Pour réussir des déploiements d'Horizon Cloud on Microsoft Azure à partir du jour 0 de première génération, vous devez vous assurer que les noms d'hôtes décrits sur cette page de documentation peuvent être résolus et accessibles depuis les sous-réseaux de gestion et de locataires à l'aide des ports et protocoles spécifiques identifiés sur cette page.

À propos de cette page

Comme décrit dans l'article 93762 de la base de connaissances VMware, la fonctionnalité de surveillance de l'infrastructure Horizon est obsolète. À partir d'octobre 2023, les informations sur les ports et les protocoles associées à cette fonctionnalité obsolète ont été supprimées de cette page.

Important : N'utilisez cette page que lorsque vous disposez d'un environnement de locataire de première génération et d'un déploiement d' Horizon Cloud on Microsoft Azure dans cet environnement de première génération. À partir d'août 2022, Horizon Cloud Service - next-gen est généralement disponible et dispose de son propre ensemble de la documentation d'utilisation de la nouvelle génération disponible ici.

Le modèle qui s'affiche dans le champ URL du navigateur lorsque vous vous connectez à votre environnement et voyez l'étiquette Horizon Universal Console constitue une indication de l'environnement dont vous disposez, de nouvelle génération ou de première génération. Pour un environnement de nouvelle génération, l'adresse URL de la console contient une partie telle que /hcsadmin/. L'URL de la console de première génération présente une section différente (/horizonadmin/).

Brève introduction

Le fait que DNS soit une norme de mise en réseau pour la résolution des noms d'hôtes pour la communication entre ces derniers explique pourquoi cette page inclut l'expression Nom DNS avec l'expression Nom d'hôte.

Un nom d'hôte est un nom unique attribué à une instance de machine sur un réseau donné. Comme décrit dans le secteur de la mise en réseau logicielle, les systèmes utilisent le système DNS (Domain Name System) pour résoudre les noms d'hôtes en adresses IP à des fins de communication.

Le processus de déploiement de l'espace nécessite que les instances déployées disposent d'une communication réseau sur le réseau virtuel sélectionné du déploiement vers les noms d'hôtes (noms DNS) décrits sur cette page.

Une fois l'espace déployé dans votre abonnement, différentes opérations de service quotidiennes nécessitent un accès réseau à des noms d'hôtes spécifiques, comme le processus de mise à jour du logiciel de l'espace lorsque de nouveaux logiciels sont mis à disposition.

Cette page décrit les conditions requises. Parfois, cette page utilise indistinctement les expressions Nom DNS et Nom d'hôte.

Points clés généraux

À propos de ces noms DNS requis
Le déploiement et l'exécution d'un espace Horizon Cloud nécessitent un accès réseau à des adresses DNS spécifiques sur vos réseaux virtuels Microsoft Azure. Pour que le système de déploiement de l'espace fonctionne, vous devez configurer vos pare-feu pour autoriser l'accès réseau à ces adresses. L'objectif de chaque adresse DNS est indiqué dans les tableaux suivants.

Outre l'autorisation de la communication réseau avec ces adresses DNS, la configuration DNS sur le réseau virtuel doit résoudre les noms, comme décrit dans cet article.

Lorsque vous sélectionnez l'option de déploiement de la passerelle externe dans son propre réseau virtuel séparé de celui du gestionnaire d'espace, le sous-réseau du réseau virtuel doit répondre aux mêmes conditions requises de DNS que le sous-réseau de gestion du réseau virtuel du gestionnaire d'espace.

Outre le système de déploiement de l'espace et ses workflows, différentes fonctionnalités de service nécessitent un accès à des adresses DNS spécifiques pour que ces fonctionnalités fonctionnent de bout en bout. Ces noms DNS sont également fournis dans les tableaux suivants.

Un élément régional a été attribué à certains de ces noms DNS.

Comme décrit dans la section Intégration étroite à l'écosystème VMware, vous pouvez utiliser Horizon Cloud avec d'autres produits disponibles à partir de l'écosystème VMware plus vaste. Ces autres produits peuvent comporter des conditions requises de DNS supplémentaires. Ces conditions requises de DNS supplémentaires ne sont pas détaillées ici. Pour connaître ces conditions requises du DNS, reportez-vous à l'ensemble de la documentation des produits spécifiques que vous intégrerez à votre espace.

