Cette page est une référence pour tous les ports et protocoles possibles utilisés pour la communication dans un déploiement d'Horizon Cloud Service on Microsoft Azure standard de première génération. Utilisez ces tableaux pour vous assurer que votre configuration réseau et vos pare-feu autoriseront le trafic de communication requis pour un déploiement réussi de l'espace et des opérations quotidiennes.
À propos de cette page
Les ports et protocoles spécifiques requis pour votre déploiement particulier dépendront en partie des fonctionnalités que vous choisissez d'utiliser pour votre déploiement Horizon Cloud Service on Microsoft Azure. Si vous prévoyez de ne pas utiliser un composant ou un protocole spécifique, le trafic de communication requis n'est pas nécessaire à vos objectifs et vous pouvez ignorer les ports associés à ce composant. Par exemple, il n'est pas nécessaire d'autoriser les ports PCoIP si vos utilisateurs finaux n'utilisent que le protocole d'affichage Blast Extreme.
Le trafic réseau doit atteindre des noms d'hôtes spécifiques. Si le déploiement est configuré pour utiliser un proxy, certains services réseau doivent utiliser le proxy et d'autres services réseau doivent être directs. Pour plus d'informations sur le trafic réseau vers les noms d'hôtes, reportez-vous à la section Locataires de première génération - Déploiements d'Horizon Cloud on Microsoft Azure - Conditions requises de résolution de noms d'hôtes, Noms DNS.
Pour plus d'informations sur les autres ports pris en charge pour les produits VMware, accédez à la section VMware Ports and Protocols.
Dans le cadre du processus de déploiement de l'espace, le système de déploiement crée des groupes de sécurité réseau (NSG, Network Security Groups) sur les interfaces réseau (cartes réseau) de toutes les machines virtuelles déployées. Pour plus d'informations sur les règles définies dans ces NSG, reportez-vous à la section Règles de groupe de sécurité réseau par défaut pour les VM d'un espace Horizon Cloud.
Ports et protocoles requis par les principaux composants de l'espace pour les opérations en cours
Outre les conditions requises pour le DNS, les tableaux suivants répertorient les ports et les protocoles nécessaires au bon fonctionnement de l'espace pour les opérations en cours après le déploiement. Certains de ces tableaux répertorient également les ports et les protocoles requis pour des scénarios spécifiques ou lorsque vous avez activé des fonctionnalités particulières sur l'espace.
Dans le portail Microsoft Azure, les VM du gestionnaire d'espace ont un nom qui contient une partie, telle que vmw-hcs-podID
, où podID est l'UUID de l'espace, et une partie node
.
L'utilisation par le système d'un équilibrage de charge Microsoft Azure avec les VM du gestionnaire d'espace a commencé à partir du manifeste 1600, lors de la version de service de septembre 2019. Par conséquent, tous les espaces déployés récemment à partir du manifeste 1600 et versions ultérieures disposent d'un équilibrage de charge Microsoft Azure. Les espaces qui ont été déployés pour la première fois avant le manifeste 1600 et mis à jour par la suite vers des manifestes ultérieurs disposent également d'un équilibrage de charge Microsoft Azure de l'espace. Les lignes du tableau qui mentionnent l'équilibrage de charge de l'espace s'appliquent à tous ces espaces.
Source | Cible | Ports | Protocole | Objectif |
---|---|---|---|---|
VM du gestionnaire d'espace | Autre VM du gestionnaire d'espace de l'espace | 4101 | TCP | Ce trafic est un routage JMS entre les VM du gestionnaire d'espace. |
VM du gestionnaire d'espace | Machines virtuelles Unified Access Gateway | 9443 | HTTPS | Ce port est utilisé par la machine virtuelle du gestionnaire d'espace sur le sous-réseau de gestion pour configurer les paramètres de la configuration d'Unified Access Gateway de l'espace. Cette configuration requise de port s'applique lors du déploiement initial d'un espace avec une configuration d' Unified Access Gateway et lors de la modification d'un espace pour ajouter une configuration d' Unified Access Gateway ou des paramètres de mise à jour pour cette configuration d' Unified Access Gateway. |
Équilibrage de charge Microsoft Azure de l'espace | VM du gestionnaire d'espace | 8080 | HTTP | Contrôles de santé des machines virtuelles dans le pool principal de l'équilibrage de charge. Pour les espaces déployés avant la version v2204 sur lesquels l'option Haute disponibilité n'a pas été définie et la haute disponibilité n'a pas encore été ajoutée, l'équilibrage de charge dispose d'une VM du gestionnaire d'espace et d'un pool principal à vérifier. |
VM du gestionnaire d'espace | Contrôleur de domaine | 389 | TCP UDP |
L'enregistrement de votre locataire Horizon Cloud dans un annuaire Active Directory est obligatoire. Le workflow Enregistrer le domaine AD de la console doit être effectué après l'intégration de votre premier espace. Ce port est requis pour les services LDAP lorsque LDAP est spécifié dans ce workflow. LDAP est la valeur par défaut pour la plupart des locataires. La cible est le serveur qui contient un rôle de contrôleur de domaine dans la configuration d'Active Directory. |
