Pour les opérations Horizon Cloud en cours, un espace qui a été déployé dans Microsoft Azure avant la version de septembre 2019 doit répondre à des conditions requises spécifiques liées aux ports et aux protocoles qui sont différentes de celles d'un espace déployé dans la version de manifeste de septembre 2019 ou qui a été mis à jour vers celle-ci. Un espace déployé avant la version de septembre 2019 a une version de manifeste 1493.1 ou antérieure.

Important :

Outre les ports et les protocoles décrits ici, les conditions requises de DNS doivent être respectées. Pour plus d’informations, reportez-vous à la section Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure.

Ports et protocoles requis pour les opérations en cours pour un espace de version de manifeste

Outre les conditions requises de DNS, les ports et protocoles dans les tableaux suivants sont nécessaires au bon fonctionnement de l'espace pour les opérations en cours après le déploiement.

Note : Dans les tables de cette section, le terme VM du gestionnaire fait référence à la machine virtuelle du gestionnaire de l'espace. Dans le portail Microsoft Azure, cette machine virtuelle a un nom qui contient une partie, telle que vmw-hcs-podID, où podID est l'UUID de l'espace, et une partie node.
Tableau 1. Ports et protocoles des opérations de l'espace
Source Cible Ports Protocole Objectif
Machine virtuelle du gestionnaire Contrôleur de domaine 389 TCP

UDP

Services LDAP. Serveur qui contient un rôle de contrôleur de domaine dans une configuration d'Active Directory. L’inscription de l'espace dans Active Directory est une condition requise.
Machine virtuelle du gestionnaire Catalogue global 3268 TCP Services LDAP. Serveur qui contient le rôle de catalogue global dans une configuration d'Active Directory. L’inscription de l'espace dans Active Directory est une condition requise.
Machine virtuelle du gestionnaire Contrôleur de domaine 88 TCP

UDP

Services Kerberos. Serveur qui contient un rôle de contrôleur de domaine dans une configuration d'Active Directory. L’inscription de l'espace dans Active Directory est une condition requise.
Machine virtuelle du gestionnaire Serveur DNS 53 TCP

UDP

Services DNS.
Machine virtuelle du gestionnaire Serveur NTP 123 UDP Services NTP. Serveur qui fournit la synchronisation de l’heure NTP.
Machine virtuelle du gestionnaire Serveur d'inscription de l'authentification unique réelle 32111 TCP Serveur d'inscription de l'authentification unique réelle. Facultatif si vous n’utilisez pas les fonctionnalités du serveur d’inscription de l'authentification unique réelle avec vos espaces.
Machine virtuelle du gestionnaire Service Workspace ONE Access 443 HTTPS Facultatif si vous n’utilisez pas Workspace ONE Access avec l'espace. Utilisé pour créer une relation d'approbation entre l'espace et le service Workspace ONE Access. Veillez à ce que l'espace puisse accéder à l'environnement Workspace ONE Access que vous utilisez, sur site ou sur le service de cloud, sur le port 443. Si vous utilisez le service de cloud de Workspace ONE Access, consultez également la liste des adresses IP du service Workspace ONE Access auxquelles Workspace ONE Access Connector et l'espace doivent avoir accès, dans l'article 2149884 de la base de connaissances de VMware.
VM JumpBox temporaire Machine virtuelle du gestionnaire 22 TCP Comme décrit dans la section Ports et protocoles requis par la machine virtuelle JumpBox de l'espace lors des déploiements et des mises à jour d'espace, une machine virtuelle JumpBox temporaire est utilisée lors des processus de déploiement et de mise à jour de l'espace. Même si les processus en cours ne requièrent pas ces ports, lors des processus de déploiement et de mise à jour de l'espace, la VM JumpBox doit communiquer avec la VM de gestionnaire de l'espace via SSH et le port 22 de la VM de gestionnaire. Pour plus d'informations sur les cas pour lesquels la machine virtuelle JumpBox a besoin d'établir cette communication, consultez la section Ports et protocoles requis par la machine virtuelle JumpBox de l'espace lors des déploiements et des mises à jour d'espace.

Le choix du mode de connexion de vos utilisateurs finaux détermine quels ports doivent être ouverts pour le trafic à partir des connexions des utilisateurs finaux pour accéder aux applications distantes et aux postes de travail virtuels provisionnés par l'espace :

Pour obtenir des informations détaillées sur les différentes instances d'Horizon Clients que vos utilisateurs finaux peuvent utiliser avec votre espace Horizon Cloud, reportez-vous à la page de documentation d'Horizon Client à l’adresse https://docs.vmware.com/fr/VMware-Horizon-Client/index.html.

Tableau 2. Ports et protocoles des connexions externes des utilisateurs finaux lorsque des instances externes d'Unified Access Gateway sont affectées à la configuration de l'espace
Source Cible Port Protocole Objectif
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 TCP Trafic d’authentification de connexion. Peut également effectuer le trafic de redirection de lecteur client (CDR), de redirection multimédia (MMR), de redirection USB et de RDP par tunnel.

Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Port 80 (accès HTTP) peut être utilisé dans certains cas. Consultez la rubrique Comprendre la redirection de contenu URL dans le Guide d'administration de VMware Horizon Cloud Service.

Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 4172 TCP

UDP

PCoIP via PCoIP Secure Gateway sur Unified Access Gateway
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 TCP Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données.
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 UDP Blast Extreme via Unified Access Gateway pour le trafic de données.
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 8443 UDP Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données (transport adaptatif).
Navigateur Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 TCP HTML Access
Tableau 3. Ports et protocoles des connexions internes des utilisateurs finaux lorsque des instances internes d'Unified Access Gateway sont affectées à la configuration de l'espace
Source Cible Port Protocole Objectif
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 TCP Trafic d’authentification de connexion. Peut également effectuer le trafic de redirection de lecteur client (CDR), de redirection multimédia (MMR), de redirection USB et de RDP par tunnel.

Le protocole SSL (accès HTTPS) est activé par défaut pour les connexions client. Port 80 (accès HTTP) peut être utilisé dans certains cas. Consultez la rubrique Comprendre la redirection de contenu URL dans le Guide d'administration de VMware Horizon Cloud Service.

Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 4172 TCP

UDP

PCoIP via PCoIP Secure Gateway sur Unified Access Gateway
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 TCP Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données.
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 UDP Blast Extreme via Unified Access Gateway pour le trafic de données.
Horizon Client Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 8443 UDP Blast Extreme via Blast Secure Gateway sur Unified Access Gateway pour le trafic de données (transport adaptatif).
Navigateur Équilibrage de charge Microsoft Azure pour ces instances d'Unified Access Gateway 443 TCP HTML Access
Tableau 4. Ports et protocoles des connexions internes des utilisateurs finaux lors de l'utilisation des connexions d'espace direct, via VPN par exemple
Source Cible Port Protocole Objectif
Horizon Client Machine virtuelle du gestionnaire 443 TCP Trafic d’authentification de connexion
Horizon Client Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 4172 TCP

UDP

PCoIP
Horizon Client Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 22443 TCP

UDP

Blast Extreme
Horizon Client Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 32111 TCP Redirection USB
Horizon Client Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 9427 TCP Redirection de lecteur client (CDR) et Redirection multimédia (MMR)
Navigateur Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 443 TCP HTML Access

Pour les connexions utilisant un espace configuré avec des instances d'Unified Access Gateway, le trafic doit être autorisé depuis des instances d'Unified Access Gateway de l'espace vers des cibles, comme décrit dans le tableau ci-dessous. Pendant le déploiement de l'espace, un groupe de sécurité réseau est créé dans votre environnement Microsoft Azure pour être utilisé par le logiciel d’Unified Access Gateway de l'espace.

Tableau 5. Conditions requises de ports pour le trafic depuis des instances d'Unified Access Gateway de l'espace
Source Cible Port Protocole Objectif
Unified Access Gateway Machine virtuelle du gestionnaire 443 TCP Trafic d’authentification de connexion
Unified Access Gateway Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 4172 TCP

UDP

PCoIP
Unified Access Gateway Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 22443 TCP

UDP

Blast Extreme

Par défaut, le trafic de redirection de lecteur client (CDR) et le trafic USB sont à canal latéral dans ce port lorsque Blast Extreme est utilisé. Si vous préférez plutôt, le trafic CDR peut être séparé sur le port TCP 9427 et le trafic de redirection USB peut être séparé sur le port TCP 32111.

Unified Access Gateway Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 9427 TCP Facultatif pour le trafic de redirection de lecteur client (CDR) et de redirection multimédia (MMR).
Unified Access Gateway Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 32111 TCP Facultatif pour le trafic de redirection USB.
Unified Access Gateway Votre instance RADIUS 1812 UDP Lorsque vous utilisez l'authentification à deux facteurs RADIUS avec cette configuration d'Unified Access Gateway. La valeur par défaut pour RADIUS s’affiche ici.

Les ports suivants doivent autoriser le trafic depuis le logiciel lié à Horizon Agent qui est installé dans les machines virtuelles de poste de travail et de serveur de batterie de serveurs.

Source Cible Port Protocole Objectif
Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs Machine virtuelle du gestionnaire 4001 TCP Java Message Service (JMS, non-SSL), utilisé par l'agent dans la machine virtuelle lorsque l'agent n'est pas encore couplé avec l'espace. L'agent communique avec l'espace pour obtenir les informations les informations nécessaires au couplage avec l'espace. Une fois l'agent couplé, il utilise le port 4002 pour communiquer avec l'espace.
Horizon Agent dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs Machine virtuelle du gestionnaire 4002 TCP Java Message Service (JMS, SSL), utilisé par l'agent pour communiquer avec l'espace lorsque l'agent est déjà couplé avec l'espace.
Agent FlexEngine (l'agent pour VMware Dynamic Environment Manager) dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs Partages de fichiers que vous configurez en vue d'une utilisation par l'agent FlexEngine qui s'exécute dans les machines virtuelles de poste de travail ou de serveur de batterie de serveurs 445 TCP Accès de l'agent FlexEngine à vos partages de fichiers SMB, si vous utilisez des capacités de VMware Dynamic Environment Manager.

Dans le cadre du processus de déploiement de l'espace, le système de déploiement crée des groupes de sécurité réseau (NSG, Network Security Groups) sur les interfaces réseau (cartes réseau) de toutes les machines virtuelles déployées. Pour plus d'informations sur les règles définies dans ces NSG, reportez-vous au Guide d'administration d'Horizon Cloud.

Note : Au lieu de répertorier les noms DNS, adresses IP, ports et protocoles dans un article de la Base de connaissances d'Horizon Cloud, nous les avons fournis ici dans la documentation de base d'Horizon Cloud.