L'objectif de cette rubrique de documentation ici est de vous expliquer ce que vous verrez après avoir utilisé Horizon Cloud pour créer un espace dans votre abonnement Microsoft Azure et vous connecter ensuite au portail Microsoft Azure, puis examiner le système de déploiement de l'espace qui a été créé là. Dans le cadre du déploiement de l'espace dans Microsoft Azure, le processus de déploiement automatique crée un ensemble de groupes de sécurité réseau (NSG) et associe chacun d'entre eux aux interfaces réseau (cartes réseau) individuelles qui se trouvent sur chacune des machines virtuelles (VM) associées à l'espace contrôlées par VMware. Ces VM associées à l'espace sont d'une part les VM de gestionnaire de l'espace et, d'autre part, les VM qui sont déployées lorsque l'espace est configuré avec Unified Access Gateway. En outre, au cours des workflows liés au déploiement, comme par exemple le déploiement d'un espace ou l'ajout d'une configuration de passerelle à un espace, la JumpBox temporaire dispose également d'un NSG dans son groupe de ressources de JumpBox temporaire. Le système de déploiement de l'espace associe le NSG créé par le système de déploiement approprié à la carte réseau adéquate, en fonction de la conception et de l'architecture de VMware pour l'espace. Ces NSG sont utilisés au niveau de la carte réseau pour vérifier que chaque carte réseau sur un dispositif spécifique géré par VMware peut recevoir le trafic que le dispositif géré par VMware est censé recevoir pour les opérations de service et d'espace standard sur le sous-réseau associé à la carte réseau et pour bloquer tout le trafic que ce dispositif n'est pas censé recevoir. Chaque NSG contient un ensemble de règles de sécurité qui définissent le trafic autorisé vers et depuis chaque carte réseau.

Les NSG décrits ici sont distincts de ceux utilisés pour les batteries de serveurs et les postes de travail VDI que vous créez dans l'espace. Ils disposent d'informations différentes sur l'utilisation. Pour plus d'informations sur les NSG utilisés pour les batteries de serveurs et les pools, reportez-vous aux sections À propos des groupes de sécurité réseau et de vos batteries de serveurs et À propos des groupes de sécurité réseau et de vos postes de travail VDI.

Avertissement : Les règles de NSG créées par le système de déploiement décrites ici sont les exigences de configuration du service. Vous ne devez jamais supprimer ni modifier les NSG Horizon Cloud qui sont automatiquement créés et associés aux cartes réseau des machines virtuelles de l'espace. Cette instruction comprend les actions suivantes :
  • Copie ou déplacement de ces NSG ou règles de NSG vers les sous-réseaux utilisés par Horizon Cloud
  • Copie ou déplacement de ces NSG ou règles de NSG entre les cartes réseau associées aux VM de l'espace.

Les NSG créés par Horizon Cloud et les règles à l'intérieur de ceux-ci sont propres aux cartes réseau et aux machines virtuelles spécifiques auxquelles ils sont attachés. Ils s'appliquent expressément dans le cadre de ces cartes réseau et de ces machines virtuelles. Toute modification apportée à ces NSG ou à ces règles, ou toute tentative de les utiliser à d'autres fins, même sur les mêmes sous-réseaux auxquels ces cartes réseau sont attachées, entraînera probablement une interruption du trafic réseau requis vers et depuis les cartes réseau auxquelles ils sont attachés. Cette interruption peut entraîner à son tour l'interruption de toutes les opérations de l'espace. Le cycle de vie de ces NSG est géré par Horizon Cloud. Il existe des raisons spécifiques pour chacun d'entre eux. Ces raisons incluent les suivantes :

  • Capacité du plan de contrôle du cloud à communiquer avec l'espace.
  • Gestion de l'infrastructure de l'espace
  • Opérations du cycle de vie de l'espace
Étant donné que ces NSG créés par le système de déploiement sont des exigences de configuration du service, si vous tentez de les modifier ou de les déplacer, cela est considéré comme une utilisation non prise en charge d' Horizon Cloud et une utilisation abusive des offres de service, comme décrit dans le Contrat de niveau du service VMware Horizon.

Toutefois, vous pouvez créer vos propres NSG contenant les règles de votre organisation dans des groupes de ressources en dehors de ceux de l'espace qui sont créés automatiquement et gérés par Horizon Cloud pour les machines virtuelles de l'espace. Les règles de vos propres NSG ne doivent pas entrer en conflit avec les conditions préalables de Horizon Cloud pour la gestion et les opérations des machines virtuelles de l'espace. Ces NSG doivent être attachés aux sous-réseaux de gestion, de locataire et de zone DMZ utilisés par l'espace. La création de vos propres NSG dans les groupes de ressources gérés par Horizon Cloud entraîne un échec lors des actions de suppression sur les groupes de ressources gérés par Horizon Cloud si vos NSG de ces groupes de ressources sont associés à une ressource qui se trouve dans un autre groupe de ressources.