VM du gestionnaire d'espace | Catalogue global | 3268 | TCP | L'enregistrement de votre locataire Horizon Cloud dans un annuaire Active Directory est obligatoire. Le workflow Enregistrer le domaine AD de la console doit être effectué après l'intégration de votre premier espace. Ce port est requis pour les services LDAP lorsque LDAP est le protocole spécifié dans ce workflow. LDAP est la valeur par défaut pour la plupart des locataires. La cible est le serveur qui contient le rôle de catalogue global dans la configuration d'Active Directory. |
VM du gestionnaire d'espace | Contrôleur de domaine | 88 | TCP UDP |
Services Kerberos. La cible est le serveur qui contient un rôle de contrôleur de domaine dans une configuration Active Directory. L'inscription de l'espace dans Active Directory est une condition requise. |
VM du gestionnaire d'espace | Contrôleur de domaine | 636, 3269 | TCP | L'enregistrement de votre locataire Horizon Cloud dans un annuaire Active Directory est obligatoire. Le workflow Enregistrer le domaine AD de la console doit être effectué après l'intégration de votre premier espace. Ces ports sont requis pour les services LDAP sur SSL (LDAPS) uniquement lorsque LDAPS est le protocole spécifié dans la configuration pour cet annuaire AD enregistré. LDAPS ne peut être spécifié pour l'annuaire AD enregistré que lorsque votre locataire est activé pour utiliser la fonctionnalité LDAPS du service. Sinon, LDAP est la condition requise par défaut. |
VM du gestionnaire d'espace | Serveur DNS | 53 | TCP UDP |
Services DNS. |
VM du gestionnaire d'espace | Serveur NTP | 123 | UDP | Services NTP. Serveur qui fournit la synchronisation de l'heure NTP. |
VM du gestionnaire d'espace | Serveur d'inscription de True SSO | 32111 | TCP | Serveur d'inscription de True SSO. Requis si vous utilisez True SSO avec vos espaces Horizon. 32111 est le port par défaut utilisé dans l'installation du serveur d'inscription. Ce numéro de port peut être configuré pendant le processus d'installation du serveur d'inscription selon vos besoins. Reportez-vous également à la section True SSO, gestion des certificats et déploiements d'Horizon Cloud on Microsoft Azure de cette rubrique. |
VM du gestionnaire d'espace | Service Workspace ONE Access | 443 | HTTPS |
Note : Cette ligne s'applique aux environnements avec une configuration de Broker à espace unique. Ces informations ne sont pas destinées aux environnements avec une configuration d'Universal Broker. Dans un environnement de Broker à espace unique configuré,
Workspace ONE Access Connector communique avec un espace pour obtenir les droits de l'utilisateur final (les attributions).
Facultatif si vous n'intégrez pas Workspace ONE Access à l'espace. Dans un environnement de Broker à espace unique configuré, cette connexion est utilisée pour créer une relation de confiance entre l'espace et le service Workspace ONE Access, où Workspace ONE Access Connector est synchronisé avec l'espace. Veillez à ce que l'espace puisse accéder à l'environnement Workspace ONE Access que vous utilisez sur le port 443. Lorsque vous utilisez le service de cloud de Workspace ONE Access, consultez également la liste des adresses IP du service Workspace ONE Access auxquelles Workspace ONE Access Connector et l'espace doivent avoir accès, dans l'article 2149884 de la base de connaissances de VMware. |
Configuration requise pour les ports et protocoles de la machine virtuelle du connecteur de passerelle
Ce tableau s'applique à la machine virtuelle du connecteur de la passerelle qui est utilisée lorsque vous avez déployé la passerelle externe dans un réseau virtuel distinct. Outre les conditions requises de DNS, les ports et protocoles du tableau suivant sont nécessaires au bon fonctionnement de la passerelle externe pour les opérations en cours après le déploiement.
Dans le tableau ci-dessous, le terme Machine virtuelle du connecteur fait référence à la machine virtuelle du connecteur de la passerelle qui gère la connexion entre le plan de gestion du cloud et la passerelle externe. Dans le portail Microsoft Azure, cette machine virtuelle a un nom qui contient une partie vmw-hcs-ID
, où ID est l'ID de déploiement de la passerelle, et une partie node
.
Source | Cible | Ports | Protocole | Objectif |
---|---|---|---|---|
Machine virtuelle du connecteur | Serveur DNS | 53 | TCP UDP |
Services DNS. |
Machine virtuelle du connecteur | Serveur NTP | 123 | UDP | Services NTP. Serveur qui fournit la synchronisation de l'heure NTP. |
Configuration requise pour les ports et protocoles de la machine virtuelle Unified Access Gateway
Outre la configuration requise pour les principaux ports et protocoles énoncés ci-dessus ainsi que ceux du DNS, les ports et protocoles des tableaux suivants sont associés aux passerelles que vous avez configurées sur l'espace pour qu'elles fonctionnent correctement lors des opérations en cours après le déploiement.
Pour les connexions utilisant un espace compatible haute disponibilité configuré avec des instances d'Unified Access Gateway, le trafic doit être autorisé depuis des instances d'Unified Access Gateway de l'espace vers des cibles, comme décrit dans le tableau ci-dessous. Pendant le déploiement de l'espace, un groupe de sécurité réseau (NSG, Network Security Group) est créé dans votre environnement Microsoft Azure pour être utilisé par les instances d'Unified Access Gateway de l'espace.
