このドキュメント トピックの目的は、第 1 世代の Horizon Cloud 環境を使用して Microsoft Azure サブスクリプションにポッドを作成し、続いて Microsoft Azure ポータルにログインしてポッド デプロイヤが何を作成しているかを確認したときに表示される内容を説明することです。Microsoft Azure へのポッドのデプロイの一環として、自動デプロイ プロセスは一連のネットワーク セキュリティ グループ (NSG) を作成し、それぞれを VMware によって制御されるポッド関連の各仮想マシンにある特定の個別のネットワーク インターフェイス (NIC) に関連付けます。このようなポッド関連の仮想マシンとは、ポッドのマネージャ仮想マシン、およびポッドが Unified Access Gateway で構成されるときにデプロイされる仮想マシンです。

このページを読む前に

このページを読む前に、以下の点を考慮してください。

注意: ナレッジベースの記事 KB92424 で説明されているように、第 1 世代の Horizon Cloud 制御プレーンの提供終了が発表されました。この発表に合わせて、第 1 世代の Horizon Cloud 製品ドキュメントが更新されました。
注: ナレッジベースの記事 KB93762 で説明されているように、 Horizon インフラストラクチャの監視機能は廃止され、第 1 世代のテナントではこの機能を有効化したり使用したりできなくなります。2023 年 10 月の時点で、廃止された機能に以前関連していたこのページの情報は、適宜更新されています。
注目: この情報は、第 1 世代の制御プレーンで第 1 世代のテナント環境にアクセスできる場合にのみ適用されます。 KB-92424 で説明されているように、第 1 世代の制御プレーンは提供終了 (EOA) となりました。詳細については、該当記事を参照してください。

2022 年 8 月の時点で、Horizon Cloud Service - next-gen は一般公開され、独自の『Horizon 制御プレーン next-gen の使用』ガイドを入手できます。

次世代と第 1 世代のどちらの環境を使用しているかは、環境にログインし、Horizon Universal Console ラベルに表示されるブラウザの URL フィールドのパターンで確認することができます。次世代環境の場合、コンソールの URL アドレスには /hcsadmin/ のような部分が含まれます。第 1 世代コンソールの URL の場合は、異なるセクション (/horizonadmin/) があります。

概要

ポッド デプロイヤは、ポッドに対する VMware の設計とアーキテクチャに従って、デプロイヤが作成した適切な NSG を適切な NIC に関連付けます。これらの NSG は NIC レベルで使用され、VMware によって管理される特定のアプライアンス上の各 NIC が、NIC に接続されたサブネット上で標準のサービスおよびポッド操作に対して VMware によって管理されるアプライアンスが受信すべきトラフィックを受信し、アプライアンスが受信する必要のないすべてのトラフィックをブロックできるようにします。各 NSG には、各 NIC との間で許可されるトラフィックを定義する一連のセキュリティ ルールが含まれています。

ここで説明する NSG は、Horizon Universal Console を使用して作成するときにポッドによってプロビジョニングされるベース仮想マシン、ファーム、および VDI デスクトップに使用される NSG とは異なります。これらの NSG には、異なる使用情報があります。これらの NSG については、以下のトピックを参照してください。

注意: ここに記載されているデプロイヤで作成された NSG ルールは、サービスの構成要件です。自動的に作成され、ポッド仮想マシンの NIC に関連付けられている Horizon Cloud NSG を削除または編集しないでください。この指示には、次のようなアクションが含まれます。
  • これらの NSG または NSG ルールを Horizon Cloud で使用されるサブネットにコピーまたは移動する
  • これらの NSG または NSG ルールを、ポッド仮想マシンに関連付けられている NIC 間でコピーまたは移動する。

Horizon Cloud によって作成された NSG とその内部のルールは、それらが接続されている特定の NIC および仮想マシンに固有であり、それらの NIC および仮想マシンの目的のために明示的に使用されます。これらの NSG またはルールに変更を加えたり、それらを他の目的に使用しようとすると、それらの NIC が接続されている同じサブネット上であっても、接続された NIC との間で必要なネットワーク トラフィックが中断される可能性が高くなります。この中断によって、すべてのポッド操作が中断する可能性があります。これらの NSG のライフサイクルは Horizon Cloud によって管理されており、それぞれに特定の理由があります。それらの理由は次のとおりです。

