Pour chaque espace Horizon Cloud déployé dans votre abonnement Microsoft Azure, un groupe de sécurité réseau (NSG) est également créé dans le groupe de ressources de l'espace pour agir en tant que modèle. Vous pouvez utiliser ce modèle pour vous assurer que vous avez ouvert les ports supplémentaires dont vous pourriez avoir besoin pour les applications distantes ou les postes de travail RDS fournis par vos batteries de serveurs.
Dans Microsoft Azure, un groupe de sécurité réseau gère le trafic réseau vers les ressources connectées aux réseaux virtuels Azure. Un groupe de sécurité réseau définit les règles de sécurité qui autorisent ou empêchent le trafic réseau. Pour plus d’informations sur la manière dont les groupes de sécurité réseau filtrent le trafic réseau, reportez-vous à la rubrique Filtrer le trafic réseau avec des groupes de sécurité réseau de la documentation Microsoft Azure.
Lorsqu’un espace Horizon Cloud est déployé dans Microsoft Azure, un groupe de sécurité réseau nommé vmw-hcs-podID-nsg-template
est créé dans le même groupe de ressources que l'espace nommé vmw-hcs-podID
(où podID
est l'ID de l'espace). Vous pouvez obtenir l'ID de l'espace depuis la page de détails de l'espace, en accédant à la page Capacité d'Horizon Universal Console.
Par défaut :
- Microsoft Azure crée automatiquement des règles par défaut dans chaque NSG au moment de sa création. Dans chaque NSG créé, Microsoft Azure crée des règles de trafic entrant et sortant à la priorité 65000 et suivantes. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure lorsqu'un utilisateur ou un système crée un NSG dans Microsoft Azure. Ces règles ne sont pas créées par Horizon Cloud. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.
- Le système de déploiement de l'espace Horizon Cloud crée les règles de sécurité entrantes suivantes dans le NSG du modèle de l'espace. Ces règles de sécurité de trafic entrant par défaut prennent en charge l'accès du client des utilisateurs finaux à leurs postes de travail de session RDS et applications distantes pour Blast et PCOIP et la redirection USB.
Priorité | Nom | Port | Protocole | Source | Destination | Action |
---|---|---|---|---|---|---|
1000 | AllowBlastUdpIn | 22443 | UDP | Internet | Toutes | Autoriser |
1100 | AllowBlastTcpIn | 22443 | TCP | Internet | Toutes | Autoriser |
1200 | AllowPcoipTcpIn | 4172 | TCP | Internet | Toutes | Autoriser |
1300 | AllowPcoipUdpIn | 4172 | UDP | Internet | Toutes | Autoriser |
1400 | AllowTcpSideChannelIn | 9427 | TCP | Internet | Toutes | Autoriser |
1500 | AllowUsbRedirectionIn | 32111 | TCP | Internet | Toutes | Autoriser |
En plus de ce modèle de groupe de sécurité réseau, lorsqu’une batterie de serveurs est créée, le système crée un groupe de sécurité réseau pour cette batterie de serveurs en copiant le modèle de groupe de sécurité réseau. Chaque batterie de serveurs a son propre groupe de sécurité réseau qui est une copie du modèle de groupe de sécurité réseau. Un groupe de sécurité réseau d'une batterie de serveurs est attribué aux cartes réseau des machines virtuelles (VM) de cette batterie de serveurs. Par défaut, chaque batterie de serveurs utilise les mêmes règles de sécurité par défaut que celles configurées dans le modèle de groupe de sécurité réseau de l'espace.
Vous pouvez modifier le modèle de groupe de sécurité réseau et les groupes de sécurité réseau par batterie de serveurs. Par exemple, si vous avez une application dans une batterie de serveurs dont vous savez qu'elle a besoin d’un port supplémentaire ouvert pour cette application, vous modifiez le groupe de sécurité réseau de cette batterie de serveurs pour autoriser le trafic réseau sur ce port. Si vous prévoyez de créer plusieurs batteries de serveurs qui nécessitent le même port ouvert, un moyen simple pour prendre en charge ce scénario consiste à modifier le modèle de groupe de sécurité réseau avant de créer ces batteries de serveurs.