Source | Cible | Port | Protocole | Objectif |
---|---|---|---|---|
Unified Access Gateway | Équilibrage de charge Microsoft Azure de l'espace | 8443 | TCP | Trafic d'authentification de connexion. Le trafic des instances d'Unified Access Gateway est acheminé vers les VM du gestionnaire d'espace via l'équilibrage de charge de l'espace. |
Unified Access Gateway | Serveur NTP | 123 | UDP | Services NTP. Serveur qui fournit la synchronisation de l'heure NTP. Lorsque votre locataire est configuré pour utiliser Universal Broker, veillez à respecter les points suivants :
Cela est dû au fait que si le service détecte un écart temporel entre les dispositifs Unified Access Gateway et le serveur NTP d'Universal Broker qui exécute UTC (temps universel coordonné), un e-mail vous sera envoyé pour vous demander de résoudre cet écart temporel. Des écarts temporels entre Universal Broker et les dispositifs Unified Access Gateway peuvent entraîner l'échec des connexions des utilisateurs finaux. Lorsque vos configurations de l'instance interne d'Unified Access Gateway ne sont pas connectées à un serveur NTP à partir du sous-réseau de locataire, elles sont davantage susceptibles de rencontrer de tels écarts temporels, car sans serveur NTP, ces dispositifs Unified Access Gateway dépendent de l'heure de la VM sous-jacente. Si le serveur NTP que vous souhaitez utiliser est un serveur NTP interne et qu'il n'est pas autorisé à communiquer à partir de l'interface DMZ, ouvrez une demande de support afin que l'équipe VMware Horizon Cloud Service puisse vous aider à ajouter des routes à la configuration d'Unified Access Gateway après le déploiement afin qu'Unified Access Gateway puisse communiquer avec votre serveur NTP. L'équipe VMware Horizon Cloud Service dispose d'appels d'API pour ajouter les routes à votre place.
Info-bulle : Lorsque votre locataire est configuré pour utiliser l'intermédiation d'un espace unique, les points ci-dessus sont recommandés, car dans le scénario du broker à espace unique, l'écart temporel avec les dispositifs Unified Access Gateway n'a aucune incidence sur les connexions des utilisateurs finaux.
|
Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 4172 | TCP UDP |
PCoIP |
Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 22443 | TCP UDP |
Blast Extreme Par défaut, le trafic de redirection de lecteur client (CDR) et le trafic USB sont à canal latéral dans ce port lorsque Blast Extreme est utilisé. Si vous préférez plutôt, le trafic CDR peut être séparé sur le port TCP 9427 et le trafic de redirection USB peut être séparé sur le port TCP 32111. |
Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 9427 | TCP | Facultatif pour le trafic de redirection de lecteur client (CDR) et de redirection multimédia (MMR). |
Unified Access Gateway | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 32111 | TCP | Facultatif pour le trafic de redirection USB. |
Unified Access Gateway | Votre instance RADIUS | 1812 | UDP | Lorsque vous utilisez l'authentification à deux facteurs RADIUS avec cette configuration d'Unified Access Gateway. La valeur par défaut pour RADIUS s'affiche ici. |
Unified Access Gateway | Votre serveur RSA SecurID Authentication Manager | 5555 | TCP | Lors de l'utilisation de l'authentification à deux facteurs RSA SecurID avec cette configuration d'Unified Access Gateway. La valeur par défaut utilisée pour le port de communication pour les agents de l'API d'authentification RSA SecurID pour l'authentification des agents s'affiche ici. |
Ports et protocoles requis par Universal Broker
Pour prendre en charge l'utilisation de Universal Broker pour l'intermédiation des attributions d'utilisateurs finaux à partir d'un espace, vous devez configurer le port 443 comme décrit dans le tableau suivant. Le gestionnaire d'espace actif établit une connexion WebSocket persistante avec le service Universal Broker via le port 443 et reçoit les demandes de connexion du service Universal Broker via un port sélectionné de manière aléatoire.
Source | Port source | Cible | Port cible | Protocole | Objectif |
---|---|---|---|---|---|
Gestionnaire d'espaces actifs | Sélectionné de manière aléatoire parmi les ports disponibles | Service Universal Broker | 443 | HTTPS au départ, puis WebSocket | Établit une connexion WebSocket persistante avec le service Universal Broker |
Conditions requises pour les ports et protocoles de trafic de connexion des utilisateurs finaux
Pour se connecter aux postes de travail virtuels provisionnés par l'espace et aux applications distantes à partir de leurs périphériques, vos utilisateurs finaux utilisent une instance de VMware Horizon Client installée compatible ou leur navigateur (appelé client Horizon HTML Access). Le choix du mode de connexion de vos utilisateurs finaux détermine les ports qui doivent être ouverts pour le trafic à partir des clients des utilisateurs finaux pour accéder aux applications distantes et aux postes de travail virtuels provisionnés par l'espace :
- Lorsque vous choisissez l'option de déploiement pour disposer d'une configuration de passerelle externe dans le réseau virtuel de l'espace
-
Le système de déploiement déploie des instances d'
Unified Access Gateway dans votre environnement Microsoft Azure ainsi qu'une
ressource d'équilibrage de charge Microsoft Azure vers ces instances dans le pool de back-end de l'équilibrage de charge. Cet équilibrage de charge communique avec les cartes réseau de ces instances sur le sous-réseau de zone DMZ et est configuré en tant qu'
équilibrage de charge public dans Microsoft Azure.