  • クラウド制御プレーンがポッドと通信する機能。
  • ポッドのインフラストラクチャの管理
  • ポッドのライフサイクルの運用
これらのデプロイヤで作成された NSG はサービスの構成要件であるため、 VMware Horizon Service のサービス レベル アグリーメントで説明されているように、それらを変更または移動しようとすると Horizon Cloud のサポートされていない使用および提供サービスの誤用と見なされます。

ただし、ポッドの仮想マシンの Horizon Cloud によって自動作成および管理されるポッドのリソース グループ外のリソース グループには組織の独自のルールを含む独自の NSG を作成することができます。独自の NSG のルールは、ポッドの仮想マシンの管理と操作に関する Horizon Cloud の要件と競合しないようにする必要があります。このような NSG は、ポッドで使用される管理、テナント、および DMZ サブネットに接続する必要があります。Horizon Cloud によって管理されるリソース グループ内に独自の NSG を作成すると、それらのリソース グループの NSG が別のリソース グループにあるリソースに関連付けられている場合、Horizon Cloud 管理対象リソース グループでの削除アクション中にエラーが発生します。

Microsoft Azure ドキュメントで説明するように、ネットワーク セキュリティ グループ (NSG) の目的は、セキュリティ ルールを使用して Microsoft Azure 環境のリソースとの間のネットワーク トラフィックをフィルタリングすることです。各ルールには、NSG が関連付けられているリソースに許可されるトラフィックを決定する、送信元、宛先、ポート、プロトコルなどの一連のプロパティがあります。Horizon Cloud が自動的に作成し、VMware によって制御されるポッドの仮想マシンの NIC と関連付ける NSG には、Horizon Cloud が、サービスのポッドの管理、進行中のポッド操作の正しい実行、およびポッドのライフサイクルの管理に必要と判断した特定のルールが含まれています。一般的に、これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部であるポッド操作のポート トラフィックを提供することを目的としています。Horizon Cloud ポッドのポートとプロトコルの要件も参照してください。

以下のセクションでは、これらの NSG で Horizon Cloud が定義する NSG ルールが一覧表示されています。

これらの NSG に関する一般的な事実

このリストは、デプロイヤがポッド関連仮想マシン上の特定の NIC に関連付ける、デプロイヤによって作成されたすべての NSG に適用されます。

  • これらの VMware が作成した NSG は、VMware によって制御されるソフトウェア アプライアンスのセキュリティのためのものです。VMware がサブスクリプションに新しいソフトウェアを追加し、追加のルールが必要になると、それらの新しいルールがこれらの NSG に追加されます。
  • Microsoft Azure ポータルでは、NSG の名前にパターン vmw-hcs-podUUID が含まれています。ここで podUUID はポッドの識別子です。ただし、専用の VNet にデプロイされる外部ゲートウェイ構成用の NSG は除きます。その場合、ゲートウェイに関連する NSG の名前にはパターン vmw-hcs-ID が含まれています。ここで ID はその外部ゲートウェイのデプロイ ID です。
    注: 外部ゲートウェイ構成が別のサブスクリプションにデプロイされるシナリオで、そのサブスクリプションで事前に作成した既存のリソース グループにデプロイするオプションが使用される場合、ゲートウェイ コネクタの仮想マシンの管理 NIC の NSG には、 vmw-hcs-podUUID パターンの代わりにリソース グループの名前に基づいたパターンで名前が付けられます。たとえば、そのリソース グループに hcsgateways という名前を付けた場合、そのリソース グループで Horizon Cloudhcsgateways-mgmt-nsg という名前の NSG を作成し、その NSG をゲートウェイ コネクタ仮想マシンの管理 NIC に関連付けます。

