このドキュメント トピックの目的は、Horizon Cloud を使用して Microsoft Azure サブスクリプションにポッドを作成し、続いて Microsoft Azure ポータルにログインしてポッド デプロイヤが何を作成しているかを確認したときに表示される内容を説明することです。Microsoft Azure へのポッドのデプロイの一環として、自動デプロイ プロセスは一連のネットワーク セキュリティ グループ (NSG) を作成し、それぞれを VMware によって制御されるポッド関連の各仮想マシンにある特定の個別のネットワーク インターフェイス (NIC) に関連付けます。このようなポッド関連の仮想マシンとは、ポッドのマネージャ仮想マシン、およびポッドが Unified Access Gateway で構成されるときにデプロイされる仮想マシンです。また、ポッドのデプロイやポッドへのゲートウェイ構成の追加など、ポッドのデプロイに関連するワークフロー実行中は、一時ジャンプ ボックスの一時ジャンプ ボックス リソース グループに NSG もあります。ポッド デプロイヤは、ポッドに対する VMware の設計とアーキテクチャに従って、デプロイヤが作成した適切な NSG を適切な NIC に関連付けます。これらの NSG は NIC レベルで使用され、VMware によって管理される特定のアプライアンス上の各 NIC が、NIC に接続されたサブネット上で標準のサービスおよびポッド操作に対して VMware によって管理されるアプライアンスが受信すべきトラフィックを受信し、アプライアンスが受信する必要のないすべてのトラフィックをブロックできるようにします。各 NSG には、各 NIC との間で許可されるトラフィックを定義する一連のセキュリティ ルールが含まれています。

ここで説明する NSG は、ポッドで作成するファームおよび VDI デスクトップに使用されるものとは別のものであり、異なる使用情報があります。ファームおよびプールに使用される NSG の詳細については、ネットワーク セキュリティ グループとファームについておよびネットワーク セキュリティ グループと VDI デスクトップについてを参照してください。

注意: ここに記載されているデプロイヤで作成された NSG ルールは、サービスの構成要件です。自動的に作成され、ポッド仮想マシンの NIC に関連付けられている Horizon Cloud NSG を削除または編集しないでください。この指示には、次のようなアクションが含まれます。
  • これらの NSG または NSG ルールを Horizon Cloud で使用されるサブネットにコピーまたは移動する
  • これらの NSG または NSG ルールを、ポッド仮想マシンに関連付けられている NIC 間でコピーまたは移動する。

Horizon Cloud によって作成された NSG とその内部のルールは、それらが接続されている特定の NIC および仮想マシンに固有であり、それらの NIC および仮想マシンの目的のために明示的に使用されます。これらの NSG またはルールに変更を加えたり、それらを他の目的に使用しようとすると、それらの NIC が接続されている同じサブネット上であっても、接続された NIC との間で必要なネットワーク トラフィックが中断される可能性が高くなります。この中断によって、すべてのポッド操作が中断する可能性があります。これらの NSG のライフサイクルは Horizon Cloud によって管理されており、それぞれに特定の理由があります。それらの理由は次のとおりです。

  • クラウド制御プレーンがポッドと通信する機能。
  • ポッドのインフラストラクチャの管理
  • ポッドのライフサイクルの運用
これらのデプロイヤで作成された NSG はサービスの構成要件であるため、 VMware Horizon Service のサービス レベル アグリーメントで説明されているように、それらを変更または移動しようとすると Horizon Cloud のサポートされていない使用および提供サービスの誤用と見なされます。

ただし、ポッドの仮想マシンの Horizon Cloud によって自動作成および管理されるポッドのリソース グループ外のリソース グループには組織の独自のルールを含む独自の NSG を作成することができます。独自の NSG のルールは、ポッドの仮想マシンの管理と操作に関する Horizon Cloud の要件と競合しないようにする必要があります。このような NSG は、ポッドで使用される管理、テナント、および DMZ サブネットに接続する必要があります。Horizon Cloud によって管理されるリソース グループ内に独自の NSG を作成すると、それらのリソース グループの NSG が別のリソース グループにあるリソースに関連付けられている場合、Horizon Cloud 管理対象リソース グループでの削除アクション中にエラーが発生します。

