Horizon Cloud の継続的な運用のために、2019 年 9 月のリリース以降に Microsoft Azure で新規にデプロイされたポッドまたは 2019 年 9 月のリリース レベルに更新されているポッドには、以前にデプロイされたポッドとは異なる特定のポートおよびプロトコルの要件があります。新規にデプロイされたポッド、または 2019 年 9 月のリリースに更新されたポッドには、1600 以降のマニフェスト バージョンがあります。

重要:

ここで説明するポートとプロトコルに加えて、DNS の要件も満たす必要があります。詳細については、Microsoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件を参照してください。

ポッドのデプロイ プロセスの一環として、デプロイヤはデプロイされたすべての仮想マシンのネットワーク インターフェイス (NIC) にネットワーク セキュリティ グループ (NSG) を作成します。これらの NSG で定義されているルールの詳細については、Microsoft Azure にデプロイされた Horizon Cloud ポッド内の仮想マシンに対するデフォルトのネットワーク セキュリティ グループ ルールを参照してください。

継続的な運用のために主要なポッド コンポーネントで必要となるポートとプロトコル

DNS の要件に加えて、次の表には、デプロイ後に進行中の操作に関してポッドが正常に操作されるために必要なポートおよびプロトコルが記載されています。これらの表の一部には、特定のシナリオで必要なポートとプロトコル、またはポッドで特定の機能を有効にした場合に必要なポートとプロトコルも記載されます。

下記の表では、マネージャ仮想マシンという用語はポッドのマネージャ仮想マシンを意味します。Microsoft Azure ポータルでは、この仮想マシンには vmw-hcs-podIDpodID はポッドの UUID)や node を含む名前が付けられます。

重要: 高可用性が有効になっているポッドには、2 台のマネージャ仮想マシンがあります。高可用性がオンになっているポッドには、1 台のみのマネージャ仮想マシンがあります。下記の表では、マネージャ仮想マシンという用語が示されている場合、特に指定がない限り、それは高可用性が有効なポッド内のすべてのマネージャ仮想マシンに適用されます。

2019 年 9 月のリリースのマニフェスト バージョン以降のすべてのポッドには、ポッドの Microsoft Azure ロード バランサが 1 台あります。ポッドのロード バランサに関連するテーブル行は、1600 以降のマニフェスト レベルのすべてのポッドに適用されます。

表 1. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
マネージャ仮想マシン ポッドのその他のマネージャ仮想マシン 4101 TCP 高可用性が有効になっているポッドの場合、このトラフィックはマネージャ仮想マシン間の JMS ルーティングです。
マネージャ仮想マシン Unified Access Gateway 仮想マシン 9443 HTTPS このポートは、ポッドの Unified Access Gateway 構成の設定を構成するために、管理サブネット上のポッド マネージャ仮想マシンによって使用されます。このポート要件は、最初にポッドを Unified Access Gateway 構成でデプロイするときと、ポッドを編集して Unified Access Gateway 構成を追加またはその Unified Access Gateway 構成の設定を更新するときに適用されます。
ポッドの Microsoft Azure ロード バランサ マネージャ仮想マシン 8080 HTTP ロード バランサのバックエンド プール内の仮想マシンの健全性チェック。このリリースのマニフェスト バージョンのポッドで高可用性が有効になっていない場合、ロード バランサには、チェックする 1 台のマネージャ仮想マシンがそのバックエンド プールにあります。
マネージャ仮想マシン ドメイン コントローラ 389 TCP

UDP

LDAP サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン グローバル カタログ 3268 TCP LDAP サービス。Active Directory 構成内のグローバル カタログの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン ドメイン コントローラ 88 TCP