    これらの ID は、管理コンソールの [キャパシティ] ページからポッドの詳細ページにアクセスして見つけることができます。

    注: ポッドの外部 Unified Access Gateway でカスタム リソース グループを使用することを選択した場合、ゲートウェイ コネクタ仮想マシンのデプロイヤによって作成された NSG の名前には、パターン vmw-hcs-ID の代わりにそのカスタム リソース グループの名前が含まれます。たとえば、ポッドの外部ゲートウェイに ourhcspodgateway という名前のカスタム リソース グループを使用することを指定した場合、デプロイヤが作成してゲートウェイ仮想マシンの NIC に関連付ける NSG の名前は ourhcspodgateway-mgmt-nsg になります。
  • NSG は、関連付けられている仮想マシンおよび NIC と同じリソース グループにあります。たとえば、外部ゲートウェイがポッドの VNet にデプロイされ、デプロイヤによって作成されたリソース グループを使用している場合、外部 Unified Access Gateway 仮想マシンの NIC に関連付けられている NSG は、vmw-hcs-podUUID-uag というリソース グループにあります。第 1 世代テナント - Microsoft Azure にデプロイされたポッド用に作成されたリソース グループも参照してください。
  • Horizon Cloud では、サービスの保守性を維持するために、必要に応じて新しいルールが追加されたり、既存のルールが変更されたりすることがあります。
  • ポッドの更新中、NSG とルールは保持されます。それらは削除されません。
  • Horizon Cloud ルールは優先度 1000 から始まり、優先度は通常 100 単位で増えます。Horizon Cloud ルールは、優先度 3000 のルールで終了します。
  • Microsoft Azure ドキュメントのトピック「IP アドレス 168.63.129.16 について」で説明するとおり、送信元 IP アドレス 168.63.129.16 に対する AllowAzureInBound ルールによって、NSG は Microsoft Azure プラットフォームからの受信通信を受け付けます。ポッドに関連するすべての仮想マシンは、Microsoft Azure の仮想マシンです。その Microsoft Azure ドキュメントのトピックで説明されているように、IP アドレス 168.63.129.16 は、Microsoft Azure クラウド プラットフォームがクラウド内のすべての仮想マシンに対して実行するさまざまな仮想マシン管理タスクを容易にします。例として、この IP アドレスを使用すると、仮想マシン内にある仮想マシン エージェントが Microsoft Azure プラットフォームと通信して、仮想マシンが準備完了状態にあることを簡単に通知できます。
  • Unified Access Gateway インスタンスの NSG では、PCoIP トラフィックが 4173+ 範囲の可変ポート番号を使用しているため、AllowPcoipUdpInBound ルールがすべてのポートに設定され、トラフィックを特定のポートのセットに制限できません。
  • Microsoft Azure は、各 NSG が作成されると自動的にいくつかのデフォルトのルールを作成します。作成されるすべての NSG で、Microsoft Azure はいくつかのインバウンド ルールとアウトバウンド ルールを 65000 以上の優先度で作成します。このような Microsoft Azure のデフォルトのルールは、Microsoft Azure によって自動的に作成されるため、このドキュメント トピックでは説明しません。これらのデフォルトのルールの詳細については、Microsoft Azure ドキュメントのデフォルトのセキュリティ ルールトピックを参照してください。
  • これらの NSG で定義されている各ルールは、エンド ユーザーに仮想デスクトップを提供する VDI のユースケースなど、Horizon Cloud サブスクリプションの標準的なビジネス目的を実現するサービス フルフィルメントの一部であるポッド操作のポート トラフィックを提供することを目的としています。Horizon Cloud ポッドのポートとプロトコルの要件も参照してください。
  • ポッドを編集してファームおよび VDI デスクトップ 割り当てで使用するための追加のテナント サブネットを指定する場合、ポッド マネージャ仮想マシンのテナント サブネットに関連する NSG と Unified Access Gateway の仮想マシンの NIC のルールが更新され、追加のテナント サブネットが含まれるようになります。
  • VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストに対応する方法を一時的なジャンプ ボックス仮想マシンのデプロイであると判断した場合、この一時ジャンプ ボックスには一時ジャンプ ボックス リソース グループに NSG があります。この NSG は、サポート チームが終了したときにジャンプ ボックスのリソース グループが削除されると削除されます。

ポッド マネージャ仮想マシンのデプロイヤにより作成される NSG

ポッド マネージャ仮想マシンには 2 つの NIC があり、1 つは管理サブネットに接続され、もう 1 つはテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。

  • 管理 NIC には、名前が vmw-hcs-podUUID-mgmt-nsg というパターンの NSG があります。
  • テナント NIC には、名前が vmw-hcs-podUUID-tenant-nsg というパターンの NSG があります。

Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID というパターンのポッドのリソース グループにあります。

