Cette rubrique de documentation ici sert à vous expliquer ce que vous verrez après avoir utilisé un environnement d'Horizon Cloud de première génération pour créer un espace dans votre abonnement Microsoft Azure et vous connecter ensuite au portail Microsoft Azure, puis examiner le système de déploiement de l'espace créé là. Dans le cadre du déploiement de l'espace dans Microsoft Azure, le processus de déploiement automatique crée un ensemble de groupes de sécurité réseau (NSG) et associe chacun d'entre eux aux interfaces réseau (cartes réseau) individuelles qui se trouvent sur chacune des machines virtuelles (VM) associées à l'espace contrôlées par VMware. Ces VM associées à l'espace sont d'une part les VM de gestionnaire de l'espace et, d'autre part, les VM qui sont déployées lorsque l'espace est configuré avec Unified Access Gateway.
Avant de lire cette page
Avant de lire cette page, tenez compte des points suivants.
À partir d'août 2022, Horizon Cloud Service - next-gen est généralement disponible et dispose de son propre guide, Utilisation du plan de contrôle Horizon de nouvelle génération.
Le modèle qui s'affiche dans le champ URL du navigateur lorsque vous vous connectez à votre environnement et voyez l'étiquette Horizon Universal Console constitue une indication de l'environnement dont vous disposez, de nouvelle génération ou de première génération. Pour un environnement de nouvelle génération, l'adresse URL de la console contient une partie telle que /hcsadmin/. L'URL de la console de première génération présente une section différente (/horizonadmin/).
Présentation globale
Le système de déploiement de l'espace associe le NSG créé par le système de déploiement approprié à la carte réseau adéquate, en fonction de la conception et de l'architecture de VMware pour l'espace. Ces NSG sont utilisés au niveau de la carte réseau pour vérifier que chaque carte réseau sur un dispositif spécifique géré par VMware peut recevoir le trafic que le dispositif géré par VMware est censé recevoir pour les opérations de service et d'espace standard sur le sous-réseau associé à la carte réseau et pour bloquer tout le trafic que ce dispositif n'est pas censé recevoir. Chaque NSG contient un ensemble de règles de sécurité qui définissent le trafic autorisé vers et depuis chaque carte réseau.
Les NSG décrits ici sont distincts de ceux utilisés pour les machines virtuelles, les batteries de serveurs et les postes de travail VDI de base qui sont provisionnés par l'espace lorsque vous les créez à l'aide d'Horizon Universal Console. Ces NSG contiennent des informations d'utilisation différentes. Pour plus d'informations sur ces NSG, consultez les rubriques suivantes :
- Groupes de sécurité réseau (NSG) créés par l'assistant Importer une machine virtuelle à partir de Marketplace d'Horizon Cloud
- À propos des groupes de sécurité réseau et des batteries de serveurs dans un espace Horizon Cloud
- À propos des groupes de sécurité réseau et des postes de travail VDI dans un espace Horizon Cloud
- Copie ou déplacement de ces NSG ou règles de NSG vers les sous-réseaux utilisés par Horizon Cloud
- Copie ou déplacement de ces NSG ou règles de NSG entre les cartes réseau associées aux VM de l'espace.
Les NSG créés par Horizon Cloud et les règles à l'intérieur de ceux-ci sont propres aux cartes réseau et aux machines virtuelles spécifiques auxquelles ils sont attachés. Ils s'appliquent expressément dans le cadre de ces cartes réseau et de ces machines virtuelles. Toute modification apportée à ces NSG ou à ces règles, ou toute tentative de les utiliser à d'autres fins, même sur les mêmes sous-réseaux auxquels ces cartes réseau sont attachées, entraînera probablement une interruption du trafic réseau requis vers et depuis les cartes réseau auxquelles ils sont attachés. Cette interruption peut entraîner à son tour l'interruption de toutes les opérations de l'espace. Le cycle de vie de ces NSG est géré par Horizon Cloud. Il existe des raisons spécifiques pour chacun d'entre eux. Ces raisons incluent les suivantes :
- Capacité du plan de contrôle du cloud à communiquer avec l'espace.