Le diagramme Illustration de l'architecture Horizon Cloud Pod pour un espace dans lequel la haute disponibilité est activée et configurée avec des configurations externes et internes d'Unified Access Gateway décrit l'emplacement de l'équilibrage de charge public et des instances d'Unified Access Gateway. Lorsque votre espace possède cette configuration, le trafic des utilisateurs finaux sur Internet est acheminé vers cet équilibrage de charge, qui distribue les demandes aux instances d'Unified Access Gateway. Pour cette configuration, vous devez vous assurer que ces connexions des utilisateurs finaux peuvent accéder à l'équilibrage de charge à l'aide des ports et protocoles répertoriés ci-dessous. Après le déploiement, l'équilibrage de charge de la passerelle externe se trouve dans le groupe de ressources nommé
vmw-hcs-podID-uag
, où podID est l'UUID de l'espace. - Lorsque vous choisissez l'option de déploiement pour disposer d'une configuration Unified Access Gateway interne
-
Une configuration de passerelle interne est déployée dans le réseau virtuel de l'espace par défaut. Le système de déploiement déploie des instances d'
Unified Access Gateway dans votre environnement Microsoft Azure ainsi qu'une
ressource d'équilibrage de charge Microsoft Azure vers ces instances dans son pool de back-end. Cet équilibrage de charge communique avec les cartes réseau des instances sur le sous-réseau de locataire et est configuré en tant qu'
équilibrage de charge interne dans Microsoft Azure.
Le diagramme Illustration de l'architecture Horizon Cloud Pod pour un espace dans lequel la haute disponibilité est activée et configurée avec des configurations externes et internes d'Unified Access Gateway décrit l'emplacement de cet équilibrage de charge interne et des instances d'Unified Access Gateway. Lorsque votre espace possède cette configuration, le trafic des utilisateurs finaux sur votre réseau d'entreprise est acheminé vers cet équilibrage de charge, qui distribue les demandes aux instances d'Unified Access Gateway. Pour cette configuration, vous devez vous assurer que ces connexions des utilisateurs finaux peuvent accéder à l'équilibrage de charge à l'aide des ports et protocoles répertoriés ci-dessous. Après le déploiement, l'équilibrage de charge de la passerelle interne se trouve dans le groupe de ressources nommé
vmw-hcs-podID-uag-internal
, où podID est l'UUID de l'espace. - Lorsque vous choisissez les options du système de déploiement pour disposer d'une configuration de passerelle externe dans son propre réseau virtuel et non dans les espaces, ou l'option permettant d'utiliser son propre abonnement (sous-cas spécial d'utilisation de son propre réseau virtuel, car les réseaux virtuels ne couvrent pas les abonnements)
-
Le système de déploiement déploie des instances d'
Unified Access Gateway dans votre environnement Microsoft Azure ainsi qu'une
ressource d'équilibrage de charge Microsoft Azure vers ces instances dans le pool de back-end de l'équilibrage de charge. Cet équilibrage de charge communique avec les cartes réseau de ces instances sur le sous-réseau de zone DMZ et est configuré en tant qu'
équilibrage de charge public dans Microsoft Azure.
Le diagramme Illustration des éléments de l'architecture de la passerelle externe lorsque la passerelle externe est déployée dans son propre réseau virtuel, distinct du réseau virtuel de l'espace décrit l'emplacement de l'équilibrage de charge public et des instances d'Unified Access Gateway dans le propre réseau virtuel de la passerelle. Lorsque votre espace possède cette configuration, le trafic des utilisateurs finaux sur Internet est acheminé vers cet équilibrage de charge, qui distribue les demandes aux instances d'Unified Access Gateway. Pour cette configuration, vous devez vous assurer que ces connexions des utilisateurs finaux peuvent accéder à l'équilibrage de charge à l'aide des ports et protocoles répertoriés ci-dessous. Après le déploiement, l'équilibrage de charge de la passerelle externe se trouve dans le groupe de ressources nommé
vmw-hcs-ID-uag
, où ID est la valeur affichée dans le champ ID de déploiement de la page de détails de l'espace. Comme décrit dans le Guide d'administration, vous pouvez accéder à la page de détails de l'espace sur la page Capacité de la console. - Lorsque vous ne disposez d'aucune configuration d' Unified Access Gateway sur l'espace
-
Note : Pour les environnements de production dans lesquels le locataire est configuré pour utiliser l'intermédiation d'un espace unique, il est recommandé d'utiliser une configuration de passerelle d' Unified Access Gateway interne pour les connexions d'utilisateurs finaux internes sur l'espace. Ces connexions s'appliqueraient à cette configuration de passerelle dans le scénario d'intermédiation d'un espace unique.Dans une configuration dans laquelle vous disposez d'une intermédiation de Broker à espace unique et de Workspace ONE Access intégrés à l'espace, vos utilisateurs finaux se connectent généralement via Workspace ONE Access. Dans ce scénario, vous devez configurer Workspace ONE Access et Workspace ONE Access Connector pointant directement vers l'espace. Vos utilisateurs finaux se connectent à leurs ressources provisionnées par l'espace à l'aide de Workspace ONE Access. Pour cette configuration, chargez un certificat SSL vers les VM du gestionnaire d'espace sur la page Résumé de l'espace dans la console, comme indiqué à la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace. Ensuite, vous devez effectuer les étapes pour intégrer Workspace ONE Access à l'espace.