表 1. ポッド マネージャ仮想マシンの管理 NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション ルールの目的
受信 1000 AllowSshInBound 22 任意 管理サブネット 任意 許可 定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをポッドのマネージャ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには、事前にお客様の許可を得る必要があります。有効期間が短いジャンプ ボックス仮想マシンは、ポッド マネージャ仮想マシンのポート 22 への SSH 接続を使用して、この仮想マシンと通信します。日常的なポッド操作では、ポッド マネージャ仮想マシン上でポート 22 が使用可能である必要はありません。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowHttpsInBound 443 任意 管理サブネット 任意 許可 クラウド制御プレーンがポッド マネージャの REST API エンドポイントと安全に通信するため。
受信 1300 AllowApacheGeodeInBound 10334-10336、41000-41002、41100-41102、42000-42002 任意 管理サブネット 任意 許可 これらのポートは、ポッド マネージャ仮想マシン間でユーザー セッションおよび FileShare 関連の情報を複製するために使用されます。
受信 1400 AllowTelegrafInBound 9172 任意 管理サブネット 任意 許可 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。
受信 1500 AllowAgentJmsInBound 4001、4002 任意 管理サブネット 任意 許可 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
表 2. ポッド マネージャ仮想マシンのテナント NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 許可 このルールは、クライアント接続をポッドの Microsoft Azure ロード バランサにマッピングした FQDN に確立するように(VPN 経由など、企業ネットワークを介して)内部エンド ユーザーに指示する、一般的ではないシナリオを提供します。このシナリオは、直接ポッド接続と呼ばれることがあります。ポッド マネージャへのログイン認証要求の場合、Horizon Client と Horizon Web クライアントはポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1100 AllowAgentHttpsInBound

3443

8443

TCP テナント サブネット 任意 許可

この NIC の受信ポート 3443 は、ベース仮想マシン、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent によって使用され、ポッド マネージャで実行される App Volumes Manager サービスにアクセスします。

この NIC の受信ポート 8443 は、Unified Access Gateway インスタンスがポッド マネージャに確認するために使用されます。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。

受信 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork 任意 許可 コードの一貫性とメンテナンスの容易さのために、ポッド デプロイヤは常にこのルールをこの NSG に書き込みます。

ポッドの外部ゲートウェイがポッドとは別の独自の VNet にデプロイされている環境では、このルールは、ポッド マネージャに確認するために外部ゲートウェイの Unified Access Gateway インスタンスからの受信トラフィックをサポートします。ゲートウェイ インスタンスはこのエンドポイントを使用して、ポッド マネージャへの新しいクライアント接続要求の送信を確認します。

受信 1120 AllowUagHttpsInBound 8443 TCP 管理サブネット 任意 許可 このルールは、将来のサービス リリースで使用される予定です。
受信 1200 AllowAgentJmsInBound

4001

4002

TCP テナント サブネット 任意 許可

ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンの Horizon Agent はこれらのポートを使用します。

ポート 4001 は、仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)用です。

キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。
注: 定常状態の動作には、4001 と 4002 の両方が必要です。場合によっては、エージェントがポッドに再入力する必要があります。
受信 1210 AllowRouterJmsInBound 4101 TCP テナント サブネット 任意 許可 ポッドで高可用性 (HA) が有効になっている場合、このトラフィックはポッド マネージャ仮想マシン(node-1 および node-2)間の JMS ルーティングです。
受信 1300 AllowAgentUdpInBound 5678 UDP テナント サブネット 任意 許可 マニフェスト 1600 以降のポッドでは廃止されました。サービスの 2019 年 9 月のリリースでは、DaaS Agent がポッド マニフェスト 1600 時点の Horizon Agent に組み込まれました。以前は、このポート 5678 と UDP プロトコルは、DaaS Agent の使用をサポートするために使用されていました。
受信 1400 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

外部 Unified Access Gateway 仮想マシンのデプロイヤにより作成される NSG

外部 Unified Access Gateway 構成用の各仮想マシンには 3 つの NIC があり、それぞれ、管理サブネット、テナント サブネット、および DMZ サブネットに接続されています。デプロイヤは、これら 3 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。

  • 管理 NIC には、名前が vmw-hcs-ID-uag-management-nsg というパターンの NSG があります。
  • テナント NIC には、名前が vmw-hcs-ID-uag-tenant-nsg というパターンの NSG があります。
  • DMZ NIC には、名前が vmw-hcs-ID-uag-dmz-nsg というパターンの NSG があります。