À propos des ports et des protocoles après le déploiement d'un espace, pour les opérations liées au service en cours
Une fois l'espace correctement déployé, des ports et protocoles spécifiques sont requis pour les opérations en cours d' Horizon Cloud. Pour plus d'informations, reportez-vous à la section Locataires de première génération - Espace Horizon Cloud - Conditions requises des ports et des protocoles.

Locataires de première génération - Noms DNS de plan de contrôle régional

Votre e-mail de bienvenue dans Horizon Service indique l'instance régionale de plan de contrôle dans laquelle votre compte de locataire a été créé. En raison d'un problème connu qui existait lors de l'envoi de l'e-mail de bienvenue, l'e-mail que vous avez reçu peut afficher les noms de chaîne système utilisés pour les régions au lieu des noms conviviaux. Si un nom de chaîne système s'affiche dans votre e-mail de bienvenue, vous pouvez utiliser le tableau suivant pour indiquer ce qui s'affiche dans votre e-mail avec les noms de DNS du plan de contrôle régional.

Tableau 1. Régions de votre e-mail de bienvenue mappées aux noms de DNS du plan de contrôle régional
Votre e-mail de bienvenue indique Nom de DNS régional
USA cloud.horizon.vmware.com
EU_CENTRAL_1 ou Europe cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2 ou Australia cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1 ou USA-2 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1 ou Europe-2 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1 ou Australia-2 cloud-ap-2.horizon.vmware.com
Japan cloud-jp.horizon.vmware.com
UK cloud-uk.horizon.vmware.com
Europe-3 cloud-de.horizon.vmware.com

Noms d'hôtes, conditions requises de DNS pour le processus de déploiement de l'espace principal, mises à jour de l'espace, activation des différentes fonctionnalités de service et opérations en cours

Pour une utilisation de bout en bout réussie des fonctionnalités du service, vous devez vous assurer que les noms d'hôtes peuvent être résolus et accessibles depuis les sous-réseaux de gestion et de locataires à l'aide des ports et protocoles spécifiques, comme indiqué dans les tableaux suivants. Fonctionnalités de service qui nécessitent la capacité d'accéder à des noms d'hôtes spécifiques :

  • Système de déploiement de l'espace qui déploie automatiquement un espace basé sur le gestionnaire d'espace dans votre abonnement Microsoft Azure
  • Fonctionnalité de mise à jour de l'espace, qui met à jour le logiciel de l'espace vers une version logicielle plus récente
  • Processus d'importation d'images qui utilise l'assistant Importer à partir du Marketplace
  • Fonctionnalités liées à l'agent, telles que la mise à jour automatique de l'agent (AAU)
  • Universal Broker
  • Fonctionnalités liées au Cloud Monitoring Service (CMS)
Plus particulièrement pour le déploiement et les mises à jour des espaces
Vous devez vous assurer que les noms d'hôtes suivants peuvent être résolus et sont accessibles à partir des sous-réseaux de gestion et de locataires en utilisant les ports et protocoles spécifiques, comme indiqué dans les tableaux suivants. Les dispositifs utilisés dans ces workflows utilisent des ports sortants spécifiques pour télécharger en toute sécurité le logiciel requis par ces processus dans votre environnement Microsoft Azure. Ces noms DNS sont également utilisés pour que les dispositifs appropriés associés au workflow puissent communiquer avec le plan de contrôle de cloud.

Pour les nouveaux déploiements d'espaces, vous devez configurer votre pare-feu réseau, les règles de groupe de sécurité réseau (NSG) et les serveurs proxy afin que les dispositifs principaux liés au déploiement puissent contacter les adresses DNS sur les ports requis. Dans le cas contraire, le processus de déploiement de l'espace échouera.