Source | Cible | Port | Protocole | Objectif |
---|---|---|---|---|
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | TCP | Trafic d'authentification de connexion. Peut également effectuer le trafic de redirection de lecteur client (CDR), de redirection multimédia (MMR), de redirection USB et de RDP par tunnel. Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Le port 80 (accès HTTP) peut être utilisé dans certains cas. |
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 4172 | TCP UDP |
PCoIP via PCoIP Secure Gateway sur Unified Access Gateway |
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 ou 443, selon les éléments définis dans votre déploiement | TCP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données à partir d'Horizon Client. Pour un espace Horizon Cloud, ce port est sélectionné à l'aide du menu Port TCP Blast Extreme de l'assistant de déploiement. Assurez-vous que votre mise en réseau permet aux clients l'accès sortant quel que soit celui que vous avez spécifié pour la passerelle externe. Cette URL est utilisée par les clients pour établir la session Horizon Blast avec les instances d'Unified Access Gateway, via l'équilibrage de charge qui se trouve devant ces instances. À partir de la version de service d'octobre 2021, pour les nouveaux déploiements d'une configuration de passerelle, le système de déploiement permet de sélectionner 8443 ou 443 pour le port TCP Blast Extreme que le système de déploiement configure dans la configuration d'Unified Access Gateway correspondante. Auparavant, le système de déploiement configurait 443 par défaut sans aucun autre choix possible. Si votre configuration de passerelle a été déployée avant la date de la version de service d'octobre 2021, un port 443 est généralement défini sur cette configuration dans le champ URL externe Blast dans ses paramètres d'administration d'Unified Access Gateway.
Note : Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'
Unified Access Gateway. Le port 443 est moins efficace et moins performant. L'utilisation du port 443 entraîne une surcharge du CPU dans les instances. Le port 443 est utilisé dans votre déploiement uniquement si votre organisation a défini des restrictions côté client, comme votre organisation autorise uniquement le port 443 sortant et non 8443.
|
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | UDP | Blast Extreme via Unified Access Gateway pour le trafic de données. |
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 | UDP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données (transport adaptatif). |
Navigateur | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | TCP | Trafic d'authentification de connexion. Peut également effectuer le trafic de redirection de lecteur client (CDR), de redirection multimédia (MMR), de redirection USB et de RDP par tunnel. Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Le port 80 (accès HTTP) peut être utilisé dans certains cas. |
Navigateur | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 ou 443, selon les éléments qui étaient définis dans votre déploiement | TCP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données à partir du client Horizon HTML Access (client Web). Pour un espace Horizon Cloud, ce port est sélectionné à l'aide du menu Port TCP Blast Extreme de l'assistant de déploiement. Assurez-vous que votre mise en réseau permet aux clients l'accès sortant quel que soit celui que vous avez spécifié pour la passerelle externe. Cette URL est utilisée par le client Horizon HTML Access dans le navigateur pour établir la session Horizon Blast avec les instances d'Unified Access Gateway, via l'équilibrage de charge qui se trouve devant ces instances. À partir de la version de service d'octobre 2021, pour les nouveaux déploiements d'une configuration de passerelle, le système de déploiement permet de sélectionner 8443 ou 443 pour le port TCP Blast Extreme que le système de déploiement configure dans la configuration d'Unified Access Gateway correspondante. Auparavant, le système de déploiement configurait 443 par défaut sans aucun autre choix possible. Si votre configuration de passerelle a été déployée avant la date de la version de service d'octobre 2021, un port 443 est généralement défini sur cette configuration dans le champ URL externe Blast dans ses paramètres d'administration d'Unified Access Gateway.
Note : Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'
Unified Access Gateway. Le port 443 est moins efficace et moins performant. L'utilisation du port 443 entraîne une surcharge du CPU dans les instances. Le port 443 est utilisé dans votre déploiement uniquement si votre organisation a défini des restrictions côté client, comme votre organisation autorise uniquement le port 443 sortant et non 8443.
|
Source | Cible | Port | Protocole | Objectif |
---|---|---|---|---|
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | TCP | Trafic d'authentification de connexion. Peut également effectuer le trafic de redirection de lecteur client (CDR), de redirection multimédia (MMR), de redirection USB et de RDP par tunnel. Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Le port 80 (accès HTTP) peut être utilisé dans certains cas. Reportez-vous à la section Broker à espace unique : espaces Horizon Cloud et fonctionnalité de redirection de contenu URL. |
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 4172 | TCP UDP |
PCoIP via PCoIP Secure Gateway sur Unified Access Gateway |
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 ou 443, selon les éléments qui étaient définis dans votre déploiement | TCP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données à partir d'Horizon Client. Pour un espace Horizon Cloud, ce port est sélectionné à l'aide du menu Port TCP Blast Extreme de l'assistant de déploiement. Assurez-vous que votre mise en réseau permet aux clients l'accès sortant quel que soit celui que vous avez spécifié pour la passerelle externe. Cette URL est utilisée par les clients pour établir la session Horizon Blast avec les instances d'Unified Access Gateway, via l'équilibrage de charge qui se trouve devant ces instances. À partir de la version de service d'octobre 2021, pour les nouveaux déploiements d'une configuration de passerelle, le système de déploiement permet de sélectionner 8443 ou 443 pour le port TCP Blast Extreme que le système de déploiement configure dans la configuration d'Unified Access Gateway correspondante. Auparavant, le système de déploiement configurait 443 par défaut sans aucun autre choix possible. Si votre configuration de passerelle a été déployée avant la date de la version de service d'octobre 2021, un port 443 est généralement défini sur cette configuration dans le champ URL externe Blast dans ses paramètres d'administration d'Unified Access Gateway.
