第 1 世代の Horizon Cloud on Microsoft Azure デプロイの Day-0 以降を成功させるには、このドキュメント ページで説明するホスト名が解決可能であり、このページに記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。
このページについて
VMware ナレッジベースの記事 KB93762 で説明されているように、Horizon インフラストラクチャの監視機能は廃止されました。2023 年 10 月の時点で、廃止された機能に関連するポートとプロトコルの情報はこのページから削除されました。
次世代と第 1 世代のどちらの環境を使用しているかは、環境にログインし、Horizon Universal Console ラベルに表示されるブラウザの URL フィールドのパターンで確認することができます。次世代環境の場合、コンソールの URL アドレスには /hcsadmin/ のような部分が含まれます。第 1 世代コンソールの URL の場合は、異なるセクション (/horizonadmin/) があります。
簡単な紹介
このページに「DNS 名」という語句と「ホスト名」という語句が含まれている理由は、DNS が、これらのホスト名間の通信を行うためにホスト名を解決するためのネットワーク標準であるためです。
ホスト名とは、特定のネットワーク上のマシン インスタンスに割り当てられた一意の名前のことです。ソフトウェア ネットワーク業界で説明されているように、システムは DNS (Domain Name System) を使用して、通信目的でホスト名を IP アドレスに解決します。
ポッドのデプロイ プロセスでは、デプロイされたインスタンスが、このページで説明するホスト名 (DNS 名) に対して、デプロイで選択した VNet を介してネットワーク通信を行う必要があります。
ポッドがサブスクリプションに正常にデプロイされると、新しいソフトウェアが利用可能になったときにポッドのソフトウェアを更新するポッドの更新プロセスと同様に、さまざまな日常のサービス操作で特定のホスト名へのネットワーク アクセスが必要になります。
このページでは、要件について説明します。このページでは、DNS 名という語句とホスト名という語句を同じ意味で使用する場合があります。
いくつかの全体的なキー ポイント
- これらの必要な DNS 名について
-
Horizon Cloud ポッドをデプロイして実行するには、Microsoft Azure VNet を介した特定の DNS アドレスへのネットワーク アクセスが必要です。ポッド デプロイヤを機能させるには、これらのアドレスへのネットワーク アクセスを許可するようにファイアウォールを構成する必要があります。各 DNS アドレスの目的を次の表に示します。
VNet の DNS 構成では、これらの DNS アドレスへのネットワーク通信を許可するほかに、この記事の説明に従って名前を解決する必要があります。
ポッド マネージャの VNet とは別の専用の VNet に外部ゲートウェイをデプロイするオプションを選択する場合、その VNet のサブネットは、ポッド マネージャの VNet の管理サブネットと同じ DNS 要件を満たす必要があります。
ポッド デプロイヤとそのワークフローに加えて、さまざまなサービス機能は、エンドツーエンドで動作するために特定の DNS アドレスへのアクセスを必要とします。これらの DNS 名は、次の表にも記載されています。
これらの DNS 名の一部には、地域の要素があります。
VMware エコシステム内の緊密な連携で説明されているように、Horizon Cloud は、幅広い VMware エコシステムから入手可能な他の製品と併用できます。これらの他の製品には、追加の DNS 要件がある場合があります。このような追加の DNS 要件については、ここでは詳しく説明しません。このような DNS 要件については、ポッドと統合する特定の製品のドキュメント セットを参照してください。
- ポッドのデプロイ後の、サービス関連の継続的な運用のためのポートおよびプロトコルについて
- ポッドが正常にデプロイされたら、 Horizon Cloud の継続的な運用のためには特定のポートおよびプロトコルが必要です。詳細については、 第 1 世代テナント - Horizon Cloud ポッド - ポートとプロトコルの要件を参照してください。
第 1 世代テナント - 地域別の制御プレーンの DNS 名
「Horizon Service へようこそ」E メールには、自分のテナント アカウントがどの地域の制御プレーン インスタンスで作成されたかが示されます。「ようこそ」E メールが送信されたときに存在していた既知の問題により、受信した E メールには判読可能な名前ではなく、リージョンで使用されているシステム文字列名が表示されることがあります。「ようこそ」E メールにシステム文字列の名前が表示されている場合は、次の表を使用して、E メールに表示される文字列と地域別制御プレーンの DNS 名を関連付けることができます。
「ようこそ」E メール内の記載 | 地域別の DNS 名 |
---|---|
USA |
cloud.horizon.vmware.com |
EU_CENTRAL_1 または Europe |
cloud-eu-central-1.horizon.vmware.com |
AP_SOUTHEAST_2 または Australia |
cloud-ap-southeast-2.horizon.vmware.com |
PROD1_NORTHCENTRALUS2_CP1 または USA-2 |
cloud-us-2.horizon.vmware.com |