Lorsque vous utilisez la fonctionnalité de déploiement de la passerelle externe dans son propre réseau virtuel
Le sous-réseau de gestion dans ce réseau virtuel doit répondre aux mêmes conditions requises de DNS que ce qui est indiqué dans le tableau ci-dessous pour le sous-réseau de gestion dans le réseau virtuel de l'espace. Le sous-réseau principal et le sous-réseau de zone DMZ du réseau virtuel de la passerelle externe n'ont pas de conditions requises de DNS spécifiques.
Lorsque vous déployez l'espace avec une passerelle externe, une passerelle interne ou les deux
Vous devez télécharger un certificat que le système de déploiement de l'espace configure dans ces configurations de passerelle. Si le ou les certificats que vous fournissez à cet effet utilisent des paramètres CRL (listes de révocation des certificats) ou OCSP (Online Certificate Status Protocol) qui font référence à des noms DNS spécifiques, vous devez vous assurer que l'accès Internet sortant sur le réseau virtuel peut être résolu et accessible. Lors de la configuration de votre certificat fourni dans la configuration de la passerelle Unified Access Gateway, le logiciel Unified Access Gateway accédera à ces noms DNS pour vérifier l'état de révocation du certificat. Si ces noms DNS ne sont pas accessibles, le déploiement de l'espace échouera lors de la phase de connexion. Ces noms dépendent fortement de l'autorité de certification que vous avez utilisée pour obtenir les certificats, et VMware n'en a donc pas le contrôle.
Lorsque vous prévoyez d'utiliser les fonctionnalités d' App Volumes on Azure
Le système de déploiement d'espace provisionne un compte de stockage Azure à utiliser par les fonctionnalités d' App Volumes on Azure de l'espace dans le groupe de ressources des gestionnaires d'espace. Une fois le compte provisionné, Azure Cloud attribue un nom de domaine complet (FQDN) à ce compte de stockage au format *.file.core.windows.net, où * est le nom généré par Azure du compte de stockage. Ce nom de domaine complet doit pouvoir être résolu par votre serveur DNS afin que App Volumes puisse accéder aux partages de fichiers sous-jacents à ce compte de stockage, les monter et fournir les fonctionnalités d' App Volumes. Vous devez vous assurer que votre serveur DNS résout ce nom de domaine complet à tout moment pour les processus App Volumes Manager qui s'exécutent dans les instances du gestionnaire d'espace et pour l'App Volumes Agent qui s'exécute sur les postes de travail VDI. Il s'agit d'un point de terminaison Microsoft Azure dans votre environnement de cloud Microsoft Azure, et la connexion s'effectue directement dans l'espace de cloud Microsoft Azure.

Conditions requises de DNS pour le nouveau déploiement de l'espace, les mises à jour de l'espace et les opérations de service qui s'appliquent à l'échelle du locataire

Le tableau suivant décrit les conditions requises de DNS pour un nouveau déploiement de l'espace, les mises à jour de l'espace et les opérations de service applicables à l'échelle du locataire.

À partir du début de 2021, suite à une mise à niveau vers les instances régionales du plan de contrôle du service, le nom DNS d1mes20qfad06k.cloudfront.net n'est plus requis pour les instances régionales du plan de contrôle. Toutes les instances régionales du plan de contrôle utilisent désormais le nom DNS hydra-softwarelib-cdn.azureedge.net. Le contenu du tableau suivant est aligné sur cette réalité actuelle.

Note : La colonne Trafic du proxy indique oui ou non si le trafic réseau passe par le proxy lorsque la configuration du déploiement d' Horizon Cloud on Microsoft Azure inclut un proxy. Lorsque la colonne Trafic du proxy indique non, le trafic réseau vers ces noms d'hôtes indiqués dans le tableau doit être autorisé, même lorsque la configuration du déploiement inclut un proxy.
Tableau 2. Conditions requises de DNS pour le nouveau déploiement de l'espace, les mises à jour de l'espace et les opérations de service qui s'appliquent à l'échelle du locataire
Source du sous-réseau Destination (nom de DNS) Port Protocole Trafic du proxy (si configuré sur le déploiement) Objectif
Gestion L'un des noms suivants, selon l'instance régionale de plan de contrôle spécifiée dans votre compte de locataire Horizon Cloud. L'instance régionale est définie lors de la création du compte, comme indiqué à la section Déploiements et intégration à Horizon Cloud pour Microsoft Azure et espaces Horizon.
  • cloud.horizon.vmware.com
  • cloud-us-2.horizon.vmware.com
  • cloud-eu-central-1.horizon.vmware.com
  • cloud-eu-2.horizon.vmware.com
  • cloud-ap-southeast-2.horizon.vmware.com
  • cloud-ap-2.horizon.vmware.com
  • cloud-jp.horizon.vmware.com
  • cloud-uk.horizon.vmware.com
  • cloud-de.horizon.vmware.com
 443 TCP Oui Instance régionale de plan de contrôle
  • États-Unis : cloud.horizon.vmware.com et cloud-us-2.horizon.vmware.com
  • Europe : cloud-eu-central-1.horizon.vmware.com et cloud-eu-2.horizon.vmware.com
  • Asie-Pacifique : cloud-ap-southeast-2.horizon.vmware.com et cloud-ap-2.horizon.vmware.com
  • Japon : cloud-jp.horizon.vmware.com
  • Royaume-Uni : cloud-uk.horizon.vmware.com
  • Allemagne : cloud-de.horizon.vmware.com
Gestion softwareupdate.vmware.com 443 TCP Oui Serveur de package logiciel VMware. Utilisé pour le téléchargement des mises à jour du logiciel lié à l'agent utilisé dans les opérations liées à l'image du système.
Gestion hydra-softwarelib-cdn.azureedge.net 443 TCP Non

