Pour effectuer le déploiement de votre espace dans Microsoft Azure, vous devez configurer vos pare-feu pour permettre au gestionnaire d'espaces actifs d'accéder aux adresses requises du DNS (Domain Name Service). En outre, votre DNS doit résoudre les noms spécifiques, comme décrit dans cette rubrique. Outre le déploiement de l'espace principal, lorsque vous déployez la passerelle externe dans son propre réseau virtuel, le sous-réseau de ce réseau virtuel doit répondre aux mêmes conditions requises de DNS que le sous-réseau de gestion du réseau virtuel d'espace distinct, comme décrit dans cette rubrique.

Important :

Le processus de déploiement d'espace utilise une machine virtuelle JumpBox. Cette machine virtuelle JumpBox dispose d'une configuration requise de ports et de protocoles pour le processus de déploiement de l'espace, ainsi que pour configurer des paramètres pour les machines virtuelles Unified Access Gateway de l'espace lorsque vous déployez une configuration d'Unified Access Gateway pour l'espace. Reportez-vous à la section Ports et protocoles requis par la machine virtuelle JumpBox de l'espace lors des déploiements et des mises à jour d'espace.

Le déploiement de la passerelle externe dans son propre réseau virtuel utilise également sa propre machine virtuelle JumpBox, distincte de celle de l'espace. Cette machine virtuelle JumpBox dispose de ses propres conditions en matière de ports et protocoles pour le processus de déploiement de la passerelle. Reportez-vous à la section Lorsque la passerelle externe est déployée dans son propre réseau virtuel : ports et protocoles requis par la machine virtuelle JumpBox de la configuration de la passerelle externe lors des déploiements et des mises à jour de la passerelle.

Une fois l'espace correctement déployé, des ports et protocoles spécifiques sont requis pour les opérations en cours d'Horizon Cloud. Les ports et protocoles spécifiques requis varient selon si l'espace est à la version de manifeste de la version de septembre 2019 ou dans une version de manifeste précédente.

Conditions requises de DNS pour le processus de déploiement de l'espace principal, les mises à niveau de l'espace et les opérations en cours

Vous devez vous assurer que les noms de DNS suivants peuvent être résolus et sont accessibles à partir des sous-réseaux de locataire et de gestion en utilisant les ports et protocoles spécifiques, comme indiqué dans le tableau suivant. Horizon Cloud utilise des ports sortants spécifiques pour télécharger en toute sécurité le logiciel de l'espace dans votre environnement Microsoft Azure et afin que l'espace puisse se reconnecter au plan de contrôle du cloud. Vous devez configurer votre pare-feu réseau, les règles de groupe de sécurité réseau (NSG) et les serveurs proxy afin que le gestionnaire d'espace actif puisse contacter les adresses DNS sur les ports requis. Dans le cas contraire, le processus de déploiement de l'espace échouera.

Important :
  • Lorsque vous utilisez la fonctionnalité de déploiement de la passerelle externe dans son propre réseau virtuel, le sous-réseau de gestion de ce réseau virtuel doit respecter les mêmes conditions requises de DNS que celles indiquées dans le tableau ci-dessous pour le sous-réseau de gestion du réseau virtuel de l'espace. Le sous-réseau de back-end et le sous-réseau de zone DMZ du réseau virtuel de la passerelle externe n'ont pas de conditions requises de DNS spécifiques.
  • Lorsque vous déployez l'espace avec une passerelle externe, une passerelle interne, ou les deux, vous devez télécharger un certificat que le système de déploiement de l'espace configurera dans ces configurations de passerelle. Si le ou les certificats que vous fournissez à cet effet utilisent des paramètres CRL (listes de révocation des certificats) ou OCSP (Online Certificate Status Protocol) qui font référence à des noms DNS spécifiques, vous devez vous assurer que l'accès Internet sortant sur le réseau virtuel peut être résolu et accessible. Lors de la configuration de votre certificat fourni dans la configuration de la passerelle Unified Access Gateway, le logiciel Unified Access Gateway accédera à ces noms DNS pour vérifier l'état de révocation du certificat. Si ces noms DNS ne sont pas accessibles, le déploiement de l'espace échouera lors de la phase de connexion. Ces noms dépendent fortement de l'autorité de certification que vous avez utilisée pour obtenir les certificats, et VMware n'en a donc pas le contrôle.

