Horizon Cloud の継続的な運用のために、Microsoft Azure で 2019 年 9 月のリリースより前にデプロイされたポッドには、特定のポートとプロトコルの要件があります。これは、2019 年 9 月のリリースのマニフェスト バージョンでデプロイされたポッドや、2019 年 9 月のリリースのマニフェスト バージョンに更新されたポッドとは異なる要件です。2019 年 9 月のリリースより前にデプロイされたポッドのマニフェスト バージョンは、1493.1 より前になります。
ここで説明するポートとプロトコルに加えて、DNS の要件も満たす必要があります。詳細については、Microsoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件を参照してください。
ポッドのマニフェストが 1600.x 以降の場合、ポートとプロトコルの要件は異なります。2019 年 9 月のリリースのマニフェスト以降の Horizon Cloud ポッドのポートとプロトコルの要件を参照してください。
マニフェスト バージョンのポッドの継続的な運用のために必要なポートとプロトコル
DNS の要件に加えて、デプロイ後に進行中の操作に関してポッドが正常に操作されるためには、次の表に記載されたポートおよびプロトコルが必要です。
vmw-hcs-podID
(
podID はポッドの UUID)や
node
を含む名前が付けられます。
ソース | ターゲット | ポート | プロトコル | 目的 |
---|---|---|---|---|
マネージャ仮想マシン | ドメイン コントローラ | 389 | TCP UDP |
LDAP サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。 |
マネージャ仮想マシン | グローバル カタログ | 3268 | TCP | LDAP サービス。Active Directory 構成内のグローバル カタログの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。 |
マネージャ仮想マシン | ドメイン コントローラ | 88 | TCP UDP |
Kerberos サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。 |
マネージャ仮想マシン | DNS サーバ | 53 | TCP UDP |
DNS サービス。 |
マネージャ仮想マシン | NTP サーバ | 123 | UDP | NTP サービス。NTP の時刻同期を提供するサーバ。 |
マネージャ仮想マシン | True SSO 登録サーバ | 32111 | TCP | True SSO 登録サーバ。ポッドで True SSO 登録サーバの機能を使用していない場合は省略できます。 |
マネージャ仮想マシン | Workspace ONE Access サービス | 443 | HTTPS |
注: この行は、シングルポッド ブローカ構成の環境に適用されます。この情報は、Universal Broker 構成の環境ではありません。シングルポッド ブローカによって構成された環境では、
Workspace ONE Access Connector はポッドと通信してエンド ユーザーの資格(割り当て)を取得しす。Universal Broker 機能は、マニフェスト 2298 以降のポッドでは使用できますが、以前のマニフェストでは使用できません。
Workspace ONE Access をポッドと統合していない場合は省略できます。シングルポッド ブローカによって構成された環境では、この接続を使用して、ポッドと Workspace ONE Access サービスの間に信頼関係が作成され、Workspace ONE Access Connector はポッドと同期されます。使用中の Workspace ONE Access 環境に対して、ポッドがポート 443 でアクセスできることを確認します。Workspace ONE Access クラウド サービスを使用している場合、Workspace ONE Access Connector およびポッドがアクセス権を持つ必要のある、Workspace ONE Access サービスの IP アドレスのリスト(VMware のナレッジベースの記事 KB2149884 にある)も参照してください。 |
一時的なジャンプ ボックス仮想マシン | マネージャ仮想マシン | 22 | TCP | ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルで説明したように、一時的なジャンプ ボックスは、ポッドのデプロイおよびポッドの更新中に使用されます。進行中のプロセスがこれらのポートを必要としない場合でも、ポッドのデプロイおよびポッドの更新中は、このジャンプ ボックス仮想マシンはマネージャ仮想マシンのポート 22 への SSH を使用してポッドのマネージャ仮想マシンと通信する必要があります。ジャンプ ボックス仮想マシンでこの通信が必要になる場合の詳細については、ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルを参照してください。 |
エンド ユーザーの接続によるトラフィックで、ポッドがプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにアクセスするためにどのポートが開かれていなければならないかは、エンド ユーザーが接続する方法に関する選択内容によって異なります。
- 外部ゲートウェイ構成を使用するためのオプションを選択すると、Unified Access Gateway インスタンスが、そのバックエンド プール内の各インスタンス用のMicrosoft Azure ロード バランサ リソースとともに、Microsoft Azure の環境内に自動的にデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、Microsoft Azure でのパブリック ロード バランサとして構成されます。高可用性が有効にされ、外部および内部ゲートウェイ構成の両方で構成されたポッドの Horizon Cloud ポッド アーキテクチャの図、ポッドと同じ VNet にデプロイされた外部ゲートウェイ、外部ゲートウェイ仮想マシンに 3 つの NIC、内部ゲートウェイ仮想マシンに 2 つの NIC、および外部ゲートウェイのロード バランサに対して有効なパブリック IP アドレスは、このパブリック ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイされたポッドでは、外部ゲートウェイのロード バランサは
vmw-hcs-podID-uag