Le gestionnaire d'espace et les manifestes binaires d'Unified Access Gateway sont stockés ici et gérés à partir d'ici. Ces manifestes sont utilisés uniquement lors des déploiements et des mises à niveau de l'espace et de la passerelle. Cette connexion à ce point de terminaison est configurée pour être directe et ne pas passer par un proxy.

 Serveur de distribution de contenu d'Horizon Cloud. Sur le sous-réseau de gestion, ce site est utilisé par le service pour le téléchargement des fichiers binaires nécessaires utilisés par l'infrastructure de l'espace.
Gestion packages.microsoft.com 443 et 11 371 TCP Non

Ce site se trouve en dehors de l'application et du service. Par conséquent, la connexion n'utilise pas le proxy configuré.

Il s'agit d'un point de terminaison Microsoft Azure dans votre environnement de cloud Microsoft Azure, et la connexion s'effectue directement dans l'espace de cloud Microsoft Azure.

 Serveur de package logiciel Microsoft. Utilisé pour télécharger en toute sécurité l'interface de ligne de commande (CLI) de Microsoft Azure.
Gestion azure.archive.ubuntu.com 80 TCP Non

Ce site se trouve en dehors de l'application et du service. Par conséquent, la connexion n'utilise pas le proxy configuré.

Il s'agit d'un point de terminaison Microsoft Azure dans votre environnement de cloud Microsoft Azure, et la connexion s'effectue directement dans l'espace de cloud Microsoft Azure.

 Serveur de module logiciel Ubuntu. Utilisé par les machines virtuelles Linux associées à l'espace pour les mises à jour du système d'exploitation Ubuntu.
Gestion api.snapcraft.io 443 TCP Non

Ce point de terminaison se trouve en dehors de l'application et du service. La connexion n'utilise pas le proxy configuré.

 Serveur de module logiciel Ubuntu. Le gestionnaire d'espace et les instances d'Unified Access Gateway exécutent des systèmes d'exploitation Ubuntu. Ceux-ci sont configurés pour obtenir des mises à jour de ces systèmes d'exploitation Ubuntu à partir de ce site Ubuntu.
Gestion archive.ubuntu.com 80 TCP Non

Ce point de terminaison se trouve en dehors de l'application et du service. La connexion n'utilise pas le proxy configuré.

 Serveur de module logiciel Ubuntu. Le gestionnaire d'espace et les instances d'Unified Access Gateway exécutent des systèmes d'exploitation Ubuntu. Ceux-ci sont configurés pour obtenir des mises à jour de ces systèmes d'exploitation Ubuntu à partir de ce site Ubuntu.
Gestion changelogs.ubuntu.com 80 TCP Non

Ce site se trouve en dehors de l'application et du service. Par conséquent, la connexion n'utilise pas le proxy configuré.

 Serveur de module logiciel Ubuntu. Le gestionnaire d'espace et les instances d'Unified Access Gateway exécutent des systèmes d'exploitation Ubuntu. Ces systèmes d'exploitation Ubuntu sont configurés pour utiliser ce site Ubuntu pour le suivi des mises à jour du système d'exploitation Ubuntu.
Gestion security.ubuntu.com 80 TCP Non

Ce point de terminaison se trouve en dehors de l'application et du service. La connexion n'utilise pas le proxy configuré.

