseau de l'espace.
Vous pouvez modifier le modèle de groupe de sécurité réseau et les groupes de sécurité réseau par attribution de poste de travail VDI. Par exemple, si vous avez une application dans un poste de travail VDI dont vous savez qu'il a besoin d’un port supplémentaire ouvert pour cette application, vous modifiez le groupe de sécurité réseau du pool d’attribution de poste de travail VDI correspondant pour autoriser le trafic réseau sur ce port. Si vous prévoyez de créer plusieurs attributions de poste de travail VDI qui nécessitent le même port ouvert, un moyen simple pour prendre en charge ce scénario consiste à modifier le modèle de groupe de sécurité réseau avant de créer les attributions de poste de travail VDI.