このページは、Horizon Cloud Service - next-gen の Microsoft Azure 環境の一般的な Horizon Cloud Service 内の通信に使用されるすべてのポートとプロトコルのリファレンスです。以下の表を使用して、ネットワーク構成とファイアウォールで正常なデプロイと日常操作に必要な通信トラフィックが可能になるようにします。
特定のデプロイに必要な特定のポートとプロトコルは、Microsoft Azure 環境のHorizon Cloud Serviceに使用する機能によって一部異なります。特定のコンポーネントまたはプロトコルを使用しない場合、その必要な通信トラフィックはユーザーの目的には不要であり、そのコンポーネントに関連付けられているポートは無視してもかまいません。たとえば、エンド ユーザーが Blast Extreme 表示プロトコルのみを使用する場合、PCoIP ポートの許可は必須ではありません。
Horizon Edge で必要なポートおよびプロトコル
Horizon インフラストラクチャの監視 を有効にすると、Horizon Edge がデプロイされ、関連付けられたサブスクリプションで構成されます。以下の表には、有効化プロセスの実行中に必要となるポートとプロトコルが記載されています。このプロセスでは、アプライアンスをデプロイし、アプライアンスがそれらのコンポーネントから設計に従って収集する監視データを収集できるようにマネージャ仮想マシンを構成します。またこの表には、設計に従って収集すべきデータを収集する定常状態の運用中に必要なポートとプロトコルも記載されています。
| ソース | ターゲット | ポート | プロトコル | 目的 |
|---|---|---|---|---|
| Horizon Edge | Unified Access Gateway 台の仮想マシン | 9443 | HTTPS | このポートは、Edge の Unified Access Gateway 構成の設定を構成するために、管理サブネット上の Edge 仮想マシンによって使用されます。このポート要件は、Unified Access Gateway 構成を最初にデプロイする場合、および Edge を編集して Unified Access Gateway 構成を追加する場合、またはその Unified Access Gateway 構成を更新する場合に適用されます。また、Unified Access Gateway からのセッション統計情報を監視する場合にも適用されます。 |
| Horizon Edge | ドメイン コントローラ | Kerberos:88 LDAP:389、3268 LDAPS:636、3269 |
TCP UDP |
Horizon Cloud NextGen をドメインに登録し、SSO ログインとドメイン コントローラの定期的な検出を行います。 LDAP/LDAPS がそのワークフローで指定される場合、これらのポートは LDAP または LDAPS サービスに必要です。LDAP は、ほとんどのテナントでデフォルトです。 ターゲットは、Active Directory 構成内のドメイン コントローラのロールが含まれているサーバです。 |
| Horizon Edge | AD 証明書サービス | 135 および 49152 ~ 65535 の範囲内のポート | RPC/TCP | Microsoft Enterprise Certificate Authority (AD CS) に接続して、True SSO の一時的な証明書を取得します。Horizon Edge は、最初の RPC 通信に TCP ポート 135 を使用し、次に 49152 ~ 65535 の範囲内のポートを使用して AD CS (Active Directory Certificate Services) と通信します。 |
| Horizon Edge | DNS サーバ | 53 および 853 | TCP UDP |
DNS サービス。 |
| Horizon Edge | *.file.core.windows.net | 445 | TCP | パッケージをインポートし、ファイル共有間でパッケージをレプリケートする App Volumes ワークフロー用にプロビジョニングされたファイル共有へのアクセス。 |
| Horizon Edge |
|
443 | TCP | Azure BLOB ストレージへのプログラム アクセス、および必要に応じて Horizon Edge ログをアップロードするために使用されます。 Docker イメージをダウンロードして、監視、SSO、UAG の更新などに役立つ必要な Horizon Edge モジュールを作成するために使用されます。 |
| Horizon Edge | horizonedgeprod.azurecr.io | 443 | TCP | Docker イメージをダウンロードして、監視、SSO、UAG の更新などに役立つ必要な Horizon Edge モジュールを作成する際の認証に使用されます。 |
| Horizon Edge | *.azure-devices.net | 443 | TCP | クラウド制御プレーンとの通信、アプライアンスのモジュールの構成のダウンロード、アプライアンスのモジュールのランタイム ステータスの更新に使用されるアプライアンス。現在の具体的なエンドポイントは次のとおりです。 北米:
ヨーロッパ:
日本:
|
| Horizon Edge | vmwareprod.wavefront.com | 443 | TCP | Wavefront による Observability をVMware Tanzuに操作メトリックを送信するために使用されます。VMware のオペレータは、お客様をサポートするためのデータを受け取ります。 Tanzu Observability はストリーミング分析プラットフォームです。データを Tanzu Observability に送信し、カスタム ダッシュボードでデータを表示および操作できます。VMware Tanzu Observability by Wavefront のドキュメントを参照してください。 |
| Horizon Edge | *.data.vmwservices.com | 443 | TCP | イベントまたはメトリックを Workspace ONE Intelligence に送信してデータを監視します。 Workspace ONE Intelligenceを参照してください。 現在の具体的なエンドポイントは次のとおりです。
|