Votre e-mail de bienvenue dans Horizon Service indique l'instance régionale de plan de contrôle dans laquelle votre compte de locataire a été créé. En raison d'un problème connu qui existait lors de l'envoi de l'e-mail de bienvenue, l'e-mail que vous avez reçu peut afficher les noms de chaîne système utilisés pour les régions au lieu des noms conviviaux. Si un nom de chaîne système s'affiche dans votre e-mail de bienvenue, vous pouvez utiliser le tableau suivant pour indiquer ce qui s'affiche dans votre e-mail avec les noms de DNS du plan de contrôle régional.

Tableau 1. Régions de votre e-mail de bienvenue mappées aux noms de DNS du plan de contrôle régional
Votre e-mail de bienvenue indique Nom de DNS régional
USA cloud.horizon.vmware.com
EU_CENTRAL_1 ou Europe cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2 ou Australia cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1 ou USA-2 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1 ou Europe-2 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1 ou Australia-2 cloud-ap-2.horizon.vmware.com
Japan cloud-jp.horizon.vmware.com
UK cloud-uk.horizon.vmware.com
Tableau 2. Conditions requises de DNS pour le déploiement et les opérations de l'espace
Source du sous-réseau Destination (nom de DNS) Port Protocole Objectif
Gestion L'un des noms suivants, selon l'instance régionale de plan de contrôle spécifiée dans votre compte de locataire Horizon Cloud. L'instance régionale est définie lors de la création du compte, comme indiqué à la section Intégration à Horizon Cloud pour Microsoft Azure, Horizon sur site et Horizon sur VMware Cloud on AWS.
  • cloud.horizon.vmware.com
  • cloud-us-2.horizon.vmware.com
  • cloud-eu-central-1.horizon.vmware.com
  • cloud-eu-2.horizon.vmware.com
  • cloud-ap-southeast-2.horizon.vmware.com
  • cloud-ap-2.horizon.vmware.com
  • cloud-jp.horizon.vmware.com
  • cloud-uk.horizon.vmware.com
443 TCP Instance régionale de plan de contrôle
  • États-Unis : cloud.horizon.vmware.com et cloud-us-2.horizon.vmware.com
  • Europe : cloud-eu-central-1.horizon.vmware.com et cloud-eu-2.horizon.vmware.com
  • Asie-Pacifique : cloud-ap-southeast-2.horizon.vmware.com et cloud-ap-2.horizon.vmware.com
  • Japon : cloud-jp.horizon.vmware.com
  • Royaume-Uni : cloud-uk.horizon.vmware.com
Gestion softwareupdate.vmware.com 443 TCP Serveur de package logiciel VMware. Utilisé pour le téléchargement des mises à jour du logiciel lié à l’agent utilisé dans les opérations liées à l’image du système.
Gestion L'un des noms suivants, selon les noms de DNS régionaux qui s'appliquent à votre compte.
  • d1mes20qfad06k.cloudfront.net
  • hydra-softwarelib-cdn.azureedge.net
443 TCP Serveur de distribution de contenu d'Horizon Cloud. Sur le sous-réseau de gestion, ce site est utilisé pour le téléchargement des disques durs virtuels (VHD) des machines virtuelles du gestionnaire de l'espace et d'Unified Access Gateway Également utilisé pour le disque dur virtuel pour la machine virtuelle de connecteur de passerelle, dans le cas où la passerelle externe se trouve dans son propre réseau virtuel.