PROD1_NORTHEUROPE_CP1 または Europe-2 |
cloud-eu-2.horizon.vmware.com |
PROD1_AUSTRALIAEAST_CP1 または Australia-2 |
cloud-ap-2.horizon.vmware.com |
Japan |
cloud-jp.horizon.vmware.com |
UK |
cloud-uk.horizon.vmware.com |
Europe-3 |
cloud-de.horizon.vmware.com |
ポッドの全体的なデプロイ プロセス、ポッドの更新、各種サービス機能の有効化、および継続的な運用に関するホスト名、DNS の要件
サービスの機能をエンドツーエンドで正しく使用するには、次のホスト名が解決可能であり、次の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。特定のホスト名にアクセスできる必要があるサービス機能には、次のようなものがあります。
- ポッド マネージャ ベースのポッドを Microsoft Azure サブスクリプションに自動的にデプロイするポッド デプロイヤ
- ポッドのソフトウェアをより新しいソフトウェア バージョンに更新するポッド更新機能
- Marketplace からのインポート ウィザードを使用するイメージのインポート プロセス
- 自動エージェント更新 (AAU) などのエージェント関連機能
- Universal Broker
- Cloud Monitoring Service (CMS) に関連する機能
- 特にポッドのデプロイとポッドの更新の場合
-
次のホスト名が解決可能であり、次の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。これらのワークフローで使用されるアプライアンスは、特定の送信ポートを使用して、これらのプロセスに必要なソフトウェアを Microsoft Azure 環境に安全にダウンロードします。これらの DNS 名は、適切なワークフロー関連アプライアンスがクラウドの制御プレーンと通信するためにも使用されます。
新しいポッドのデプロイの場合、ネットワーク ファイアウォール、ネットワーク セキュリティ グループ (NSG) ルール、およびプロキシ サーバを構成する必要があります。これにより、主要なデプロイ関連アプライアンスは、必要なポートで DNS アドレスにアクセスできます。そうしないと、ポッドのデプロイ プロセスは失敗します。
- 外部ゲートウェイを専用の VNet にデプロイする機能を使用している場合
- その VNet の管理サブネットは、ポッドの VNet の管理サブネットについて以下の表に記載されているものと同じ DNS 要件を満たしている必要があります。外部ゲートウェイ VNet のバックエンド サブネットと DMZ サブネットには、特定の DNS 要件はありません。
- 外部ゲートウェイ、内部ゲートウェイ、またはその両方を使用してポッドをデプロイする場合
- ポッド デプロイヤがこれらのゲートウェイ構成で構成する証明書をアップロードする必要があります。この目的で提供する 1 つまたは複数の証明書が、特定の DNS 名を参照する CRL(証明書失効リスト)または OCSP(オンライン証明書ステータス プロトコル)の設定を使用する場合、次に、それらの DNS 名への VNet 上のアウトバウンド インターネット アクセスが解決可能で到達可能であることを確認する必要があります。 Unified Access Gateway ゲートウェイ構成で提供された証明書を構成するときに、 Unified Access Gateway ソフトウェアはこれらの DNS 名にアクセスして、証明書の失効ステータスを確認します。これらの DNS 名にアクセスできない場合、ポッドのデプロイは 接続中フェーズにおいて失敗します。これらの名前は、証明書の取得に使用した CA に大きく依存しているため、VMware のコントロールには含まれません。
- App Volumes on Azure 機能を使用する場合
- ポッド デプロイヤは、ポッド マネージャのリソース グループ内で、ポッドの App Volumes on Azure 機能で使用する Azure ストレージ アカウントをプロビジョニングします。プロビジョニングすると、Azure Cloud は、 *.file.core.windows.net のパターンを持つ完全修飾ドメイン名 (FQDN) をそのストレージ アカウントに割り当てます。ここで、 * は、Azure によって生成されたストレージ アカウントの名前です。この FQDN は、 App Volumes がそのストレージ アカウントの基盤となるファイル共有にアクセスしてマウントし、 App Volumes 機能を提供できるように、DNS サーバによって解決できる必要があります。ポッド マネージャ インスタンス内で実行される App Volumes Manager プロセスと、VDI デスクトップで実行される App Volumes Agent について、DNS サーバが常にその FQDN を解決するようにする必要があります。このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure エンドポイントであり、接続は Microsoft Azure クラウド スペース内で直接行われます。
テナント全体に適用される新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件
次の表に、テナント全体に適用できる新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件を示します。
