このドキュメント トピックの目的は、第 1 世代の Horizon Cloud 環境を使用して Microsoft Azure サブスクリプションにポッドを作成し、続いて Microsoft Azure ポータルにログインしてポッド デプロイヤが何を作成しているかを確認したときに表示される内容を説明することです。Microsoft Azure へのポッドのデプロイの一環として、自動デプロイ プロセスは一連のネットワーク セキュリティ グループ (NSG) を作成し、それぞれを VMware によって制御されるポッド関連の各仮想マシンにある特定の個別のネットワーク インターフェイス (NIC) に関連付けます。このようなポッド関連の仮想マシンとは、ポッドのマネージャ仮想マシン、およびポッドが Unified Access Gateway で構成されるときにデプロイされる仮想マシンです。
このページを読む前に
このページを読む前に、以下の点を考慮してください。
2022 年 8 月の時点で、Horizon Cloud Service - next-gen は一般公開され、独自の『Horizon 制御プレーン next-gen の使用』ガイドを入手できます。
次世代と第 1 世代のどちらの環境を使用しているかは、環境にログインし、Horizon Universal Console ラベルに表示されるブラウザの URL フィールドのパターンで確認することができます。次世代環境の場合、コンソールの URL アドレスには /hcsadmin/ のような部分が含まれます。第 1 世代コンソールの URL の場合は、異なるセクション (/horizonadmin/) があります。
概要
ポッド デプロイヤは、ポッドに対する VMware の設計とアーキテクチャに従って、デプロイヤが作成した適切な NSG を適切な NIC に関連付けます。これらの NSG は NIC レベルで使用され、VMware によって管理される特定のアプライアンス上の各 NIC が、NIC に接続されたサブネット上で標準のサービスおよびポッド操作に対して VMware によって管理されるアプライアンスが受信すべきトラフィックを受信し、アプライアンスが受信する必要のないすべてのトラフィックをブロックできるようにします。各 NSG には、各 NIC との間で許可されるトラフィックを定義する一連のセキュリティ ルールが含まれています。
ここで説明する NSG は、Horizon Universal Console を使用して作成するときにポッドによってプロビジョニングされるベース仮想マシン、ファーム、および VDI デスクトップに使用される NSG とは異なります。これらの NSG には、異なる使用情報があります。これらの NSG については、以下のトピックを参照してください。
- Horizon Cloud の [Marketplace からの仮想マシンのインポート] ウィザードによって作成されたネットワーク セキュリティ グループ (NSG)
- Horizon Cloud ポッド内のネットワーク セキュリティ グループとファームについて
- Horizon Cloud ポッド内のネットワーク セキュリティ グループと VDI デスクトップについて
- これらの NSG または NSG ルールを Horizon Cloud で使用されるサブネットにコピーまたは移動する
- これらの NSG または NSG ルールを、ポッド仮想マシンに関連付けられている NIC 間でコピーまたは移動する。
Horizon Cloud によって作成された NSG とその内部のルールは、それらが接続されている特定の NIC および仮想マシンに固有であり、それらの NIC および仮想マシンの目的のために明示的に使用されます。これらの NSG またはルールに変更を加えたり、それらを他の目的に使用しようとすると、それらの NIC が接続されている同じサブネット上であっても、接続された NIC との間で必要なネットワーク トラフィックが中断される可能性が高くなります。この中断によって、すべてのポッド操作が中断する可能性があります。これらの NSG のライフサイクルは Horizon Cloud によって管理されており、それぞれに特定の理由があります。それらの理由は次のとおりです。
- クラウド制御プレーンがポッドと通信する機能。
- ポッドのインフラストラクチャの管理
- ポッドのライフサイクルの運用
ただし、ポッドの仮想マシンの Horizon Cloud によって自動作成および管理されるポッドのリソース グループ外のリソース グループには組織の独自のルールを含む独自の NSG を作成することができます。独自の NSG のルールは、ポッドの仮想マシンの管理と操作に関する Horizon Cloud の要件と競合しないようにする必要があります。このような NSG は、ポッドで使用される管理、テナント、および DMZ サブネットに接続する必要があります。Horizon Cloud によって管理されるリソース グループ内に独自の NSG を作成すると、それらのリソース グループの NSG が別のリソース グループにあるリソースに関連付けられている場合、Horizon Cloud 管理対象リソース グループでの削除アクション中にエラーが発生します。
Microsoft Azure ドキュメントで説明するように、ネットワーク セキュリティ グループ (NSG) の目的は、セキュリティ ルールを使用して Microsoft Azure 環境のリソースとの間のネットワーク トラフィックをフィルタリングすることです。各ルールには、NSG が関連付けられているリソースに許可されるトラフィックを決定する、送信元、宛先、ポート、プロトコルなどの一連のプロパティがあります。Horizon Cloud が自動的に作成し、VMware によって制御されるポッドの仮想マシンの NIC と関連付ける NSG には、Horizon Cloud が、サービスのポッドの管理、進行中のポッド操作の正しい実行、およびポッドのライフサイクルの管理に必要と判断した特定のルールが含まれています。一般的に、これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部であるポッド操作のポート トラフィックを提供することを目的としています。Horizon Cloud ポッドのポートとプロトコルの要件も参照してください。
