Horizon Cloud Service - next-gen を使用して Microsoft Azure サブスクリプションに Horizon Edge と Unified Access Gateway を作成すると、いくつかのデフォルトのネットワーク セキュリティ グループが作成されます。これらのセキュリティ グループは、Microsoft Azure ポータルにログインしたときに表示され、指定されたとおりに維持する必要があります。
Microsoft Azure への Horizon Edge および Unified Access Gateway のデプロイの一環として、自動デプロイ プロセスは一連のネットワーク セキュリティ グループ (NSG) を作成し、それぞれの NSG を VMware によって制御される Horizon Edge および Unified Access Gateway 仮想マシンにある特定の個別のネットワーク インターフェイス (NIC) に関連付けます。このような Edge および UAG 関連の仮想マシンは、Edge Gateway の仮想マシンと、Edge が Unified Access Gateway で構成されている場合にデプロイされる仮想マシンです。
概要
Horizon Cloud Service - next-gen で、Edge デプロイヤは、Edge の設計とアーキテクチャに従って、適切なデプロイヤによって作成された NSG を適切な NIC に関連付けます。これらの NSG は NIC レベルで使用され、管理される特定のアプライアンス上の各 NIC が、NIC に接続されたサブネット上で標準のサービスおよび Edge 操作に対して管理されるアプライアンスが受信すべきトラフィックを受信し、アプライアンスが受信する必要のないすべてのトラフィックをブロックできるようにします。各 NSG には、各 NIC との間で許可されるトラフィックを定義する一連のセキュリティ ルールが含まれています。
ここで説明するデプロイヤによって作成された NSG は、Horizon Universal Console を使用して作成するときに Edge によってプロビジョニングされるベース仮想マシン、ファーム、および VDI デスクトップに使用される NSG とは異なります。
Horizon Cloud Service - next-gen によって作成された NSG とその内部のルールは、それらが接続されている特定の NIC および仮想マシンに固有であり、それらの NIC および仮想マシンの目的のために明示的に使用されます。これらの NSG またはルールに変更を加えたり、それらを他の目的に使用しようとすると、それらの NIC が接続されている同じサブネット上であっても、接続された NIC との間で必要なネットワーク トラフィックが中断される可能性が高くなります。その中断により、すべての Edge 操作が中断する可能性があります。これらの NSG のライフサイクルは Horizon Cloud Service - next-gen によって管理されており、それぞれに特定の理由があります。
これらのデプロイヤで作成された NSG はサービスの構成要件であるため、それらを変更または移動しようとすると Horizon Cloud Service - next-gen のサポートされていない使用および提供サービスの誤用と見なされます。
ただし、Edge の仮想マシン用に Horizon Cloud Service - next-gen によって自動作成および管理される Edge のリソース グループ外のリソース グループには、組織の独自のルールを含む独自の NSG を作成することができます。独自の NSG のルールは、Edge の仮想マシンの管理と操作に関する Horizon Cloud Service - next-gen の要件と競合しないようにする必要があります。このような NSG は、Edge で使用される管理サブネット、テナント サブネット、および DMZ サブネットに接続する必要があります。Horizon Cloud Service - next-gen によって管理されるリソース グループ内に独自の NSG を作成すると、それらのリソース グループの NSG が別のリソース グループにあるリソースに関連付けられている場合、Horizon Cloud Service - next-gen 管理対象リソース グループでの削除アクション中にエラーが発生します。
Microsoft Azure ドキュメントで説明するように、ネットワーク セキュリティ グループ (NSG) の目的は、セキュリティ ルールを使用して Microsoft Azure 環境のリソースとの間のネットワーク トラフィックをフィルタリングすることです。各ルールには、NSG が関連付けられているリソースに許可されるトラフィックを決定する、送信元、宛先、ポート、プロトコルなどの一連のプロパティがあります。Horizon Cloud Service - next-gen が自動的に作成し、制御される Edge 仮想マシンの NIC と関連付ける NSG には、Horizon Cloud Service - next-gen が、サービスの Edge の管理、進行中の Edge 操作の正しい実行、および Edge のライフサイクルの管理に必要と判断した特定のルールが含まれています。一般的に、これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud Service - next-gen サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部である Edge 操作のポート トラフィックを提供することを目的としています。詳細については、「Horizon 8 Edge をデプロイするためのポートとプロトコルの要件」を参照してください。
以下のセクションでは、これらのデプロイヤで作成された NSG で Horizon Cloud Service - next-gen が定義する NSG ルールが一覧表示されています。
デプロイヤが作成した NSG に関する一般的な事実
このリストは、デプロイヤが Edge 関連仮想マシン上の特定の NIC に関連付ける、デプロイヤによって作成されたすべての NSG に適用されます。
- これらの自動的に作成された NSG は、制御されたソフトウェア アプライアンスのセキュリティを確保するための NSG です。新しいソフトウェアがサブスクリプションに追加され、追加のルールが必要になると、これらの新しいルールがこれらの NSG に追加されます。
- Microsoft Azure ポータルの Unified Access Gateway では、NSG の名前にパターン
vmw-hcs-UUIDが含まれています。ここで UUID は Edge の識別子です。ただし、専用の VNet にデプロイされる外部ゲートウェイ構成用の NSG は除きます。その場合、ゲートウェイに関連する NSG の名前にはパターンvmw-hcs-IDが含まれています。ここで ID はその外部ゲートウェイのデプロイ ID です。注: 外部ゲートウェイ構成が別のサブスクリプションにデプロイされるシナリオで、そのサブスクリプションで事前に作成した既存のリソース グループにデプロイするオプションが使用される場合、ゲートウェイ コネクタの仮想マシンの管理 NIC の NSG には、vmw-hcs-UUIDパターンの代わりにリソース グループの名前に基づいたパターンで名前が付けられます。たとえば、そのリソース グループにhcsgatewaysという名前を付けた場合、そのリソース グループで Horizon Cloud Service - next-gen はhcsgateways-mgmt-nsgという名前の NSG を作成し、その NSG をゲートウェイ コネクタ仮想マシンの管理 NIC に関連付けます。Horizon Edge Gateway の場合、NSG には名前付けパターン