| Horizon Edge | login.microsoftonline.com | 443 | TCP | 一般的に Microsoft Azure サービスに対して認証を行うためにアプリケーションによって使用されます。 |
| Horizon Edge | management.azure.com | 443 | TCP | Microsoft Azure Resource Manager エンドポイントへの Edge API リクエストで、Microsoft Azure Resource Manager サービスを使用するために使用されます。Microsoft Azure Resource Manager は、Azure PowerShell、Azure CLI、Azure ポータル、REST API、およびクライアント SDK を通じてタスクを実行するための一貫した管理レイヤーを提供します。 |
| Horizon Edge | *.horizon.vmware.com リージョン固有 US
EU
JP
|
443 | TCP | クラウド制御プレーンとの通信および Day 2 運用に使用されるアプライアンス。 |
| Horizon Edge | NTP サーバ | 123 | UDP | NTP サービス |
Unified Access Gateway 仮想マシンのポートとプロトコルの要件
上記の表に記載されたプライマリ ポートとプロトコルの要件に加え、以下の表のポートとプロトコルは、デプロイ後の継続的な運用のために動作するように構成したゲートウェイに関連しています。
Unified Access Gateway インスタンスで構成されている接続では、Unified Access Gateway インスタンスから以下の表に記載されているターゲットへのトラフィックを許可する必要があります。
| ソース | ターゲット | ポート | プロトコル | 目的 |
|---|---|---|---|---|
| Unified Access Gateway | *.horizon.vmware.com | DMZ ネットワーク上の 53 または 443 | TCP UDP |
Unified Access Gateway は、これらのアドレスをいつでも解決できる必要があります。解決できない場合、ユーザーはセッションを起動できません。これは、Unified Access Gateway が次の場所から JWK セットを取得するためです。 cloud-sg-<region>-r-<DC>.horizon.vmware.com 現在の具体的なエンドポイントは次のとおりです。
|
| Unified Access Gateway | デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent | 22443 | TCP UDP |
Blast Extreme デフォルトでは、Blast Extreme を使用する場合、クライアント ドライブ リダイレクト (CDR) トラフィックおよび USB トラフィックはこのポート内でサイド チャネルされます。好みに応じて、CDR トラフィックは TCP 9427 ポート上で、USB リダイレクト トラフィックは TCP 32111 ポート上で分離できます。 |
| Unified Access Gateway | デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent | 9427 | TCP | CDR とマルチ メディア リダイレクト (MMR) トラフィックでは省略できます。 |
| Unified Access Gateway | デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent | 32111 | TCP | USB リダイレクト トラフィックでは省略できます。 |
| Unified Access Gateway | time.google.com | 123 | UDP | NTP サービス |
| Unified Access Gateway | *.blob.core.windows.net *.blob.storage.azure.net | 443 | TCP | Azure BLOB ストレージへのプログラム アクセス、および必要に応じて Unified Access Gateway ログをアップロードするために使用されます。 |
App Volumes のポートとプロトコル
Microsoft Azure の Horizon Cloud Service で使用する App Volumes 機能をサポートするには、テナント(デスクトップ)サブネットへの TCP プロトコル トラフィック用にポート 445 を構成する必要があります。ポート 445 は、Microsoft Windows の SMB ファイル共有にアクセスするための標準の SMB ポートです。AppStack は、ポッド マネージャ仮想マシンと同じリソース グループにある SMB ファイル共有に保存されます。
| ソース | ターゲット | ポート | プロトコル | 目的 |
|---|---|---|---|---|
| ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent | *.file.core.windows.net | 445 | TCP | VDI マシン上の App Volumes アプリケーションの仮想化と VDI マシン上のアプリケーション パッケージのキャプチャは、ファイル共有へのアクセスに依存します。 |
VDI ポートおよびプロトコルの要件
次の表に、環境で構成されたデスクトップ(VDI またはテナント)サブネットに必要なポートとプロトコルを示します。
| ソース | ターゲット | ポート | プロトコル | 目的 |
|---|---|---|---|---|
| デスクトップ(テナント)サブネット | *.horizon.vmware.com | 443 | TCP MQTT | エージェント関連の操作(たとえば、仮想マシン ハブを使用した証明書の署名や更新など)用。現在の具体的なエンドポイントは次のとおりです。 US:
EU:
JP:
|
| デスクトップ(テナント)サブネット | ドメイン コントローラ | 88 | TCP UDP |
Kerberos サービス。ターゲットは、Active Directory 構成内のドメイン コントローラのロールが含まれているサーバです。Active Directory への Edge の登録が必要です。 |