以下のセクションでは、これらの NSG で Horizon Cloud が定義する NSG ルールが一覧表示されています。
これらの NSG に関する一般的な事実
このリストは、デプロイヤがポッド関連仮想マシン上の特定の NIC に関連付ける、デプロイヤによって作成されたすべての NSG に適用されます。
- これらの VMware が作成した NSG は、VMware によって制御されるソフトウェア アプライアンスのセキュリティのためのものです。VMware がサブスクリプションに新しいソフトウェアを追加し、追加のルールが必要になると、それらの新しいルールがこれらの NSG に追加されます。
- Microsoft Azure ポータルでは、NSG の名前にパターン
vmw-hcs-podUUIDが含まれています。ここで podUUID はポッドの識別子です。ただし、専用の VNet にデプロイされる外部ゲートウェイ構成用の NSG は除きます。その場合、ゲートウェイに関連する NSG の名前にはパターンvmw-hcs-IDが含まれています。ここで ID はその外部ゲートウェイのデプロイ ID です。注: 外部ゲートウェイ構成が別のサブスクリプションにデプロイされるシナリオで、そのサブスクリプションで事前に作成した既存のリソース グループにデプロイするオプションが使用される場合、ゲートウェイ コネクタの仮想マシンの管理 NIC の NSG には、vmw-hcs-podUUIDパターンの代わりにリソース グループの名前に基づいたパターンで名前が付けられます。たとえば、そのリソース グループにhcsgatewaysという名前を付けた場合、そのリソース グループで Horizon Cloud はhcsgateways-mgmt-nsgという名前の NSG を作成し、その NSG をゲートウェイ コネクタ仮想マシンの管理 NIC に関連付けます。これらの ID は、管理コンソールの [キャパシティ] ページからポッドの詳細ページにアクセスして見つけることができます。
注: ポッドの外部 Unified Access Gateway でカスタム リソース グループを使用することを選択した場合、ゲートウェイ コネクタ仮想マシンのデプロイヤによって作成された NSG の名前には、パターンvmw-hcs-IDの代わりにそのカスタム リソース グループの名前が含まれます。たとえば、ポッドの外部ゲートウェイにourhcspodgatewayという名前のカスタム リソース グループを使用することを指定した場合、デプロイヤが作成してゲートウェイ仮想マシンの NIC に関連付ける NSG の名前はourhcspodgateway-mgmt-nsgになります。 - NSG は、関連付けられている仮想マシンおよび NIC と同じリソース グループにあります。たとえば、外部ゲートウェイがポッドの VNet にデプロイされ、デプロイヤによって作成されたリソース グループを使用している場合、外部 Unified Access Gateway 仮想マシンの NIC に関連付けられている NSG は、
vmw-hcs-podUUID-uagというリソース グループにあります。第 1 世代テナント - Microsoft Azure にデプロイされたポッド用に作成されたリソース グループも参照してください。 - Horizon Cloud では、サービスの保守性を維持するために、必要に応じて新しいルールが追加されたり、既存のルールが変更されたりすることがあります。
- ポッドの更新中、NSG とルールは保持されます。それらは削除されません。
- Horizon Cloud ルールは優先度 1000 から始まり、優先度は通常 100 単位で増えます。Horizon Cloud ルールは、優先度 3000 のルールで終了します。
- Microsoft Azure ドキュメントのトピック「IP アドレス 168.63.129.16 について」で説明するとおり、送信元 IP アドレス 168.63.129.16 に対する
AllowAzureInBoundルールによって、NSG は Microsoft Azure プラットフォームからの受信通信を受け付けます。ポッドに関連するすべての仮想マシンは、Microsoft Azure の仮想マシンです。その Microsoft Azure ドキュメントのトピックで説明されているように、IP アドレス 168.63.129.16 は、Microsoft Azure クラウド プラットフォームがクラウド内のすべての仮想マシンに対して実行するさまざまな仮想マシン管理タスクを容易にします。例として、この IP アドレスを使用すると、仮想マシン内にある仮想マシン エージェントが Microsoft Azure プラットフォームと通信して、仮想マシンが準備完了状態にあることを簡単に通知できます。 - Unified Access Gateway インスタンスの NSG では、PCoIP トラフィックが 4173+ 範囲の可変ポート番号を使用しているため、
AllowPcoipUdpInBoundルールがすべてのポートに設定され、トラフィックを特定のポートのセットに制限できません。 - Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンド ルールとアウトバウンド ルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、Microsoft Azure によって自動的に作成されるため、このドキュメント トピックでは説明しません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティ ルールトピックを参照してください。
- これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部であるポッド操作のポート トラフィックを提供することを目的としています。Horizon Cloud ポッドのポートとプロトコルの要件も参照してください。
- ポッドを編集してファームおよび VDI デスクトップ 割り当てで使用するための追加のテナント サブネットを指定する場合、ポッド マネージャ仮想マシンのテナント サブネットに関連する NSG と Unified Access Gateway の仮想マシンの NIC のルールが更新され、追加のテナント サブネットが含まれるようになります。
- VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストに対応する方法を一時的なジャンプ ボックス仮想マシンのデプロイであると判断した場合、この一時ジャンプ ボックスには一時ジャンプ ボックス リソース グループに NSG があります。この NSG は、サポート チームが終了したときにジャンプ ボックスのリソース グループが削除されると削除されます。
ポッド マネージャ仮想マシンのデプロイヤにより作成される NSG
ポッド マネージャ仮想マシンには 2 つの NIC があり、1 つは管理サブネットに接続され、もう 1 つはテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。
- 管理 NIC には、名前が
vmw-hcs-podUUID-mgmt-nsgというパターンの NSG があります。 - テナント NIC には、名前が
vmw-hcs-podUUID-tenant-nsgというパターンの NSG があります。
Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID というパターンのポッドのリソース グループにあります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | ルールの目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowSshInBound | 22 | 任意 | 管理サブネット | 任意 | 許可 | 定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをポッドのマネージャ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには、事前にお客様の許可を得る必要があります。有効期間が短いジャンプ ボックス仮想マシンは、ポッド マネージャ仮想マシンのポート 22 への SSH 接続を使用して、この仮想マシンと通信します。日常的なポッド操作では、ポッド マネージャ仮想マシン上でポート 22 が使用可能である必要はありません。 |
| 受信 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1200 | AllowHttpsInBound | 443 | 任意 | 管理サブネット | 任意 | 許可 | クラウド制御プレーンがポッド マネージャの REST API エンドポイントと安全に通信するため。 |
| 受信 | 1300 | AllowApacheGeodeInBound | 10334-10336、41000-41002、41100-41102、42000-42002 | 任意 | 管理サブネット | 任意 | 許可 | これらのポートは、ポッド マネージャ仮想マシン間でユーザー セッションおよび FileShare 関連の情報を複製するために使用されます。 |
| 受信 | 1400 | AllowTelegrafInBound | 9172 | 任意 | 管理サブネット | 任意 | 許可 | 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。 |
| 受信 | 1500 | AllowAgentJmsInBound | 4001、4002 | 任意 | 管理サブネット | 任意 | 許可 | 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任意 | 許可 | このルールは、クライアント接続をポッドの Microsoft Azure ロード バランサにマッピングした FQDN に確立するように(VPN 経由など、企業ネットワークを介して)内部エンド ユーザーに指示する、一般的ではないシナリオを提供します。このシナリオは、直接ポッド接続と呼ばれることがあります。ポッド マネージャへのログイン認証要求の場合、Horizon Client と Horizon Web クライアントはポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。 |
| 受信 | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | テナント サブネット | 任意 | 許可 | この NIC の受信ポート 3443 は、ベース仮想マシン、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent によって使用され、ポッド マネージャで実行される App Volumes Manager サービスにアクセスします。 この NIC の受信ポート 8443 は、Unified Access Gateway インスタンスがポッド マネージャに確認するために使用されます。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。 |
| 受信 | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | 任意 | 許可 | コードの一貫性とメンテナンスの容易さのために、ポッド デプロイヤは常にこのルールをこの NSG に書き込みます。 ポッドの外部ゲートウェイがポッドとは別の独自の VNet にデプロイされている環境では、このルールは、ポッド マネージャに確認するために外部ゲートウェイの Unified Access Gateway インスタンスからの受信トラフィックをサポートします。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。 |
| 受信 | 1120 | AllowUagHttpsInBound | 8443 | TCP | 管理サブネット | 任意 | 許可 | このルールは、将来のサービス リリースで使用される予定です。 |