Microsoft Azure ドキュメントで説明するように、ネットワーク セキュリティ グループ (NSG) の目的は、セキュリティ ルールを使用して Microsoft Azure 環境のリソースとの間のネットワーク トラフィックをフィルタリングすることです。各ルールには、NSG が関連付けられているリソースに許可されるトラフィックを決定する、送信元、宛先、ポート、プロトコルなどの一連のプロパティがあります。Horizon Cloud が自動的に作成し、VMware によって制御されるポッドの仮想マシンの NIC と関連付ける NSG には、Horizon Cloud が、サービスのポッドの管理、進行中のポッド操作の正しい実行、およびポッドのライフサイクルの管理に必要と判断した特定のルールが含まれています。一般的に、これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部であるポッド操作のポート トラフィックを提供することを目的としています。Horizon Cloud ポッドのポートとプロトコルの要件も参照してください。

以下のセクションでは、これらの NSG で Horizon Cloud が定義する NSG ルールが一覧表示されています。

これらの NSG に関する一般的な事実

このリストは、デプロイヤがポッド関連仮想マシン上の特定の NIC に関連付ける、デプロイヤによって作成されたすべての NSG に適用されます。

  • これらの VMware が作成した NSG は、VMware によって制御されるソフトウェア アプライアンスのセキュリティのためのものです。VMware がサブスクリプションに新しいソフトウェアを追加し、追加のルールが必要になると、それらの新しいルールがこれらの NSG に追加されます。
  • Microsoft Azure ポータルでは、NSG の名前にパターン vmw-hcs-podUUID が含まれています。ここで podUUID はポッドの識別子です。ただし、専用の VNet にデプロイされる外部ゲートウェイ構成用の NSG は除きます。その場合、ゲートウェイに関連する NSG の名前にはパターン vmw-hcs-ID が含まれています。ここで ID はその外部ゲートウェイのデプロイ ID です。
    注: 外部ゲートウェイ構成が別のサブスクリプションにデプロイされるシナリオで、そのサブスクリプションで事前に作成した既存のリソース グループにデプロイするオプションが使用される場合、ゲートウェイ コネクタの仮想マシンの管理 NIC の NSG には、 vmw-hcs-podUUID パターンの代わりにリソース グループの名前に基づいたパターンで名前が付けられます。たとえば、そのリソース グループに hcsgateways という名前を付けた場合、そのリソース グループで Horizon Cloudhcsgateways-mgmt-nsg という名前の NSG を作成し、その NSG をゲートウェイ コネクタ仮想マシンの管理 NIC に関連付けます。