- Gestion de l'infrastructure de l'espace
- Opérations du cycle de vie de l'espace
Toutefois, vous pouvez créer vos propres NSG contenant les règles de votre organisation dans des groupes de ressources en dehors de ceux de l'espace qui sont créés automatiquement et gérés par Horizon Cloud pour les machines virtuelles de l'espace. Les règles de vos propres NSG ne doivent pas entrer en conflit avec les conditions préalables de Horizon Cloud pour la gestion et les opérations des machines virtuelles de l'espace. Ces NSG doivent être attachés aux sous-réseaux de gestion, de locataire et de zone DMZ utilisés par l'espace. La création de vos propres NSG dans les groupes de ressources gérés par Horizon Cloud entraîne un échec lors des actions de suppression sur les groupes de ressources gérés par Horizon Cloud si vos NSG de ces groupes de ressources sont associés à une ressource qui se trouve dans un autre groupe de ressources.
Comme décrit dans la documentation de Microsoft Azure, l'objectif d'un groupe de sécurité réseau (NSG) est de filtrer le trafic réseau vers et depuis les ressources dans votre environnement Microsoft Azure à l'aide de règles de sécurité. Chaque règle dispose d'un ensemble de propriétés, telles que la source, la destination, le port, le protocole, etc. qui déterminent le trafic autorisé pour les ressources auxquelles le NSG est associé. Les NSG qu'Horizon Cloud crée automatiquement et qu'il associe aux cartes réseau des VM d'espace contrôlées par VMware contiennent des règles spécifiques qu'Horizon Cloud a jugées nécessaires pour la gestion de l'espace du service, pour l'exécution appropriée des opérations d'espace en cours et pour la gestion du cycle de vie de l'espace. Généralement, chaque règle définie dans ces NSG est destinée à fournir le trafic de port des opérations de l'espace qui fait partie intégrante de l'exécution des objectifs commerciaux standard du service d'un abonnement à Horizon Cloud, par exemple les cas d'utilisation VDI de la remise de postes de travail virtuels aux utilisateurs finaux. Reportez-vous également à la section Conditions requises des ports et des protocoles pour un espace Horizon Cloud.
Les sections ci-dessous répertorient les règles de NSG qu'Horizon Cloud définit dans ces NSG.
Informations générales sur ces NSG
Cette liste s'applique à tous les NSG créés par le système de déploiement que celui-ci associe à des cartes réseau spécifiques sur les machines virtuelles associées à l'espace.
- Ces NSG créés par VMware sont destinés à la sécurité des dispositifs logiciels contrôlés par VMware. Lorsque VMware ajoute de nouveaux logiciels à votre abonnement et que des règles supplémentaires sont requises, ces nouvelles règles sont ajoutées à ces NSG.
- Dans le portail Microsoft Azure, les NSG ont des noms qui contiennent le modèle
vmw-hcs-UUIDespace, où UUIDespace est l'identifiant de l'espace, à l'exception des NSG qui sont destinés à une configuration de passerelle externe déployée dans son propre réseau virtuel. Dans ce cas, les NSG appropriés de la passerelle ont des noms qui contiennent le modèlevmw-hcs-ID, où ID est l'ID de déploiement de cette passerelle externe.Note : Pour le scénario dans lequel la configuration de la passerelle externe est déployée dans un abonnement distinct à l'aide de l'option de déploiement dans un groupe de ressources existant que vous avez créé dans cet abonnement, le NSG sur la carte réseau de gestion de la VM du connecteur de passerelle est nommé dans un modèle selon le nom du groupe de ressources au lieu du modèlevmw-hcs-podUUID. Par exemple, si vous avez nommé ce groupe de ressourceshcsgateways, Horizon Cloud crée un NSG nomméhcsgateways-mgmt-nsgà l'intérieur et l'associe à la carte réseau de gestion de la VM du connecteur de passerelle.Pour localiser ces identifiants, vous pouvez accéder aux détails de l'espace sur la page Capacité de la console d'administration.
