サービスの機能をエンドツーエンドで正しく使用するには、このドキュメント記事で説明するドメイン ネーム サービス (DNS) 名が解決可能であり、この記事の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。ポッド マネージャ ベースのポッドを Microsoft Azure サブスクリプションにインスタンス化するポッド デプロイ プロセスでは、デプロイヤ関連のアプライアンスが、選択した VNet を介して特定の DNS 名にアクセスできる必要があります。サブスクリプションでポッドが正常にインスタンス化され、ポッド関連のアプライアンスが起動して実行状態になった後、さまざまな毎日のサービス操作と、VMware が新しいソフトウェアを使用可能にするときにポッドのソフトウェアを更新するためのポッド更新プロセスでは、特定の DNS 名へのネットワーク アクセスが必要になります。この記事では、これらの DNS 要件について説明します。

いくつかの全体的なキー ポイント

これらの必要な DNS 名について
Microsoft Azure サブスクリプションでポッド マネージャ ベースのポッドとそれに関連するゲートウェイをインスタンス化するプロセスを自動化する Horizon Cloud ポッド デプロイヤには、それらのサブスクリプションの VNet を介した特定の DNS アドレスへのネットワーク アクセスが必要です。ポッド デプロイヤがサブスクリプション内のポッドのコンポーネントを正常にインスタンス化するには、それらの DNS アドレスにアクセスするために必要なネットワーク アクセスを主要なデプロイヤ関連のアプライアンスに対して許可するようにファイアウォールを構成する必要があります。各 DNS アドレスの目的を次の表に示します。DNS 構成では、これらの DNS アドレスへのネットワーク通信を許可するほかに、この記事の説明に従って特定の名前を解決する必要があります。ポッド マネージャの VNet とは別の専用の VNet に外部ゲートウェイをデプロイするオプションを選択する場合、その VNet のサブネットは、ポッド マネージャの VNet の管理サブネットと同じ DNS 要件を満たす必要があります。

ポッドのデプロイ プロセスでは、ジャンプ ボックス仮想マシンを使用します。このジャンプ ボックス仮想マシンには、ポッドのデプロイ プロセスのためのポートとプロトコルの要件があります。これらの要件は、ポッドの Unified Access Gateway 構成をデプロイするときにポッドの Unified Access Gateway 仮想マシンの設定を構成する場合にも適用されます。ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルを参照してください。

外部ゲートウェイを専用の VNet にデプロイする場合も、ポッドとは別の専用のジャンプ ボックス仮想マシンを使用します。このジャンプ ボックス仮想マシンには、ゲートウェイ デプロイ プロセスのための専用のポートおよびプロトコル要件があります。外部ゲートウェイが専用の VNet にデプロイされている場合:ゲートウェイのデプロイおよび更新中に外部ゲートウェイ構成のジャンプ ボックスに必要なポートとプロトコルを参照してください。

ポッド デプロイヤとそのワークフローに加えて、さまざまなサービス機能は、エンドツーエンドで動作するために特定の DNS アドレスへのアクセスを必要とします。これらの DNS 名は、次の表にも記載されています。

これらの DNS 名の一部には、地域の要素があります。

ポッドで Horizon インフラストラクチャの監視 を有効にすると、ポッド マネージャの VNet および管理サブネットで Horizon Edge 仮想アプライアンス が自動的にインスタンス化されます。Horizon Edge 仮想アプライアンス には、独自の DNS 名の要件があります。したがって、ポッドで Horizon インフラストラクチャの監視 を有効化する前に、次の表に示す Horizon Edge 仮想アプライアンス の DNS 要件を満たしていることを確認してください。

ポッドのデプロイ後の、サービス関連の継続的な運用のためのポートおよびプロトコルについて
ポッドが正常にデプロイされたら、 Horizon Cloud の継続的な運用のためには特定のポートおよびプロトコルが必要です。必要な特定のポートとプロトコルは、ポッドが 2019 年 9 月のリリースのマニフェスト バージョンであるか、または以前のマニフェスト バージョンであるかによって異なります。