    これらの ID は、管理コンソールの [キャパシティ] ページからポッドの詳細ページにアクセスして見つけることができます。

    注: ポッドの外部 Unified Access Gateway でカスタム リソース グループを使用することを選択した場合、ゲートウェイ コネクタ仮想マシンのデプロイヤによって作成された NSG の名前には、パターン vmw-hcs-ID の代わりにそのカスタム リソース グループの名前が含まれます。たとえば、ポッドの外部ゲートウェイに ourhcspodgateway という名前のカスタム リソース グループを使用することを指定した場合、デプロイヤが作成してゲートウェイ仮想マシンの NIC に関連付ける NSG の名前は ourhcspodgateway-mgmt-nsg になります。
  • NSG は、関連付けられている仮想マシンおよび NIC と同じリソース グループにあります。たとえば、外部ゲートウェイがポッドの VNet にデプロイされ、デプロイヤによって作成されたリソース グループを使用している場合、外部 Unified Access Gateway 仮想マシンの NIC に関連付けられている NSG は、vmw-hcs-podUUID-uag というリソース グループにあります。Microsoft Azure にデプロイされたポッド用に作成されたリソース グループも参照してください。
  • Horizon Cloud では、サービスの保守性を維持するために、必要に応じて新しいルールが追加されたり、既存のルールが変更されたりすることがあります。
  • ポッドの更新中、NSG とルールは保持されます。それらは削除されません。
  • 一時ジャンプ ボックスの NSG ルールおよび Horizon Edge 仮想アプライアンス の NSG ルールを除いて、Horizon Cloud ルールは優先度 1000 から始まり、優先度は通常 100 単位で増えます。Horizon Cloud ルールは、優先度 3000 のルールで終了します。ジャンプ ボックスの NSG ルールおよび Horizon Edge 仮想アプライアンス の NSG ルールの場合、Horizon Cloud ルールは優先度 100 から始まり、優先度は 1 単位で増えます。
  • Microsoft Azure ドキュメントのトピック「IP アドレス 168.63.129.16 について」で説明するとおり、送信元 IP アドレス 168.63.129.16 に対する AllowAzureInBound ルールによって、NSG は Microsoft Azure プラットフォームからの受信通信を受け付けます。ポッドに関連するすべての仮想マシンは、Microsoft Azure の仮想マシンです。その Microsoft Azure ドキュメントのトピックで説明されているように、IP アドレス 168.63.129.16 は、Microsoft Azure クラウド プラットフォームがクラウド内のすべての仮想マシンに対して実行するさまざまな仮想マシン管理タスクを容易にします。例として、この IP アドレスを使用すると、仮想マシン内にある仮想マシン エージェントが Microsoft Azure プラットフォームと通信して、仮想マシンが準備完了状態にあることを簡単に通知できます。
  • Unified Access Gateway インスタンスの NSG では、PCoIP トラフィックが 4173+ 範囲の可変ポート番号を使用しているため、AllowPcoipUdpInBound ルールがすべてのポートに設定され、トラフィックを特定のポートのセットに制限できません。
  • Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンド ルールとアウトバウンド ルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、Microsoft Azure によって自動的に作成されるため、このドキュメント トピックでは説明しません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントの「デフォルトのセキュリティ ルール」トピックを参照してください。
  • ポッドのデプロイやポッドへのゲートウェイ構成の追加など、ポッドのデプロイに関連するワークフロー実行中は、一時ジャンプ ボックスの一時ジャンプ ボックス リソース グループに NSG もあります。この NSG は、ワークフローの完了時にジャンプ ボックスのリソース グループが削除されると削除されます。
  • これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部であるポッド操作のポート トラフィックを提供することを目的としています。Horizon Cloud ポッドのポートとプロトコルの要件も参照してください。
  • ポッドを編集してファームおよび VDI デスクトップ 割り当てで使用するための追加のテナント サブネットを指定する場合、ポッド マネージャ仮想マシンのテナント サブネットに関連する NSG と Unified Access Gateway の仮想マシンの NIC のルールが更新され、追加のテナント サブネットが含まれるようになります。

ポッド マネージャ仮想マシンのデプロイヤにより作成される NSG

ポッド マネージャ仮想マシンには 2 つの NIC があり、1 つは管理サブネットに接続され、もう 1 つはテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。

  • 管理 NIC には、名前が vmw-hcs-podUUID-mgmt-nsg というパターンの NSG があります。
  • テナント NIC には、名前が vmw-hcs-podUUID-tenant-nsg というパターンの NSG があります。

Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID というパターンのポッドのリソース グループにあります。

重要: ポッドが外部ゲートウェイを別の VNet に配置する機能を使用している場合(そのゲートウェイがポッドのサブスクリプションとは別のサブスクリプションを使用する場合を含む)、ポッド マネージャ仮想マシンのテナント NIC の NSG には、 VirtualNetwork をソースとするポート 8443 TCP に対する AllowGatewayBrokeringHttpsInBound という名前の追加の受信ルールがあります。外部ゲートウェイが別の VNet にある場合、ポッド マネージャ仮想マシンのテナント NIC でデプロイヤが作成した NSG ルールは、以下の 3 番目の表にリストされています。
表 1. ポッド マネージャ仮想マシンの管理 NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション ルールの目的
受信 1000 AllowSshInBound 22 任意 管理サブネット 任意 許可 トピックMicrosoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件で説明するように、一時的なジャンプ ボックス仮想マシンは、ポッドの初期作成時およびその後のポッドでのソフトウェア更新中に、SSH を使用して仮想マシンのポート 22 に接続し、ポッド マネージャ仮想マシンと通信します。また、そのトピックで説明したように、ポッドの日常の操作では、ポッド マネージャ仮想マシン上でポート 22 が使用可能である必要はありません。ただし、定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをポッドのマネージャ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには権限が必要になります。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowHttpsInBound 443 任意 管理サブネット 任意 許可 クラウド制御プレーンがポッド マネージャの REST API エンドポイントと安全に通信するため。
受信 1300 AllowApacheGeodeInBound 10334-10336、41000-41002、41100-41102、42000-42002 任意 管理サブネット 任意 許可 これらのポートは、ポッド マネージャ仮想マシン間でユーザー セッションおよび FileShare 関連の情報を複製するために使用されます。
受信 1400 AllowTelegrafInBound 9172 任意 管理サブネット 任意 許可 ポッドで Horizon インフラストラクチャの監視 が有効になっているときに、Horizon Edge 仮想アプライアンス で設計に従って収集すべき監視データを収集するため。
受信 1500 AllowAgentJmsInBound 4001、4002 任意 管理サブネット 任意 許可 ポッドで Horizon インフラストラクチャの監視 が有効になっているときに、Horizon Edge 仮想アプライアンス で設計に従って収集すべき監視データを収集するため。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
表 2. ポッド マネージャ仮想マシンのテナント NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 許可 このルールは、クライアント接続をポッドの Microsoft Azure ロード バランサにマッピングした FQDN に確立するように(VPN 経由など、企業ネットワークを介して)内部エンド ユーザーに指示する、一般的ではないシナリオを提供します。このシナリオは、直接ポッド接続と呼ばれることがあります。ポッド マネージャへのログイン認証要求の場合、Horizon Client と Horizon Web クライアントはポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1100 AllowAgentHttpsInBound