| 受信 | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | テナント サブネット | 任意 | 許可 | ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンの Horizon Agent はこれらのポートを使用します。 ポート 4001 は、仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)用です。
キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。
注: 定常状態の動作には、4001 と 4002 の両方が必要です。場合によっては、エージェントがポッドに再入力する必要があります。
|
| 受信 | 1210 | AllowRouterJmsInBound | 4101 | TCP | テナント サブネット | 任意 | 許可 | ポッドで高可用性 (HA) が有効になっている場合、このトラフィックはポッド マネージャ仮想マシン(node-1 および node-2)間の JMS ルーティングです。 |
| 受信 | 1300 | AllowAgentUdpInBound | 5678 | UDP | テナント サブネット | 任意 | 許可 | マニフェスト 1600 以降のポッドでは廃止されました。サービスの 2019 年 9 月のリリースでは、DaaS Agent がポッド マニフェスト 1600 時点の Horizon Agent に組み込まれました。以前は、このポート 5678 と UDP プロトコルは、DaaS Agent の使用をサポートするために使用されていました。 |
| 受信 | 1400 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
外部 Unified Access Gateway 仮想マシンのデプロイヤにより作成される NSG
外部 Unified Access Gateway 構成用の各仮想マシンには 3 つの NIC があり、それぞれ、管理サブネット、テナント サブネット、および DMZ サブネットに接続されています。デプロイヤは、これら 3 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。
- 管理 NIC には、名前が
vmw-hcs-ID-uag-management-nsgというパターンの NSG があります。 - テナント NIC には、名前が
vmw-hcs-ID-uag-tenant-nsgというパターンの NSG があります。 - DMZ NIC には、名前が
vmw-hcs-ID-uag-dmz-nsgというパターンの NSG があります。
Microsoft Azure 環境では、これらの NSG には、パターン vmw-hcs-ID-uag の名前が付けられます。ここで、ID は、コンソールのポッドの詳細ページに表示されるポッドの ID です。ただし、外部ゲートウェイがポッドの VNet とは別の専用の VNet にデプロイされている場合を除きます。外部のゲートウェイが専用の VNet にデプロイされている場合、ID は、ポッドの詳細ページに表示される [Deployment ID] 値になります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理サブネット | 任意 | 許可 | サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。 |
| 受信 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1200 | AllowSshInBound | 22 | 任意 | 管理サブネット | 任意 | 許可 | トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには、事前にお客様の許可を得る必要があります。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | テナント サブネット | 任意 | 許可 | このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | テナント サブネット | 許可 | このルールは、ポッド マネージャへの新しいクライアント接続要求の目的でポッド マネージャ仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。 |
| 送信 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。 |
| 送信 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | テナント サブネット | 許可 | このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。 |
| 送信 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | テナント サブネット | 許可 | このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。 |
| 送信 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | テナント サブネット | 許可 | 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 80 443 |
TCP | インターネット | 任意 | 許可 | このルールは、Horizon Client および Horizon Web クライアントからの外部エンド ユーザーの受信トラフィックが、ポッド マネージャにログイン認証要求を要求することを規定します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。 |
| 受信 | 1100 | AllowBlastInBound | 443 8443 |