Note : Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'
Unified Access Gateway. Le port 443 est moins efficace et moins performant. L'utilisation du port 443 entraîne une surcharge du CPU dans les instances. Le port 443 est utilisé dans votre déploiement uniquement si votre organisation a défini des restrictions côté client, comme votre organisation autorise uniquement le port 443 sortant et non 8443.
|
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | UDP | Blast Extreme via Unified Access Gateway pour le trafic de données. |
Horizon Client | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 | UDP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données (transport adaptatif). |
Navigateur | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 443 | TCP | Trafic d'authentification de connexion. Peut également effectuer le trafic de redirection de lecteur client (CDR), de redirection multimédia (MMR), de redirection USB et de RDP par tunnel. Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Le port 80 (accès HTTP) peut être utilisé dans certains cas. |
Navigateur | Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway | 8443 ou 443, selon les éléments qui étaient définis dans votre déploiement | TCP | Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données à partir du client Horizon HTML Access (client Web). Pour un espace Horizon Cloud, ce port est sélectionné à l'aide du menu Port TCP Blast Extreme de l'assistant de déploiement. Assurez-vous que votre mise en réseau permet aux clients l'accès sortant quel que soit celui que vous avez spécifié pour la passerelle externe. Cette URL est utilisée par le client Horizon HTML Access dans le navigateur pour établir la session Horizon Blast avec les instances d'Unified Access Gateway, via l'équilibrage de charge qui se trouve devant ces instances. À partir de la version de service d'octobre 2021, pour les nouveaux déploiements d'une configuration de passerelle, le système de déploiement permet de sélectionner 8443 ou 443 pour le port TCP Blast Extreme que le système de déploiement configure dans la configuration d'Unified Access Gateway correspondante. Auparavant, le système de déploiement configurait 443 par défaut sans aucun autre choix possible. Si votre configuration de passerelle a été déployée avant la date de la version de service d'octobre 2021, un port 443 est généralement défini sur cette configuration dans le champ URL externe Blast dans ses paramètres d'administration d'Unified Access Gateway.
Note : Le port 8443 est préféré, car il est plus efficace, fournit de meilleures performances et utilise moins de ressources sur les instances d'
Unified Access Gateway. Le port 443 est moins efficace et moins performant. L'utilisation du port 443 entraîne une surcharge du CPU dans les instances. Le port 443 est utilisé dans votre déploiement uniquement si votre organisation a défini des restrictions côté client, comme votre organisation autorise uniquement le port 443 sortant et non 8443.
|
Source | Cible | Port | Protocole | Objectif |
---|---|---|---|---|
Horizon Client | Équilibrage de charge Microsoft Azure de l'espace | 443 | TCP | Trafic d'authentification de connexion. Le trafic des clients est acheminé vers les VM du gestionnaire d'espace via l'équilibrage de charge de l'espace. |
Horizon Client | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 4172 | TCP UDP |
PCoIP |
Horizon Client | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 22443 | TCP UDP |
Blast Extreme |
Horizon Client | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 32111 | TCP | Redirection USB |
Horizon Client | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 9427 | TCP | Redirection de lecteur client (CDR) et Redirection multimédia (MMR) |
Navigateur | Horizon Agent sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 443 | TCP | HTML Access |
Conditions requises de ports et de protocoles pour le trafic provenant des agents installés dans la machine virtuelle de base, les machines virtuelles de poste de travail VDI et les machines virtuelles RDSH de batterie de serveurs
Les ports suivants doivent autoriser le trafic entre le logiciel lié à l'agent qui est installé sur les VM de base, les VM de poste de travail, les VM RDSH de batterie de serveurs et les VM du gestionnaire d'espace.
Source | Cible | Port | Protocole | Objectif |
---|---|---|---|---|
Horizon Agent sur la machine virtuelle importée de base, images standard, machines virtuelles de poste de travail et machines virtuelles RDSH de batterie de serveurs | VM du gestionnaire d'espace | 4001 | TCP | Java Message Service (JMS, non-SSL), utilisé par l'agent dans la machine virtuelle pour communiquer avec l'espace dans le cadre de la vérification et de l'échange de l'empreinte numérique du certificat pour sécuriser une connexion SSL à l'espace. Une fois les clés négociées et échangées entre la VM et le gestionnaire d'espace, l'agent utilise le port 4002 pour créer une connexion SSL sécurisée. Par exemple, l'action Réinitialiser le couplage d'agent sur la page VM importées nécessite une communication sur le port 4001 pour ce workflow de couplage d'agent entre la VM importée de base et l'espace.