地域別の制御プレーンの DNS 名

「Horizon Service へようこそ」E メールには、自分のテナント アカウントがどの地域の制御プレーン インスタンスで作成されたかが示されます。「ようこそ」E メールが送信されたときに存在していた既知の問題により、受信した E メールには判読可能な名前ではなく、リージョンで使用されているシステム文字列名が表示されることがあります。「ようこそ」E メールにシステム文字列の名前が表示されている場合は、次の表を使用して、E メールに表示される文字列と地域別制御プレーンの DNS 名を関連付けることができます。

表 1. 地域別制御プレーンの DNS 名にマッピングされた「ようこそ」E メール内の地域
「ようこそ」E メール内の記載 地域別の DNS 名
USA cloud.horizon.vmware.com
EU_CENTRAL_1 または Europe cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2 または Australia cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1 または USA-2 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1 または Europe-2 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1 または Australia-2 cloud-ap-2.horizon.vmware.com
Japan cloud-jp.horizon.vmware.com
UK cloud-uk.horizon.vmware.com

次の表に記載されている Horizon Edge 仮想アプライアンス の地域別の DNS アドレスの場合、これらのアドレスは地域別の制御プレーンの DNS 名と同じ地域を使用します。

ポッドの全体的なデプロイ プロセス、ポッドの更新、各種サービス機能の有効化、および継続的な運用に関する DNS の要件

サービスの機能をエンドツーエンドで正しく使用するには、次の DNS 名が解決可能であり、次の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。特定の DNS 名にアクセスできる必要があるサービス機能には、次のようなものがあります。

  • ポッド マネージャ ベースの Horizon ポッドを Microsoft Azure サブスクリプションに自動的にデプロイするポッド デプロイヤ
  • ポッドのソフトウェアをより新しいソフトウェア バージョンに更新するポッド更新機能
  • Marketplace からのインポート ウィザードを使用するイメージのインポート プロセス
  • 自動エージェント更新 (AAU) などのエージェント関連機能
  • Universal Broker
  • Horizon インフラストラクチャの監視 およびその Horizon Edge 仮想アプライアンス
  • クラウド管理サービス (CMS) に関連する機能
特にポッドのデプロイ、ポッドの更新、およびポッドでの Horizon インフラストラクチャの監視 の有効化の場合
次の DNS 名が解決可能であり、次の表に記載されている特定のポートおよびプロトコルを使用して管理およびテナント サブネットからアクセス可能であるようにする必要があります。これらのワークフローで使用されるアプライアンスは、特定の送信ポートを使用して、これらのプロセスに必要なソフトウェアを Microsoft Azure 環境に安全にダウンロードします。これらの DNS 名は、適切なワークフロー関連アプライアンスがクラウドの制御プレーンと通信するためにも使用されます。

新しいポッドのデプロイの場合、ネットワーク ファイアウォール、ネットワーク セキュリティ グループ (NSG) ルール、およびプロキシ サーバを構成する必要があります。これにより、主要なデプロイ関連アプライアンスは、必要なポートで DNS アドレスにアクセスできます。そうしないと、ポッドのデプロイ プロセスは失敗します。

ポッドで Horizon インフラストラクチャの監視 を有効にすると、そのポッドのポッド マネージャ アプライアンスと同じ VNet および管理サブネットに Horizon Edge 仮想アプライアンス がインスタンス化されます。ネットワーク ファイアウォール、NSG ルール、およびプロキシ サーバを、Horizon Edge 仮想アプライアンス が必要なポートで DNS アドレスに接続できるように構成する必要があります。そうしないと、そのアプライアンスのデプロイは失敗します。