3443

8443

TCP テナント サブネット 任意 許可

この NIC の受信ポート 3443 は、ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンの App Volumes Agent によって使用され、ポッド マネージャ仮想マシンで実行される App Volumes Manager サービスにアクセスします。

この NIC の受信ポート 8443 は、Unified Access Gateway インスタンスがポッド マネージャに確認するために使用されます。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。

受信 1120 AllowUagHttpsInBound 8443 TCP 管理サブネット 任意 許可 このルールは、将来のサービス リリースで使用される予定です。
受信 1200 AllowAgentJmsInBound

4001

4002

TCP テナント サブネット 任意 許可

ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンの Horizon Agent はこれらのポートを使用します。

ポート 4001 は、仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)用です。

キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。
注: 定常状態の動作には、4001 と 4002 の両方が必要です。場合によっては、エージェントがポッドに再入力する必要があります。
受信 1210 AllowRouterJmsInBound 4101 TCP テナント サブネット 任意 許可 ポッドで高可用性 (HA) が有効になっている場合、このトラフィックはポッド マネージャ仮想マシン(node-1 および node-2)間の JMS ルーティングです。
受信 1300 AllowAgentUdpInBound 5678 UDP テナント サブネット 任意 許可 マニフェスト 1600 以降のポッドでは廃止されました。サービスの 2019 年 9 月のリリースでは、DaaS Agent がポッド マニフェスト 1600 時点の Horizon Agent に組み込まれました。以前は、このポート 5678 と UDP プロトコルは、DaaS Agent の使用をサポートするために使用されていました。
受信 1400 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
表 3. 外部ゲートウェイが別の VNet にある場合、ポッド マネージャ仮想マシンのテナント NIC でデプロイヤが作成した NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 許可 このルールは、クライアント接続をポッドの Microsoft Azure ロード バランサにマッピングした FQDN に確立するように(VPN 経由など、企業ネットワークを介して)内部エンド ユーザーに指示する、一般的ではないシナリオを提供します。このシナリオは、直接ポッド接続と呼ばれることがあります。ポッド マネージャへのログイン認証要求の場合、Horizon Client と Horizon Web クライアントはポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1100 AllowAgentHttpsInBound

3443

8443

TCP テナント サブネット 任意 許可

この NIC の受信ポート 3443 は、ベース仮想マシン、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent によって使用され、ポッド マネージャで実行される App Volumes Manager サービスにアクセスします。

この NIC の受信ポート 8443 は、Unified Access Gateway インスタンスがポッド マネージャに確認するために使用されます。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。

受信 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork 任意 許可 ポッドの外部ゲートウェイがポッドとは別の独自の VNet にデプロイされている場合、このルールは、ポッド マネージャに確認するために外部ゲートウェイの Unified Access Gateway インスタンスからの受信トラフィックをサポートします。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。
受信 1120 AllowUagHttpsInBound 8443 TCP 管理サブネット 任意 許可 このルールは、将来のサービス リリースで使用される予定です。
受信 1200 AllowAgentJmsInBound

4001

4002

TCP テナント サブネット 任意 許可

ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンの Horizon Agent はこれらのポートを使用します。