Note : Les ports 4001 et 4002 sont requis pour les opérations d'état stable. Parfois, l'agent devra peut-être recréer la clé avec l'espace. Le port 4001 doit donc rester ouvert.
|
Horizon Agent sur la machine virtuelle importée de base, les images standard, les machines virtuelles de poste de travail et les machines virtuelles RDSH de batterie de serveurs | VM du gestionnaire d'espace | 4002 | TCP | Java Message Service (JMS, SSL), utilisé par l'agent sur ces machines virtuelles pour communiquer avec l'espace à l'aide d'une connexion SSL sécurisée. |
Horizon Agent sur les machines virtuelles de poste de travail, les machines virtuelles RDSH de batterie de serveurs | Nom d'hôte VMware Cloud Services scapi.vmware.com | 443 | TCP | Utilisé pour le programme de données d'utilisation du service VMware. Sortant du sous-réseau de locataire, trafic d'Horizon Agent envoyé au nom d'hôte VMware Cloud Services scapi.vmware.com. |
Agent FlexEngine (l'agent pour VMware Dynamic Environment Manager) sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | Partages de fichiers que vous configurez en vue d'une utilisation par l'agent FlexEngine qui s'exécute sur les machines virtuelles de poste de travail ou RDSH de batterie de serveurs | 445 | TCP | Accès de l'agent FlexEngine à vos partages de fichiers SMB, si vous utilisez des capacités de VMware Dynamic Environment Manager. |
Ports et protocoles requis par les fonctionnalités d'App Volumes
Comme indiqué dans la section Applications App Volumes pour Horizon Cloud on Microsoft Azure - Présentation et conditions préalables, pour prendre en charge l'utilisation des fonctionnalités d'App Volumes qui sont prises en charge pour une utilisation avec un espace Horizon Cloud, vous devez configurer le port 445 pour le trafic du protocole TCP sur le sous-réseau du locataire de l'espace. Le port 445 est le port SMB standard pour accéder à un partage de fichiers SMB sur Microsoft Windows. Les AppStacks sont stockés dans un partage de fichiers SMB situé dans le même groupe de ressources que celui des VM du gestionnaire d'espace.
De plus, comme décrit dans Locataires de première génération - Déploiements d'Horizon Cloud on Microsoft Azure - Conditions requises de résolution de noms d'hôtes, Noms DNS, lorsqu'Azure Cloud provisionne ce partage de fichiers SMB, il attribue un nom de domaine complet (FQDN) au format*.file.core.windows.net, où * est le nom généré par Azure du compte de stockage du partage de fichiers SMB. Ce nom de domaine complet doit pouvoir être résolu par votre serveur DNS afin que App Volumes puisse accéder à ces partages de fichiers, les monter et récupérer les AppStacks. Vous devez vous assurer que votre serveur DNS résout ce nom de domaine complet à tout moment pour les processus App Volumes Manager qui s'exécutent dans les instances du gestionnaire d'espace et pour l'App Volumes Agent qui s'exécute sur les postes de travail VDI.
Source | Cible | Port | Protocole | Objectif |
---|---|---|---|---|
App Volumes Agent sur la machine virtuelle importée de base, les images standard, les machines virtuelles de poste de travail et les machines virtuelles RDSH de batterie de serveurs | Partage de fichiers SMB dans le groupe de ressources du gestionnaire d'espace | 445 | TCP | Sur le sous-réseau du locataire de l'espace, pour accéder aux AppStacks App Volumes qui sont stockés dans le partage de fichiers SMB. |
Intégration à Workspace ONE Assist for Horizon - Conditions requises du DNS, des ports et des protocoles
Workspace ONE Assist for Horizon est un produit de la gamme de produits Workspace ONE UEM. À partir de la version d'Horizon Cloud d'août 2021, lorsque des conditions requises spécifiques sont remplies, vous pouvez intégrer l'utilisation de ce produit à des postes de travail VDI provisionnés à partir des espaces de votre locataire Horizon Cloud. Pour plus d'informations sur les conditions requises, reportez-vous au Guide de VMware Workspace ONE Assist for Horizon, situé dans la zone Documentation de VMware Workspace ONE Assist.
L'utilisation des fonctionnalités d'assistance nécessite une communication sortante entre les VM de poste de travail VDI et le serveur Workspace ONE Assist qui prend en charge l'intégration à votre locataire Horizon Cloud.
- Conditions requises du DNS
- Assurez-vous que le nom DNS de votre serveur Workspace ONE Assist peut être résolu et qu'il est accessible à partir des sous-réseaux de locataires de l'espace sur lesquels résideront les VM de poste de travail VDI. Le Guide de VMware Workspace ONE Assist for Horizon susmentionné fournit les noms DNS des serveurs Workspace ONE Assist.
- Conditions requises des ports et des protocoles
- Le trafic sortant utilisant le port 443, TCP et HTTPS doit être autorisé à partir des VM de poste de travail VDI sur lesquelles l'application Workspace ONE Assist for Horizon est installée.
Lorsque cela est nécessaire pour une demande de support active, des ports et des protocoles de la JumpBox temporaire sont utilisés
Si vous effectuez une demande de support à VMware et que l'équipe du support détermine que la façon de traiter cette demande consiste à déployer une VM JumpBox temporaire pour la communication SSH avec les dispositifs gérés par VMware, cette JumpBox nécessite les ports et les protocoles décrits ici.