Microsoft Azure 環境では、これらの NSG には、パターン vmw-hcs-ID-uag の名前が付けられます。ここで、ID は、コンソールのポッドの詳細ページに表示されるポッドの ID です。ただし、外部ゲートウェイがポッドの VNet とは別の専用の VNet にデプロイされている場合を除きます。外部のゲートウェイが専用の VNet にデプロイされている場合、ID は、ポッドの詳細ページに表示される [Deployment ID] 値になります。

表 3. 外部 Unified Access Gateway 仮想マシンの管理 NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound 9443 TCP 管理サブネット 任意 許可 サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowSshInBound 22 任意 管理サブネット 任意 許可 トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには、事前にお客様の許可を得る必要があります。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。
表 4. 外部 Unified Access Gateway 仮想マシンのテナント NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1400 AllowPcoipUdpInBound 任意 UDP テナント サブネット 任意 許可 このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 1000 AllowHttpsOutBound

443

8443

TCP 任意 テナント サブネット 許可

このルールは、ポッド マネージャへの新しいクライアント接続要求の目的でポッド マネージャ仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。

送信 1100 AllowBlastOutBound 22443 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。
送信 1200 AllowPcoipOutBound 4172 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。
送信 1300 AllowUsbOutBound 32111 TCP 任意 テナント サブネット 許可 このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。
送信 1400 AllowMmrOutBound 9427 TCP 任意 テナント サブネット 許可 このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。
送信 1500 AllowAllOutBound 任意 任意 任意 テナント サブネット 許可 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
表 5. 外部 Unified Access Gateway 仮想マシンの DMZ NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound

80

443

TCP インターネット 任意 許可 このルールは、Horizon Client および Horizon Web クライアントからの外部エンド ユーザーの受信トラフィックが、ポッド マネージャにログイン認証要求を要求することを規定します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1100 AllowBlastInBound

443

8443

任意 インターネット 任意 許可 このルールは、外部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1200 AllowPcoipInBound 4172 任意 インターネット 任意 許可 このルールは、外部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1300 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

内部 Unified Access Gateway 仮想マシンのデプロイヤにより作成される NSG

内部 Unified Access Gateway 構成用の各仮想マシンには 2 つの NIC があり、それぞれ、管理サブネットおよびテナント サブネットに接続されています。デプロイヤは、これら 2 つの NIC にそれぞれ特定の NSG を作成し、各 NSG を適切な NIC に関連付けます。

  • 管理 NIC には、名前が vmw-hcs-podUUID-uag-management-nsg というパターンの NSG があります。
  • テナント NIC には、名前が vmw-hcs-podUUID-uag-tenant-nsg というパターンの NSG があります。

Microsoft Azure 環境では、これらの NSG は名前が vmw-hcs-podUUID-uag-internal というパターンのポッドのリソース グループにあります。

表 6. 内部 Unified Access Gateway 仮想マシンの管理 NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowHttpsInBound 9443 TCP 管理サブネット 任意 許可 サービスが管理インターフェイスを使用してゲートウェイの管理設定を構成するため。Unified Access Gateway の製品ドキュメントで説明されているように、その管理インターフェイスはポート 9443/TCP にあります。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowSshInBound 22 任意 管理サブネット 任意 任意 トラブルシューティングに必要な場合、VMware が仮想マシンへの緊急アクセスを実行するため。緊急アクセスには、事前にお客様の許可を得る必要があります。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC からの送信トラフィックを拒否するためにデプロイヤによって追加されました。
表 7. 内部 Unified Access Gateway 仮想マシンのテナント NIC 上のデプロイヤにより作成された NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork 任意 許可 このルールは、Horizon Client および Horizon Web クライアントからの内部エンド ユーザーの受信トラフィックが、ポッド マネージャにログイン認証要求を要求することを規定します。デフォルトでは、Horizon Client および Horizon Web クライアントはこの要求にポート 443 を使用します。HTTPS ではなく HTTP をクライアントに入力するユーザーのための簡単なリダイレクト方法として、そのトラフィックはポート 80 に送信され、自動的にポート 443 にリダイレクトされます。
受信 1200 AllowBlastInBound