UDP

Kerberos サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
マネージャ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。
マネージャ仮想マシン True SSO 登録サーバ 32111 TCP True SSO 登録サーバ。ポッドで True SSO 登録サーバの機能を使用していない場合は省略できます。
マネージャ仮想マシン Workspace ONE Access サービス 443 HTTPS
注: この行は、シングルポッド ブローカ構成の環境に適用されます。この情報は、Universal Broker 構成の環境ではありません。シングルポッド ブローカによって構成された環境では、 Workspace ONE Access Connector はポッドと通信してエンド ユーザーの資格(割り当て)を取得しす。
Workspace ONE Access をポッドと統合していない場合は省略できます。シングルポッド ブローカによって構成された環境では、この接続を使用して、ポッドと Workspace ONE Access サービスの間に信頼関係が作成され、Workspace ONE Access Connector はポッドと同期されます。使用中の Workspace ONE Access 環境に対して、ポッドがポート 443 でアクセスできることを確認します。Workspace ONE Access クラウド サービスを使用している場合、Workspace ONE Access Connector およびポッドがアクセス権を持つ必要のある、Workspace ONE Access サービスの IP アドレスのリスト(VMware のナレッジベースの記事 KB2149884 にある)も参照してください。
一時的なジャンプ ボックス仮想マシン マネージャ仮想マシン 22 TCP ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルで説明したように、一時的なジャンプ ボックスは、ポッドのデプロイおよびポッドの更新中に使用されます。進行中のプロセスがこれらのポートを必要としない場合でも、ポッドのデプロイおよびポッドの更新中は、このジャンプ ボックス仮想マシンはマネージャ仮想マシンのポート 22 への SSH を使用してマネージャ仮想マシンと通信する必要があります。ジャンプ ボックス仮想マシンでこの通信が必要になる場合の詳細については、ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルを参照してください。
注: マニフェスト バージョンが 1600 以降で、高可用性機能が有効になっているポッドには、2 台のマネージャ仮想マシンがあります。前述のパラグラフでは、仮想マシンという単語の複数形を使用して、ポッドのマネージャ仮想マシンが 1 台だけの場合でも 2 台の場合でも、ジャンプ ボックス仮想マシンはすべてのマネージャ仮想マシンと通信する必要があることを示します。
一時的なジャンプ ボックス仮想マシン Unified Access Gateway 仮想マシン 9443 HTTPS このポートは、ポッドの Unified Access Gateway 構成を設定するために、管理サブネット上のジャンプ ボックス仮想マシンによって使用されます。このポート要件は、最初にポッドを Unified Access Gateway 構成でデプロイするときと、ポッドを編集して Unified Access Gateway 構成をポッドに追加するときに適用されます。

ゲートウェイ コネクタ仮想マシンのポートとプロトコルの要件

この表は、外部ゲートウェイを別の VNet にデプロイしたときに使用されるゲートウェイのコネクタ仮想マシンに適用されます。DNS の要件に加えて、デプロイ後に継続的な運用に関して外部ゲートウェイが正常に操作されるためには、次の表に記載されたポートおよびプロトコルが必要です。

次の表では、コネクタ仮想マシンという用語は、クラウド管理プレーンと外部ゲートウェイ間の接続を管理するゲートウェイのコネクタ仮想マシンを指します。Microsoft Azure ポータルでは、この仮想マシンには vmw-hcs-IDID はゲートウェイのデプロイヤ ID)や node を含む名前が付けられます。

表 2. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
コネクタ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
コネクタ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。
一時的なジャンプ ボックス仮想マシン コネクタ仮想マシン 22 TCP ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルで説明したように、一時的なジャンプ ボックスは、外部ゲートウェイのデプロイおよび更新中に使用されます。進行中のプロセスがこれらのポートを必要としない場合でも、デプロイおよび更新中は、このジャンプ ボックス仮想マシンはコネクタ仮想マシンのポート 22 への SSH を使用してコネクタ仮想マシンと通信する必要があります。

Unified Access Gateway 仮想マシンのポートとプロトコルの要件

DNS および上記のプライマリ ポートとプロトコルの要件に加え、次の表のポートとプロトコルは、デプロイ後の継続的な運用のために適切に動作するようにポッドで構成したゲートウェイに関連しています。