| デスクトップ(テナント)サブネット | ドメイン コントローラ | Kerberos:88 LDAP:389、3268 LDAPS:636、3269 |
TCP UDP |
これらのポートは、仮想マシンからドメイン コントローラへの接続のための LDAP または LDAPS サービスに必要です。VDI がドメイン コントローラにアクセスできない場合、セッションを起動できません。 |
| デスクトップ(テナント)サブネット | DNS サーバ | 53 および 853 | TCP UDP |
DNS サービス |
| デスクトップ(テナント)サブネット | NTP サーバ | 123 | UDP | NTP サービス |
| デスクトップ(テナント)サブネット | *.blob.core.windows.net | 443 | TCP | DCT ログ バンドルのアップロード。顧客管理者が要求の処理後に任意の仮想マシンの DCT ログ収集をクリックすると、バンドルが VDI から BLOB にアップロードされ、そのバンドルが Horizon Universal Console からダウンロードできるようになります。 |
| デスクトップ(テナント)サブネット | Horizon Edge | 31883 | TCP MQTT UDP |
仮想マシンで実行されている Horizon Agent から Edge で実行されている MQTT へ。 |
| デスクトップ(テナント)サブネット | Horizon Edge | 32443 | TCP | Microsoft Azure Edge の形式が Edge Gateway (VM) の場合のシングル サインオン。 |
| デスクトップ(テナント)サブネット | Horizon Edge | 443 | TCP | Microsoft Azure Edge の形式が Edge Gateway (AKS) の場合のシングル サインオン。 |
| デスクトップ(テナント)サブネットと管理サブネット | softwareupdate.vmware.com | 443 | TCP | VMware ソフトウェア パッケージ サーバ。システムのイメージに関連する操作および自動化されたエージェント更新プロセスで使用されているエージェントに関連するソフトウェアの更新をダウンロードするために使用します。 |
| デスクトップ(テナント)サブネット | プライベート リンク エンドポイント | 443 | TCP | クラウド制御プレーンの接続サービスへのデスクトップ接続。 |
| デスクトップ(テナント)サブネットと管理サブネット | AD 証明書サービス | 135、445 および 49152 ~ 65535 の範囲内のポート | RPC/TCP | デスクトップをドメインに追加する。 |
エンドユーザーの接続トラフィックのポートとプロトコルの要件
エンド ユーザーが Horizon Edge 仮想アプライアンス で使用する可能性のあるさまざまな Horizon Client の詳細については、https://docs.vmware.com/jp/VMware-Horizon-Client/index.html にある Horizon Client のドキュメント ページを参照してください。エンド ユーザーの接続によるトラフィックで、仮想デスクトップおよびリモート アプリケーションにアクセスするためにどのポートが開かれていなければならないかは、エンド ユーザーが接続する方法に関する選択内容によって異なります。
| ソース | ターゲット | ポート | プロトコル | 目的 |
|---|---|---|---|---|
| Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | CDR、MMR、USB リダイレクト、およびトンネリングされた RDP トラフィックを伝送します。 SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効にされています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。 |
| Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 8443 または 443 | TCP | Horizon Client からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway 経由の Blast Extreme。 |
| Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | UDP | データ トラフィック用の Unified Access Gateway 経由の Blast Extreme。 |
| Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 8443 | UDP | データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway 経由の Blast Extreme(アダプティブ トランスポート)。 |
| ブラウザ | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | CDR、MMR、USB リダイレクト、およびトンネリングされた RDP トラフィックを伝送します。 SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効にされています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。 |
| ブラウザ | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 8443 または 443 | TCP | Horizon HTML Access クライアント(Web クライアント)からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway 経由の Blast Extreme。 |
| Horizon Client/ブラウザ | *.horizon.vmware.com | 443 | TCP | ログインして起動アイテムを一覧表示した後、ユーザーがクリックしてデスクトップを起動すると、Unified Access Gateway へのプロトコル トラフィックのリダイレクトは、オンボーディング時に選択したユーザーの組織の場所に基づいて、これらの URL のいずれかから実行されます。現在の具体的なエンドポイントは次のとおりです。
|