外部ゲートウェイを専用の VNet にデプロイする機能を使用している場合
その VNet の管理サブネットは、ポッドの VNet の管理サブネットについて以下の表に記載されているものと同じ DNS 要件を満たしている必要があります。外部ゲートウェイ VNet のバックエンド サブネットと DMZ サブネットには、特定の DNS 要件はありません。
外部ゲートウェイ、内部ゲートウェイ、またはその両方を使用してポッドをデプロイする場合
ポッド デプロイヤがこれらのゲートウェイ構成で構成する証明書をアップロードする必要があります。この目的で提供する 1 つまたは複数の証明書が、特定の DNS 名を参照する CRL(証明書失効リスト)または OCSP(オンライン証明書ステータス プロトコル)の設定を使用する場合、次に、それらの DNS 名への VNet 上のアウトバウンド インターネット アクセスが解決可能で到達可能であることを確認する必要があります。 Unified Access Gateway ゲートウェイ構成で提供された証明書を構成するときに、 Unified Access Gateway ソフトウェアはこれらの DNS 名にアクセスして、証明書の失効ステータスを確認します。これらの DNS 名にアクセスできない場合、ポッドのデプロイは 接続中フェーズにおいて失敗します。これらの名前は、証明書の取得に使用した CA に大きく依存しているため、VMware のコントロールには含まれません。

テナント全体に適用される新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件

次の表に、テナント全体に適用できる新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件を示します。Horizon インフラストラクチャの監視 のアクティベーションと Horizon Edge 仮想アプライアンス の DNS 要件については、この後のセクションを参照してください。Horizon インフラストラクチャの監視 機能はポッドごとに有効化されるため、その DNS 要件は独自の記述テーブルを保証します。

表 2. テナント全体に適用される新しいポッドのデプロイ、ポッドの更新、およびサービス運用の DNS 要件
サブネット ソース ターゲット (DNS 名) ポート プロトコル 目的
管理 Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。
  • cloud.horizon.vmware.com
  • cloud-us-2.horizon.vmware.com
  • cloud-eu-central-1.horizon.vmware.com
  • cloud-eu-2.horizon.vmware.com
  • cloud-ap-southeast-2.horizon.vmware.com
  • cloud-ap-2.horizon.vmware.com
  • cloud-jp.horizon.vmware.com
  • cloud-uk.horizon.vmware.com
443 TCP 地域別制御プレーンのインスタンス
  • 米国:cloud.horizon.vmware.com, cloud-us-2.horizon.vmware.com
  • ヨーロッパ:cloud-eu-central-1.horizon.vmware.com, cloud-eu-2.horizon.vmware.com
  • アジア パシフィック: cloud-ap-southeast-2.horizon.vmware.com, cloud-ap-2.horizon.vmware.com
  • 日本:cloud-jp.horizon.vmware.com
  • 英国:cloud-uk.horizon.vmware.com
管理 softwareupdate.vmware.com 443 TCP VMware ソフトウェア パッケージ サーバ。システムのイメージに関連する操作で使用されているエージェントに関連するソフトウェアの更新をダウンロードするために使用します。
管理 アカウントに適用される地域別 DNS 名に応じた、次のいずれかの名前。
  • d1mes20qfad06k.cloudfront.net
  • hydra-softwarelib-cdn.azureedge.net
443 TCP Horizon Cloud コンテンツ配信サーバ。管理サブネット上で、このサイトはポッドのマネージャおよび Unified Access Gateway 仮想マシンの VHD(仮想ハード ディスク)をダウンロードするために使用されます。外部ゲートウェイが独自の VNet にある場合は、ゲートウェイ コネクタ仮想マシンの VHD にも使用されます。

d1mes20qfad06k.cloudfront.net は、cloud.horizon.vmware.com、cloud-eu-central-1.horizon.vmware.com、cloud-ap-southeast-2.horizon.vmware.com の地域別インスタンスに対応しています。

hydra-softwarelib-cdn.azureedge.net は、cloud-us-2.horizon.vmware.com、cloud-eu-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com、cloud-jp.horizon.vmware.com、cloud-uk.horizon.vmware.com の地域別インスタンスに対応しています。