ポート 4001 は、仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)用です。

キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。
注: 定常状態の動作には、4001 と 4002 の両方が必要です。場合によっては、エージェントがポッドに再入力する必要があります。
受信 1210 AllowRouterJmsInBound 4101 TCP テナント サブネット 任意 許可 ポッドで高可用性 (HA) が有効になっている場合、このトラフィックはポッド マネージャ仮想マシン(node-1 および node-2)間の JMS ルーティングです。
受信 1300 AllowAgentUdpInBound 5678 UDP テナント サブネット 任意 許可 マニフェスト 1600 以降のポッドでは廃止されました。サービスの 2019 年 9 月のリリースでは、DaaS Agent がポッド マニフェスト 1600 時点の Horizon Agent に組み込まれました。以前は、このポート 5678 と UDP プロトコルは、DaaS Agent の使用をサポートするために使用されていました。
受信 1400 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

外部 Unified Access Gateway 仮想マシンのデプロイヤにより作成される NSG

外部 Unified Access Gateway 構成用の各仮想マシンには 3 つの NIC があり、それぞれ、管理サブネット、テナント サブネット、および DMZ サブネットに接続されています。デプロイヤは、これら 3 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。

  • 管理 NIC には、名前が vmw-hcs-ID-uag-management-nsg というパターンの NSG があります。
  • テナント NIC には、名前が vmw-hcs-ID-uag-tenant-nsg というパターンの NSG があります。
  • DMZ NIC には、名前が vmw-hcs-ID-uag-dmz-nsg というパターンの NSG があります。

Microsoft Azure 環境では、これらの NSG には、パターン vmw-hcs-ID-uag の名前が付けられます。ここで、ID は、コンソールのポッドの詳細ページに表示されるポッドの ID です。ただし、外部ゲートウェイがポッドの VNet とは別の専用の VNet にデプロイされている場合を除きます。外部のゲートウェイが専用の VNet にデプロイされている場合、ID は、ポッドの詳細ページに表示される [Deployment ID] 値になります。

表 4. 外部 Unified Access Gateway 仮想マシンの管理 NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound 9443 TCP 管理サブネット 任意 許可 サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowSshInBound 22 任意 管理サブネット 任意 許可 トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには権限が必要になります。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。
表 5. 外部 Unified Access Gateway 仮想マシンのテナント NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1400 AllowPcoipUdpInBound 任意 UDP テナント サブネット 任意 許可 このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 1000 AllowHttpsOutBound

443

8443

TCP 任意 テナント サブネット 許可

このルールは、ポッド マネージャへの新しいクライアント接続要求の目的でポッド マネージャ仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。

送信 1100 AllowBlastOutBound 22443 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。
送信 1200 AllowPcoipOutBound 4172 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。
送信 1300 AllowUsbOutBound 32111 TCP 任意 テナント サブネット 許可 このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。
送信 1400 AllowMmrOutBound 9427 TCP 任意 テナント サブネット 許可 このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。
送信 1500 AllowAllOutBound 任意 任意 任意 テナント サブネット 許可 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
表 6. 外部 Unified Access Gateway 仮想マシンの DMZ NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound

80

443

TCP インターネット 任意 許可 このルールは、Horizon Client および Horizon Web クライアントからの外部エンド ユーザーの受信トラフィックが、ポッド マネージャにログイン認証要求を要求することを規定します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1100 AllowBlastInBound

443

8443

任意 インターネット 任意 許可 このルールは、外部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1200 AllowPcoipInBound 4172 任意 インターネット 任意 許可 このルールは、外部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1300 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

内部 Unified Access Gateway 仮想マシンのデプロイヤにより作成される NSG

内部 Unified Access Gateway 構成用の各仮想マシンには 2 つの NIC があり、それぞれ、管理サブネットおよびテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。

  • 管理 NIC には、名前が vmw-hcs-podUUID-uag-management-nsg というパターンの NSG があります。
  • テナント NIC には、名前が vmw-hcs-podUUID-uag-tenant-nsg というパターンの NSG があります。

Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID-uag-internal というパターンのポッドのリソース グループにあります。

表 7. 内部 Unified Access Gateway 仮想マシンの管理 NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound 9443 TCP 管理サブネット 任意 許可 サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowSshInBound 22 任意 管理サブネット 任意 任意 トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには権限が必要になります。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。
表 8. 内部 Unified Access Gateway 仮想マシンのテナント NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 許可 このルールは、Horizon Client および Horizon Web クライアントからの内部エンド ユーザーの受信トラフィックが、ポッド マネージャにログイン認証要求を要求することを規定します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1200 AllowBlastInBound