d1mes20qfad06k.cloudfront.net correspond aux instances régionales de cloud.horizon.vmware.com, cloud-eu-central-1.horizon.vmware.com, cloud-ap-southeast-2.horizon.vmware.com.

hydra-softwarelib-cdn.azureedge.net correspond aux instances régionales de cloud-us-2.horizon.vmware.com, cloud-eu-2.horizon.vmware.com, cloud-ap-2.horizon.vmware.com, cloud-jp.horizon.vmware.com, cloud-uk.horizon.vmware.com

Gestion packages.microsoft.com 443 et 11 371 TCP Serveur de package logiciel Microsoft. Utilisé pour télécharger en toute sécurité l'interface de ligne de commande (CLI) de Microsoft Azure.
Gestion azure.archive.ubuntu.com 80 TCP Serveur de package logiciel Ubuntu. Utilisé par les machines virtuelles Linux associées à l'espace pour les mises à jour du système d'exploitation Ubuntu.
Gestion api.snapcraft.io 443 TCP Serveur de package logiciel Ubuntu. Utilisé par les machines virtuelles Linux de l'espace pour les mises à jour du système d'exploitation Ubuntu.
Gestion archive.ubuntu.com 80 TCP Serveur de package logiciel Ubuntu. Utilisé par les machines virtuelles Linux de l'espace pour les mises à jour du système d'exploitation Ubuntu.
Gestion changelogs.ubuntu.com 80 TCP Serveur de package logiciel Ubuntu. Utilisé par les machines virtuelles Linux de l'espace pour le suivi des mises à jour du système d'exploitation Ubuntu.
Gestion security.ubuntu.com 80 TCP Serveur de package logiciel Ubuntu. Utilisé par les machines virtuelles Linux de l'espace pour les mises à jour du système d'exploitation Ubuntu liées à la sécurité.
Gestion L'un des suivants, selon le cloud Microsoft Azure dans lequel vous déployez votre espace :
  • Microsoft Azure (global) : login.microsoftonline.com
  • Microsoft Azure Allemagne : login.microsoftonline.de
  • Microsoft Azure Chine : login.chinacloudapi.cn
  • Microsoft Azure US Government : login.microsoftonline.us
443 TCP Cette adresse Web est généralement utilisée par les applications pour l'authentification auprès des services Microsoft Azure. Pour obtenir des descriptions de la documentation de Microsoft Azure, consultez les sections Flux de code d'autorisation OAuth 2.0, Azure Active Directory v2.0 et protocole OpenID Connect et Clouds nationaux. La rubrique Clouds nationaux décrit les différents points de terminaison d'authentification Azure AD pour chaque cloud Microsoft Azure national.
Gestion L'un des suivants, selon le cloud Microsoft Azure dans lequel vous déployez votre espace :
  • Microsoft Azure (global) : management.azure.com
  • Microsoft Azure Allemagne : management.microsoftazure.de
  • Microsoft Azure Chine : management.chinacloudapi.cn
  • Microsoft Azure US Government : management.usgovcloudapi.net
443 TCP Utilisé pour les demandes d'API de l'espace aux points de terminaison de Microsoft Azure Resource Manager pour utiliser les services de Microsoft Azure Resource Manager. Microsoft Azure Resource Manager fournit une couche de gestion cohérente pour effectuer des tâches via Azure PowerShell, Azure CLI, le portail Azure, REST API et les SDK client.
Gestion L'un des suivants, selon le cloud Microsoft Azure dans lequel vous déployez votre espace :
  • Microsoft Azure (global) : graph.windows.net
  • Microsoft Azure Allemagne : graph.cloudapi.de
  • Microsoft Azure Chine : graph.chinacloudapi.cn
  • Microsoft Azure US Government : graph.windows.net
443 TCP L'accès à l'API Graph Azure Active Directory (Azure AD), qui est utilisée pour l'accès par programmation de l'espace à Azure Active Directory (Azure AD) via les points de terminaison d'OData REST API.
Gestion L'un des éléments suivants, selon le cloud Microsoft Azure dans lequel vous avez déployé votre espace :
  • Microsoft Azure (global) : *.blob.core.windows.net
  • Microsoft Azure Allemagne : *.blob.core.cloudapi.de
  • Microsoft Azure Chine : *.blob.core.chinacloudapi.cn
  • Microsoft Azure US Government : *.blob.core.usgovcloudapi.net
443 TCP Utilisé pour l'accès par programmation de l'espace au stockage Blob Azure. Le stockage Blob Azure est un service pour stocker de grandes quantités de données d'objets non structurées, telles que des données de texte ou binaires.
Gestion L'un des éléments suivants, selon le cloud Microsoft Azure dans lequel vous avez déployé votre espace :
  • Microsoft Azure (global) : *.vault.azure.net
  • Microsoft Azure Allemagne : *.vault.microsoftazure.de
  • Microsoft Azure Chine : *.vault.azure.cn
  • Microsoft Azure US Government : *.vault.usgovcloudapi.net
443 TCP Utilisé pour la capacité de l'espace à gérer par programmation le service cloud Azure Key Vault. Azure Key Vault est un service cloud qui fournit un magasin sécurisé pour les clés secrètes.
Gestion Si votre pare-feu ou groupe de sécurité réseau (NSG, Network Security Group) prend en charge l'utilisation de l'une des balises de service suivantes :
  • Balise de service global Azure SQL : Sql
  • Balise de service SQL spécifique à la région Azure dans laquelle l'espace est déployé : Sql.region. Par exemple, Sql.WestUS.