aks-agentpool-ID-nsgがあります。IDは Microsoft Azure によって追加されたランダムな数字で、NSG は名前付けパターンvmw-hcs-UUID-edge-aks-nodeを持つリソース グループの一部です。ここで、UUIDは Edge 識別子です。これらの識別子を見つけるには、管理コンソールの [キャパシティ] ページから Edge の詳細に移動します。
注: Edge の外部 Unified Access Gateway でカスタム リソース グループを使用することを選択した場合、ゲートウェイ コネクタ仮想マシンのデプロイヤによって作成された NSG の名前には、パターンvmw-hcs-IDの代わりにそのカスタム リソース グループの名前が含まれます。たとえば、Edge の外部ゲートウェイにourhcspodgatewayという名前のカスタム リソース グループを使用することを指定した場合、デプロイヤが作成してゲートウェイ仮想マシンの NIC に関連付ける NSG の名前はourhcspodgateway-mgmt-nsgになります。 - NSG は、関連付けられている仮想マシンおよび NIC と同じリソース グループにあります。たとえば、外部ゲートウェイが Edge の VNet にデプロイされ、デプロイヤによって作成されたリソース グループを使用している場合、外部 Unified Access Gateway 仮想マシンの NIC に関連付けられている NSG は、
vmw-hcs-UUID-uagというリソース グループにあります。 - Horizon Cloud では、サービスの保守性を維持するために、必要に応じて新しいルールが追加されたり、既存のルールが変更されたりすることがあります。
- Edge の更新中、NSG とルールは保持されます。それらは削除されません。
- Horizon Cloud Service - next-gen ルールは優先度 1000 から始まり、優先度は通常 100 単位で増えます。Horizon Cloud Service - next-gen ルールは、優先度 3000 のルールで終了します。
- Microsoft Azure ドキュメントのトピック「IP アドレス 168.63.129.16 について」で説明するとおり、送信元 IP アドレス 168.63.129.16 に対する
AllowAzureInBoundルールによって、NSG は Microsoft Azure プラットフォームからの受信通信を受け付けます。Edge に関連するすべての仮想マシンは、Microsoft Azure の仮想マシンです。その Microsoft Azure ドキュメントのトピックで説明されているように、IP アドレス 168.63.129.16 は、Microsoft Azure クラウド プラットフォームがクラウド内のすべての仮想マシンに対して実行するさまざまな仮想マシン管理タスクを容易にします。例として、この IP アドレスを使用すると、仮想マシン内にある仮想マシン エージェントが Microsoft Azure プラットフォームと通信して、仮想マシンが準備完了状態にあることを簡単に通知できます。 - Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンド ルールとアウトバウンド ルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、Microsoft Azure によって自動的に作成されるため、このドキュメント トピックでは説明しません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティ ルールトピックを参照してください。
- これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud Service - next-gen サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部である Edge 操作のポート トラフィックを提供することを目的としています。詳細については、「Horizon 8 Edge をデプロイするためのポートとプロトコルの要件」を参照してください。
- Edge を編集してファームおよび VDI デスクトップ割り当てで使用するための追加のテナント サブネットを指定する場合、Edge Gateway 仮想マシンのテナント サブネットに関連する NSG と Unified Access Gateway 仮想マシンの NIC のルールが更新され、追加のテナント サブネットが含まれるようになります。
Edge Gateway AKS デプロイヤによって作成された NSG
Edge Gateway AKS には、各仮想マシン インスタンスが管理サブネットに 1 つの NIC を接続する仮想マシン (VM) スケール セットがあります。Microsoft Azure は、特定の NSG を自動的に作成し、仮想マシン スケール セット インスタンスに関連付けられているすべての NIC に関連付けます。
Edge Gateway 仮想マシン タイプの場合、現在 NSG は作成されていません。
Microsoft Azure 環境では、Edge AKS NSG は Edge の aks ノード リソース グループに配置されます。このリソース グループは、vmw-hcs-UUID-edge-aks-node パターンで名前が付けられます。
aks-agentpool-ID-nsg というパターンで名前が付けられます。ここで、
ID は Microsoft Azure によって割り当てられたランダムな数字です。
前述したように、Microsoft Azure は Microsoft Azure ドキュメントのトピック「デフォルトのセキュリティ ルール」で説明されているように、デフォルトで次の表に示すルールを作成します。
| 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetInBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | 許可 |
| 65001 | AllowAzureLoadBalancerInBound | 任意 | 任意 | AzureLoadBalancer | 任意 | 許可 |
| 65500 | DenyAllInbound | 任意 | 任意 | 任意 | 任意 | 拒否 |
| 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetOutBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | 許可 |
| 65001 | AllowInternetOutBound | 任意 | 任意 | 任意 | インターネット | 許可 |
| 65500 | DenyAllOutbound | 任意 | 任意 | 任意 | 任意 | 拒否 |
外部 Unified Access Gateway 仮想マシンのデプロイヤによって作成された NSG
外部 Unified Access Gateway 構成用の各仮想マシンには 3 つの NIC があり、それぞれ、管理サブネット、テナント サブネット、および DMZ サブネットに接続されています。デプロイヤは、これら 3 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。
- 管理 NIC には、名前が
vmw-hcs-ID-uag-management-nsgというパターンの NSG があります。 - テナント NIC には、名前が
vmw-hcs-ID-uag-tenant-nsgというパターンの NSG があります。 - DMZ NIC には、名前が
vmw-hcs-ID-uag-dmz-nsgというパターンの NSG があります。