2021 年の初めより、サービスの地域別制御プレーン インスタンスにアップグレードした結果、どの地域別制御プレーン インスタンスにおいても d1mes20qfad06k.cloudfront.net
DNS 名は不要になりました。すべての地域別制御プレーン インスタンスで、hydra-softwarelib-cdn.azureedge.net
DNS 名が使用されるようになりました。次の表は、現状に合わせた内容になっています。
サブネット ソース | ターゲット (DNS 名) | ポート | プロトコル | プロキシ トラフィック(デプロイで構成されている場合) | 目的 |
---|---|---|---|---|---|
管理 | Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。
|
443 | TCP | はい | 地域別制御プレーンのインスタンス
|
管理 | softwareupdate.vmware.com | 443 | TCP | はい | VMware ソフトウェア パッケージ サーバ。システムのイメージに関連する操作で使用されているエージェントに関連するソフトウェアの更新をダウンロードするために使用します。 |
管理 | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | いいえ ポッド マネージャと Unified Access Gateway バイナリ マニフェストはここに保存され、ここから提供されます。これらのマニフェストは、ポッドとゲートウェイのデプロイおよびアップグレード時にのみ使用されます。このエンドポイントへのこの接続は、プロキシ経由ではなく直接行われるように構成されます。 |
Horizon Cloud コンテンツ配信サーバ。管理サブネットでは、このサイトは、ポッド インフラストラクチャで使用される必要なバイナリをダウンロードするサービスによって使用されます。 |
管理 | packages.microsoft.com | 443 および 11371 | TCP | いいえ このサイトは、アプリケーションおよびサービスの外部にあります。したがって、接続は構成されたプロキシを使用しません。 このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure エンドポイントであり、接続は Microsoft Azure クラウド スペース内で直接行われます。 |
Microsoft ソフトウェア パッケージ サーバ。Microsoft Azure コマンド ライン インターフェイス (CLI) ソフトウェアを安全にダウンロードするために使用します。 |
管理 | azure.archive.ubuntu.com | 80 | TCP | いいえ このサイトは、アプリケーションおよびサービスの外部にあります。したがって、接続は構成されたプロキシを使用しません。 このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure エンドポイントであり、接続は Microsoft Azure クラウド スペース内で直接行われます。 |
Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用にポッド関連の Linux ベースの仮想マシンによって使用されます。 |
管理 | api.snapcraft.io | 443 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトから Ubuntu オペレーティング システムの更新を取得するように構成されています。 |
管理 | archive.ubuntu.com | 80 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトから Ubuntu オペレーティング システムの更新を取得するように構成されています。 |
管理 | changelogs.ubuntu.com | 80 | TCP | いいえ このサイトは、アプリケーションおよびサービスの外部にあります。したがって、接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトを使用して Ubuntu オペレーティング システムの更新を追跡するように構成されています。 |
管理 | security.ubuntu.com | 80 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトを使用してセキュリティ関連の Ubuntu オペレーティング システムの更新を実行するように構成されています。 |
管理 | esm.ubuntu.com | 80 および 443 | TCP | いいえ このエンドポイントは、アプリケーションおよびサービスの外部にあります。接続は構成されたプロキシを使用しません。 |
Ubuntu ソフトウェア パッケージ サーバ。ポッド マネージャと Unified Access Gateway インスタンスは、Ubuntu オペレーティング システムを実行します。これらの Ubuntu オペレーティング システムは、この Ubuntu サイトを使用して、Ubuntu ベース OS およびスケールアウト インフラストラクチャ内の高度で重大な CVE (Common Vulnerabilities and Exposures) に対するセキュリティ更新を追跡するように構成されています。 |
管理 | ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
|
443 | TCP | はい | この Web アドレスは通常、アプリケーションによって Microsoft Azure サービスを認証するために使用されます。Microsoft Azure ドキュメントでの関連する説明については、「OAuth 2.0 承認コード フロー」、「Azure Active Directory v2.0 および OpenID Connect プロトコル」、および「National Clouds」を参照してください。「National Clouds」のトピックでは、各 Microsoft Azure National Cloud に対応する Azure AD 認証エンドポイントの相違点について説明します。 |
管理 | ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
|
443 | TCP | はい | Microsoft Azure Resource Manager エンドポイントへのポッド API リクエストで、Microsoft Azure Resource Manager サービスを使用するために使用されます。Microsoft Azure Resource Manager は、Azure PowerShell、Azure CLI、Azure ポータル、REST API、およびクライアント SDK を通じてタスクを実行するための一貫した管理レイヤーを提供します。 |
管理 | ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
|
443 | TCP | はい | Azure Active Directory (Azure AD) Graph API へのアクセス。これは、OData REST API エンドポイントを介した Azure Active Directory (Azure AD) へのポッドによるプログラム アクセスに使用されます。 |
管理 | ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされている場合は、以下のいずれかになります。
ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされていない場合は、データベースのホスト名を使用できます。この名前は、*.postgres.database.azure.com のパターンに従います。 |
5432 | TCP | いいえ このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure PostgreSQL データベース サービスです。接続は、Microsoft Azure クラウド スペース内で直接行われます。 |
この Horizon Cloud on Microsoft Azure デプロイ用に構成された Microsoft Azure PostgreSQL データベース サービスへのポッド通信に使用されます。 セキュリティ グループ内のサービス タグの詳細については、サービス タグにある Microsoft Azure ドキュメントのトピックを参照してください。 |
管理 | Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。
|
443 | TCP | はい | Universal Broker サービスのリージョン インスタンス
|
管理 | Horizon Cloud アカウントにどの地域別制御プレーンが適用されているかに応じて異なります。
|
443 | TCP | はい | Cloud Monitoring Service (CMS) |
管理 |
|
443 | TCP | いいえ | *.blob.core.windows.net エンドポイントは、Azure BLOB ストレージへのプログラムによるアクセスに使用されます。このエンドポイントは Microsoft Azure クラウド環境内の Microsoft Azure エンドポイントであり、そのエンドポイントとの通信は Microsoft Azure クラウド スペース内で直接行います。 sauron-jp.horizon.vmware.com エンドポイントを使用すると、VMware 監視システムは、VMware 管理対象インスタンスのセキュリティ イベントを検出できます。展開された インスタンスに対する VMware の管理責任を有効にします。これには、これらのインスタンスのシステム監視 VMware 必須である必要があります。 |
テナント | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | いいえ | Horizon Cloud コンテンツ配信サーバ。テナント サブネットでは、このサイトは、システムの自動化された [Marketplace からのイメージのインポート] ワークフローやエージェント ペアリング ワークフローに関連するプロセスを含む、さまざまなシステム イメージ関連のプロセスによって使用されます。 |
テナント | scapi.vmware.com | 443 | TCP | いいえ | VMware Service Usage Data Program に使用される VMware Cloud Services。テナント サブネットから送信される場合、ポッド プロビジョニングされたデスクトップ インスタンスおよびファーム サーバ インスタンスの Horizon Agent は、エージェント関連の構成情報を送信します。 |
テナント | *.file.core.windows.net | 445 | TCP | いいえ このエンドポイントは、Microsoft Azure クラウド環境内の Microsoft Azure ファイル ストレージ サービスです。接続は、Microsoft Azure クラウド スペース内で直接行われます。 |