443

8443

任意 VirtualNetwork 任意 許可 このルールは、内部エンド ユーザーの Horizon Client から Blast トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1300 AllowPcoipInBound 4172 任意 VirtualNetwork 任意 許可 このルールは、内部エンド ユーザーの Horizon Client から PCoIP トラフィックを受信する Unified Access Gateway インスタンスをサポートします。
受信 1400 AllowPcoipUdpInBound 任意 UDP テナント サブネット 任意 許可 このルールは、Horizon Agent を操作する Unified Access Gateway の標準構成をサポートします。デスクトップ仮想マシンとファーム仮想マシンの Horizon Agent は、UDP を使用して PCoIP データを Unified Access Gateway インスタンスに送信します。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。
送信 1000 AllowHttpsOutBound

443

8443

TCP 任意 テナント サブネット 許可

このルールは、ポッドへの新しいクライアント接続要求の目的でポッド マネージャ仮想マシンと通信する Unified Access Gateway インスタンスをサポートします。

送信 1100 AllowBlastOutBound 22443 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent への Horizon Client Blast Extreme セッションのユースケースをサポートします。
送信 1200 AllowPcoipOutBound 4172 任意 任意 テナント サブネット 許可 このルールは、デスクトップ仮想マシンの Horizon Agent への Horizon Client PCoIP セッションのユースケースをサポートします。
送信 1300 AllowUsbOutBound 32111 TCP 任意 テナント サブネット 許可 このルールは、USB リダイレクト トラフィックのユースケースをサポートします。USB リダイレクトは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 32111 を使用します。
送信 1400 AllowMmrOutBound 9427 TCP 任意 テナント サブネット 許可 このルールは、マルチメディア リダイレクション (MMR) およびクライアント ドライバ リダイレクション (CDR) トラフィックのユースケースをサポートします。これらのリダイレクションは、デスクトップ仮想マシンまたはファーム仮想マシンのエージェント オプションです。そのトラフィックは、デスクトップ仮想マシンまたはファーム仮想マシンの Horizon Agent へのエンドユーザー クライアント セッションにポート 9427 を使用します。
送信 1500 AllowAllOutBound 任意 任意 任意 テナント サブネット 許可 複数のユーザー セッションをサポートする仮想マシンで実行している場合、Horizon Agent はセッションの PCoIP トラフィックに使用するさまざまなポートを選択します。これらのポートは事前に決定できないため、特定のポートに名前を付けてそのトラフィックを許可する NSG ルールを事前に定義することはできません。したがって、優先度 1200 のルールと同様に、このルールは、そのような仮想マシンとの複数の Horizon Client PCoIP セッションのユースケースをサポートします。
送信 3000 DenyAllOutBound 任意 任意 任意 任意 拒否 この NIC の送信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

外部ゲートウェイが専用の VNet にデプロイされている場合のゲートウェイ コネクタ仮想マシンのデプロイヤが作成した NSG

ゲートウェイ コネクタ仮想マシンには 1 つの NIC があります。この NIC は、外部ゲートウェイの VNet の管理サブネットに接続されています。デプロイヤは単一の NSG を作成し、その NSG を NIC と関連付けます。デフォルトでは、ゲートウェイ コネクタの管理 NIC 用にデプロイヤで作成された NSG には、ポッド マネージャ仮想マシン用にデプロイヤで作成された NSG と同じルールがあります。

表 8. 外部ゲートウェイのコネクタ仮想マシンの管理 NIC でデプロイヤが作成した NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 1000 AllowSshInBound 22 任意 管理サブネット 任意 許可 定常状態の運用中に VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストのトラブルシューティング方法は SSH 通信用のジャンプ ボックス仮想マシンをゲートウェイ コネクタ仮想マシンにデプロイすることであると判断した場合、この NSG ルールはそのユースケースをサポートします。緊急アクセスには、事前にお客様の許可を得る必要があります。有効期間の短いジャンプ ボックス仮想マシンは、ゲートウェイ コネクタ仮想マシンのポート 22 への SSH 接続を使用して、この仮想マシンと通信します。日常的なポッド操作では、ゲートウェイ コネクタ仮想マシン上でポート 22 が使用可能である必要はありません。
受信 1100 AllowAzureInBound 任意 任意 168.63.129.16 任意 許可 前の「一般的な事実」セクションおよび Microsoft Azure ドキュメントのトピックIP アドレス 168.63.129.16 について」で説明するように、仮想マシンが Microsoft Azure プラットフォームからの受信通信を受け付けるようにするため。
受信 1200 AllowHttpsInBound 443 任意 管理サブネット 任意 許可 クラウド制御プレーンがゲートウェイ コネクタの REST API エンドポイントと安全に通信するため。
受信 1300 AllowApacheGeodeInBound 10334-10336、41000-41002、41100-41102、42000-42002 任意 管理サブネット 任意 許可 これらのポートは、ポッド マネージャ仮想マシンおよびゲートウェイ コネクタ仮想マシン上でユーザー セッションおよび FileShare 関連の情報を複製するために使用されます。
受信 1400 AllowTelegrafInBound 9172 任意 管理サブネット 任意 許可 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。
受信 1500 AllowAgentJmsInBound 4001、4002 任意 管理サブネット 任意 許可 廃止されました。この NSG は Horizon インフラストラクチャの監視機能で使用されていましたが、VMware ナレッジベースの記事 KB93762 で説明されているように、この機能は廃止されました。
受信 3000 DenyAllInBound 任意 任意 任意 任意 拒否 この NIC の受信トラフィックを前の行のアイテムに制限するためにデプロイヤによって追加されました。

一時ジャンプ ボックス仮想マシンのデプロイヤが作成した NSG

VMware に対してサポート リクエストを発行し、サポート チームがそのリクエストに対応する方法を一時的なジャンプ ボックス仮想マシンのデプロイであると判断した場合、この一時ジャンプ ボックスには一時ジャンプ ボックス リソース グループに NSG があります。この NSG は、サポート チームがこのような作業を完了したときにジャンプ ボックスのリソース グループが削除されると削除されます。緊急アクセスには、事前にお客様の許可を得る必要があります。

表 9. 一時ジャンプ ボックス仮想マシンの管理 NIC でサービスが作成した NSG ルール
方向 優先順位 名前 ポート プロトコル ソース 送信先 アクション 目的
受信 100 AllowSSHInBound 22 任意 管理サブネット 管理サブネット 許可 サービス リクエストに対する VMware のサポート チームの調査に関わる VMware 管理対象アプライアンスへの SSH 通信用。一時ジャンプ ボックス仮想マシンは、SSH とポート 22 を使用して通信します。
注: クラウド制御プレーンがポッドへのアクセスを失った場合、サポート チームはパブリック IP アドレスを持つ緊急ジャンプ ボックスをデプロイしてポッドへのアクセスを確立する場合があります。このシナリオでは、このルールに Source=Any と Destination=Any が必要です。
送信 100 AllowSSHOutbound 22 TCP 管理サブネット 管理サブネット 許可 ジャンプ ボックス仮想マシンによる指定された機能の実行用。
送信 101 AllowHttpsOutbound 443 TCP 管理サブネット 任意 許可 ジャンプ ボックス仮想マシンが、Microsoft Azure CLI(コマンド ライン インターフェイス)など、外部に配置された特定のソフトウェア コンポーネントをダウンロードして、設計された機能を実行するため。
送信 102 AllowHttpOutbound 80 TCP 管理サブネット 任意 許可 ジャンプ ボックス仮想マシンが、Ubuntu ソフトウェア アップデートなど、外部に配置された特定のソフトウェア コンポーネントをダウンロードして、設計された機能を実行するため。
送信 103 AllowUagOutbound 9443 TCP 管理サブネット 管理サブネット 許可 ジャンプ ボックス仮想マシンが、ゲートウェイの管理インターフェイスを使用してゲートウェイ管理設定に関連する設計された機能を実行するため。
送信 104 AllowDnsOutbound 53 任意 管理サブネット 任意 許可 ジャンプ ボックス仮想マシンが DNS サービスにアクセスするため。
送信 105 AllowHttpProxyOutbound 任意 TCP 任意 任意 許可 ポッドのデプロイが、プロキシ ポートが 80 以外のプロキシを使用するように構成されている場合、一時的なジャンプ ボックス デプロイヤは、この NSG にこのルールを作成します。このルールは、このようなプロキシ環境で一時的なジャンプ ボックスをサポートします。

ポッド デプロイの構成でプロキシが指定されていないか、プロキシ ポート 80 で指定されている場合、このルールはこの NSG に表示されません。

送信 1000 DenyAllOutBound 任意 TCP 任意 任意 拒否 この TCP を使用する NIC の送信トラフィックを前の行のアイテムに制限します。