Comme décrit dans la documentation de Microsoft Azure, l'objectif d'un groupe de sécurité réseau (NSG) est de filtrer le trafic réseau vers et depuis les ressources dans votre environnement Microsoft Azure à l'aide de règles de sécurité. Chaque règle dispose d'un ensemble de propriétés, telles que la source, la destination, le port, le protocole, etc. qui déterminent le trafic autorisé pour les ressources auxquelles le NSG est associé. Les NSG qu'Horizon Cloud crée automatiquement et qu'il associe aux cartes réseau des VM d'espace contrôlées par VMware contiennent des règles spécifiques qu'Horizon Cloud a jugées nécessaires pour la gestion de l'espace du service, pour l'exécution appropriée des opérations d'espace en cours et pour la gestion du cycle de vie de l'espace. Généralement, chaque règle définie dans ces NSG est destinée à fournir le trafic de port des opérations de l'espace qui fait partie intégrante de l'exécution des objectifs commerciaux standard du service d'un abonnement à Horizon Cloud, par exemple les cas d'utilisation VDI de la remise de postes de travail virtuels aux utilisateurs finaux. Reportez-vous également à la section Conditions requises des ports et des protocoles pour un espace Horizon Cloud.

Les sections ci-dessous répertorient les règles de NSG qu'Horizon Cloud définit dans ces NSG.

Informations générales sur ces NSG

Cette liste s'applique à tous les NSG créés par le système de déploiement que celui-ci associe à des cartes réseau spécifiques sur les machines virtuelles associées à l'espace.

  • Ces NSG créés par VMware sont destinés à la sécurité des dispositifs logiciels contrôlés par VMware. Lorsque VMware ajoute de nouveaux logiciels à votre abonnement et que des règles supplémentaires sont requises, ces nouvelles règles sont ajoutées à ces NSG.
  • Dans le portail Microsoft Azure, les NSG ont des noms qui contiennent le modèle vmw-hcs-UUIDespace, où UUIDespace est l'identifiant de l'espace, à l'exception des NSG qui sont destinés à une configuration de passerelle externe déployée dans son propre réseau virtuel. Dans ce cas, les NSG appropriés de la passerelle ont des noms qui contiennent le modèle vmw-hcs-ID, où ID est l'ID de déploiement de cette passerelle externe.
    Note : Pour le scénario dans lequel la configuration de la passerelle externe est déployée dans un abonnement distinct à l'aide de l'option de déploiement dans un groupe de ressources existant que vous avez créé dans cet abonnement, le NSG sur la carte réseau de gestion de la VM du connecteur de passerelle est nommé dans un modèle selon le nom du groupe de ressources au lieu du modèle vmw-hcs-podUUID. Par exemple, si vous avez nommé ce groupe de ressources hcsgateways, Horizon Cloud crée un NSG nommé hcsgateways-mgmt-nsg à l'intérieur et l'associe à la carte réseau de gestion de la VM du connecteur de passerelle.

    Pour localiser ces identifiants, vous pouvez accéder aux détails de l'espace sur la page Capacité de la console d'administration.