Si votre pare-feu ou groupe de sécurité réseau ne prend pas en charge l'utilisation de balises de service, vous pouvez utiliser le nom d'hôte de la base de données. Ce nom suit le modèle *.postgres.database.azure.com.

5432 TCP Utilisé pour la communication de l'espace avec le serveur de base de données PostgreSQL Microsoft Azure. À partir de la version de septembre 2019, les espaces faisant l'objet d'un nouveau déploiement avec cette version et les espaces qui sont mis à jour vers la version du manifeste de cette version sont configurés avec un serveur de base de données PostgreSQL Microsoft Azure.

Pour plus d'informations sur les balises de service dans les groupes de sécurité, consultez la section de la documentation de Microsoft Azure Balises de service.

Gestion L'un des noms suivants, selon l'instance régionale de plan de contrôle spécifiée dans votre compte de locataire Horizon Cloud. L'instance régionale est définie lors de la création du compte, comme indiqué à la section Intégration à Horizon Cloud pour Microsoft Azure, Horizon sur site et Horizon sur VMware Cloud on AWS.
  • connector-azure-us.vmwarehorizon.com
  • connector-azure-eu.vmwarehorizon.com
  • connector-azure-aus.vmwarehorizon.com
  • connector-azure-jp.vmwarehorizon.com
  • connector-azure-uk.vmwarehorizon.com
443 TCP Instance régionale du service Universal Broker
  • États-Unis : connector-azure-us.vmwarehorizon.com
  • Europe : connector-azure-eu.vmwarehorizon.com
  • Australie : connector-azure-aus.vmwarehorizon.com
  • Japon : connector-azure-jp.vmwarehorizon.com
  • Royaume-Uni : connector-azure-uk.vmwarehorizon.com
Locataire L'un des noms suivants, selon les noms de DNS régionaux qui s'appliquent à votre compte.
  • d1mes20qfad06k.cloudfront.net
  • hydra-softwarelib-cdn.azureedge.net
443 TCP Serveur de distribution de contenu d'Horizon Cloud. Sur le sous-réseau de locataire, ce site est utilisé par le processus automatisé Importer une image pour le téléchargement du programme d'installation du logiciel lié à l'agent.