 Serveur de module logiciel Ubuntu. Le gestionnaire d'espace et les instances d'Unified Access Gateway exécutent des systèmes d'exploitation Ubuntu. Ces systèmes d'exploitation Ubuntu sont configurés pour utiliser ce site Ubuntu pour les mises à jour du système d'exploitation Ubuntu liées à la sécurité.
Gestion esm.ubuntu.com 80 et 443 TCP Non

Ce point de terminaison se trouve en dehors de l'application et du service. La connexion n'utilise pas le proxy configuré.

 Serveur de module logiciel Ubuntu. Le gestionnaire d'espace et les instances d'Unified Access Gateway exécutent des systèmes d'exploitation Ubuntu. Ces systèmes d'exploitation Ubuntu sont configurés pour utiliser ce site Ubuntu pour le suivi des mises à jour de sécurité des vulnérabilités et expositions communes (CVE, Common Vulnerabilities et Exposures) élevées et critiques dans l'infrastructure du SE de base Ubuntu et de montée en charge.
Gestion L'un des suivants, selon le cloud Microsoft Azure dans lequel vous déployez votre espace :
  • Microsoft Azure (global) : login.microsoftonline.com
  • Microsoft Azure Allemagne : login.microsoftonline.de
  • Microsoft Azure Chine : login.chinacloudapi.cn
  • Microsoft Azure US Government : login.microsoftonline.us
443 TCP Oui Cette adresse Web est généralement utilisée par les applications pour l'authentification auprès des services Microsoft Azure. Pour obtenir des descriptions de la documentation de Microsoft Azure, consultez les sections Flux de code d'autorisation OAuth 2.0, Azure Active Directory v2.0 et protocole OpenID Connect et Clouds nationaux. La rubrique Clouds nationaux décrit les différents points de terminaison d'authentification Azure AD pour chaque cloud Microsoft Azure national.
Gestion L'un des suivants, selon le cloud Microsoft Azure dans lequel vous déployez votre espace :
  • Microsoft Azure (global) : management.azure.com
  • Microsoft Azure Allemagne : management.microsoftazure.de
  • Microsoft Azure Chine : management.chinacloudapi.cn
  • Microsoft Azure US Government : management.usgovcloudapi.net
443 TCP Oui Utilisé pour les demandes d'API de l'espace aux points de terminaison de Microsoft Azure Resource Manager pour utiliser les services de Microsoft Azure Resource Manager. Microsoft Azure Resource Manager fournit une couche de gestion cohérente pour effectuer des tâches via Azure PowerShell, Azure CLI, le portail Azure, REST API et les SDK client.
Gestion L'un des suivants, selon le cloud Microsoft Azure dans lequel vous déployez votre espace :
  • Microsoft Azure (global) : graph.windows.net
  • Microsoft Azure Allemagne : graph.cloudapi.de
  • Microsoft Azure Chine : graph.chinacloudapi.cn
  • Microsoft Azure US Government : graph.windows.net
443 TCP Oui L'accès à l'API Graph Azure Active Directory (Azure AD), qui est utilisée pour l'accès par programmation de l'espace à Azure Active Directory (Azure AD) via les points de terminaison d'OData REST API.
Gestion Si votre pare-feu ou groupe de sécurité réseau (NSG, Network Security Group) prend en charge l'utilisation de l'une des balises de service suivantes :
  • Balise de service global Azure SQL : Sql
  • Balise de service SQL spécifique à la région Azure dans laquelle l'espace est déployé : Sql.region. Par exemple, Sql.WestUS.

Si votre pare-feu ou groupe de sécurité réseau (NSG) ne prend pas en charge l'utilisation de balises de service, vous pouvez utiliser le nom d'hôte de la base de données. Ce nom suit le modèle *.postgres.database.azure.com.

 5432 TCP Non

Ce point de terminaison est le service de base de données Microsoft Azure PostgreSQL dans votre environnement de cloud Microsoft Azure. La connexion est directe dans l'espace de cloud Microsoft Azure.

 Utilisé pour la communication de l'espace avec le service de base de données Microsoft Azure PostgreSQL configuré pour ce déploiement d'Horizon Cloud on Microsoft Azure.

Pour plus d'informations sur les balises de service dans les groupes de sécurité, consultez la section de la documentation de Microsoft Azure Balises de service.
Gestion L'un des noms suivants, selon l'instance régionale de plan de contrôle spécifiée dans votre compte de locataire Horizon Cloud. L'instance régionale est définie lors de la création du compte, comme indiqué à la section Déploiements et intégration à Horizon Cloud pour Microsoft Azure et espaces Horizon.
  • connector-azure-us.vmwarehorizon.com
  • connector-azure-eu.vmwarehorizon.com
  • connector-azure-aus.vmwarehorizon.com
  • connector-azure-jp.vmwarehorizon.com
  • connector-azure-uk.vmwarehorizon.com

  • connector-azure-de.vmwarehorizon.com

 443 TCP Oui Instance régionale du service Universal Broker
  • États-Unis : connector-azure-us.vmwarehorizon.com
  • Europe : connector-azure-eu.vmwarehorizon.com
  • Australie : connector-azure-aus.vmwarehorizon.com
  • Japon : connector-azure-jp.vmwarehorizon.com
  • Royaume-Uni : connector-azure-uk.vmwarehorizon.com
  • Allemagne : connector-azure-de.vmwarehorizon.com
Gestion Selon le plan de contrôle régional qui s'applique à votre compte Horizon Cloud :
  • Amérique du Nord : kinesis.us-east-1.amazonaws.com
  • Europe, Allemagne : kinesis.eu-central-1.amazonaws.com
  • Australie : kinesis.ap-southeast-2.amazonaws.com
  • Japon : kinesis.ap-northeast-1.amazonaws.com
  • Royaume-Uni : kinesis.eu-west-2.amazonaws.com
 443 TCP Oui Cloud Monitoring Service (CMS)
Gestion
  • *.blob.core.windows.net :
  • sauron-jp.horizon.vmware.com
 443 TCP Non Le point de terminaison *.blob.core.windows.net est utilisé pour l'accès par programme au Stockage Blob Azure. Il s'agit d'un point de terminaison Microsoft Azure dans votre environnement de cloud Microsoft Azure, et la communication avec ce point de terminaison s'effectue directement dans l'espace de cloud Microsoft Azure.

Le point de terminaison sauron-jp.horizon.vmware.com permet au système de surveillance VMware de détecter les événements de sécurité sur les instances gérées par VMware. Active la responsabilité de gestion de VMware pour les instances déployées, ce qui nécessite une surveillance système VMware obligatoire de ces instances.
Locataire hydra-softwarelib-cdn.azureedge.net 443 TCP Non Serveur de distribution de contenu d'Horizon Cloud. Sur le sous-réseau de locataire, ce site est utilisé par divers processus liés à l'image système, notamment les processus impliqués dans le workflow automatisé Importer une image à partir de Marketplace et le workflow de couplage d'agent.
Locataire scapi.vmware.com 443 TCP Non VMware Cloud Services, utilisé pour le Programme de données d'utilisation des services VMware. En sortant du sous-réseau de locataire, Horizon Agent dans les instances de poste de travail provisionnées par l'espace et les instances de serveur de batterie de serveurs envoie des informations de configuration liées à l'agent.
Locataire *.file.core.windows.net 445 TCP Non

Ce point de terminaison est le service Stockage Fichier de Microsoft Azure dans votre environnement de cloud Microsoft Azure. La connexion est directe dans l'espace de cloud Microsoft Azure.

 Utilisé pour la fonctionnalité d'App Volumes on Azure. Utilisé pour l'accès par programme au partage de fichiers SMB dans le groupe de ressources du gestionnaire d'espaces pour accéder aux AppStacks App Volumes qui sont stockés dans ce partage de fichiers SMB.

Exigence de surveillance système VMware obligatoire : monitor.horizon.vmware.com

L'exigence obligatoire décrite dans cette section permet au système de surveillance VMware de détecter les événements de sécurité sur les instances gérées par VMware qui sont déployées dans les sous-réseaux de gestion, de locataire et de zone DMZ du déploiement d'Horizon Cloud on Microsoft Azure.

Pour un déploiement d'Horizon Cloud on Microsoft Azure, VMware contrôle et gère les ressources suivantes dans le déploiement : instances du gestionnaire d'espace, instances d'Unified Access Gateway, fichiers Azure liés à App Volumes, service Azure PostgreSQL, et, si nécessaire dans les cas de dépannage, l'instance de JumpBox liée au support.

La responsabilité de gestion de VMware pour les instances déployées nécessite une surveillance système VMware obligatoire de ces instances.