Microsoft Azure 環境では、これらの NSG には、パターン vmw-hcs-ID-uag の名前が付けられます。ここで、ID は、コンソールの Edge の詳細ページに表示される Edge の ID です。ただし、外部ゲートウェイが Edge の VNet とは別の専用の VNet にデプロイされている場合を除きます。外部ゲートウェイが専用の VNet にデプロイされている場合、ID は、Edge の詳細ページに表示される [デプロイ ID] 値になります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理サブネット | 任意 | 許可 | サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。 |
| 受信 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1200 | AllowSshInBound | 22 | 任意 | 管理サブネット | 任意 | 許可 | トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには、事前にお客様の許可を得る必要があります。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | テナント サブネット | 任意 | 許可 | このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | テナント サブネット | 許可 | このルールは、Edge Gateway への新しいクライアント接続要求の目的で Edge Gateway 仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。 |
| 送信 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。 |
| 送信 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | テナント サブネット | 許可 | このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。 |
| 送信 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | テナント サブネット | 許可 | このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。 |
| 送信 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | テナント サブネット | 許可 | 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 80 443 |
TCP | インターネット | 任意 | 許可 | このルールは、Horizon Client および Horizon Web Client からの外部エンド ユーザーの受信トラフィックが Edge Gateway へのログイン認証要求を要求することを提供します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。 |
| 受信 | 1100 | AllowBlastInBound | 443 8443 |
任意 | インターネット | 任意 | 許可 | このルールは、外部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1200 | AllowPcoipInBound | 4172 | 任意 | インターネット | 任意 | 許可 | このルールは、外部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1300 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
内部 Unified Access Gateway 仮想マシンのデプロイヤによって作成された NSG
内部 Unified Access Gateway 構成用の各仮想マシンには 2 つの NIC があり、それぞれ、管理サブネットおよびテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。
- 管理 NIC には、名前が
vmw-hcs-podUUID-uag-management-nsgというパターンの NSG があります。 - テナント NIC には、名前が
vmw-hcs-podUUID-uag-tenant-nsgというパターンの NSG があります。
Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID-uag-internal というパターンの Edge のリソース グループにあります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理サブネット | 任意 | 許可 | サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。 |
| 受信 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1200 | AllowSshInBound | 22 | 任意 | 管理サブネット | 任意 | 任意 | トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには、事前にお客様の許可を得る必要があります。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任意 | 許可 | このルールは、Horizon Client および Horizon Web Client からの内部エンド ユーザーの受信トラフィックが Edge Gateway へのログイン認証要求を要求するために提供されます。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。 |
| 受信 | 1200 | AllowBlastInBound | 443 8443 |
任意 | VirtualNetwork | 任意 | 許可 | このルールは、内部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1300 | AllowPcoipInBound | 4172 | 任意 | VirtualNetwork | 任意 | 許可 | このルールは、内部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | テナント サブネット | 任意 | 許可 | このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | テナント サブネット | 許可 | このルールは、Edge への新しいクライアント接続要求の目的で Edge Gateway 仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。 |
| 送信 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。 |
| 送信 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | テナント サブネット | 許可 | このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。 |
| 送信 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | テナント サブネット | 許可 | このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。 |
| 送信 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | テナント サブネット | 許可 | 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