d1mes20qfad06k.cloudfront.net correspond aux instances régionales de cloud.horizon.vmware.com, cloud-eu-central-1.horizon.vmware.com, cloud-ap-southeast-2.horizon.vmware.com.

hydra-softwarelib-cdn.azureedge.net correspond aux instances régionales de cloud-us-2.horizon.vmware.com, cloud-eu-2.horizon.vmware.com, cloud-ap-2.horizon.vmware.com, cloud-jp.horizon.vmware.com, cloud-uk.horizon.vmware.com

Locataire Selon le plan de contrôle régional spécifié dans votre compte Horizon Cloud :

Amérique du Nord :

  • kinesis.us-east-1.amazonaws.com
  • query-prod-us-east-1.cms.vmware.com

Europe :

  • kinesis.eu-central-1.amazonaws.com
  • query-prod-eu-central-1.cms.vmware.com

Australie :

  • kinesis.ap-southeast-2.amazonaws.com
  • query-prod-ap-southeast-2.cms.vmware.com

Japon :

  • kinesis.ap-northeast-1.amazonaws.com
  • query-prod-ap-northeast-1.cms.vmware.com

Royaume-Uni :

  • kinesis.eu-west-2.amazonaws.com
  • query-prod-eu-west-2.cms.vmware.com
443 TCP Cloud Monitoring Service (CMS)

Ports et protocoles requis par la machine virtuelle JumpBox de l'espace lors des déploiements et des mises à jour d'espace

Comme indiqué à la section Guide de déploiement d'Horizon Cloud, la VM JumpBox est utilisée dans la création initiale d'un espace et lors des mises à jour logicielles ultérieures dans l'environnement de l'espace. Après la création d'un espace, la VM JumpBox est supprimée. Ensuite, lorsqu'un espace est en cours de mise à jour, la machine virtuelle JumpBox est recréée pour exécuter ce processus de mise à jour, puis est supprimée lorsque la mise à jour est terminée. Ces mises à jour incluent la date et heure de modification d'un espace pour ajouter une configuration d'Unified Access Gateway.

Note : Un espace faisant l'objet d'un nouveau déploiement dans Microsoft Azure à partir de la version de septembre 2019 ou mis à jour vers le niveau du manifeste de la version de septembre 2019 et dont la haute disponibilité est activée dispose de deux machines virtuelles du gestionnaire. Dans les paragraphes suivants, le terme machine virtuelle est employé au pluriel pour indiquer que la machine virtuelle JumpBox doit communiquer avec l'ensemble des machines virtuelles du gestionnaire de l'espace, que celui-ci en dispose d'une ou de deux.

Lors de ces processus, cette machine virtuelle JumpBox communique avec :

  • Les machines virtuelles du gestionnaire de l'espace utilisant SSH sur le port 22 des machines virtuelles du gestionnaire. Par conséquent, lors du processus de déploiement et de mise à jour de l'espace, la condition requise de communication entre la machine virtuelle JumpBox et le port 22 de la machine virtuelle du gestionnaire doit être remplie. Le port 22 de la machine virtuelle du gestionnaire doit être autorisé entre la machine virtuelle JumpBox en tant que source et la machine virtuelle du gestionnaire en tant que destination.
  • Les machines virtuelles Unified Access Gateway utilisant HTTPS sur le port 9443 de ces machines virtuelles, au cas où un espace est déployé avec une configuration d'Unified Access Gateway, ou modifié pour ajouter celle-ci. Par conséquent, lors du processus de déploiement et de mise à jour de l'espace, la condition requise de communication entre la machine virtuelle JumpBox et le port 9443 des machines virtuelles Unified Access Gateway doit être remplie lorsque la configuration de l'espace comprend Unified Access Gateway. Le port 9443 des VM Unified Access Gateway doit être autorisé entre la machine virtuelle JumpBox en tant que source et les VM Unified Access Gateway en tant que destination.