    Note : Lorsque vous choisissez de faire en sorte que l'instance externe d'Unified Access Gateway de l'espace utilise un groupe de ressources personnalisées, le nom du NSG créé par le système de déploiement de la VM du connecteur de passerelle contient le nom de ce groupe de ressources personnalisées au lieu du modèle vmw-hcs-ID. Par exemple, si vous spécifiez l'utilisation d'un groupe de ressources personnalisées nommé ourhcspodgateway pour la passerelle externe de votre espace, le NSG que le système de déploiement crée et associe à la carte réseau de la machine virtuelle de la passerelle est nommé ourhcspodgateway-mgmt-nsg.
  • Les NSG sont situés dans le même groupe de ressources que les VM et les cartes réseau auxquelles ils sont associés. Par exemple, les NSG associés aux cartes réseau des machines virtuelles externes d'Unified Access Gateway sont situés dans le groupe de ressources nommé vmw-hcs-podUUID-uag lors du déploiement de la passerelle externe dans le réseau virtuel de l'espace et utilisant un groupe de ressources créé par le système de déploiement. Reportez-vous également à la section Groupes de ressources créés pour un espace déployé dans Microsoft Azure.
  • Horizon Cloud peut ajouter des règles ou modifier ces règles selon les besoins afin de garantir la facilité de maintenance du service.
  • Lors d'une mise à jour de l'espace, les NSG et les règles seront conservés. Ils ne seront pas supprimés.
  • À l'exception des règles de NSG de la VM JumpBox temporaire, les règles Horizon Cloud commencent à la priorité 1 000 et les priorités augmentent par incréments généralement de 100. Les règles Horizon Cloud se terminent par une règle à la priorité 3000. Pour les règles de NSG de la VM JumpBox, les règles Horizon Cloud commencent à la priorité 100 et les priorités augmentent par incréments de 1. Les règles Horizon Cloud se terminent par une règle à la priorité 1000.
  • Les règles AllowAzureInBound relatives à l'adresse IP source 168.63.129.16 permettent aux NSG d'accepter les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la rubrique Qu'est-ce que l'adresse IP 168.63.129.16 ? de la documentation de Microsoft Azure. Toutes les VM associées à l'espace se trouvent dans Microsoft Azure. Comme décrit dans la rubrique de la documentation de Microsoft Azure, leur adresse IP 168.63.129.16 facilite les différentes tâches de gestion de VM que la plate-forme de cloud Microsoft Azure effectue pour toutes les VM de leur cloud. Par exemple, cette adresse IP facilite l'utilisation de l'agent sur la VM pour communiquer avec la plate-forme Microsoft Azure afin d'indiquer que l'état de la VM est Prêt.
  • Dans les NSG pour les instances d'Unified Access Gateway, les règles AllowPcoipUdpInBound sont définies pour n'importe quel port, car le trafic PCoIP utilise des numéros de port variables compris dans la plage 4173+, de telle sorte que le trafic ne puisse pas être limité à un ensemble de ports spécifique.
  • Microsoft Azure crée automatiquement des règles par défaut dans chaque NSG au moment de sa création. Dans chaque NSG créé, Microsoft Azure crée des règles de trafic entrant et sortant à la priorité 65000 et suivantes. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.
  • Au cours des workflows liés au déploiement, tels que le déploiement d'un espace ou l'ajout d'une configuration de passerelle à un espace, la JumpBox temporaire dispose également d'un NSG dans son groupe de ressources de la JumpBox temporaire. Ce NSG est supprimé lorsque le groupe de ressources de la VM JumpBox est supprimé à la fin du workflow.
  • Chaque règle définie dans ces NSG est destinée à fournir le trafic de port des opérations de l'espace qui fait partie intégrante de l'exécution des objectifs commerciaux standard du service d'un abonnement Horizon Cloud, par exemple les cas d'utilisation VDI de la remise de postes de travail virtuels aux utilisateurs finaux. Reportez-vous également à la section Conditions requises des ports et des protocoles pour un espace Horizon Cloud.
  • Lorsque vous modifiez votre espace pour spécifier des sous-réseaux de locataires supplémentaires à utiliser avec des batteries de serveurs et des attributions de poste de travail VDI , les règles dans les NSG liés au sous-réseau de locataires sur les VM du gestionnaire d'espace et les cartes réseau des VM Unified Access Gateway sont mises à jour afin d'inclure ces sous-réseaux de locataire supplémentaires.

NSG créés par le système de déploiement des VM du gestionnaire de l'espace

La VM du gestionnaire de l'espace dispose de deux cartes réseau, une connectée au sous-réseau de gestion et l'autre connectée au sous-réseau de locataire. Le système de déploiement crée un NSG spécifique pour chacune de ces deux cartes réseau et associe chaque NSG à sa carte réseau appropriée.

  • La carte réseau de gestion dispose d'un NSG nommé dans le modèle vmw-hcs-podUUID-mgmt-nsg.
  • La carte réseau de locataire dispose d'un NSG nommé dans le modèle vmw-hcs-podUUID-tenant-nsg.

Dans votre environnement Microsoft Azure, ces NSG se trouvent dans le groupe de ressources de l'espace nommé dans le modèle vmw-hcs-podUUID.