Une autorisation vous sera demandée pour un déploiement d'une JumpBox liée au support. L'équipe du support VMware vous informera des conditions requises de communication, selon les cas de support.
Cette VM JumpBox liée au support est conçue pour communiquer en tant que source vers les destinations suivantes.
- Port 22 des VM du gestionnaire d'espace utilisant SSH et le port 22.
- Port 9443 des VM Unified Access Gateway utilisant HTTPS.
- Port 22 de la VM du connecteur de passerelle utilisant SSH dans un déploiement dans lequel la passerelle externe est déployée dans son propre réseau virtuel.
La nature de la demande de support et les dispositifs utilisés dans le déploiement déterminent le ou les dispositifs spécifiques gérés par VMware qui doivent être autorisés en tant que cible pour la communication.
Source | Cible | Ports | Protocole | Objectif |
---|---|---|---|---|
VM JumpBox |
|
22 | SSH | Si le support VMware exige cette communication avec un ou plusieurs des dispositifs répertoriés pour répondre à votre demande de support, la VM JumpBox communique sur le sous-réseau de gestion avec le port 22 sur le dispositif cible. |
VM JumpBox | Machines virtuelles Unified Access Gateway | 9443 | HTTPS | Si le support VMware exige cette communication pour répondre à votre demande de support, la VM JumpBox communique sur le sous-réseau de gestion pour configurer les paramètres dans la configuration d'Unified Access Gateway. |
Étant donné que des adresses IP sont attribuées dynamiquement à ces VM, les règles de réseau suivantes peuvent fournir les communications décrites. Lors des activités de demande de support, demandez toujours des conseils et une supervision auprès du support VMware pour connaître les conditions requises pour le déploiement de la JumpBox liée au support.
- CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 22, port source any et protocole TCP.
- CIDR de sous-réseau de gestion en tant que source et destination, avec port de destination 9443, port source any et protocole TCP, en cas de configuration d'Unified Access Gateway.
True SSO, gestion des certificats et déploiements d'Horizon Cloud on Microsoft Azure
Les VM de poste de travail provisionnées par l'espace Horizon Cloud ne communiquent pas directement avec le serveur d'inscription. La VM du gestionnaire d'espace actif du déploiement d'Horizon Cloud on Microsoft Azure relaie les demandes de certificats au serveur d'inscription. Une fois le certificat obtenu, Horizon Agent sur les VM de poste de travail utilise ce certificat pour effectuer l'opération d'ouverture de session par certificat pour le compte de l'utilisateur du poste de travail.
L'architecture demande-réponse est la même pour une VM du gestionnaire d'espace d'un déploiement d'Horizon Cloud on Microsoft Azure que pour une instance d'Horizon Connection Server du déploiement d'Horizon. Dans un déploiement d'Horizon Cloud on Microsoft Azure, les VM du gestionnaire d'espace disposent de connexions aux VM de poste de travail sur le sous-réseau de VM principal (également appelé sous-réseau de locataire) et sur tous les sous-réseaux de VM supplémentaires que l'administrateur VDI peut avoir ajoutés à l'aide du workflow Modifier l'espace.
Deux classes de certificat seront validées par différents composants : les certificats utilisateur et les certificats de canal. True SSO ajoute un certificat utilisateur validé par le serveur d'authentification. Dans ce cas d'un déploiement d'Horizon Cloud on Microsoft Azure, ce serveur d'authentification est un serveur Microsoft Active Directory. Étant donné que l'architecture Microsoft détermine les numéros de port qui peuvent être utilisés pour cette validation des certificats, un large éventail de numéros de port peut être utilisé pour cette validation, car les ports font partie de l'architecture Microsoft et ne sont pas spécifiques du déploiement d'Horizon Cloud on Microsoft Azure.
Lors de l'utilisation de True SSO dans un déploiement d'Horizon Cloud on Microsoft Azure, Horizon Agent génère une demande de signature de certificat et l'envoie à la VM du gestionnaire d'espace actif du déploiement sur le canal de communication déjà en place entre cette VM du gestionnaire d'espace et cette instance d'Horizon Agent. La VM du gestionnaire d'espace relaie la demande au serveur d'inscription via un canal TCP chiffré par SSL sécurisé (port 32111 ou port configuré par le client dans l'installation du serveur d'inscription). Celui-ci génère une demande CMC, ajoute la demande de signature de certificat et le nom d'utilisateur fournis par le gestionnaire d'espace, signe le CMC à l'aide du Certificat d'agent d'inscription et l'envoie à l'autorité de certification à l'aide du protocole MS-DCOM (RPC).
Horizon Agent reçoit le certificat, le sérialise sous forme d'informations d'identification d'ouverture de session et l'envoie au processus d'ouverture de session Windows. Le composant Windows LSASS reçoit le certificat, le valide (vérifie qu'il est valide et approuvé, et que la machine locale détient la clé privée du certificat), puis l'envoie à un contrôleur de domaine (DC). Celui-ci peut choisir de vérifier la liste de révocation de certificats comme indiqué dans le certificat utilisateur.
Diagrammes de mise en réseau visuellement enrichis
Pour obtenir une représentation visuellement enrichie des relations entre ces composants, ports et protocoles, reportez-vous aux diagrammes et descriptions réseau et descriptions de la zone Tech de l'espace de travail numérique VMware sur https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams.