第 1 世代の Horizon Cloud on Microsoft Azure デプロイの Day-0 以降を成功させるには、このドキュメント ページで説明するホスト名が解決可能であり、このページに記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。
このページについて
次世代と第 1 世代のどちらの環境を使用しているかは、環境にログインし、Horizon Universal Console ラベルに表示されるブラウザの URL フィールドのパターンで確認することができます。次世代環境の場合、コンソールの URL アドレスには /hcsadmin/ のような部分が含まれます。第 1 世代コンソールの URL の場合は、異なるセクション (/horizonadmin/) があります。
簡単な紹介
このページに「DNS 名」という語句と「ホスト名」という語句が含まれている理由は、DNS が、これらのホスト名間の通信を行うためにホスト名を解決するためのネットワーク標準であるためです。
ホスト名とは、特定のネットワーク上のマシン インスタンスに割り当てられた一意の名前のことです。ソフトウェア ネットワーク業界で説明されているように、システムは DNS (Domain Name System) を使用して、通信目的でホスト名を IP アドレスに解決します。
ポッドのデプロイ プロセスでは、デプロイされたインスタンスが、このページで説明するホスト名 (DNS 名) に対して、デプロイで選択した VNet を介してネットワーク通信を行う必要があります。
ポッドがサブスクリプションに正常にデプロイされると、新しいソフトウェアが利用可能になったときにポッドのソフトウェアを更新するポッドの更新プロセスと同様に、さまざまな日常のサービス操作で特定のホスト名へのネットワーク アクセスが必要になります。
このページでは、要件について説明します。このページでは、DNS 名という語句とホスト名という語句を同じ意味で使用する場合があります。
いくつかの全体的なキー ポイント
- これらの必要な DNS 名について
-
Horizon Cloud ポッドをデプロイして実行するには、Microsoft Azure VNet を介した特定の DNS アドレスへのネットワーク アクセスが必要です。ポッド デプロイヤを機能させるには、これらのアドレスへのネットワーク アクセスを許可するようにファイアウォールを構成する必要があります。各 DNS アドレスの目的を次の表に示します。
VNet の DNS 構成では、これらの DNS アドレスへのネットワーク通信を許可するほかに、この記事の説明に従って名前を解決する必要があります。
ポッド マネージャの VNet とは別の専用の VNet に外部ゲートウェイをデプロイするオプションを選択する場合、その VNet のサブネットは、ポッド マネージャの VNet の管理サブネットと同じ DNS 要件を満たす必要があります。
ポッド デプロイヤとそのワークフローに加えて、さまざまなサービス機能は、エンドツーエンドで動作するために特定の DNS アドレスへのアクセスを必要とします。これらの DNS 名は、次の表にも記載されています。
これらの DNS 名の一部には、地域の要素があります。
ポッドで Horizon インフラストラクチャの監視 を有効にすると、ポッド マネージャの VNet および管理サブネットで Horizon Edge 仮想アプライアンス が自動的にインスタンス化されます。Horizon Edge 仮想アプライアンス には、独自の DNS 名の要件があります。したがって、ポッドで Horizon インフラストラクチャの監視 を有効にする前に、次の表に示す Horizon Edge 仮想アプライアンス の DNS 要件を満たしていることを確認してください。
VMware エコシステム内の緊密な連携で説明されているように、Horizon Cloud は、幅広い VMware エコシステムから入手可能な他の製品と併用できます。これらの他の製品には、追加の DNS 要件がある場合があります。このような追加の DNS 要件については、ここでは詳しく説明しません。このような DNS 要件については、ポッドと統合する特定の製品のドキュメント セットを参照してください。
- ポッドのデプロイ後の、サービス関連の継続的な運用のためのポートおよびプロトコルについて
- ポッドが正常にデプロイされたら、 Horizon Cloud の継続的な運用のためには特定のポートおよびプロトコルが必要です。詳細については、 Horizon Cloud ポッド - ポートとプロトコルの要件を参照してください。
第 1 世代テナント - 地域別の制御プレーンの DNS 名
「Horizon Service へようこそ」E メールには、自分のテナント アカウントがどの地域の制御プレーン インスタンスで作成されたかが示されます。「ようこそ」E メールが送信されたときに存在していた既知の問題により、受信した E メールには判読可能な名前ではなく、リージョンで使用されているシステム文字列名が表示されることがあります。「ようこそ」E メールにシステム文字列の名前が表示されている場合は、次の表を使用して、E メールに表示される文字列と地域別制御プレーンの DNS 名を関連付けることができます。
| 「ようこそ」E メール内の記載 | 地域別の DNS 名 |
|---|---|
USA |
cloud.horizon.vmware.com |
EU_CENTRAL_1 または Europe |
cloud-eu-central-1.horizon.vmware.com |
AP_SOUTHEAST_2 または Australia |
cloud-ap-southeast-2.horizon.vmware.com |
PROD1_NORTHCENTRALUS2_CP1 または USA-2 |
cloud-us-2.horizon.vmware.com |
PROD1_NORTHEUROPE_CP1 または Europe-2 |
cloud-eu-2.horizon.vmware.com |
PROD1_AUSTRALIAEAST_CP1 または Australia-2 |
cloud-ap-2.horizon.vmware.com |
Japan |
cloud-jp.horizon.vmware.com |
UK |
cloud-uk.horizon.vmware.com |
Europe-3 |
cloud-de.horizon.vmware.com |
次の表に記載されている Horizon Edge 仮想アプライアンス の地域別の DNS アドレスの場合、これらのアドレスは地域別の制御プレーンの DNS 名と同じ地域を使用します。
ポッドの全体的なデプロイ プロセス、ポッドの更新、各種サービス機能の有効化、および継続的な運用に関するホスト名、DNS の要件
サービスの機能をエンドツーエンドで正しく使用するには、次のホスト名が解決可能であり、次の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。特定のホスト名にアクセスできる必要があるサービス機能には、次のようなものがあります。
- ポッド マネージャ ベースのポッドを Microsoft Azure サブスクリプションに自動的にデプロイするポッド デプロイヤ
- ポッドのソフトウェアをより新しいソフトウェア バージョンに更新するポッド更新機能
- Marketplace からのインポート ウィザードを使用するイメージのインポート プロセス
- 自動エージェント更新 (AAU) などのエージェント関連機能
- Universal Broker
- Horizon インフラストラクチャの監視 およびその Horizon Edge 仮想アプライアンス
- クラウド管理サービス (CMS) に関連する機能
- 特にポッドのデプロイ、ポッドの更新、およびポッドでの Horizon インフラストラクチャの監視 の有効化の場合
-
次のホスト名が解決可能であり、次の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。これらのワークフローで使用されるアプライアンスは、特定の送信ポートを使用して、これらのプロセスに必要なソフトウェアを Microsoft Azure 環境に安全にダウンロードします。これらの DNS 名は、適切なワークフロー関連アプライアンスがクラウドの制御プレーンと通信するためにも使用されます。
新しいポッドのデプロイの場合、ネットワーク ファイアウォール、ネットワーク セキュリティ グループ (NSG) ルール、およびプロキシ サーバを構成する必要があります。これにより、主要なデプロイ関連アプライアンスは、必要なポートで DNS アドレスにアクセスできます。そうしないと、ポッドのデプロイ プロセスは失敗します。
ポッドで Horizon インフラストラクチャの監視 を有効にすると、そのポッドのポッド マネージャ アプライアンスと同じ VNet および管理サブネットに Horizon Edge 仮想アプライアンス がインスタンス化されます。ネットワーク ファイアウォール、NSG ルール、およびプロキシ サーバを、Horizon Edge 仮想アプライアンス が必要なポートでホスト名に接続できるように構成する必要があります。そうしないと、そのアプライアンスのデプロイは失敗します。
注: 現在、必要な packages.cloud.google.com サイトへのアクセスは Azure China リージョンから許可されていないため、 Horizon インフラストラクチャの監視は Azure China リージョンの Horizon Cloud on Microsoft Azure ポッドでは使用できません。Horizon インフラストラクチャの監視は現在、プロキシが構成されているポッドでは使用できません。この機能の Horizon Edge 仮想アプライアンス でプロキシを使用するシナリオは認定されていません。
- 外部ゲートウェイを専用の VNet にデプロイする機能を使用している場合
- その VNet の管理サブネットは、ポッドの VNet の管理サブネットについて以下の表に記載されているものと同じ DNS 要件を満たしている必要があります。外部ゲートウェイ VNet のバックエンド サブネットと DMZ サブネットには、特定の DNS 要件はありません。
- 外部ゲートウェイ、内部ゲートウェイ、またはその両方を使用してポッドをデプロイする場合
- ポッド デプロイヤがこれらのゲートウェイ構成で構成する証明書をアップロードする必要があります。この目的で提供する 1 つまたは複数の証明書が、特定の DNS 名を参照する CRL(証明書失効リスト)または OCSP(オンライン証明書ステータス プロトコル)の設定を使用する場合、次に、それらの DNS 名への VNet 上のアウトバウンド インターネット アクセスが解決可能で到達可能であることを確認する必要があります。 Unified Access Gateway ゲートウェイ構成で提供された証明書を構成するときに、 Unified Access Gateway ソフトウェアはこれらの DNS 名にアクセスして、証明書の失効ステータスを確認します。これらの DNS 名にアクセスできない場合、ポッドのデプロイは 接続中フェーズにおいて失敗します。これらの名前は、証明書の取得に使用した CA に大きく依存しているため、VMware のコントロールには含まれません。
テナント全体に適用される新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件
次の表に、テナント全体に適用できる新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件を示します。
Horizon インフラストラクチャの監視 のアクティベーションと Horizon Edge 仮想アプライアンス の DNS 要件については、この後のセクションを参照してください。Horizon インフラストラクチャの監視 機能はオプションでポッドごとに有効にされるため、そのホスト名要件は独自の記述テーブルを保証します。
2021 年の初めより、サービスの地域別制御プレーン インスタンスにアップグレードした結果、どの地域別制御プレーン インスタンスにおいても d1mes20qfad06k.cloudfront.net DNS 名は不要になりました。すべての地域別制御プレーン インスタンスで、hydra-softwarelib-cdn.azureedge.net DNS 名が使用されるようになりました。次の表は、現状に合わせた内容になっています。
| サブネット ソース | ターゲット (DNS 名) | ポート | プロトコル | プロキシ トラフィック(デプロイで構成されている場合) | 目的 |
|---|---|---|---|---|---|
| 管理 | Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。
|
443 | TCP | はい | 地域別制御プレーンのインスタンス
|
| 管理 | softwareupdate.vmware.com | 443 | TCP | はい | VMware ソフトウェア パッケージ サーバ。システムのイメージに関連する操作で使用されているエージェントに関連するソフトウェアの更新をダウンロードするために使用します。 |
| 管理 | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | いいえ ポッド マネージャと Unified Access Gateway バイナリ マニフェストはここに保存され、ここから提供されます。これらのマニフェストは、ポッドとゲートウェイのデプロイおよびアップグレード時にのみ使用されます。このエンドポイントへのこの接続は、プロキシ経由ではなく直接行われるように構成されます。 |
Horizon Cloud コンテンツ配信サーバ。管理サブネットでは、このサイトは、ポッド インフラストラクチャで使用される必要なバイナリをダウンロードするサービスによって使用されます。 |
| 管理 | packages.microsoft.com | 443 および 11371 | TCP | いいえ このサイトは、アプリケーションおよびサービスの外部にあります。したがって、接続は構成されたプロキシを使用しません。 このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure エンドポイントであり、接続は Microsoft Azure クラウド スペース内で直接行われます。 |
Microsoft ソフトウェア パッケージ サーバ。Microsoft Azure コマンド ライン インターフェイス (CLI) ソフトウェアを安全にダウンロードするために使用します。 |
| 管理 | azure.archive.ubuntu.com | 80 | TCP | いいえ このサイトは、アプリケーションおよびサービスの外部にあります。したがって、接続は構成されたプロキシを使用しません。 このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure エンドポイントであり、接続は Microsoft Azure クラウド スペース内で直接行われます。 |
Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用にポッド関連の Linux ベースの仮想マシンによって使用されます。 |
| 管理 | api.snapcraft.io | 443 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトから Ubuntu オペレーティング システムの更新を取得するように構成されています。 |
| 管理 | archive.ubuntu.com | 80 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトから Ubuntu オペレーティング システムの更新を取得するように構成されています。 |
| 管理 | changelogs.ubuntu.com | 80 | TCP | いいえ このサイトは、アプリケーションおよびサービスの外部にあります。したがって、接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトを使用して Ubuntu オペレーティング システムの更新を追跡するように構成されています。 |
| 管理 | security.ubuntu.com | 80 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトを使用してセキュリティ関連の Ubuntu オペレーティング システムの更新を実行するように構成されています。 |
| 管理 | esm.ubuntu.com | 80 および 443 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトを使用して、Ubuntu ベース OS およびスケールアウト インフラストラクチャ内の高度で重大な CVE (Common Vulnerabilities and Exposures) に対するセキュリティ更新を追跡するように構成されています。 |
| 管理 | ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
|
443 | TCP | はい | この Web アドレスは通常、アプリケーションによって Microsoft Azure サービスを認証するために使用されます。Microsoft Azure ドキュメントでの関連する説明については、「OAuth 2.0 承認コード フロー」、「Azure Active Directory v2.0 および OpenID Connect プロトコル」、および「National Clouds」を参照してください。「National Clouds」のトピックでは、各 Microsoft Azure National Cloud に対応する Azure AD 認証エンドポイントの相違点について説明します。 |
| 管理 | ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
|
443 | TCP | はい | Microsoft Azure Resource Manager エンドポイントへのポッド API リクエストで、Microsoft Azure Resource Manager サービスを使用するために使用されます。Microsoft Azure Resource Manager は、Azure PowerShell、Azure CLI、Azure ポータル、REST API、およびクライアント SDK を通じてタスクを実行するための一貫した管理レイヤーを提供します。 |
| 管理 | ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
|
443 | TCP | はい | Azure Active Directory (Azure AD) Graph API へのアクセス。これは、OData REST API エンドポイントを介した Azure Active Directory (Azure AD) へのポッドによるプログラム アクセスに使用されます。 |
| 管理 | ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされている場合は、以下のいずれかになります。
ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされていない場合は、データベースのホスト名を使用できます。この名前は、*.postgres.database.azure.com のパターンに従います。 |
5432 | TCP | いいえ このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure PostgreSQL データベース サービスです。接続は、Microsoft Azure クラウド スペース内で直接行われます。 |
この Horizon Cloud on Microsoft Azure デプロイ用に構成された Microsoft Azure PostgreSQL データベース サービスへのポッド通信に使用されます。 セキュリティ グループ内のサービス タグの詳細については、サービス タグにある Microsoft Azure ドキュメントのトピックを参照してください。 |
| 管理 | Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。
|
443 | TCP | はい | Universal Broker サービスのリージョン インスタンス
|
| 管理 | Horizon Cloud アカウントにどの地域別制御プレーンが適用されているかに応じて異なります。
|
443 | TCP | はい | Cloud Monitoring Service (CMS) |
| テナント | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | いいえ | Horizon Cloud コンテンツ配信サーバ。テナント サブネットでは、このサイトは、システムの自動化された [Marketplace からのイメージのインポート] ワークフローやエージェント ペアリング ワークフローに関連するプロセスを含む、さまざまなシステム イメージ関連のプロセスによって使用されます。 |
| テナント | scapi.vmware.com | 443 | TCP | いいえ | VMware Service Usage Data Program に使用される VMware Cloud Services。テナント サブネットから送信される場合、ポッド プロビジョニングされたデスクトップ インスタンスおよびファーム サーバ インスタンスの Horizon Agent は、エージェント関連の構成情報を送信します。 |
VMware システム監視の必須要件 - monitor.horizon.vmware.com
このセクションで説明する必須要件により、VMware 監視システムは、Horizon Cloud on Microsoft Azure 環境の管理サブネット、テナント サブネット、および DMZ サブネットにデプロイされている VMware 管理対象インスタンスのセキュリティ イベントを検出できます。
Horizon Cloud on Microsoft Azure 環境の場合、VMware は、ポッド マネージャ インスタンス、Unified Access Gateway インスタンス、App Volumes に関連する Azure ファイル、Azure PostgreSQL サービス、Horizon Edge 仮想アプライアンス、およびトラブルシューティングで必要な場合はサポート関連のジャンプ ボックス インスタンスなどのリソースを制御および管理します。
デプロイされたインスタンスに対する VMware の管理責任には、これらのインスタンスの必須の VMware システム監視が必要です。
この必須の VMware システム監視は、次に説明する要件を満たす必要があります。
大まかに説明すると、デプロイのインスタンスは、ポート 1514/TCP および 1515/TCP でホスト名 monitor.horizon.vmware.com に送信で到達する必要があります。
- ネットワークで SSL インスペクションが有効になっている場合に適用される要件
- ネットワークで SSL インスペクションが有効になっている場合は、ホスト monitor.horizon.vmware.com を除外するように指定する必要があります。
- 環境に内部ゲートウェイ構成がある場合に適用される要件
-
ナレッジベースの記事 KB90145 のすべての手順と情報に従って、内部ゲートウェイ構成の送信通信を確立する必要があります。最後にある注意事項を含め、ナレッジベース記事のすべての説明に従ってください。
さらに送信通信にプロキシまたはファイアウォールを使用する場合は、送信通信にプロキシまたはファイアウォールを使用する場合に適用可能な次の要件を満たす必要があります。
- 送信通信にプロキシまたはファイアウォールを使用している場合に適用される要件
-
送信通信にプロキシまたはファイアウォールを使用する場合は、次のようにプロキシまたはファイアウォールで通信を許可する必要があります。
- 商用環境 - 1514/TCP および 1515/TCP でホスト名 monitor.horizon.vmware.com を許可
- 米国連邦環境 - VMware Federal Support でケースを開き、監視システムのホスト名を要求してください。
このような環境では、次のソースに対して前述の通信を許可する必要があります。
- 管理 - ポッド マネージャ インスタンス
- DMZ - 外部ゲートウェイ構成の Unified Access Gateway インスタンス
- テナント - 内部ゲートウェイ構成の Unified Access Gateway インスタンス
注: 環境に内部ゲートウェイ構成がある場合は、内部ゲートウェイ構成に適用可能な前述の要件である、 ナレッジベースの記事 KB90145の手順を満たす必要があります。
第 1 世代 - Horizon インフラストラクチャの監視 - DNS 要件
第 1 世代の Horizon Cloud テナントのポッドで Horizon インフラストラクチャの監視 を有効にすると、Microsoft Azure サブスクリプションで Linux ベースの Horizon Edge 仮想アプライアンス がインスタンス化されます。Horizon Edge 仮想アプライアンス は、ポッドの管理サブネット(ポッドのポッド マネージャ アプライアンスと同じ管理サブネット)上の NIC を使用してポッドのサブスクリプションにデプロイされます。次の表に、この仮想アプライアンスに関連する目的を示します。
uk の DNS 名がありません。リリース ノートに記載されているように、この
Horizon インフラストラクチャの監視 機能は
uk 制御プレーンでは使用できません。
Horizon インフラストラクチャの監視は現在、プロキシが構成されているポッドでは使用できません。この機能の Horizon Edge 仮想アプライアンス でプロキシを使用するシナリオは認定されていません。
| サブネット ソース | ターゲット (DNS 名) | ポート/プロトコル | 目的 |
|---|---|---|---|
| 管理 |
|
80 および 443 / TCP | Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用に Linux ベースのアプライアンスによって使用されます。 |
| 管理 | esm.ubuntu.com | 80 および 443 / TCP | Ubuntu ソフトウェア パッケージ サーバ。Ubuntu ベースの OS およびスケールアウト インフラストラクチャにおける、高 (High) および重大 (Critical) の CVE (Common Vulnerabilities and Exposures) に対するセキュリティ アップデートを追跡するために、Linux ベースのアプライアンスによって使用されます。 |
| 管理 |
|
443 / TCP | Azure BLOB ストレージへのプログラム アクセスに使用されます。 アプライアンスのモジュールが必要とする DNS アドレスから Docker イメージをダウンロードするために使用されます。 |
| 管理 | *.Azure-devices.net、またはテナント アカウントに適用される地域別制御プレーンに対応した、以下の地域固有の名前のいずれか。 北米:
ヨーロッパ:
オーストラリア:
日本:
|
443 / TCP | アプライアンスを Horizon Cloud 制御プレーンに接続し、アプライアンスのモジュールの構成をダウンロードし、アプライアンスのモジュールのランタイム ステータスを更新するために使用されます。 |
| 管理 |
|
443 / TCP | アプライアンスに必要な Docker バイナリと Kubernetes バイナリをダウンロードするために使用されます。
重要: 2023 年 4 月 17 日の時点で、アプライアンスの Kubernetes ネットワークで使用される WeaveNet 構成をダウンロードするために必要な URL がこのリストに追加されました。
YAML ファイルは、リリースごとに決定される特定のリリース番号を含む特定のパスに存在することに注意してください。このドキュメントが執筆されている 2023 年 4 月 17 日の時点では、パスのリリース部分は v2.8.1 で、この表の [宛先] 列に反映されています。この YAML ファイルの更新されたバージョンが将来リリースされ、特定のファイル パスが時間の経過とともに更新される可能性があるため、リリース番号が宛先パスでコード化されています。 |
| 管理 | テナント アカウントにどの地域別制御プレーンが適用されているかに応じて異なります。 北米:
ヨーロッパ:
オーストラリア:
日本:
|
443 / TCP | アプライアンスによって収集されたポッド監視データを Horizon Cloud 制御プレーンに送信するために使用されます。 |
| 管理 | ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされている場合は、Azure サービス タグ AzureCloud を適用します。 ファイアウォールまたは NSG がサービス タグの使用をサポートしていない場合は、ホスト名を使用します。
|
1514 および 1515 / TCP | システム監視に使用 |
アクティブなサポート リクエストに必要な場合は、一時的なジャンプ ボックス ポートとプロトコル
VMware にサポート リクエストを発行し、サポート チームがそのリクエストを処理する方法として、VMware が管理するアプライアンスとの SSH 通信用の一時的なジャンプ ボックス仮想マシンをデプロイすることを決めた場合、そのジャンプ ボックスにはここで説明するポートとプロトコルが必要です。
サポート関連のジャンプ ボックス デプロイの権限がお客様から要求されます。VMware サポート チームは、サポート状況に応じて必要な情報をお客様に通知します。
このサポート関連のジャンプ ボックス仮想マシンは、次の宛先への送信元として通信するように設計されています。
- SSH およびポート 22 を使用するポッドのポッド マネージャ仮想マシンのポート 22。
- HTTPS を使用する Unified Access Gateway 仮想マシンのポート 9443。
- 外部ゲートウェイが専用の VNet にデプロイされている環境で、SSH を使用するゲートウェイ コネクタ仮想マシンのポート 22。
- Horizon インフラストラクチャの監視 が構成されている環境で、SSH を使用する Horizon Edge 仮想アプライアンス のポート 22。
これらの仮想マシンには IP アドレスが動的に割り当てられているため、次のネットワーク ルールを使用して、説明されている通信を行うことができます。サポート リクエスト活動中は、サポート関連のジャンプ ボックス デプロイの要件について、VMware のサポートからのガイダンスと監督を受けるようにしてください。
- 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:22、接続元ポート:任意、プロトコル:TCP)。
- 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:9443、接続元ポート:任意、プロトコル:TCP、Unified Access Gateway 構成が関係する場合)。