Note : Lorsque vous choisissez de faire en sorte que l'instance externe d'Unified Access Gateway de l'espace utilise un groupe de ressources personnalisées, le nom du NSG créé par le système de déploiement de la VM du connecteur de passerelle contient le nom de ce groupe de ressources personnalisées au lieu du modèlevmw-hcs-ID. Par exemple, si vous spécifiez l'utilisation d'un groupe de ressources personnalisées nomméourhcspodgatewaypour la passerelle externe de votre espace, le NSG que le système de déploiement crée et associe à la carte réseau de la machine virtuelle de la passerelle est nomméourhcspodgateway-mgmt-nsg. - Les NSG sont situés dans le même groupe de ressources que les VM et les cartes réseau auxquelles ils sont associés. Par exemple, les NSG associés aux cartes réseau des machines virtuelles externes d'Unified Access Gateway sont situés dans le groupe de ressources nommé
vmw-hcs-podUUID-uaglors du déploiement de la passerelle externe dans le réseau virtuel de l'espace et utilisant un groupe de ressources créé par le système de déploiement. Reportez-vous également à la section Locataires de première génération - Groupes de ressources créés pour un espace déployé dans Microsoft Azure. - Horizon Cloud peut ajouter des règles ou modifier ces règles selon les besoins afin de garantir la facilité de maintenance du service.
- Lors d'une mise à jour de l'espace, les NSG et les règles seront conservés. Ils ne seront pas supprimés.
- Les règles Horizon Cloud commencent à la priorité 1000 et les priorités augmentent généralement par incréments de 100. Les règles Horizon Cloud se terminent par une règle à la priorité 3000.
- Les règles
AllowAzureInBoundrelatives à l'adresse IP source 168.63.129.16 permettent aux NSG d'accepter les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la rubrique Qu'est-ce que l'adresse IP 168.63.129.16 ? de la documentation de Microsoft Azure. Toutes les VM associées à l'espace se trouvent dans Microsoft Azure. Comme décrit dans la rubrique de la documentation de Microsoft Azure, leur adresse IP 168.63.129.16 facilite les différentes tâches de gestion de VM que la plate-forme de cloud Microsoft Azure effectue pour toutes les VM de leur cloud. Par exemple, cette adresse IP facilite l'utilisation de l'agent sur la VM pour communiquer avec la plate-forme Microsoft Azure afin d'indiquer que l'état de la VM est Prêt. - Dans les NSG pour les instances d'Unified Access Gateway, les règles
AllowPcoipUdpInBoundsont définies pour n'importe quel port, car le trafic PCoIP utilise des numéros de port variables compris dans la plage 4173+, de telle sorte que le trafic ne puisse pas être limité à un ensemble de ports spécifique. - Microsoft Azure crée automatiquement des règles par défaut dans chaque NSG au moment de sa création. Dans chaque NSG créé, Microsoft Azure crée des règles de trafic entrant et sortant à la priorité 65000 et suivantes. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.
- Chaque règle définie dans ces NSG est destinée à fournir le trafic de port des opérations de l'espace qui fait partie intégrante de l'exécution des objectifs commerciaux standard du service d'un abonnement Horizon Cloud, par exemple les cas d'utilisation VDI de la remise de postes de travail virtuels aux utilisateurs finaux. Reportez-vous également à la section Conditions requises des ports et des protocoles pour un espace Horizon Cloud.
- Lorsque vous modifiez votre espace pour spécifier des sous-réseaux de locataires supplémentaires à utiliser avec des batteries de serveurs et des attributions de poste de travail VDI , les règles dans les NSG liés au sous-réseau de locataires sur les VM du gestionnaire d'espace et les cartes réseau des VM Unified Access Gateway sont mises à jour afin d'inclure ces sous-réseaux de locataire supplémentaires.
- Si vous effectuez une demande de support à VMware et que l'équipe du support détermine que la façon de traiter cette demande consiste à déployer une VM JumpBox temporaire, celle-ci dispose d'un NSG dans son groupe de ressources de la JumpBox temporaire. Ce NSG est supprimé lorsque le groupe de ressources de la VM JumpBox est supprimé une fois que l'équipe du support a terminé.