Unified Access Gateway インスタンスで構成されている高可用性が有効なポッドを使用した接続では、トラフィックは次の表に記載されているようにポッドの Unified Access Gateway インスタンスからターゲットに対して許可される必要があります。ポッドのデプロイ中に、ネットワーク セキュリティ グループ (NSG) は、ポッドの Unified Access Gateway ソフトウェアによる使用に対応するために Microsoft Azure 環境に作成されます。

表 3. ポッドの Unified Access Gateway インスタンスからのトラフィックに関するポートの要件
ソース ターゲット ポート プロトコル 目的
Unified Access Gateway ポッドの Microsoft Azure ロード バランサ 8443 TCP ログイン認証トラフィック。Unified Access Gateway インスタンスからのトラフィックは、ポッドのロード バランサを経由してポッドのマネージャ仮想マシンに到達します。
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme

デフォルトでは、Blast Extreme を使用する場合、クライアント ドライブ リダイレクト (CDR) トラフィックおよび USB トラフィックはこのポート内でサイド チャネルされます。好みに応じて、CDR トラフィックは TCP 9427 ポート上で、および USB リダイレクト トラフィックは TCP 32111 ポート上で分離できます。

Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR) トラフィックでは省略できます。
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト トラフィックでは省略できます。
Unified Access Gateway RADIUS インスタンス 1812 UDP その Unified Access Gateway の構成に RADIUS 2 要素認証を使用する場合。RADIUS のデフォルト値はここに表示されます。

Universal Broker で必要なポートおよびプロトコル

ポッドからのエンドユーザー割り当ての仲介に Universal Broker を使用できるようにするには、次の表の説明に従ってポート 443 を構成する必要があります。アクティブなポッド マネージャは、ポート 443 を介して Universal Broker サービスとの永続的な WebSocket 接続を確立し、ランダムに選択されたポートを介して Universal Broker サービスからの接続要求を受信します。

表 4. Universal Broker のポート要件
ソース 接続元ポート ターゲット ターゲット ポート プロトコル 目的
アクティブなポッド マネージャ 使用可能なポートからランダムに選択されます。 Universal Broker サービス 443 最初は HTTPS、次に WebSocket Universal Broker サービスとの永続的な WebSocket 接続を確立します。

Horizon Edge 仮想アプライアンス で必要なポートおよびプロトコル

ポッドの Horizon インフラストラクチャの監視 を有効にすると、そのポッドのサブスクリプションで Horizon Edge 仮想アプライアンス がデプロイされて構成されます。アプライアンスのポッドの管理サブネットには 1 つの NIC があり、その NIC で NSG が自動的に構成されます。この NSG のルールでは、アプライアンスへの、およびアプライアンスからの許可されるトラフィックを指定します。次の表には、有効化プロセスの実行中に必要となる NSG からのポートとプロトコルが記載されています。このプロセスでは、アプライアンスがデプロイされ、それらのコンポーネントから設計に従って収集すべき監視データを収集するためにポッド マネージャ仮想マシンを構成します。またこの表には、現在のサービス リリースで設計に従って収集すべきデータを収集するアプライアンスの定常状態の運用中に必要なポートとプロトコルも記載されています。

表 5. Horizon Edge 仮想アプライアンス のポート要件
ソース ターゲット ポート プロトコル 目的
Horizon Edge 仮想アプライアンス DNS サーバ 53 TCP DNS サービス
Horizon Edge 仮想アプライアンス ポッド マネージャ仮想マシン 9172 任意 管理サブネットに対する定常状態の運用において、アプライアンスが設計に従って収集すべき監視データを収集するため。
Horizon Edge 仮想アプライアンス クラウド制御プレーン 443 TCP 管理サブネットに対する定常状態の運用において、アプライアンスがクラウド制御プレーンに監視データを送信するため。また、アプライアンスのデプロイ時に、このポートは Microsoft Azure CLI ソフトウェアなどの外部に配置された特定のソフトウェア コンポーネントをダウンロードするために使用されます。これらのコンポーネントは、アプライアンスが監視データの収集のためにポッド マネージャ仮想マシンの構成を実行するのに必要となります。
Horizon Edge 仮想アプライアンス ポッド マネージャ仮想マシン 4002 TCP 管理サブネットに対する定常状態の運用において、アプライアンスが設計に従って収集すべき監視データを収集するため。