管理 packages.microsoft.com 443 および 11371 TCP Microsoft ソフトウェア パッケージ サーバ。Microsoft Azure コマンド ライン インターフェイス (CLI) ソフトウェアを安全にダウンロードするために使用します。
管理 azure.archive.ubuntu.com 80 TCP Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用にポッド関連の Linux ベースの仮想マシンによって使用されます。
管理 api.snapcraft.io 443 TCP Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用にポッドの Linux ベースの仮想マシンによって使用されます。
管理 archive.ubuntu.com 80 TCP Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用にポッドの Linux ベースの仮想マシンによって使用されます。
管理 changelogs.ubuntu.com 80 TCP Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新の追跡用にポッドの Linux ベースの仮想マシンによって使用されます。
管理 security.ubuntu.com 80 TCP Ubuntu ソフトウェア パッケージ サーバ。セキュリティ関連の Ubuntu オペレーティング システムの更新用にポッドの Linux ベースの仮想マシンによって使用されます。
管理 ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
  • Microsoft Azure(グローバル):login.microsoftonline.com
  • Microsoft Azure Germany:login.microsoftonline.de
  • Microsoft Azure China:login.chinacloudapi.cn
  • Microsoft Azure US Government:login.microsoftonline.us
443 TCP この Web アドレスは通常、アプリケーションによって Microsoft Azure サービスを認証するために使用されます。Microsoft Azure ドキュメントでの関連する説明については、「OAuth 2.0 承認コード フロー」、「Azure Active Directory v2.0 および OpenID Connect プロトコル」、および「National Clouds」を参照してください。「National Clouds」のトピックでは、各 Microsoft Azure National Cloud に対応する Azure AD 認証エンドポイントの相違点について説明します。
管理 ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
  • Microsoft Azure(グローバル):management.azure.com
  • Microsoft Azure Germany:management.microsoftazure.de
  • Microsoft Azure China:management.chinacloudapi.cn
  • Microsoft Azure US Government:management.usgovcloudapi.net
443 TCP Microsoft Azure Resource Manager エンドポイントへのポッド API リクエストで、Microsoft Azure Resource Manager サービスを使用するために使用されます。Microsoft Azure Resource Manager は、Azure PowerShell、Azure CLI、Azure ポータル、REST API、およびクライアント SDK を通じてタスクを実行するための一貫した管理レイヤーを提供します。
管理 ポッドをデプロイする Microsoft Azure クラウドに応じて、以下のいずれかになります。
  • Microsoft Azure(グローバル):graph.windows.net
  • Microsoft Azure Germany:graph.cloudapi.de
  • Microsoft Azure China:graph.chinacloudapi.cn
  • Microsoft Azure US Government:graph.windows.net
443 TCP Azure Active Directory (Azure AD) Graph API へのアクセス。これは、OData REST API エンドポイントを介した Azure Active Directory (Azure AD) へのポッドによるプログラム アクセスに使用されます。
管理 ポッドをデプロイした Microsoft Azure クラウドに応じて、以下のいずれかになります。
  • Microsoft Azure(グローバル):*.blob.core.windows.net
  • Microsoft Azure Germany:*.blob.core.cloudapi.de
  • Microsoft Azure China:*.blob.core.chinacloudapi.cn
  • Microsoft Azure US Government:*.blob.core.usgovcloudapi.net
443 TCP Azure BLOB ストレージへのポッドによるプログラム アクセスに使用されます。Azure Blob Storage は、大量の非構造化オブジェクト データ(テキストやバイナリ データなど)を格納するサービスです。
管理 ポッドをデプロイした Microsoft Azure クラウドに応じて、以下のいずれかになります。
  • Microsoft Azure(グローバル):*.vault.azure.net
  • Microsoft Azure Germany:*.vault.microsoftazure.de
  • Microsoft Azure China:*.vault.azure.cn
  • Microsoft Azure US Government:*.vault.usgovcloudapi.net
443 TCP Azure Key Vault クラウド サービスでポッドをプログラムを通じて動作させる機能に使用されます。Azure Key Vault は、シークレットの安全なストアを提供するクラウド サービスです。
管理 ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされている場合は、以下のいずれかになります。
  • グローバル Azure SQL サービス タグ:Sql
  • ポッドがデプロイされている Azure リージョンの地域固有の SQL サービス タグ:Sql.regionSql.WestUS など)

ファイアウォールまたはネットワーク セキュリティ グループ (NSG) でサービス タグの使用がサポートされていない場合は、データベースのホスト名を使用できます。この名前は、*.postgres.database.azure.com のパターンに従います。