App Volumes on Azure 機能に使用されます。ポッド マネージャのリソース グループ内の SMB ファイル共有へのプログラムによるアクセスに使用され、その SMB ファイル共有に格納されている App Volumes AppStack にアクセスします。 |
VMware システム監視の必須要件 - monitor.horizon.vmware.com
このセクションで説明する必須要件により、VMware 監視システムは、Horizon Cloud on Microsoft Azure 環境の管理サブネット、テナント サブネット、および DMZ サブネットにデプロイされている VMware 管理対象インスタンスのセキュリティ イベントを検出できます。
Horizon Cloud on Microsoft Azure 環境の場合、VMware は、ポッド マネージャ インスタンス、Unified Access Gateway インスタンス、App Volumes に関連する Azure ファイル、Azure PostgreSQL サービス、およびトラブルシューティングで必要な場合はサポート関連のジャンプ ボックス インスタンスなどのリソースを制御および管理します。
デプロイされたインスタンスに対する VMware の管理責任には、これらのインスタンスの必須の VMware システム監視が必要です。
この必須の VMware システム監視は、次に説明する要件を満たす必要があります。
大まかに説明すると、デプロイのインスタンスは、ポート 1514(TCP および UDP)およびポート 1515(TCP および UDP)でホスト名 monitor.horizon.vmware.com に送信で到達する必要があります。
- ネットワークで SSL インスペクションが有効になっている場合に適用される要件
- ネットワークで SSL インスペクションが有効になっている場合は、ホスト monitor.horizon.vmware.com を除外するように指定する必要があります。
- 環境に内部ゲートウェイ構成がある場合に適用される要件
-
ナレッジベースの記事 KB90145 のすべての手順と情報に従って、内部ゲートウェイ構成の送信通信を確立する必要があります。最後にある注意事項を含め、ナレッジベース記事のすべての説明に従ってください。
さらに送信通信にプロキシまたはファイアウォールを使用する場合は、送信通信にプロキシまたはファイアウォールを使用する場合に適用可能な次の要件を満たす必要があります。
- 送信通信にプロキシまたはファイアウォールを使用している場合に適用される要件
-
送信通信にプロキシまたはファイアウォールを使用する場合は、次のようにプロキシまたはファイアウォールで通信を許可する必要があります。
- 商用環境 - 1514(TCP および UDP)および 1515(TCP および UDP)でホスト名 monitor.horizon.vmware.com を許可します
- 米国連邦環境 - VMware Federal Support でケースを開き、監視システムのホスト名を要求してください。
このような環境では、次のソースに対して前述の通信を許可する必要があります。
- 管理 - ポッド マネージャ インスタンス
- DMZ - 外部ゲートウェイ構成の Unified Access Gateway インスタンス
- テナント - 内部ゲートウェイ構成の Unified Access Gateway インスタンス
注: 環境に内部ゲートウェイ構成がある場合は、内部ゲートウェイ構成に適用可能な前述の要件である、 ナレッジベースの記事 KB90145の手順を満たす必要があります。
アクティブなサポート リクエストに必要な場合は、一時的なジャンプ ボックス ポートとプロトコル
VMware にサポート リクエストを発行し、サポート チームがそのリクエストを処理する方法として、VMware が管理するアプライアンスとの SSH 通信用の一時的なジャンプ ボックス仮想マシンをデプロイすることを決めた場合、そのジャンプ ボックスにはここで説明するポートとプロトコルが必要です。
サポート関連のジャンプ ボックス デプロイの権限がお客様から要求されます。VMware サポート チームは、サポート状況に応じて必要な情報をお客様に通知します。
このサポート関連のジャンプ ボックス仮想マシンは、次の宛先への送信元として通信するように設計されています。
- SSH およびポート 22 を使用するポッドのポッド マネージャ仮想マシンのポート 22。
- HTTPS を使用する Unified Access Gateway 仮想マシンのポート 9443。
- 外部ゲートウェイが専用の VNet にデプロイされている環境で、SSH を使用するゲートウェイ コネクタ仮想マシンのポート 22。
これらの仮想マシンには IP アドレスが動的に割り当てられているため、次のネットワーク ルールを使用して、説明されている通信を行うことができます。サポート リクエスト活動中は、サポート関連のジャンプ ボックス デプロイの要件について、VMware のサポートからのガイダンスと監督を受けるようにしてください。
- 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:22、接続元ポート:任意、プロトコル:TCP)。
- 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:9443、接続元ポート:任意、プロトコル:TCP、Unified Access Gateway 構成が関係する場合)。