443

8443

任意 VirtualNetwork 任意 許可 このルールは、内部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1300 AllowPcoipInBound 4172 任意 VirtualNetwork 任意 許可 このルールは、内部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1400 AllowPcoipUdpInBound 任意 UDP テナント サブネット 任意 許可 このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 1000 AllowHttpsOutBound

443

8443

TCP 任意 テナント サブネット 許可

このルールは、ポッドへの新しいクライアント接続要求の目的でポッド マネージャ仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。

送信 1100 AllowBlastOutBound 22443 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。
送信 1200 AllowPcoipOutBound 4172 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。
送信 1300 AllowUsbOutBound 32111 TCP 任意 テナント サブネット 許可 このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。
送信 1400 AllowMmrOutBound 9427 TCP 任意 テナント サブネット 許可 このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。
送信 1500 AllowAllOutBound 任意 任意 任意 テナント サブネット 許可 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

外部ゲートウェイが専用の VNet にデプロイされている場合のゲートウェイ コネクタ仮想マシンのデプロイヤが作成した NSG

ゲートウェイ コネクタ仮想マシンには 1 つの NIC があります。この NIC は、外部ゲートウェイの VNet の管理サブネットに接続されています。デプロイヤは単一の NSG を作成し、その NSG を NIC と関連付けます。デフォルトでは、ゲートウェイ コネクタの管理 NIC 用にデプロイヤで作成された NSG には、ポッド マネージャ仮想マシン用にデプロイヤで作成された NSG と同じルールがあります。

表 9. 外部ゲートウェイのコネクタ仮想マシンの管理 NIC でデプロイヤが作成した NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowSshInBound 22 任意 管理サブネット 任意 許可 トピックMicrosoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件で説明するように、一時的なジャンプ ボックス仮想マシンは、初期作成中およびその後のポッドでのソフトウェア更新中に、SSH を使用して仮想マシンのポート 22 に接続し、このゲートウェイ コネクタ仮想マシンと通信します。また、そのトピックで説明したように、ポッドの日常の操作では、ゲートウェイ コネクタ仮想マシン上でポート 22 が使用可能である必要はありません。ただし、定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをゲートウェイ コネクタ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには権限が必要になります。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowHttpsInBound 443 任意 管理サブネット 任意 許可 クラウド制御プレーンがゲートウェイ コネクタの REST API エンドポイントと安全に通信するため。
受信 1300 AllowApacheGeodeInBound 10334-10336、41000-41002、41100-41102、42000-42002 任意 管理サブネット 任意 許可 これらのポートは、ポッド マネージャ仮想マシンおよびゲートウェイ コネクタ仮想マシン上でユーザー セッションおよび FileShare 関連の情報を複製するために使用されます。
受信 1400 AllowTelegrafInBound 9172 任意 管理サブネット 任意 許可 このルールは、Horizon インフラストラクチャの監視 機能の将来のサービス更新で使用される予定です。
受信 1500 AllowAgentJmsInBound 4001、4002 任意 管理サブネット 任意 許可 このルールは、Horizon インフラストラクチャの監視 機能の将来のサービス更新で使用される予定です。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

一時ジャンプ ボックス仮想マシンのデプロイヤが作成した NSG

ポッドのデプロイやポッドへのゲートウェイ構成の追加など、ポッドのデプロイに関連するワークフロー実行中は、一時ジャンプ ボックスの一時ジャンプ ボックス リソース グループに NSG もあります。この NSG は、ワークフローの完了時にジャンプ ボックスのリソース グループが削除されると削除されます。