NSG créés par le système de déploiement des VM du gestionnaire de l'espace
La VM du gestionnaire de l'espace dispose de deux cartes réseau, une connectée au sous-réseau de gestion et l'autre connectée au sous-réseau de locataire. Le système de déploiement crée un NSG spécifique pour chacune de ces deux cartes réseau et associe chaque NSG à sa carte réseau appropriée.
- La carte réseau de gestion dispose d'un NSG nommé dans le modèle
vmw-hcs-podUUID-mgmt-nsg. - La carte réseau de locataire dispose d'un NSG nommé dans le modèle
vmw-hcs-podUUID-tenant-nsg.
Dans votre environnement Microsoft Azure, ces NSG se trouvent dans le groupe de ressources de l'espace nommé dans le modèle vmw-hcs-podUUID.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif de la règle |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowSshInBound | 22 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Si, en période de stabilité, vous effectuez une demande de support à VMware et que l'équipe du support détermine que la méthode de dépannage de cette demande consiste à déployer une VM JumpBox pour la communication SSH vers la VM du gestionnaire d'espace, cette règle de NSG prend en charge ce cas d'utilisation. L'autorisation vous est demandée avant tout accès d'urgence. La VM JumpBox de courte durée communique avec une VM du gestionnaire d'espace à l'aide du protocole SSH sur le port 22 de la VM. Les opérations quotidiennes de l'espace ne nécessitent pas la disponibilité du port 22 sur la VM de gestionnaire d'espace. |
| Entrant | 1100 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1200 | AllowHttpsInBound | 443 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Pour que le plan de contrôle du cloud communique en toute sécurité avec le point de terminaison REST API du gestionnaire d'espace. |
| Entrant | 1300 | AllowApacheGeodeInBound | 10334-10336, 41000-41002, 41100-41102, 42000-42002 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Ces ports sont utilisés pour répliquer des sessions utilisateur et des informations liées au partage de fichiers sur les VM du gestionnaire d'espace. |
| Entrant | 1400 | AllowTelegrafInBound | 9172 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Obsolète. Ce NSG a été utilisé par la fonctionnalité de surveillance de l'infrastructure Horizon, qui est obsolète, comme décrit dans l'article 93762 de la base de connaissances VMware. |
| Entrant | 1500 | AllowAgentJmsInBound | 4001, 4002 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Obsolète. Ce NSG a été utilisé par la fonctionnalité de surveillance de l'infrastructure Horizon, qui est obsolète, comme décrit dans l'article 93762 de la base de connaissances VMware. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Toutes | Autoriser | Cette règle fournit un scénario atypique dans lequel vous avez pu indiquer à vos utilisateurs finaux internes (sur votre réseau d'entreprise, par exemple sur VPN) d'établir leurs connexions client à un nom de domaine complet que vous avez mappé à l'équilibrage de charge Microsoft Azure de l'espace. Ce scénario est parfois appelé connexion d'espace directe. Pour effectuer la demande d'authentification de connexion au gestionnaire d'espace, les clients Horizon Client et le client Web Horizon utilisent le port 443. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443. |
| Entrant | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | Sous-réseau de locataire | Toutes | Autoriser | Le port 3443 entrant vers cette carte réseau est utilisé par App Volumes Agent sur les VM de base, les VM de poste de travail et les VM RDSH de batterie de serveurs pour accéder au service App Volumes Manager s'exécutant sur le gestionnaire d'espace. Le port 8443 entrant vers cette carte réseau est utilisé par les instances d'Unified Access Gateway à des fins de vérification avec le gestionnaire d'espace. Les instances de passerelle utilisent ce point de terminaison pour confirmer l'envoi de nouvelles demandes de connexion client au gestionnaire d'espace. |
| Entrant | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | Toutes | Autoriser | Pour la cohérence du code et la facilité de maintenance, le système de déploiement de l'espace écrit toujours cette règle sur ce groupe de sécurité réseau (NSG). Dans un déploiement sur lequel la passerelle externe de l'espace est déployée dans son propre réseau virtuel séparé de l'espace, cette règle prend en charge le trafic entrant à partir des instances d'Unified Access Gateway de la passerelle externe à vérifier avec le gestionnaire d'espace. Les instances de passerelle utilisent ce point de terminaison pour confirmer l'envoi de nouvelles demandes de connexion client au gestionnaire d'espace. |
| Entrant | 1120 | AllowUagHttpsInBound | 8443 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Cette règle est prévue pour être utilisée dans une future version de service. |
| Entrant | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | Sous-réseau de locataire | Toutes | Autoriser | Les agents Horizon Agent sur les VM de base, les VM de poste de travail et les VM RDSH de batterie de serveurs utilisent ces ports. Le port 4001 s'applique à Java Message Service (JMS, non-SSL), utilisé par l'agent sur la VM pour communiquer avec l'espace dans le cadre de la vérification et de l'échange de l'empreinte numérique du certificat pour sécuriser une connexion SSL à l'espace.