5432 TCP Microsoft Azure PostgreSQL データベース サーバへのポッドの通信に使用されます。2019 年 9 月のリリース以降、リリース日以降に新たにデプロイされたポッドと、そのリリースのマニフェスト バージョンに更新されたポッドは、Microsoft Azure PostgreSQL データベース サーバを使用して構成されます。

セキュリティ グループ内のサービス タグの詳細については、サービス タグにある Microsoft Azure ドキュメントのトピックを参照してください。

管理 Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。
  • connector-azure-us.vmwarehorizon.com
  • connector-azure-eu.vmwarehorizon.com
  • connector-azure-aus.vmwarehorizon.com
  • connector-azure-jp.vmwarehorizon.com
  • connector-azure-uk.vmwarehorizon.com
  • connector-azure-de.vmwarehorizon.com

443 TCP Universal Broker サービスのリージョン インスタンス
  • 米国:connector-azure-us.vmwarehorizon.com
  • ヨーロッパ:connector-azure-eu.vmwarehorizon.com
  • オーストラリア:connector-azure-aus.vmwarehorizon.com
  • 日本:connector-azure-jp.vmwarehorizon.com
  • 英国:connector-azure-uk.vmwarehorizon.com
  • ドイツ:connector-azure-de.vmwarehorizon.com
テナント アカウントに適用される地域別 DNS 名に応じた、次のいずれかの名前。
  • d1mes20qfad06k.cloudfront.net
  • hydra-softwarelib-cdn.azureedge.net
443 TCP Horizon Cloud コンテンツ配信サーバ。テナント サブネット上で、このサイトは、エージェントに関連するソフトウェアのインストーラをダウンロードするために、システムの自動化されたイメージのインポート プロセスによって使用されます。

d1mes20qfad06k.cloudfront.net は、cloud.horizon.vmware.com、cloud-eu-central-1.horizon.vmware.com、cloud-ap-southeast-2.horizon.vmware.com の地域別インスタンスに対応しています。

hydra-softwarelib-cdn.azureedge.net は、cloud-us-2.horizon.vmware.com、cloud-eu-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com、cloud-jp.horizon.vmware.com、cloud-uk.horizon.vmware.com の地域別インスタンスに対応しています。

テナント Horizon Cloud アカウントにどの地域別制御プレーンが適用されているかに応じて異なります。

北米:

  • kinesis.us-east-1.amazonaws.com
  • query-prod-us-east-1.cms.vmware.com

ヨーロッパ:

  • kinesis.eu-central-1.amazonaws.com
  • query-prod-eu-central-1.cms.vmware.com

オーストラリア:

  • kinesis.ap-southeast-2.amazonaws.com
  • query-prod-ap-southeast-2.cms.vmware.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com
  • query-prod-ap-northeast-1.cms.vmware.com

英国:

  • kinesis.eu-west-2.amazonaws.com
  • query-prod-eu-west-2.cms.vmware.com
443 TCP Cloud Monitoring Service (CMS)

Horizon Edge 仮想アプライアンス の DNS 要件

ポッドで Horizon インフラストラクチャの監視 を有効化すると、Microsoft Azure サブスクリプションで Linux ベースの Horizon Edge 仮想アプライアンス がインスタンス化されます。Horizon Edge 仮想アプライアンス は、ポッドの管理サブネット(ポッドのポッド マネージャ アプライアンスと同じ管理サブネット)上の NIC を使用してポッドのサブスクリプションにデプロイされます。次の表に、この仮想アプライアンスに関連する目的を示します。

注: 前の表とは異なり、この表には uk の DNS 名がありません。リリース ノートに記載されているように、この Horizon インフラストラクチャの監視 機能は現在制限付きで利用可能です。
表 3. Horizon インフラストラクチャの監視の DNS 要件
サブネット ソース ターゲット (DNS 名) ポート/プロトコル 目的
管理
  • azure.archive.ubuntu.com
  • archive.ubuntu.com
  • changelogs.ubuntu.com
  • security.ubuntu.com
80 および 443 / TCP Ubuntu ソフトウェア パッケージ サーバ。Ubuntu オペレーティング システムの更新用に Linux ベースのアプライアンスによって使用されます。
管理
  • *.blob.core.windows.net
  • horizonedgeprod.azurecr.io
443 / TCP Azure BLOB ストレージへのプログラム アクセスに使用されます。