表 10. ジャンプ ボックス仮想マシンの管理 NIC でデプロイヤが作成した NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 100 AllowSSHInBound 22 任意 管理サブネット 管理サブネット 許可 トピックMicrosoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件で説明するように、進行中のポッド操作では、一時的なジャンプ ボックス仮想マシンのポート 22 への受信トラフィックは必要ありません。ただし、定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをポッドのマネージャ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには権限が必要になります。
注: クラウド制御プレーンがポッドへのアクセスを失った場合、サポート チームはパブリック IP アドレスを持つ緊急ジャンプ ボックスをデプロイしてポッドへのアクセスを確立する場合があります。このシナリオでは、このルールに Source=Any と Destination=Any が必要です。
送信 100 AllowSSHOutbound 22 TCP 管理サブネット 管理サブネット 許可 ジャンプ ボックス仮想マシンが、サービスによって必要となる他のサービスがデプロイした仮想マシンの構成のために設計された機能を実行するため。
送信 101 AllowHttpsOutbound 443 TCP 管理サブネット 任意 許可 ジャンプ ボックス仮想マシンが、Microsoft Azure CLI (コマンド ライン インターフェイス) など、外部に配置された特定のソフトウェア コンポーネントをダウンロードするため。ジャンプ ボックスは、このソフトウェアを使用して、他のサービスがデプロイした仮想マシンの構成のために設計された機能を実行します。
送信 102 AllowHttpOutbound 80 TCP 管理サブネット 任意 許可 ジャンプ ボックス仮想マシンが、ポッドの Linux ベース仮想マシン用の Ubuntu ソフトウェア アップデートなど、外部に配置された特定のソフトウェア コンポーネントをダウンロードするため。ジャンプ ボックスは、このソフトウェアを使用して、他のサービスがデプロイした仮想マシンの構成のために設計された機能を実行します。
送信 103 AllowUagOutbound 9443 TCP 管理サブネット 管理サブネット 許可 サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。
送信 104 AllowDnsOutbound 53 任意 管理サブネット 任意 許可 ジャンプ ボックス仮想マシンが DNS サービスにアクセスするため。
送信 1000 DenyAllOutBound 任意 TCP 任意 任意 拒否 この TCP を使用する NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

Horizon Edge 仮想アプライアンス デプロイヤによって作成された NSG

Horizon Universal Console を使用してポッドで Horizon インフラストラクチャの監視 を有効にすると、Horizon Edge 仮想アプライアンス がデプロイされます。Horizon Edge 仮想アプライアンス には、ポッド マネージャ仮想マシンに接続されているのと同じ管理サブネットに接続されている 1 つの NIC があります。デプロイヤは、vmw-hcs-podUUID-edge-nsg のパターンで名前が付けられた特定の NSG を作成し、その NSG を NIC に関連付けます。

Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID-edge というパターンのポッドのリソース グループにあります。

表 11. Horizon Edge 仮想アプライアンス 管理 NIC でデプロイヤによって作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション ルールの目的
受信 100 AllowSSHInbound 22 任意 管理サブネット 任意 許可 アプライアンスの日常の操作では、ポート 22 が使用可能である必要はありません。ただし、定常状態の運用中に VMware に対してサポート リクエストを提出し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをアプライアンスにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには権限が必要になります。
送信 100 AllowSSHOutbound 22 TCP 管理サブネット 管理サブネット 許可 アプライアンスが設計に従って収集すべき監視データをポッドの仮想マシンから収集するため。
送信 101 AllowHttpsOutbound 443 TCP 管理サブネット 任意 許可 アプライアンスが、Microsoft Azure CLI(コマンド ライン インターフェイス)など、外部に配置された特定のソフトウェア コンポーネントをダウンロードするため。アプライアンスは、このソフトウェアを使用して、設計に従って収集すべき監視データの収集のために、他のサービスによってデプロイされた仮想マシンを構成するために設計された機能を実行します。
送信 102 AllowHttpOutbound 80 TCP 管理サブネット 任意 許可 アプライアンスが、Linux ベース オペレーティング システム用の Ubuntu ソフトウェア アップデートなど、外部に配置された特定のソフトウェア コンポーネントをダウンロードするため。
送信 103 AllowUagOutbound 9443 TCP 管理サブネット 管理サブネット 許可 このルールは、Horizon インフラストラクチャの監視 機能の将来のサービス更新で使用される予定です。
送信 104 AllowDnsOutbound 53 任意 管理サブネット 任意 許可 DNS サービスにアクセスするため。
送信 106 AllowTelegrafOutBound 9172 任意 管理サブネット 管理サブネット 許可 アプライアンスが設計に従って収集すべき監視データをポッド マネージャ仮想マシンから収集するため。
送信 107 AllowJmsBrokerOutbound 4002 任意 管理サブネット 管理サブネット 許可 このルールは、Horizon インフラストラクチャの監視 機能の将来のサービス更新で使用される予定です。
送信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。