Pour chaque espace Horizon Cloud déployé dans votre cloud Microsoft Azure, un groupe de sécurité réseau est également créé dans le groupe de ressources de l'espace pour agir en tant que modèle. Vous pouvez utiliser ce modèle pour vous assurer que vous avez ouvert les ports supplémentaires dont vous pourriez avoir besoin pour les postes de travail VDI fournis par vos attributions de poste de travail VDI.

Dans Microsoft Azure, un groupe de sécurité réseau gère le trafic réseau vers les ressources connectées aux réseaux virtuels Azure. Un groupe de sécurité réseau définit les règles de sécurité qui autorisent ou empêchent le trafic réseau. Pour plus d’informations sur la manière dont les groupes de sécurité réseau filtrent le trafic réseau, reportez-vous à la rubrique Filtrer le trafic réseau avec des groupes de sécurité réseau de la documentation Microsoft Azure.

Lorsqu’un espace Horizon Cloud est déployé dans Microsoft Azure, un groupe de sécurité réseau nommé vmw-hcs-podID-nsg-template est créé dans le même groupe de ressources que l'espace nommé vmw-hcs-podID (où podID est l'ID de l'espace). Vous pouvez obtenir l'ID de l'espace à partir de la page de détails de l'espace, en accédant à la page Capacité de .

Par défaut, le modèle de groupe de sécurité réseau de l'espace est configuré sans règle de sécurité de trafic sortant et avec les règles de sécurité de trafic entrant suivantes. Ces règles de sécurité de trafic entrant par défaut prennent en charge l'accès du client de vos utilisateurs finaux à leurs postes de travail VDI à l’aide de Blast, de PCOIP et de la redirection USB.

Tableau 1. Règles de sécurité de trafic entrant dans le modèle de groupe de sécurité réseau de l'espace
Priorité Nom Port Protocole Source Destination Action
1000 AllowBlastUdpIn 22443 UDP Internet Toutes Autoriser
1100 AllowBlastTcpIn 22443 TCP Internet Toutes Autoriser
1200 AllowPcoipTcpIn 4172 TCP Internet Toutes Autoriser
1300 AllowPcoipUdpIn 4172 UDP Internet Toutes Autoriser
1400 AllowTcpSideChannelIn 9427 TCP Internet Toutes Autoriser
1500 AllowUsbRedirectionIn 32111 TCP Internet Toutes Autoriser

En plus de ce modèle de groupe de sécurité réseau, lorsqu’une attribution de poste de travail VDI est créée, le système crée un groupe de sécurité réseau pour le pool de postes de travail de cette attribution en copiant le modèle de groupe de sécurité réseau. Chaque pool de l’attribution de poste de travail VDI a son propre groupe de sécurité réseau qui est une copie du modèle de groupe de sécurité réseau. Un groupe de sécurité réseau d’un pool est attribué aux cartes réseau des machines virtuelles de poste de travail VDI de ce pool. Par défaut, chaque pool de postes de travail VDI utilise les mêmes règles de sécurité par défaut que celles configurées dans le modèle de groupe de sécurité réseau de l'espace.

Vous pouvez modifier le modèle de groupe de sécurité réseau et les groupes de sécurité réseau par attribution de poste de travail VDI. Par exemple, si vous avez une application dans un poste de travail VDI dont vous savez qu'il a besoin d’un port supplémentaire ouvert pour cette application, vous modifiez le groupe de sécurité réseau du pool d’attribution de poste de travail VDI correspondant pour autoriser le trafic réseau sur ce port. Si vous prévoyez de créer plusieurs attributions de poste de travail VDI qui nécessitent le même port ouvert, un moyen simple pour prendre en charge ce scénario consiste à modifier le modèle de groupe de sécurité réseau avant de créer les attributions de poste de travail VDI.

Important : Lorsque vous planifiez de modifier le modèle de base, effectuez une copie avant de le modifier. La copie peut être une sauvegarde au cas où vous devriez rétablir les paramètres par défaut d'origine.