Cette surveillance système VMware obligatoire nécessite que vous respectiez les conditions requises décrites ci-dessous.

En ce qui concerne la description générale, les instances du déploiement doivent atteindre le nom d'hôte sortant monitor.horizon.vmware.com sur les ports 1514 (TCP et UDP) et 1515 (TCP et UDP).

Note : Les instances d' Unified Access Gateway de la configuration de la passerelle externe doivent résoudre monitor.horizon.vmware.com à partir du réseau DMZ.
Important : Il est nécessaire de pouvoir communiquer avec ces points de terminaison sans passer par un proxy si le trafic proxy est configuré sur le déploiement Horizon Cloud on Microsoft Azure. Cette instruction signifie les points de terminaison monitor.horizon.vmware.com:1514 TCP/UDP et monitor.horizon.vmware.com:1515 TCP/UDP. Reportez-vous au texte ci-dessous qui suit l'en-tête « Condition requise applicable lorsque vous utilisez un proxy ou un pare-feu pour la communication sortante ».
Condition requise applicable lorsque l'inspection SSL est activée sur votre réseau
Lorsque l'inspection SSL est activée sur le réseau, vous devez indiquer d'exclure l'hôte monitor.horizon.vmware.com.
Condition requise applicable lorsque le déploiement dispose d'une configuration de passerelle interne
Vous devez établir une communication sortante pour la configuration de la passerelle interne en suivant toutes les étapes et informations de l' article 90145 de la base de connaissances. Suivez l'article de la base de connaissances comme décrit, y compris les notes finales à la fin de celui-ci.

Si vous utilisez ensuite également un proxy ou un pare-feu pour la communication sortante, vous devez respecter la condition requise suivante applicable lors de l'utilisation d'un proxy ou d'un pare-feu pour la communication sortante.

Condition requise applicable lorsque vous utilisez un proxy ou un pare-feu pour la communication sortante
Lorsque vous utilisez un proxy ou un pare-feu pour votre communication sortante, vous devez autoriser la communication sur le proxy ou le pare-feu comme suit :
  • Environnements commerciaux : autorisez le nom d'hôte monitor.horizon.vmware.com sur 1514 (TCP et UDP) et 1515 (TCP et UDP)
  • Environnements fédéraux américains : ouvrez une demande auprès du support fédéral VMware pour demander le nom d'hôte du système de surveillance.

Dans ces environnements, vous devez autoriser cette communication susmentionnée pour les sources suivantes :

  • Gestion : instances du gestionnaire d'espace
  • DMZ : instances d'Unified Access Gateway de la configuration de la passerelle externe
  • Locataire : instances d'Unified Access Gateway de la configuration de la passerelle interne
    Note : Lorsque le déploiement dispose d'une configuration de passerelle interne, vous devez répondre à l'exigence décrite précédemment qui s'applique à la configuration de la passerelle interne, aux étapes décrites dans l' article 90145 de la base de connaissances.

Si cela est nécessaire pour une demande de support active, des ports et des protocoles de la JumpBox temporaire sont utilisés

Si vous effectuez une demande de support à VMware et que l'équipe du support détermine que la façon de traiter cette demande consiste à déployer une VM JumpBox temporaire pour la communication SSH avec les dispositifs gérés par VMware, cette JumpBox nécessite les ports et les protocoles décrits ici.

Une autorisation vous sera demandée pour un déploiement d'une JumpBox liée au support. L'équipe du support VMware vous informera des conditions requises, selon les cas de support.

Celle-ci est conçue pour communiquer en tant que source avec les destinations suivantes :

  • Port 22 des VM du gestionnaire d'espace utilisant SSH et le port 22.
  • Port 9443 des VM Unified Access Gateway utilisant HTTPS.
  • Port 22 de la VM du connecteur de passerelle utilisant SSH dans un déploiement dans lequel la passerelle externe est déployée dans son propre réseau virtuel.

Étant donné que des adresses IP sont attribuées dynamiquement à ces VM, les règles de réseau suivantes peuvent fournir les communications décrites. Lors des activités de demande de support, demandez toujours des conseils et une supervision auprès du support VMware pour connaître les conditions requises pour le déploiement de la JumpBox liée au support.

  • CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 22, port source any et protocole TCP.
  • CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 9443, port source any et protocole TCP, en cas de configuration d'Unified Access Gateway.