任意 | インターネット | 任意 | 許可 | このルールは、外部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1200 | AllowPcoipInBound | 4172 | 任意 | インターネット | 任意 | 許可 | このルールは、外部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1300 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
内部 Unified Access Gateway 仮想マシンのデプロイヤにより作成される NSG
内部 Unified Access Gateway 構成用の各仮想マシンには 2 つの NIC があり、それぞれ、管理サブネットおよびテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。
- 管理 NIC には、名前が
vmw-hcs-podUUID-uag-management-nsgというパターンの NSG があります。 - テナント NIC には、名前が
vmw-hcs-podUUID-uag-tenant-nsgというパターンの NSG があります。
Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID-uag-internal というパターンのポッドのリソース グループにあります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理サブネット | 任意 | 許可 | サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。 |
| 受信 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1200 | AllowSshInBound | 22 | 任意 | 管理サブネット | 任意 | 任意 | トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには、事前にお客様の許可を得る必要があります。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。 |
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任意 | 許可 | このルールは、Horizon Client および Horizon Web クライアントからの内部エンド ユーザーの受信トラフィックが、ポッド マネージャにログイン認証要求を要求することを規定します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。 |
| 受信 | 1200 | AllowBlastInBound | 443 8443 |
任意 | VirtualNetwork | 任意 | 許可 | このルールは、内部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1300 | AllowPcoipInBound | 4172 | 任意 | VirtualNetwork | 任意 | 許可 | このルールは、内部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。 |
| 受信 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | テナント サブネット | 任意 | 許可 | このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
| 送信 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | テナント サブネット | 許可 | このルールは、ポッドへの新しいクライアント接続要求の目的でポッド マネージャ仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。 |
| 送信 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。 |
| 送信 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | テナント サブネット | 許可 | このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | テナント サブネット | 許可 | このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。 |
| 送信 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | テナント サブネット | 許可 | このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。 |
| 送信 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | テナント サブネット | 許可 | 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。 |
| 送信 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
外部ゲートウェイが専用の VNet にデプロイされている場合のゲートウェイ コネクタ仮想マシンのデプロイヤが作成した NSG
ゲートウェイ コネクタ仮想マシンには 1 つの NIC があります。この NIC は、外部ゲートウェイの VNet の管理サブネットに接続されています。デプロイヤは単一の NSG を作成し、その NSG を NIC と関連付けます。デフォルトでは、ゲートウェイ コネクタの管理 NIC 用にデプロイヤで作成された NSG には、ポッド マネージャ仮想マシン用にデプロイヤで作成された NSG と同じルールがあります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 1000 | AllowSshInBound | 22 | 任意 | 管理サブネット | 任意 | 許可 | 定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをゲートウェイ コネクタ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには、事前にお客様の許可を得る必要があります。有効期間の短いジャンプ ボックス仮想マシンは、ゲートウェイ コネクタ仮想マシンのポート 22 への SSH 接続を使用して、この仮想マシンと通信します。日常的なポッド操作では、ゲートウェイ コネクタ仮想マシン上でポート 22 が使用可能である必要はありません。 |