アプライアンスのモジュールが必要とする DNS アドレスから Docker イメージをダウンロードするために使用されます。

管理

*.Azure-devices.net、またはテナント アカウントに適用される地域別制御プレーンに対応した、以下の地域固有の名前のいずれか。

北米:

  • edgehubprodna.azure-devices.net

ヨーロッパ:

  • edgehubprodeu.azure-devices.net

オーストラリア:

  • edgehubprodap.azure-devices.net

日本:

  • edgehubprodjp.azure-devices.net
443 / TCP アプライアンスを Horizon Cloud 制御プレーンに接続し、アプライアンスのモジュールの構成をダウンロードし、アプライアンスのモジュールのランタイム ステータスを更新するために使用されます。
管理
  • *.docker.com
  • *.docker.io
  • docker.io
  • cloud.google.com
  • gcr.io
  • dl.k8s.io
  • k8s.gcr.io
  • storage.googleapis.com
  • cloud.weave.works
  • packages.cloud.google.com
  • apt.kubernetes.io
443 / TCP アプライアンスに必要な Docker バイナリと Kubernetes バイナリをダウンロードするために使用されます。
管理 テナント アカウントにどの地域別制御プレーンが適用されているかに応じて異なります。

北米:

  • kinesis.us-east-1.amazonaws.com
  • sauron.horizon.vmware.com

ヨーロッパ:

  • kinesis.eu-central-1.amazonaws.com
  • sauron-eu.horizon.vmware.com

オーストラリア:

  • kinesis.ap-southeast-2.amazonaws.com
  • sauron-ap.horizon.vmware.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com
  • sauron-jp.horizon.vmware.com
443 / TCP アプライアンスによって収集されたポッド監視データを Horizon Cloud 制御プレーンに送信するために使用されます。

ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコル

Horizon Cloud デプロイ ガイドで説明するとおり、ジャンプ ボックス仮想マシンは、ポッドの最初の作成時、およびポッドの環境上でその後実行されるソフトウェア アップデート時に使用されます。ポッドの作成後、ジャンプ ボックス仮想マシンは削除されます。その後、ポッドの更新中に、ジャンプ ボックス仮想マシンがその更新プロセスを実行するために再作成され、更新が完了すると削除されます。このような更新には、ポッドを編集して Unified Access Gateway の構成を追加するときが含まれます。

注: 2019 年 9 月のリリース以降の Microsoft Azure で新規にデプロイされたポッド、または 2019 年 9 月のリリースのマニフェスト レベルに更新されて高可用性が有効になっているポッドには、2 台のマネージャ仮想マシンがあります。次以降のパラグラフでは、仮想マシンという単語の複数形を使用して、ポッドのマネージャ仮想マシンが 1 台だけの場合でも 2 台の場合でも、ジャンプ ボックス仮想マシンはすべてのマネージャ仮想マシンと通信する必要があることを示します。

これらのプロセスを実行中に、ジャンプ ボックス仮想マシンは次にように通信します。

  • ポッドのマネージャ仮想マシンと、SSH を使用してマネージャ仮想マシンのポート 22 で接続します。その結果、ポッドのデプロイおよび更新中には、ジャンプ ボックス仮想マシンとマネージャ仮想マシンのポート 22 との間の通信を維持するという要件を満たす必要があります。接続元であるジャンプ ボックス仮想マシンと接続先であるマネージャ仮想マシンの間でマネージャ仮想マシンのポート 22 が許可される必要があります。
  • ポッドが Unified Access Gateway 構成でデプロイされている場合、またはその構成を追加するように編集されている場合に、Unified Access Gateway 仮想マシンと、HTTPS を使用してこれらの仮想マシンのポート 9443 に対して接続します。その結果、ポッドのデプロイおよび更新中には、ポッドの構成に Unified Access Gateway が含まれる場合、ジャンプ ボックス仮想マシンと Unified Access Gateway 仮想マシンのポート 9443 との間の通信を維持するという要件を満たす必要があります。接続元であるジャンプ ボックス仮想マシンと接続先である Unified Access Gateway 仮想マシンの間で Unified Access Gateway 仮想マシンのポート 9443 が許可される必要があります。