Une fois les clés négociées et échangées entre la VM et le gestionnaire d'espace, l'agent utilise le port 4002 pour créer une connexion SSL sécurisée.
Note : Les ports 4001 et 4002 sont requis en période de stabilité. Il peut arriver que l'agent doive recréer la clé avec l'espace.
|
| Entrant | 1210 | AllowRouterJmsInBound | 4101 | TCP | Sous-réseau de locataire | Toutes | Autoriser | Lorsqu'un espace est activé pour la haute disponibilité (HA), ce trafic est le routage JMS entre les VM du gestionnaire d'espace (nœud 1 et nœud 2) |
| Entrant | 1300 | AllowAgentUdpInBound | 5678 | UDP | Sous-réseau de locataire | Toutes | Autoriser | Obsolète pour les espaces des manifestes 1600 et versions ultérieures. Dans la version de septembre 2019 du service, DaaS Agent a été intégré à Horizon Agent à partir du manifeste 1600 de l'espace. Auparavant, ce port 5678 et le protocole UDP étaient utilisés pour prendre en charge l'utilisation de DaaS Agent. |
| Entrant | 1400 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
NSG créés par le système de déploiement des VM externes d'Unified Access Gateway
Chacune des VM pour la configuration externe d'Unified Access Gateway externe dispose de trois (3) cartes réseau, une connectée au sous-réseau de gestion, une connectée au sous-réseau de locataire et une autre connectée au sous-réseau de la zone DMZ. Le système de déploiement crée un NSG spécifique pour chacune de ces trois cartes réseau et associe chaque NSG à sa carte réseau appropriée.
- La carte réseau de gestion dispose d'un NSG nommé dans le modèle
vmw-hcs-ID-uag-management-nsg. - La carte réseau de locataire dispose d'un NSG nommé dans le modèle
vmw-hcs-ID-uag-tenant-nsg. - La carte réseau de la zone DMZ dispose d'un NSG nommé dans le modèle
vmw-hcs-ID-uag-dmz-nsg.