Étant donné que des adresses IP sont attribuées dynamiquement à ces VM, les règles de réseau pour autoriser cette communication doivent utiliser les éléments suivants :

  • CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 22, port source any et protocole TCP.
  • CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 9443, port source any et protocole TCP, en cas de configuration d'Unified Access Gateway.
Note : Les opérations de l'espace en cours ne nécessitent pas la disponibilité du port 22 sur la machine virtuelle du gestionnaire de l'espace. Toutefois, si vous effectuez une demande de support à VMware et que l'équipe de support détermine que pour déboguer cette demande, il faut déployer une machine virtuelle JumpBox pour la communication du protocole SSH avec votre machine virtuelle du gestionnaire de l'espace, vous devrez satisfaire cette condition requise de port durant la période où l'équipe de support VMware requiert le port pour déboguer le problème. L'équipe de support VMware vous informera des conditions requises, selon les cas de support.

Lorsque la passerelle externe est déployée dans son propre réseau virtuel : ports et protocoles requis par la machine virtuelle JumpBox de la configuration de la passerelle externe lors des déploiements et des mises à jour de la passerelle

Comme décrit dans la section Guide de déploiement d'Horizon Cloud, une machine virtuelle JumpBox est utilisée dans la création initiale de la passerelle externe dans son propre réseau virtuel et lors des mises à jour logicielles ultérieures sur cette passerelle. Une fois la passerelle externe créée dans son propre réseau virtuel, la machine virtuelle JumpBox est supprimée. Ensuite, lorsque cette passerelle externe est en cours de mise à jour, la machine virtuelle JumpBox est recréée pour exécuter ce processus de mise à jour, puis supprimée lorsque la mise à jour est terminée. Ces mises à jour incluent la modification d'un espace pour ajouter une passerelle externe dans son propre réseau virtuel.

Lors de ces processus, cette machine virtuelle JumpBox communique avec :

  • Lors de ces processus, cette machine virtuelle JumpBox communique avec la machine virtuelle du connecteur de la passerelle à l'aide du protocole SSH, sur le port 22 de la machine virtuelle du connecteur. Par conséquent, lors du processus de déploiement et de mise à jour de la passerelle, la condition requise de communication entre la machine virtuelle JumpBox et le port 22 de la machine virtuelle du connecteur doit être remplie. Le port 22 de la machine virtuelle du connecteur doit être autorisé entre la machine virtuelle JumpBox en tant que source et la machine virtuelle du connecteur en tant que destination.
  • Machines virtuelles Unified Access Gateway utilisant HTTPS sur le port 9443 de ces machines virtuelles. Par conséquent, lors du processus de déploiement et de mise à jour de l'espace, la condition requise de communication entre la machine virtuelle JumpBox et le port 9443 des machines virtuelles Unified Access Gateway doit être remplie lorsque la configuration de l'espace comprend Unified Access Gateway. Le port 9443 des VM Unified Access Gateway doit être autorisé entre la machine virtuelle JumpBox en tant que source et les VM Unified Access Gateway en tant que destination.

Étant donné que des adresses IP sont attribuées dynamiquement à ces VM, les règles de réseau pour autoriser cette communication doivent utiliser les éléments suivants :

  • CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 22, port source any et protocole TCP.
  • CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 9443, port source any et protocole TCP.
Note : Les opérations de l'espace en cours ne nécessitent pas la disponibilité du port 22 sur la machine virtuelle du connecteur de la passerelle. Toutefois, si vous effectuez une demande de support à VMware et que l'équipe du support détermine que, pour déboguer cette demande, il faut déployer une machine virtuelle JumpBox pour la communication du protocole SSH avec la machine virtuelle du connecteur de cette passerelle, vous devrez satisfaire cette condition requise de port le temps que l'équipe du support VMware requiert le port pour déboguer votre problème. L'équipe de support VMware vous informera des conditions requises, selon les cas de support.