これらの仮想マシンには IP アドレスが動的に割り当てられるため、この通信を許可するネットワーク ルールは次を使用する必要があります。

  • 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:22、接続元ポート:任意、プロトコル:TCP)。
  • 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:9443、接続元ポート:任意、プロトコル:TCP、Unified Access Gateway 構成が関係する場合)。
注: ポッドの継続的な運用では、ポッドのマネージャ仮想マシン上でポート 22 が使用可能である必要はありません。ただし、VMware に対してサポート リクエストを送信し、サポート チームがそのリクエストを解決するためにはポッドのマネージャ仮想マシンと SSH 通信するためのジャンプ ボックス仮想マシンをデプロイする必要があると判断した場合、VMware サポート チームが問題をデバッグするためにポートを必要としている間は、このポート要件を満たす必要があります。VMware サポート チームは、サポート状況に応じて必要な情報をユーザーに通知します。

外部ゲートウェイが専用の VNet にデプロイされている場合:ゲートウェイのデプロイおよび更新中に外部ゲートウェイ構成のジャンプ ボックスに必要なポートとプロトコル

Horizon Cloud デプロイ ガイドで説明するとおり、ジャンプ ボックス仮想マシンは、専用の VNet での外部ゲートウェイの最初の作成時、およびそのゲートウェイでその後実行されるソフトウェアの更新時に使用されます。外部ゲートウェイが専用の VNet に作成されると、ジャンプ ボックス仮想マシンが削除されます。その後、その外部ゲートウェイの更新中に、ジャンプ ボックス仮想マシンがその更新プロセスを実行するために再作成され、更新が完了すると削除されます。このような更新には、ポッドを編集して専用の VNet に外部ゲートウェイを追加する場合などがあります。

これらのプロセスを実行中に、ジャンプ ボックス仮想マシンは次にように通信します。

  • これらのプロセスを実行中に、ジャンプ ボックス仮想マシンはゲートウェイ コネクタ仮想マシンのポート 22 に SSH 接続して、そのコネクタ仮想マシンと通信します。その結果、ゲートウェイのデプロイおよび更新中には、ジャンプ ボックス仮想マシンとコネクタ仮想マシンのポート 22 との間の通信を維持するという要件を満たす必要があります。接続元であるジャンプ ボックス仮想マシンと接続先であるコネクタ仮想マシンの間でコネクタ仮想マシンのポート 22 が許可される必要があります。
  • Unified Access Gateway 仮想マシンと、HTTPS を使用してこれらの仮想マシンのポート 9443 に接続します。その結果、ポッドのデプロイおよび更新中には、ポッドの構成に Unified Access Gateway が含まれる場合、ジャンプ ボックス仮想マシンと Unified Access Gateway 仮想マシンのポート 9443 との間の通信を維持するという要件を満たす必要があります。接続元であるジャンプ ボックス仮想マシンと接続先である Unified Access Gateway 仮想マシンの間で Unified Access Gateway 仮想マシンのポート 9443 が許可される必要があります。

これらの仮想マシンには IP アドレスが動的に割り当てられるため、この通信を許可するネットワーク ルールは次を使用する必要があります。

  • 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:22、接続元ポート:任意、プロトコル:TCP)。
  • 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート: 9443、接続元ポート: 任意、プロトコル: TCP)。
注: ポッドの継続的な運用では、ゲートウェイ コネクタの仮想マシン上でポート 22 が使用可能である必要はありません。ただし、VMware に対してサポート リクエストを送信し、サポート チームがそのリクエストを解決するためにはそのゲートウェイのコネクタ仮想マシンと SSH 通信するためのジャンプ ボックス仮想マシンをデプロイする必要があると判断した場合、VMware サポート チームが問題をデバッグするためにポートを必要としている間は、このポート要件を満たす必要があります。VMware サポート チームは、サポート状況に応じて必要な情報をユーザーに通知します。