Dans votre environnement Microsoft Azure, ces NSG sont nommés dans le modèle vmw-hcs-ID-uag où ID est l'ID de l'espace tel qu'il est affiché sur la page de détails de l'espace dans la console, sauf si la passerelle externe est déployée dans son propre réseau virtuel distinct de celui de l'espace. Dans le cas d'une passerelle externe déployée dans son propre réseau virtuel, l'ID est la valeur de l'ID de déploiement affichée sur la page de détails de l'espace.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 9443 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP. |
| Entrant | 1100 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1200 | AllowSshInBound | 22 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Pour que VMware effectue un accès d'urgence à la VM si nécessaire à des fins de dépannage. L'autorisation vous est demandée avant tout accès d'urgence. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour refuser le trafic sortant de cette carte réseau. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1400 | AllowPcoipUdpInBound | Toutes | UDP | Sous-réseau de locataire | Toutes | Autoriser | Cette règle prend en charge la configuration standard utilisée pour Unified Access Gateway utilisant Horizon Agent. Les agents Horizon Agent sur les VM de poste de travail et de batterie de serveurs renvoient les données PCoIP aux instances d'Unified Access Gateway à l'aide d'UDP. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway communiquant avec les VM du gestionnaire d'espace pour l'envoi de nouvelles demandes de connexion client aux gestionnaires d'espace. |
| Sortant | 1100 | AllowBlastOutBound | 22443 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client Blast Extreme dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1200 | AllowPcoipOutBound | 4172 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client PCoIP dans Horizon Agent sur une VM de poste de travail. |
| Sortant | 1300 | AllowUsbOutBound | 32111 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation du trafic de redirection USB. La redirection USB est une option d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 32 111 pour une session client de l'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1400 | AllowMmrOutBound | 9427 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les cas d'utilisation du trafic de redirection multimédia (MMR) et de redirection de pilote client (CDR). Ces redirections sont des options d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 9427, pour une session cliente d'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1500 | AllowAllOutBound | Toutes | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Lors de l'exécution sur une machine virtuelle prenant en charge plusieurs sessions utilisateur, Horizon Agent choisit des ports différents à utiliser pour le trafic PCoIP des sessions. Étant donné que ces ports ne peuvent pas être déterminés à l'avance, vous ne pouvez pas définir à l'avance une règle de NSG nommant des ports spécifiques pour autoriser le trafic. Par conséquent, comme pour la règle à la priorité 1200, cette règle prend en charge le cas d'utilisation de plusieurs sessions PCoIP d'Horizon Client avec ces VM. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau aux éléments des lignes précédentes. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | Toutes | Autoriser | Cette règle fournit le trafic entrant des utilisateurs finaux externes à partir des clients Horizon Client et du client Web Horizon pour demander l'authentification de connexion au gestionnaire d'espace. Par défaut, Horizon Client et le client Web Horizon utilisent le port 443 pour cette demande. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443. |
| Entrant | 1100 | AllowBlastInBound | 443 8443 |
Toutes | Internet | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic Blast des clients Horizon Client d'utilisateurs finaux externes. |
| Entrant | 1200 | AllowPcoipInBound | 4172 | Toutes | Internet | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic PCoIP des clients Horizon Client d'utilisateurs finaux externes. |
| Entrant | 1300 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
NSG créés par le système de déploiement des VM internes d'Unified Access Gateway
Chacune des VM de la configuration interne d'Unified Access Gateway dispose de deux (2) cartes réseau, une connectée au sous-réseau de gestion et une autre connectée au sous-réseau de locataire. Le système de déploiement crée un NSG spécifique pour chacune de ces deux cartes réseau et associe chaque NSG à sa carte réseau appropriée.
- La carte réseau de gestion dispose d'un NSG nommé dans le modèle
vmw-hcs-podUUID-uag-management-nsg. - La carte réseau de locataire dispose d'un NSG nommé dans le modèle
vmw-hcs-podUUID-uag-tenant-nsg.
Dans votre environnement Microsoft Azure, ces NSG se trouvent dans le groupe de ressources de l'espace nommé dans le modèle vmw-hcs-podUUID-uag-internal.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowHttpsInBound | 9443 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP. |
| Entrant | 1100 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1200 | AllowSshInBound | 22 | Toutes | Sous-réseau de gestion | Toutes | Toutes | Pour que VMware effectue un accès d'urgence à la VM si nécessaire à des fins de dépannage. L'autorisation vous est demandée avant tout accès d'urgence. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour refuser le trafic sortant de cette carte réseau. |
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | Toutes | Autoriser | Cette règle fournit le trafic entrant des utilisateurs finaux internes à partir des clients Horizon Client et du client Web Horizon pour demander l'authentification de connexion au gestionnaire d'espace. Par défaut, Horizon Client et le client Web Horizon utilisent le port 443 pour cette demande. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443. |
| Entrant | 1200 | AllowBlastInBound | 443 8443 |
Toutes | VirtualNetwork | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic Blast des clients Horizon Client d'utilisateurs finaux internes. |
