Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にする

次の表に記載された目的は、Horizon Edge 環境のコンテキストを想定しています。

管理サブネットの URL を許可し、URL アクセスを確認する

サイトの場所とニーズに応じて適切な URL およびワイルドカードサブドメインを許可するには、次のタスクを実行します。

次の表の URL およびワイルドカードサブドメインを許可します。たとえば、ファイアウォールおよびネットワークセキュリティグループの許可リストに URL とワイルドカードサブドメインを追加します。
次のように SSL ディープパケットインスペクションをバイパスします。
- 次の表の URL およびワイルドカードサブドメインのファイアウォール。
- プロキシサーバ（該当する場合）。
  Horizon Edge Gateway がプロキシサーバを介して Horizon Agent に接続されている場合は、次の表の URL とワイルドカードサブドメインに対してプロキシサーバの SSL ディープパケットインスペクションをバイパスします。


ターゲット (DNS 名)	ポート	プロトコル	プロキシトラフィック（デプロイで構成されている場合）	目的
*.blob.core.windows.net	443	TCP	はい	Azure Blob Storage へのプログラムアクセス、および必要に応じて Horizon Edge ログをアップロードするために使用されます。 Docker イメージをダウンロードして、監視、SSO、UAG の更新などに役立つ必要な Horizon Edge モジュールを作成するために使用されます。
horizonedgeprod.azurecr.io	443	TCP	はい	Docker イメージをダウンロードして、監視、SSO、UAG の更新などに役立つ必要な Horizon Edge モジュールを作成する際の認証に使用されます。
*.azure-devices.net、またはテナントアカウントに適用されるリージョン別制御プレーンに対応した、以下のリージョン固有の名前のいずれか。北米： edgehubprodna.azure-devices.net ヨーロッパ： edgehubprodeu.azure-devices.net 日本： edgehubprodjp.azure-devices.net	443 / TCP	TCP	はい	アプライアンスを Horizon Cloud 制御プレーンに接続し、アプライアンスのモジュールの構成をダウンロードし、アプライアンスのモジュールのランタイムステータスを更新するために使用されます。
vmwareprod.wavefront.com	443	TCP	はい	Tanzu Observability by Wavefront に操作メトリックを送信するために使用されます。VMware のオペレータは、お客様をサポートするためのデータを受け取ります。 Tanzu Observability はストリーミング分析プラットフォームです。データを Tanzu Observability に送信し、カスタムダッシュボードでデータを表示および操作できます。Tanzu Observability by Wavefront のドキュメントを参照してください。
*.data.vmwservices.com、またはテナントアカウントに適用されるリージョン別 Workspace ONE Intelligence ターゲットに対応した、以下のリージョン固有の名前のいずれか。 eventproxy.na1.data.vmwservices.com eventproxy.eu1.data.vmwservices.com eventproxy.eu2.data.vmwservices.com eventproxy.uk1.data.vmwservices.com eventproxy.ca1.data.vmwservices.com eventproxy.ap1.data.vmwservices.com eventproxy.au1.data.vmwservices.com eventproxy.in1.data.vmwservices.com	443	TCP	はい	イベントまたはメトリックを Workspace ONE Intelligence に送信するために使用されます。 Workspace ONE Intelligenceを参照してください。
ファイアウォールまたはネットワークセキュリティグループ (NSG) でサービスタグの使用がサポートされている場合は、Azure サービスタグ AzureCloud を適用します。ファイアウォールまたは NSG がサービスタグの使用をサポートしていない場合は、ホスト名 `monitor.horizon.vmware.com` を使用します。	1514 および 1515	TCP	いいえ	システム監視に使用されます。
azcopyvnext.azureedge.net	443	TCP	はい	トラブルシューティングの目的で Azure Blob Storage にデプロイログをアップロードするために使用されます。
management.azure.com login.microsoftonline.com mcr.microsoft.com *.data.mcr.microsoft.com packages.microsoft.com acs-mirror.azureedge.net	443	HTTPS	はい	Horizon Edge Gateway の Microsoft コンポーネントにパッチを適用するために使用されます。
time.google.com	123	UDP	はい	時間の同期のために使用されます。
security.ubuntu.com azure.archive.ubuntu.com changelogs.ubuntu.com motd.ubuntu.com	80	HTTP	はい	Ubuntu コンポーネントのパッチ適用に使用されます。
*.file.core.windows.net	445	TCP	いいえ	パッケージをインポートし、ファイル共有間でパッケージをレプリケートするワークフロー用にプロビジョニングされたファイル共有へのアクセス。
softwareupdate.vmware.com	443	TCP	はい	ソフトウェアパッケージサーバ。システムのイメージに関連する操作および自動化されたエージェント更新プロセスで使用されているエージェントに関連するソフトウェアの更新をダウンロードするために使用します。

管理サブネットの URL がアクセス可能であるかを判断する

Horizon Cloud Service - next-gen Edge サブネット URL チェッカーツールは、「[ユーティリティ] ページ」の TechZone で使用できます。関連情報は、Techzone ページ「Horizon 8 環境向け Horizon Edge Gateway のデプロイ」で確認できます。

