Microsoft Azure クラウドにデプロイされた Horizon Cloud ポッドごとに、ポッドのリソース グループにはテンプレートとして機能するネットワーク セキュリティ グループ (NSG) も作成されます。このテンプレートを使用して、VDI デスクトップの割り当てによって提供される VDI デスクトップに必要となる可能性がある追加のポートを確実に開くことができます。

Microsoft Azure では、ネットワーク セキュリティ グループ (NSG) は Azure Virtual Network (VNet) に接続されたリソースへのネットワーク トラフィックを管理します。NSG は、そのネットワーク トラフィックを許可または拒否するセキュリティ ルールを定義します。NSG によるネットワーク トラフィックのフィルタ方法の詳細については、Microsoft Azure のドキュメントで「Filter network traffic with network security groups」のトピックを参照してください。

Horizon Cloud ポッドが Microsoft Azure にデプロイされると、vmw-hcs-podID-nsg-template という名前の NSG がポッドの vmw-hcs-podID という同じ名前のリソース グループに作成されます。podID はポッド ID です。ポッドの詳細ページ(Horizon Universal Console の [キャパシティ] ページからアクセスする)からポッドの ID を取得できます。

デフォルトでは:

  • Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンド ルールとアウトバウンド ルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、ユーザーまたはシステムが Microsoft Azure で NSG を作成すると、Microsoft Azure によって自動的に作成されるので、このドキュメントのトピックでは説明されません。これらのルールは Horizon Cloud によって作成されるものではありません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントの「デフォルトのセキュリティ ルール」トピックを参照してください。
  • Horizon Cloud ポッド デプロイヤは、ポッドのテンプレート NSG に次のインバウンド セキュリティ ルールを作成します。これらのデフォルトのインバウンド セキュリティ ルールは、Blast および PCoIP と USB のリダイレクトを使用して VDI デスクトップにアクセスするエンドユーザー クライアントをサポートします。
表 1. ポッドのテンプレート NSG で Horizon Cloud ポッド デプロイヤによって作成されたインバウンド セキュリティ ルール
優先順位 名前 ポート プロトコル ソース 送信先 アクション
1000 AllowBlastUdpIn 22443 UDP インターネット 任意 許可
1100 AllowBlastTcpIn 22443 TCP インターネット 任意 許可
1200 AllowPcoipTcpIn 4172 TCP インターネット 任意 許可
1300 AllowPcoipUdpIn 4172 UDP インターネット 任意 許可
1400 AllowTcpSideChannelIn 9427 TCP インターネット 任意 許可
1500 AllowUsbRedirectionIn 32111 TCP インターネット 任意 許可

このテンプレート NSG に加えて、VDI デスクトップ割り当てが作成されるときに、システムはテンプレート NSG をコピーすることによってその割り当てのデスクトップ プールの NSG を作成します。各 VDI デスクトップ割り当てのプールには、テンプレート NSG のコピーである独自の NSG があります。プールの NSG は、そのプールの VDI デスクトップ仮想マシン (VM) の NIC に割り当てられます。デフォルトでは、すべての VDI デスクトップ プールは、ポッドのテンプレート NSG で設定されているのと同じデフォルトのセキュリティ ルールを使用します。

テンプレート NSG と VDI デスクトップ割り当てごとの NSG の両方を変更できます。たとえば、追加のポートを開いておく必要があるアプリケーションが VDI デスクトップにある場合は、そのポートでネットワーク トラフィックを許可するように対応する VDI デスクトップ割り当てプールの NSG を変更します。同じポートを開く必要がある複数の VDI デスクトップ割り当てを作成する予定がある場合、テンプレート NSG をあらかじめ編集しておくと、VDI デスクトップ割り当ての作成が容易になります。

重要: 基本テンプレートを変更する計画の場合は、変更前にコピーを作成します。元のデフォルト設定に戻す必要がある場合に、コピーをバックアップとして使用することができます。