エンドユーザーの接続トラフィックのポートとプロトコルの要件

エンド ユーザーが Horizon Cloud ポッドで使用する可能性のあるさまざまな Horizon Client の詳細については、https://docs.vmware.com/jp/VMware-Horizon-Client/index.html にある Horizon Client のドキュメント ページを参照してください。エンド ユーザーの接続によるトラフィックで、ポッドがプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにアクセスするためにどのポートが開かれていなければならないかは、エンド ユーザーが接続する方法に関する選択内容によって異なります。

ポッド専用の VNet で外部ゲートウェイ構成を使用するためのデプロイヤ オプションを選択する場合
デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのロード バランサのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure でのパブリック ロード バランサとして構成されます。 高可用性が有効で、外部および内部の両方の Unified Access Gateway 構成を持つポッドの Horizon Cloud Pod アーキテクチャの図は、このパブリック ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後に、外部ゲートウェイのロード バランサは vmw-hcs-podID-uag という名前のリソース グループにあります。ここで podID はポッドの UUID です。
内部 Unified Access Gateway 構成を使用するためのデプロイヤ オプションを選択する場合
内部ゲートウェイ構成は、デフォルトでポッド専用の VNet にデプロイされます。デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、テナント サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure での内部ロード バランサとして構成されます。 高可用性が有効で、外部および内部の両方の Unified Access Gateway 構成を持つポッドの Horizon Cloud Pod アーキテクチャの図は、この内部ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、企業ネットワーク内のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後に、内部ゲートウェイのロード バランサは vmw-hcs-podID-uag-internal という名前のリソース グループにあります。ここで podID はポッドの UUID です。
ポッドではなく、専用の VNet で外部ゲートウェイ構成を使用する、または専用のサブスクリプションを使用するオプション(VNet は複数のサブスクリプションにまたがらないため、これは専用の VNet を使用する特別なサブケースです)のいずれかのデプロイヤ オプションを選択する場合
デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのロード バランサのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure でのパブリック ロード バランサとして構成されます。 外部ゲートウェイがポッドの VNet とは別の専用の VNet にデプロイされている場合の外部ゲートウェイのアーキテクチャ要素の図は、このパブリック ロード バランサと、ゲートウェイ専用の VNet 内の Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後、外部ゲートウェイのロード バランサは、 vmw-hcs-ID-uag という名前のリソース グループにあります。ここで ID は、ポッドの詳細ページの [デプロイヤ ID] フィールドに表示される値です。『 管理ガイド』の説明に従って、コンソールの [キャパシティ] ページからポッドの詳細ページにアクセスします。
ポッドのマニフェスト 2298 以降ではサポートされていない: Unified Access Gateway 構成を削除し、ポッドでゼロ Unified Access Gateway 構成で引き続き実行する場合
このため、マニフェスト 2298 以降のポッドには、サポートされている操作を行うためのゲートウェイ構成が少なくとも 1 つ必要です。このシナリオは、2298 より前のマニフェストでのみ使用できます。
注目: 本番システムでの内部ユーザー アクセスのベスト プラクティスは、ポッドへの直接接続ではなく、ポッドでの内部 Unified Access Gateway ゲートウェイ構成を使用することです。
シングルポッド仲介とポッドと統合した Workspace ONE Access の構成では、通常、 Workspace ONE Access を介してエンド ユーザーが接続します。このシナリオでは、 Workspace ONE AccessWorkspace ONE Access Connector がポッドを直接参照するように構成する必要があります。エンド ユーザーは、 Workspace ONE Access を使用して、ポッドでプロビジョニングされたリソースに接続しています。 この構成の場合、コネクタがポッド マネージャ仮想マシンへの接続を信頼できるように、Workspace ONE Access コネクタ アプライアンスを Microsoft Azure の Horizon Cloud ポッドと統合する場合には、ポッド マネージャ仮想マシンで SSL 証明書を直接構成します。の説明に従って、コンソールのポッドの [サマリ] ページを使用して、SSL 証明書をポッドのマネージャ仮想マシンにアップロードします。 次に、 Workspace ONE Access をポッドと統合する手順を完了します。
表 6. ポッドの構成に外部 Unified Access Gateway インスタンスがある場合の外部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。URL コンテンツ リダイレクトについてを参照してください。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP HTML Access
表 7. ポッドの構成に内部 Unified Access Gateway インスタンスがある場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。URL コンテンツ リダイレクトについてを参照してください。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP HTML Access
表 8. VPN を介するなどの直接ポッド接続を使用する場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client ポッドの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアントからのトラフィックは、ポッドのロード バランサを経由してポッドのマネージャ仮想マシンに到達します。
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR)
ブラウザ デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 443 TCP HTML Access