Important : Lorsque l'espace utilise la fonctionnalité pour que sa passerelle externe soit dans un réseau virtuel distinct (ce qui inclut le cas où cette passerelle utilise un abonnement distinct de l'abonnement de l'espace), le NSG de la carte réseau du locataire de la machine virtuelle du gestionnaire d'espaces comporte une règle entrante supplémentaire nommée AllowGatewayBrokeringHttpsInBound pour le port TCP 8443 avec VirtualNetwork comme source. Les règles de NSG créées par le système de déploiement sur la carte réseau du locataire de la machine virtuelle du gestionnaire d'espaces lorsque la passerelle externe se trouve dans un réseau virtuel distinct sont répertoriées dans le troisième tableau ci-dessous.
Tableau 1. Règles des NSG créés par le système de déploiement sur la carte réseau de gestion des VM du gestionnaire de l'espace
Sens Priorité Nom Ports Protocole Source Destination Action Objectif de la règle
Entrant 1000 AllowSshInBound 22 Toutes Sous-réseau de gestion Toutes Autoriser Comme décrit dans la rubrique Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure, la VM JumpBox de courte durée communique avec une VM du gestionnaire d'espace à l'aide de SSH sur le port 22 de la VM lors de la création initiale d'un espace et lors des mises à jour logicielles suivantes sur l'espace. En outre, comme décrit dans cette rubrique, les opérations d'espace quotidiennes ne nécessitent pas la disponibilité du port 22 sur la VM du gestionnaire d'espace. Cependant, si en période de stabilité, vous effectuez une demande de support à VMware et que l'équipe de support détermine que la méthode de dépannage de cette demande consiste à déployer une VM JumpBox pour la communication SSH vers la VM du gestionnaire d'espace, cette règle de NSG prend en charge ce cas d'utilisation. L'autorisation vous est demandée avant tout accès d'urgence.
Entrant 1100 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 1200 AllowHttpsInBound 443 Toutes Sous-réseau de gestion Toutes Autoriser Pour que le plan de contrôle du cloud communique en toute sécurité avec le point de terminaison REST API du gestionnaire d'espace.
Entrant 1300 AllowApacheGeodeInBound 10334-10335, 41000-41002, 42000-42002 Toutes Sous-réseau de gestion Toutes Autoriser Ces ports sont utilisés pour répliquer des sessions utilisateur sur les VM du gestionnaire d'espace.
Entrant 1400 AllowTelegrafInBound 9172 Toutes Sous-réseau de gestion Toutes Autoriser Cette règle est prévue pour être utilisée dans une future version de service.
Entrant 1500 AllowAgentJmsInBound 4001, 4002 Toutes Sous-réseau de gestion Toutes Autoriser Cette règle est prévue pour être utilisée dans une future version de service.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.
Tableau 2. Règles des NSG créés par le système de déploiement sur la carte réseau de locataire des VM du gestionnaire de l'espace
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Toutes Autoriser Cette règle fournit un scénario atypique dans lequel vous avez pu indiquer à vos utilisateurs finaux internes (sur votre réseau d'entreprise, par exemple sur VPN) d'établir leurs connexions client à un nom de domaine complet que vous avez mappé à l'équilibrage de charge Microsoft Azure de l'espace. Ce scénario est parfois appelé connexion d'espace directe. Pour effectuer la demande d'authentification de connexion au routeur de connexions dans l'espace, les clients Horizon Client et le client Web Horizon utilisent le port 443. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443.
Entrant 1100 AllowAgentHttpsInBound

3443

8443

TCP Sous-réseau de locataire Toutes Autoriser

Le port 3443 entrant vers cette carte réseau est utilisé par App Volumes Agent sur les VM de base, les VM de poste de travail et les VM RDSH de batterie de serveurs pour accéder au service App Volumes Manager qui s'exécute sur la VM du gestionnaire d'espace.

Le port 8443 entrant vers cette carte réseau est utilisé par les instances d'Unified Access Gateway à des fins de vérification avec le routeur de connexions de la VM du gestionnaire d'espace. Les instances de passerelle utilisent ce point de terminaison pour confirmer l'envoi de nouvelles demandes d'intermédiation client à la VM du gestionnaire d'espace.

Entrant 1120 AllowUagHttpsInBound 8443 TCP Sous-réseau de gestion Toutes Autoriser Cette règle est prévue pour être utilisée dans une future version de service.
Entrant 1200 AllowAgentJmsInBound

4001

4002

TCP Sous-réseau de locataire Toutes Autoriser

Les agents Horizon Agent sur les VM de base, les VM de poste de travail et les VM RDSH de batterie de serveurs utilisent ces ports.

Le port 4001 s'applique à Java Message Service (JMS, non-SSL), utilisé par l'agent sur la VM pour communiquer avec l'espace dans le cadre de la vérification et de l'échange de l'empreinte numérique du certificat pour sécuriser une connexion SSL à l'espace.

Une fois les clés négociées et échangées entre la VM et le gestionnaire d'espace, l'agent utilise le port 4002 pour créer une connexion SSL sécurisée.
Note : Les ports 4001 et 4002 sont requis en période de stabilité. Il peut arriver que l'agent doive recréer la clé avec l'espace.
Entrant 1210 AllowRouterJmsInBound 4101 TCP Sous-réseau de locataire Toutes Autoriser Lorsqu'un espace est activé pour la haute disponibilité (HA), ce trafic est le routage JMS entre les VM du gestionnaire d'espace (nœud 1 et nœud 2)
Entrant 1300 AllowAgentUdpInBound 5678 UDP Sous-réseau de locataire Toutes Autoriser Obsolète pour les espaces des manifestes 1600 et versions ultérieures. Dans la version de septembre 2019 du service, DaaS Agent a été intégré à Horizon Agent à partir du manifeste 1600 de l'espace. Auparavant, ce port 5678 et le protocole UDP étaient utilisés pour prendre en charge l'utilisation de DaaS Agent.
Entrant 1400 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.
Tableau 3. Lorsque la passerelle externe réside dans un réseau virtuel distinct, des règles de NSG créées par le système de déploiement sur la carte réseau du locataire de la machine virtuelle du gestionnaire d'espaces
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork Toutes Autoriser Cette règle fournit un scénario atypique dans lequel vous avez pu indiquer à vos utilisateurs finaux internes (sur votre réseau d'entreprise, par exemple sur VPN) d'établir leurs connexions client à un nom de domaine complet que vous avez mappé à l'équilibrage de charge Microsoft Azure de l'espace. Ce scénario est parfois appelé connexion d'espace directe. Pour effectuer la demande d'authentification de connexion au routeur de connexions dans l'espace, les clients Horizon Client et le client Web Horizon utilisent le port 443. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443.
Entrant 1100 AllowAgentHttpsInBound

3443

8443

TCP Sous-réseau de locataire Toutes Autoriser

Le port 3443 entrant vers cette carte réseau est utilisé par App Volumes Agent sur les VM de base, les VM de poste de travail et les VM RDSH de batterie de serveurs pour accéder au service App Volumes Manager s'exécutant sur la VM du gestionnaire d'espace.