| Entrant | 1300 | AllowPcoipInBound | 4172 | Toutes | VirtualNetwork | Toutes | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic PCoIP des clients Horizon Client d'utilisateurs finaux internes. |
| Entrant | 1400 | AllowPcoipUdpInBound | Toutes | UDP | Sous-réseau de locataire | Toutes | Autoriser | Cette règle prend en charge la configuration standard utilisée pour Unified Access Gateway utilisant Horizon Agent. Les agents Horizon Agent sur les VM de poste de travail et de batterie de serveurs renvoient les données PCoIP aux instances d'Unified Access Gateway à l'aide d'UDP. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
| Sortant | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les instances d'Unified Access Gateway communiquant avec les VM du gestionnaire d'espace pour l'envoi de nouvelles demandes de connexion client à l'espace. |
| Sortant | 1100 | AllowBlastOutBound | 22443 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client Blast Extreme dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1200 | AllowPcoipOutBound | 4172 | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation d'une session Horizon Client PCoIP dans Horizon Agent sur une VM de poste de travail. |
| Sortant | 1300 | AllowUsbOutBound | 32111 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge le cas d'utilisation du trafic de redirection USB. La redirection USB est une option d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 32 111 pour une session client de l'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1400 | AllowMmrOutBound | 9427 | TCP | Toutes | Sous-réseau de locataire | Autoriser | Cette règle prend en charge les cas d'utilisation du trafic de redirection multimédia (MMR) et de redirection de pilote client (CDR). Ces redirections sont des options d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 9427, pour une session cliente d'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs. |
| Sortant | 1500 | AllowAllOutBound | Toutes | Toutes | Toutes | Sous-réseau de locataire | Autoriser | Lors de l'exécution sur une machine virtuelle prenant en charge plusieurs sessions utilisateur, Horizon Agent choisit des ports différents à utiliser pour le trafic PCoIP des sessions. Étant donné que ces ports ne peuvent pas être déterminés à l'avance, vous ne pouvez pas définir à l'avance une règle de NSG nommant des ports spécifiques pour autoriser le trafic. Par conséquent, comme pour la règle à la priorité 1200, cette règle prend en charge le cas d'utilisation de plusieurs sessions PCoIP d'Horizon Client avec ces VM. |
| Sortant | 3000 | DenyAllOutBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau aux éléments des lignes précédentes. |
NSG créé par le système de déploiement de la machine virtuelle du connecteur de passerelle lors du déploiement d'une passerelle externe dans son propre réseau virtuel
La machine virtuelle du connecteur de passerelle dispose d'une seule carte réseau. Cette carte réseau est attachée au sous-réseau de gestion du réseau virtuel de la passerelle externe. Le système de déploiement crée un NSG unique et l'associe spécifiquement à cette carte réseau. Par défaut, le NSG créé par le système de déploiement de la carte réseau de gestion du connecteur de la passerelle dispose des mêmes règles que celui pour la VM du gestionnaire d'espace.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 1000 | AllowSshInBound | 22 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Si, en période de stabilité, vous effectuez une demande de support à VMware et que l'équipe du support détermine que la méthode de dépannage de cette demande consiste à déployer une VM JumpBox pour la communication SSH vers cette VM du connecteur de passerelle, cette règle de NSG prend en charge ce cas d'utilisation. L'autorisation vous est demandée avant tout accès d'urgence. La VM JumpBox de courte durée communique avec une VM du connecteur de passerelle à l'aide du protocole SSH sur le port 22 de la VM. Les opérations quotidiennes de l'espace ne nécessitent pas la disponibilité du port 22 sur la VM du connecteur de passerelle. |
| Entrant | 1100 | AllowAzureInBound | Toutes | Toutes | 168.63.129.16 | Toutes | Autoriser | Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16. |
| Entrant | 1200 | AllowHttpsInBound | 443 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Pour que le plan de contrôle du cloud communique en toute sécurité avec le point de terminaison REST API du connecteur de passerelle. |
| Entrant | 1300 | AllowApacheGeodeInBound | 10334-10336, 41000-41002, 41100-41102, 42000-42002 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Ces ports sont utilisés pour répliquer des sessions utilisateur et des informations liées au partage des fichiers sur les VM du gestionnaire d'espace et sur la VM du connecteur de passerelle. |
| Entrant | 1400 | AllowTelegrafInBound | 9172 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Obsolète. Ce NSG a été utilisé par la fonctionnalité de surveillance de l'infrastructure Horizon, qui est obsolète, comme décrit dans l'article 93762 de la base de connaissances VMware. |
| Entrant | 1500 | AllowAgentJmsInBound | 4001, 4002 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Obsolète. Ce NSG a été utilisé par la fonctionnalité de surveillance de l'infrastructure Horizon, qui est obsolète, comme décrit dans l'article 93762 de la base de connaissances VMware. |
| Entrant | 3000 | DenyAllInBound | Toutes | Toutes | Toutes | Toutes | Refuser | Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes. |
NSG créé par le système de déploiement de la VM JumpBox temporaire
Si vous effectuez une demande de support à VMware et que l'équipe du support détermine que la façon de traiter cette demande consiste à déployer une VM JumpBox temporaire, celle-ci dispose d'un NSG dans son groupe de ressources de la JumpBox temporaire. Ce NSG est supprimé lorsque le groupe de ressources de la VM JumpBox est supprimé une fois que l'équipe du support a terminé ce travail. L'autorisation vous est demandée avant tout accès d'urgence.