このツールは、.exe ファイルとして提供されます。Horizon Edge が存在するネットワーク上の Windows 10 ベース以降の仮想マシンで Horizon Cloud Service - next-gen の Edge サブネット URL チェッカーツールをダウンロードして使用するには、次の手順を実行します。

Horizon Cloud Service - next-gen Edge サブネット URL チェッカーを、Horizon Edge ネットワークにデプロイされた Windows 仮想マシンにダウンロードします。
ファイルをダブルクリックして実行ファイルを実行します。
ダイアログボックスが表示されます。
[はい] をクリックします。
出力フォルダを C:/VMwareURLCheckerOutput/ で開きます。
このフォルダには、各リージョン別の制御プレーンの出力ファイルが含まれています。
Horizon Edge をデプロイするリージョンの出力ファイルを開き、必要な URL にアクセスできるかどうかを判断します。
次の詳細が当てはまります。
- ファイルには、管理サブネットのために必要な URL のステータスが表示されます。
- 各 URL の想定されるステータスは、アクセス可能です。
- URL のステータスが「到達不能」の場合は、エラーメッセージを確認し、問題のブロックを解除するために必要な変更を加えます。
目的のリージョン内の全ドメインのステータスがアクセス可能になるまで、必要に応じて実行ファイルを再実行します。

テナント（デスクトップ）サブネットの URL の許可 - グローバル仮想マシンハブ DNS ホスト名

グローバル仮想マシンハブインスタンスを使用することがサイトのニーズに合っている場合、Horizon Edge Gateway をデプロイするときに、次の URL とその設定を許可します。


ターゲット (DNS 名)	ポート	プロトコル	目的
*.horizon.vmware.com	443	TCP	エージェント関連の操作（たとえば、仮想マシンハブを使用した証明書の署名や更新など）用。

テナント（デスクトップ）サブネットの URL の許可 - リージョン別の仮想マシンハブ DNS ホスト名

リージョン別の仮想マシンハブインスタンスを使用することがサイトのニーズに合っている場合、指定されたリージョンに Horizon Edge Gateway をデプロイするときに、指定された 2 つの対応する URL を使用します。

各リージョンの仮想マシンハブインスタンスのポート、プロトコル、および目的は、グローバル仮想マシンハブインスタンスと一致します。


ポート	443
プロトコル	TCP
目的	エージェント関連の操作（たとえば、仮想マシンハブを使用した証明書の署名や更新など）用。


次の Azure リージョンの場合	次のターゲット（DNS 名）URL を許可
westus2 westus westus3 westcentralus centralus	cloud-sg-us-r-westus2.horizon.vmware.com cloud-sg-us-r-westus2-mqtt.horizon.vmware.com
eastus2 eastus southcentralus northcentralus canadacentral canadaeast brazilsouth brazilsoutheast usgovvirginia	cloud-sg-us-r-eastus2.horizon.vmware.com cloud-sg-us-r-eastus2-mqtt.horizon.vmware.com
northeurope norwaywest norwayeast uaecentral uaenorth uksouth ukwest westeurope	cloud-sg-eu-r-northeurope.horizon.vmware.com cloud-sg-eu-r-northeurope-mqtt.horizon.vmware.com
germanywestcentral germanynorth swedencentral swedensouth francecentral francesouth switzerlandnorth switzerlandwest	cloud-sg-eu-r-germanywestcentral.horizon.vmware.com cloud-sg-eu-r-germanywestcentral-mqtt.horizon.vmware.com
japanwest japaneast	cloud-sg-jp-r-japaneast.horizon.vmware.com cloud-sg-jp-r-japaneast-mqtt.horizon.vmware.com
australiaeast australiacentral australiacentral2 australiasoutheast	cloud-sg-jp-r-australiaeast.horizon.vmware.com cloud-sg-jp-r-australiaeast-mqtt.horizon.vmware.com
centralindia jioindiawest jioindiacentral southindia westindia	cloud-sg-jp-r-centralindia.horizon.vmware.com cloud-sg-jp-r-centralindia-mqtt.horizon.vmware.com

プロキシの有効化の URL を許可する

プロキシサーバを使用して環境からのトラフィックフローを制御する場合は、必要なポートを開き、Horizon Edge Gateway がプロキシサーバにアクセスできるようにします。Microsoft Azure Edge の形式が Edge Gateway (AKS) の場合は、「Azure Kubernetes サービス (AKS) クラスタの送信ネットワークと FQDN ルール」を参照してください。

管理サブネットの URL を許可し、URL アクセスを確認する

管理サブネットの URL がアクセス可能であるかを判断する

テナント（デスクトップ）サブネットの URL の許可 - グローバル 仮想マシン ハブ DNS ホスト名

テナント（デスクトップ）サブネットの URL の許可 - リージョン別の 仮想マシン ハブ DNS ホスト名

プロキシの有効化の URL を許可する

テナント（デスクトップ）サブネットの URL の許可 - グローバル仮想マシンハブ DNS ホスト名

テナント（デスクトップ）サブネットの URL の許可 - リージョン別の仮想マシンハブ DNS ホスト名