| 受信 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 許可 | 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。 |
| 受信 | 1200 | AllowHttpsInBound | 443 | 任意 | 管理サブネット | 任意 | 許可 | クラウド制御プレーンがゲートウェイ コネクタの REST API エンドポイントと安全に通信するため。 |
| 受信 | 1300 | AllowApacheGeodeInBound | 10334-10336、41000-41002、41100-41102、42000-42002 | 任意 | 管理サブネット | 任意 | 許可 | これらのポートは、ポッド マネージャ仮想マシンおよびゲートウェイ コネクタ仮想マシン上でユーザー セッションおよび FileShare 関連の情報を複製するために使用されます。 |
| 受信 | 1400 | AllowTelegrafInBound | 9172 | 任意 | 管理サブネット | 任意 | 許可 | 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。 |
| 受信 | 1500 | AllowAgentJmsInBound | 4001、4002 | 任意 | 管理サブネット | 任意 | 許可 | 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。 |
| 受信 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒否 | この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。 |
一時ジャンプ ボックス仮想マシンのデプロイヤが作成した NSG
VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストに対応する方法を一時的なジャンプ ボックス仮想マシンのデプロイであると判断した場合、この一時ジャンプ ボックスには一時ジャンプ ボックス リソース グループに NSG があります。この NSG は、サポート チームがこのような作業を完了したときにジャンプ ボックスのリソース グループが削除されると削除されます。緊急アクセスには、事前にお客様の許可を得る必要があります。
| 方向 | 優先順位 | 名前 | ポート | プロトコル | ソース | 送信先 | アクション | 目的 |
|---|---|---|---|---|---|---|---|---|
| 受信 | 100 | AllowSSHInBound | 22 | 任意 | 管理サブネット | 管理サブネット | 許可 | サービス リクエストに対する VMware のサポート チームの調査に関わる VMware 管理対象アプライアンスへの SSH 通信用。一時ジャンプ ボックス仮想マシンは、SSH とポート 22 を使用して通信します。
注: クラウド制御プレーンがポッドへのアクセスを失った場合、サポート チームはパブリック IP アドレスを持つ緊急ジャンプ ボックスをデプロイしてポッドへのアクセスを確立する場合があります。このシナリオでは、このルールに Source=Any と Destination=Any が必要です。
|
| 送信 | 100 | AllowSSHOutbound | 22 | TCP | 管理サブネット | 管理サブネット | 許可 | ジャンプ ボックス仮想マシンによる指定された機能の実行用。 |
| 送信 | 101 | AllowHttpsOutbound | 443 | TCP | 管理サブネット | 任意 | 許可 | ジャンプ ボックス仮想マシンが、Microsoft Azure CLI(コマンド ライン インターフェイス)など、外部に配置された特定のソフトウェア コンポーネントをダウンロードして、設計された機能を実行するため。 |
| 送信 | 102 | AllowHttpOutbound | 80 | TCP | 管理サブネット | 任意 | 許可 | ジャンプ ボックス仮想マシンが、Ubuntu ソフトウェア アップデートなど、外部に配置された特定のソフトウェア コンポーネントをダウンロードして、設計された機能を実行するため。 |
| 送信 | 103 | AllowUagOutbound | 9443 | TCP | 管理サブネット | 管理サブネット | 許可 | ジャンプ ボックス仮想マシンが、ゲートウェイの管理インターフェイスを使用してゲートウェイ管理設定に関連する設計された機能を実行するため。 |
| 送信 | 104 | AllowDnsOutbound | 53 | 任意 | 管理サブネット | 任意 | 許可 | ジャンプ ボックス仮想マシンが DNS サービスにアクセスするため。 |
| 送信 | 105 | AllowHttpProxyOutbound | 任意 | TCP | 任意 | 任意 | 許可 | ポッドのデプロイが、プロキシ ポートが 80 以外のプロキシを使用するように構成されている場合、一時的なジャンプ ボックス デプロイヤは、この NSG にこのルールを作成します。このルールは、このようなプロキシ環境で一時的なジャンプ ボックスをサポートします。 ポッド デプロイの構成でプロキシが指定されていないか、プロキシ ポート 80 で指定されている場合、このルールはこの NSG に表示されません。 |
| 送信 | 1000 | DenyAllOutBound | 任意 | TCP | 任意 | 任意 | 拒否 | この TCP を使用する NIC の送信トラフィックを前の行のアイテムに制限します。 |