| Sens | Priorité | Nom | Ports | Protocole | Source | Destination | Action | Objectif |
|---|---|---|---|---|---|---|---|---|
| Entrant | 100 | AllowSSHInBound | 22 | Toutes | Sous-réseau de gestion | Sous-réseau de gestion | Autoriser | Pour la communication SSH avec les dispositifs gérés par VMware impliqués dans l'examen de l'équipe du support VMware pour votre demande de service. La VM JumpBox de courte durée communique à l'aide de SSH et du port 22.
Note : Lorsque le plan de contrôle cloud a perdu l'accès à l'espace, l'équipe du support peut déployer une JumpBox d'urgence avec une adresse IP publique pour établir l'accès à l'espace. Dans ce scénario, cette règle devra avoir Source=Any et Destination=Any.
|
| Sortant | 100 | AllowSSHOutbound | 22 | TCP | Sous-réseau de gestion | Sous-réseau de gestion | Autoriser | Pour que la VM JumpBox effectue ses fonctions attribuées. |
| Sortant | 101 | AllowHttpsOutbound | 443 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Pour que la VM JumpBox télécharge des composants logiciels localisés en externe, tels que l'interface de ligne de commande (CLI) Microsoft Azure, afin d'effectuer ses fonctions attribuées. |
| Sortant | 102 | AllowHttpOutbound | 80 | TCP | Sous-réseau de gestion | Toutes | Autoriser | Pour que la VM JumpBox télécharge des composants logiciels localisés en externe, tels que les mises à jour logicielles Ubuntu, afin d'effectuer ses fonctions attribuées. |
| Sortant | 103 | AllowUagOutbound | 9443 | TCP | Sous-réseau de gestion | Sous-réseau de gestion | Autoriser | Pour que la machine virtuelle JumpBox exécute ses fonctions attribuées liées aux paramètres d'administration de la passerelle à l'aide de l'interface de gestion de la passerelle. |
| Sortant | 104 | AllowDnsOutbound | 53 | Toutes | Sous-réseau de gestion | Toutes | Autoriser | Pour que la VM JumpBox accède aux services DNS. |
| Sortant | 105 | AllowHttpProxyOutbound | Toutes | TCP | Toutes | Toutes | Autoriser | Lorsque le déploiement de l'espace est configuré pour utiliser un proxy avec un port du proxy différent de 80, le système de déploiement de la JumpBox temporaire crée cette règle dans ce NSG. Cette règle prend en charge la JumpBox temporaire dans cet environnement de proxy. Cette règle ne s'affiche pas dans ce NSG lorsqu'aucun proxy n'est spécifié pour la configuration du déploiement de l'espace ou qu'un proxy est spécifié avec le port du proxy 80. |
| Sortant | 1000 | DenyAllOutBound | Toutes | TCP | Toutes | Toutes | Refuser | Limite le trafic sortant de cette carte réseau à l'aide de TCP aux éléments des lignes précédentes. |