Le port 8443 entrant vers cette carte réseau est utilisé par les instances d'Unified Access Gateway à des fins de vérification avec le routeur de connexions de la VM du gestionnaire d'espace. Les instances de passerelle utilisent ce point de terminaison pour confirmer l'envoi de nouvelles demandes d'intermédiation client à l'espace.

Entrant 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork Toutes Autoriser Lorsque la passerelle externe de l'espace est déployée dans son propre réseau virtuel séparé de l'espace, cette règle prend en charge le trafic entrant à partir des instances d'Unified Access Gateway de la passerelle externe à vérifier avec le routeur de connexions de la VM du gestionnaire d'espace. Les instances de passerelle utilisent ce point de terminaison pour confirmer l'envoi de nouvelles demandes d'intermédiation client au routeur de connexions.
Entrant 1120 AllowUagHttpsInBound 8443 TCP Sous-réseau de gestion Toutes Autoriser Cette règle est prévue pour être utilisée dans une future version de service.
Entrant 1200 AllowAgentJmsInBound

4001

4002

TCP Sous-réseau de locataire Toutes Autoriser

Les agents Horizon Agent sur les VM de base, les VM de poste de travail et les VM RDSH de batterie de serveurs utilisent ces ports.

Le port 4001 s'applique à Java Message Service (JMS, non-SSL), utilisé par l'agent sur la VM pour communiquer avec l'espace dans le cadre de la vérification et de l'échange de l'empreinte numérique du certificat pour sécuriser une connexion SSL à l'espace.

Une fois les clés négociées et échangées entre la VM et le gestionnaire d'espace, l'agent utilise le port 4002 pour créer une connexion SSL sécurisée.
Note : Les ports 4001 et 4002 sont requis en période de stabilité. Il peut arriver que l'agent doive recréer la clé avec l'espace.
Entrant 1210 AllowRouterJmsInBound 4101 TCP Sous-réseau de locataire Toutes Autoriser Lorsqu'un espace est activé pour la haute disponibilité (HA), ce trafic est le routage JMS entre les VM du gestionnaire d'espace (nœud 1 et nœud 2)
Entrant 1300 AllowAgentUdpInBound 5678 UDP Sous-réseau de locataire Toutes Autoriser Obsolète pour les espaces des manifestes 1600 et versions ultérieures. Dans la version de septembre 2019 du service, DaaS Agent a été intégré à Horizon Agent à partir du manifeste 1600 de l'espace. Auparavant, ce port 5678 et le protocole UDP étaient utilisés pour prendre en charge l'utilisation de DaaS Agent.
Entrant 1400 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.

NSG créés par le système de déploiement des VM externes d'Unified Access Gateway

Chacune des VM pour la configuration externe d'Unified Access Gateway externe dispose de trois (3) cartes réseau, une connectée au sous-réseau de gestion, une connectée au sous-réseau de locataire et une autre connectée au sous-réseau de la zone DMZ. Le système de déploiement crée un NSG spécifique pour chacune de ces trois cartes réseau et associe chaque NSG à sa carte réseau appropriée.

  • La carte réseau de gestion dispose d'un NSG nommé dans le modèle vmw-hcs-ID-uag-management-nsg.
  • La carte réseau de locataire dispose d'un NSG nommé dans le modèle vmw-hcs-ID-uag-tenant-nsg.
  • La carte réseau de la zone DMZ dispose d'un NSG nommé dans le modèle vmw-hcs-ID-uag-dmz-nsg.

Dans votre environnement Microsoft Azure, ces NSG sont nommés dans le modèle vmw-hcs-ID-uagID est l'ID de l'espace tel qu'il est affiché sur la page de détails de l'espace dans la console, sauf si la passerelle externe est déployée dans son propre réseau virtuel distinct de celui de l'espace. Dans le cas d'une passerelle externe déployée dans son propre réseau virtuel, l'ID est la valeur de l'ID de déploiement affichée sur la page de détails de l'espace.