ベース仮想マシン、VDI デスクトップ仮想マシン、およびファーム RDSH 仮想マシン内にインストールされたエージェントからのトラフィックのポートおよびプロトコルの要件

次のポートは、ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンにインストールされているエージェントに関連するソフトウェアと、ポッド マネージャ仮想マシンとの間のトラフィックを許可する必要があります。

ソース ターゲット ポート プロトコル 目的
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの Horizon Agent マネージャ仮想マシン 4001 TCP 仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)。キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。たとえば、[インポートされた仮想マシン] ページで [エージェント ペアリングをリセット] アクションを実行するには、ベースのインポートされた仮想マシンとポッド間でのエージェント ペアリング ワークフローのためにポート 4001 を使用した通信が必要です。
注: 定常状態の動作には、ポート 4001 と 4002 の両方が必要です。エージェントがポッドのキーを再設定する必要がある場合があります。そのため、ポート 4001 を開いたままにしておく必要があります。
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの Horizon Agent マネージャ仮想マシン 4002 TCP これらの仮想マシンのエージェントがセキュアな SSL 接続を使用してポッドと通信するために使用する Java Message Service(JMS、SSL)。
デスクトップまたはファーム RDSH 仮想マシンの FlexEngine エージェント(VMware Dynamic Environment Manager のエージェント) デスクトップまたはファーム RDSH 仮想マシンで実行される FlexEngine エージェントによる使用のためにセットアップしたファイル共有 445 TCP VMware Dynamic Environment Manager 機能を使用している場合、SMB ファイル共有への FlexEngine エージェント アクセス。

App Volumes 機能で必要なポートおよびプロトコル

Microsoft Azure 上の Horizon Cloud の App Volumes アプリケーション:概要と前提条件 で説明したように、Horizon Cloud ポッドでの使用がサポートされている App Volumes 機能の使用をサポートするには、ポッドのテナント サブネットでポート 445 を TCP プロトコル トラフィック用に構成する必要があります。ポート 445 は、Microsoft Windows の SMB ファイル共有にアクセスするための標準の SMB ポートです。AppStack は、ポッド マネージャ仮想マシンと同じリソース グループにある SMB ファイル共有に保存されます。

重要: Horizon Cloud ポッドと NSX Cloud バージョン 3.1.1 以降を統合し、 App Volumes 割り当てを使用する場合は、NSX PCG をデプロイした後、そのポッドを使用して最初の App Volumes 割り当てを作成する前に、NSX ファイアウォール ルール内のポッドのテナント サブネットに対してこのポート 445/TCP を手動で開く必要があります。
表 9. App Volumes のポート要件
ソース ターゲット ポート プロトコル 目的
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent ポッド マネージャのリソース グループ内の SMB ファイル共有 445 TCP ポッドのテナント サブネットで、SMB ファイル共有に保存されている App Volumes AppStack にアクセスします。
注: DNS 名、IP アドレス、ポート、およびプロトコルを Horizon Cloud ナレッジベース (KB) の記事に記載する代わりに、コアの Horizon Cloud ドキュメントの一部としてここに提供しています。