Tableau 4. Règles des NSG créés par le système de déploiement sur la carte réseau de gestion des VM externes d'Unified Access Gateway
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowHttpsInBound 9443 TCP Sous-réseau de gestion Toutes Autoriser Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP.
Entrant 1100 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 1200 AllowSshInBound 22 Toutes Sous-réseau de gestion Toutes Autoriser Pour que VMware effectue un accès d'urgence à la VM si nécessaire à des fins de dépannage. L'autorisation vous est demandée avant tout accès d'urgence.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.
Sortant 3000 DenyAllOutBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour refuser le trafic sortant de cette carte réseau.
Tableau 5. Règles des NSG créés par le système de déploiement sur la carte réseau de locataire des VM externes d'Unified Access Gateway
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 1400 AllowPcoipUdpInBound Toutes UDP Sous-réseau de locataire Toutes Autoriser Cette règle prend en charge la configuration standard utilisée pour Unified Access Gateway utilisant Horizon Agent. Les agents Horizon Agent sur les VM de poste de travail et de batterie de serveurs renvoient les données PCoIP aux instances d'Unified Access Gateway à l'aide d'UDP.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.
Sortant 1000 AllowHttpsOutBound

443

8443

TCP Toutes Sous-réseau de locataire Autoriser

Cette règle prend en charge les instances d'Unified Access Gateway communiquant avec le routeur de connexions sur les VM du gestionnaire d'espace pour les nouvelles demandes d'intermédiation de client vers l'espace.

Sortant 1100 AllowBlastOutBound 22443 Toutes Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge le cas d'utilisation d'une session Horizon Client Blast Extreme dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs.
Sortant 1200 AllowPcoipOutBound 4172 Toutes Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge le cas d'utilisation d'une session Horizon Client PCoIP dans Horizon Agent sur une VM de poste de travail.
Sortant 1300 AllowUsbOutBound 32111 TCP Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge le cas d'utilisation du trafic de redirection USB. La redirection USB est une option d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 32 111 pour une session client de l'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs.
Sortant 1400 AllowMmrOutBound 9427 TCP Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge les cas d'utilisation du trafic de redirection multimédia (MMR) et de redirection de pilote client (CDR). Ces redirections sont des options d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 9427, pour une session cliente d'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs.
Sortant 1500 AllowAllOutBound Toutes Toutes Toutes Sous-réseau de locataire Autoriser Lors de l'exécution sur une machine virtuelle prenant en charge plusieurs sessions utilisateur, Horizon Agent choisit des ports différents à utiliser pour le trafic PCoIP des sessions. Étant donné que ces ports ne peuvent pas être déterminés à l'avance, vous ne pouvez pas définir à l'avance une règle de NSG nommant des ports spécifiques pour autoriser le trafic. Par conséquent, comme pour la règle à la priorité 1200, cette règle prend en charge le cas d'utilisation de plusieurs sessions PCoIP d'Horizon Client avec ces VM.
Sortant 3000 DenyAllOutBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau aux éléments des lignes précédentes.
Tableau 6. Règles des NSG créés par le système de déploiement sur la carte réseau de la zone DMZ des VM externes d'Unified Access Gateway
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowHttpsInBound

80

443

TCP Internet Toutes Autoriser Cette règle fournit le trafic entrant des utilisateurs finaux externes à partir des clients Horizon Client et du client Web Horizon pour demander l'authentification de connexion au routeur de connexions de l'espace. Par défaut, Horizon Client et le client Web Horizon utilisent le port 443 pour cette demande. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443.
Entrant 1100 AllowBlastInBound

443

8443

Toutes Internet Toutes Autoriser Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic Blast des clients Horizon Client d'utilisateurs finaux externes.
Entrant 1200 AllowPcoipInBound 4172 Toutes Internet Toutes Autoriser Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic PCoIP des clients Horizon Client d'utilisateurs finaux externes.
Entrant 1300 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.

NSG créés par le système de déploiement des VM internes d'Unified Access Gateway

Chacune des VM de la configuration interne d'Unified Access Gateway dispose de deux (2) cartes réseau, une connectée au sous-réseau de gestion et une autre connectée au sous-réseau de locataire. Le système de déploiement crée un NSG spécifique pour chacune de ces deux cartes réseau et associe chaque NSG à sa carte réseau appropriée.

  • La carte réseau de gestion dispose d'un NSG nommé dans le modèle vmw-hcs-podUUID-uag-management-nsg.
  • La carte réseau de locataire dispose d'un NSG nommé dans le modèle vmw-hcs-podUUID-uag-tenant-nsg.

Dans votre environnement Microsoft Azure, ces NSG se trouvent dans le groupe de ressources de l'espace nommé dans le modèle vmw-hcs-podUUID-uag-internal.

Tableau 7. Règles des NSG créés par le système de déploiement sur la carte réseau de gestion des VM internes d'Unified Access Gateway
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowHttpsInBound 9443 TCP Sous-réseau de gestion Toutes Autoriser Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP.
Entrant 1100 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 1200 AllowSshInBound 22 Toutes Sous-réseau de gestion Toutes Toutes Pour que VMware effectue un accès d'urgence à la VM si nécessaire à des fins de dépannage. L'autorisation vous est demandée avant tout accès d'urgence.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.
Sortant 3000 DenyAllOutBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour refuser le trafic sortant de cette carte réseau.
Tableau 8. Règles des NSG créés par le système de déploiement sur la carte réseau de locataire des VM internes d'Unified Access Gateway
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork Toutes Autoriser Cette règle fournit le trafic entrant des utilisateurs finaux internes à partir des clients Horizon Client et du client Web Horizon pour demander l'authentification de connexion au routeur de connexions de l'espace. Par défaut, Horizon Client et le client Web Horizon utilisent le port 443 pour cette demande. Pour prendre en charge la redirection facile à titre de référence pour un utilisateur qui peut entrer HTTP dans son client au lieu de HTTPS, ce trafic arrive sur le port 80 et est automatiquement redirigé vers le port 443.
Entrant 1200 AllowBlastInBound

443

8443

Toutes VirtualNetwork Toutes Autoriser Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic Blast des clients Horizon Client d'utilisateurs finaux internes.
Entrant 1300 AllowPcoipInBound 4172 Toutes VirtualNetwork Toutes Autoriser Cette règle prend en charge les instances d'Unified Access Gateway qui reçoivent le trafic PCoIP des clients Horizon Client d'utilisateurs finaux internes.
Entrant 1400 AllowPcoipUdpInBound Toutes UDP Sous-réseau de locataire Toutes Autoriser Cette règle prend en charge la configuration standard utilisée pour Unified Access Gateway utilisant Horizon Agent. Les agents Horizon Agent sur les VM de poste de travail et de batterie de serveurs renvoient les données PCoIP aux instances d'Unified Access Gateway à l'aide d'UDP.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.
Sortant 1000 AllowHttpsOutBound

443

8443

TCP Toutes Sous-réseau de locataire Autoriser

Cette règle prend en charge les instances d'Unified Access Gateway communiquant avec le routeur de connexions sur les VM du gestionnaire d'espace pour les nouvelles demandes d'intermédiation de client vers l'espace.

Sortant 1100 AllowBlastOutBound 22443 Toutes Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge le cas d'utilisation d'une session Horizon Client Blast Extreme dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs.
Sortant 1200 AllowPcoipOutBound 4172 Toutes Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge le cas d'utilisation d'une session Horizon Client PCoIP dans Horizon Agent sur une VM de poste de travail.
Sortant 1300 AllowUsbOutBound 32111 TCP Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge le cas d'utilisation du trafic de redirection USB. La redirection USB est une option d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 32 111 pour une session client de l'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs.
Sortant 1400 AllowMmrOutBound 9427 TCP Toutes Sous-réseau de locataire Autoriser Cette règle prend en charge les cas d'utilisation du trafic de redirection multimédia (MMR) et de redirection de pilote client (CDR). Ces redirections sont des options d'agent sur les VM de poste de travail ou de batterie de serveurs. Ce trafic utilise le port 9427, pour une session cliente d'utilisateur final dans Horizon Agent sur une VM de poste de travail ou de batterie de serveurs.
Sortant 1500 AllowAllOutBound Toutes Toutes Toutes Sous-réseau de locataire Autoriser Lors de l'exécution sur une machine virtuelle prenant en charge plusieurs sessions utilisateur, Horizon Agent choisit des ports différents à utiliser pour le trafic PCoIP des sessions. Étant donné que ces ports ne peuvent pas être déterminés à l'avance, vous ne pouvez pas définir à l'avance une règle de NSG nommant des ports spécifiques pour autoriser le trafic. Par conséquent, comme pour la règle à la priorité 1200, cette règle prend en charge le cas d'utilisation de plusieurs sessions PCoIP d'Horizon Client avec ces VM..
Sortant 3000 DenyAllOutBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau aux éléments des lignes précédentes.

NSG créé par le système de déploiement de la machine virtuelle du connecteur de passerelle lors du déploiement d'une passerelle externe dans son propre réseau virtuel

La machine virtuelle du connecteur de passerelle dispose d'une seule carte réseau. Cette carte réseau est attachée au sous-réseau de gestion du réseau virtuel de la passerelle externe. Le système de déploiement crée un NSG unique et l'associe spécifiquement à cette carte réseau. Par défaut, le NSG créé par le système de déploiement de la carte réseau de gestion du connecteur de la passerelle dispose des mêmes règles que celui pour la VM du gestionnaire d'espace.

Tableau 9. Règles de NSG créées par le système de déploiement sur la carte réseau de gestion de la VM du connecteur de la passerelle externe
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 1000 AllowSshInBound 22 Toutes Sous-réseau de gestion Toutes Autoriser Comme décrit dans la rubrique Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure, la VM JumpBox de courte durée communique avec cette VM de connecteur de passerelle à l'aide de SSH sur le port 22 de la VM lors de sa création initiale et lors des mises à jour logicielles suivantes sur l'espace. En outre, comme décrit dans cette rubrique, les opérations d'espace quotidiennes ne nécessitent pas la disponibilité du port 22 sur la VM du connecteur de passerelle. Cependant, si en période de stabilité, vous effectuez une demande de support à VMware et que l'équipe de support détermine que la méthode de dépannage de cette demande consiste à déployer une VM JumpBox pour la communication SSH vers la VM du connecteur de passerelle, cette règle de NSG prend en charge ce cas d'utilisation. L'autorisation vous est demandée avant tout accès d'urgence.
Entrant 1100 AllowAzureInBound Toutes Toutes 168.63.129.16 Toutes Autoriser Pour que la VM accepte les communications entrantes de la plate-forme Microsoft Azure, comme décrit dans la section Informations générales précédente et dans la rubrique de la documentation de Microsoft Azure Qu'est-ce que l'adresse IP 168.63.129.16 ?.
Entrant 1200 AllowHttpsInBound 443 Toutes Sous-réseau de gestion Toutes Autoriser Pour que le plan de contrôle du cloud communique en toute sécurité avec le point de terminaison REST API du connecteur de passerelle.
Entrant 1300 AllowApacheGeodeInBound 10334-10335, 41000-41002, 42000-42002 Toutes Sous-réseau de gestion Toutes Autoriser Ces ports sont utilisés pour répliquer des sessions utilisateur sur les VM du gestionnaire d'espace et sur la VM du connecteur de passerelle.
Entrant 1400 AllowTelegrafInBound 9172 Toutes Sous-réseau de gestion Toutes Autoriser Cette règle est prévue pour être utilisée dans une future version de service.
Entrant 1500 AllowAgentJmsInBound 4001, 4002 Toutes Sous-réseau de gestion Toutes Autoriser Cette règle est prévue pour être utilisée dans une future version de service.
Entrant 3000 DenyAllInBound Toutes Toutes Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic entrant de cette carte réseau aux éléments des lignes précédentes.

NSG créé par le système de déploiement de la VM JumpBox temporaire

Au cours des workflows liés au déploiement, tels que le déploiement d'un espace ou l'ajout d'une configuration de passerelle à un espace, la JumpBox temporaire dispose également d'un NSG dans son groupe de ressources de la JumpBox temporaire. Ce NSG est supprimé lorsque le groupe de ressources de la VM JumpBox est supprimé à la fin du workflow.

Tableau 10. Règles de NSG créées par le système de déploiement sur la carte réseau de gestion de la VM JumpBox
Sens Priorité Nom Ports Protocole Source Destination Action Objectif
Entrant 100 AllowSSHInBound 22 Toutes Toutes Toutes Autoriser Comme décrit dans la rubrique Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure, les opérations d'espace en cours ne nécessitent pas de trafic entrant vers le port 22 de la VM de courte durée. Cependant, si en période de stabilité, vous effectuez une demande de support à VMware et que l'équipe de support détermine que la méthode de dépannage de cette demande consiste à déployer une VM JumpBox pour la communication SSH vers la VM du gestionnaire d'espace, cette règle de NSG prend en charge ce cas d'utilisation. L'autorisation vous est demandée avant tout accès d'urgence.
Sortant 100 AllowSSHOutbound 22 TCP Sous-réseau de gestion Sous-réseau de gestion Autoriser Pour que la VM JumpBox effectue ses fonctions conçues pour configurer les autres VM déployées par le service, comme le service l'exige.
Sortant 101 AllowHttpsOutbound 443 TCP Sous-réseau de gestion Toutes Autoriser Pour que la VM JumpBox télécharge des composants logiciels localisés en externe, tels que l'interface de ligne de commande (CLI) Microsoft Azure. La VM JumpBox utilise ce logiciel pour effectuer ses fonctions conçues pour configurer les autres VM déployées par le service.
Sortant 102 AllowHttpOutbound 80 TCP Sous-réseau de gestion Toutes Autoriser Pour que la VM JumpBox télécharge des composants logiciels spécifiques localisés en externe, tels que les mises à jour logicielles Ubuntu pour les VM basées sur Linux de l'espace. La VM JumpBox utilise ce logiciel pour effectuer ses fonctions conçues pour configurer les autres VM déployées par le service.
Sortant 103 AllowUagOutbound 9443 TCP Sous-réseau de gestion Sous-réseau de gestion Autoriser Pour que le service configure les paramètres d'administration de la passerelle à l'aide de son interface de gestion. Comme décrit dans la documentation du produit Unified Access Gateway, son interface de gestion se trouve sur le port 9443/TCP.
Sortant 104 AllowDnsOutbound 53 Toutes Sous-réseau de gestion Toutes Autoriser Pour que la VM JumpBox accède aux services DNS.
Sortant 1000 DenyAllOutBound Toutes TCP Toutes Toutes Refuser Ajouté par le système de déploiement pour limiter le trafic sortant de cette carte réseau à l'aide de TCP aux éléments des lignes précédentes.