という名前のリソース グループにあります。ここで podID はポッドの UUID です。 - 内部 Unified Access Gateway 構成を使用するためのオプションを選択すると、Unified Access Gateway インスタンスが、そのバックエンド プール内の各インスタンス用のMicrosoft Azure ロード バランサ リソースとともに、Microsoft Azure の環境内に自動的にデプロイされます。このロード バランサは、テナント サブネット上のこれらのインスタンスの NIC と通信し、Microsoft Azure での内部ロード バランサとして構成されます。高可用性が有効にされ、外部および内部ゲートウェイ構成の両方で構成されたポッドの Horizon Cloud ポッド アーキテクチャの図、ポッドと同じ VNet にデプロイされた外部ゲートウェイ、外部ゲートウェイ仮想マシンに 3 つの NIC、内部ゲートウェイ仮想マシンに 2 つの NIC、および外部ゲートウェイのロード バランサに対して有効なパブリック IP アドレスは、この内部ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、企業ネットワーク内のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイされたポッドでは、内部ゲートウェイのロード バランサは
vmw-hcs-podID-uag-internal
という名前のリソース グループにあります。ここで podID はポッドの UUID です。 - どちらの Unified Access Gateway 構成も選択しない場合は、代わりに VPN を使用するなどしてエンド ユーザーの接続をポッドに対して直接行うことができます。この構成の場合、『VMware Horizon Cloud Service 管理ガイド』の説明に従って、管理コンソールのポッドの [サマリ] ページを使用して、SSL 証明書をポッドのマネージャ仮想マシンにアップロードします。
エンド ユーザーが Horizon Cloud ポッドで使用する可能性のあるさまざまな Horizon Client の詳細については、https://docs.vmware.com/jp/VMware-Horizon-Client/index.html にある Horizon Client のドキュメント ページを参照してください。
ソース | ターゲット | ポート | プロトコル | 目的 |
---|---|---|---|---|
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。 SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。『VMware Horizon Cloud Service 管理ガイド』で「URL コンテンツ リダイレクトについて」のトピックを参照してください。 |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 4172 | TCP UDP |
Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。 |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | UDP | データ トラフィック用の Unified Access Gateway を介した Blast Extreme。 |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 8443 | UDP | データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。 |
ブラウザ | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | HTML Access |
ソース | ターゲット | ポート | プロトコル | 目的 |
---|---|---|---|---|
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。 SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。『VMware Horizon Cloud Service 管理ガイド』で「URL コンテンツ リダイレクトについて」のトピックを参照してください。 |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 4172 | TCP UDP |
Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。 |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | UDP | データ トラフィック用の Unified Access Gateway を介した Blast Extreme。 |
Horizon Client | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 8443 | UDP | データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。 |
ブラウザ | これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ | 443 | TCP | HTML Access |
ソース | ターゲット | ポート | プロトコル | 目的 |
---|---|---|---|---|
Horizon Client | マネージャ仮想マシン | 443 | TCP | ログイン認証トラフィック |
Horizon Client | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 4172 | TCP UDP |
PCoIP |
Horizon Client | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 22443 | TCP UDP |
Blast Extreme |
Horizon Client | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 32111 | TCP | USB リダイレクト |
Horizon Client | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 9427 | TCP | クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR) |
ブラウザ | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 443 | TCP | HTML Access |
Unified Access Gateway インスタンスで構成されているポッドを使用した接続では、トラフィックは次の表に記載されているようにポッドの Unified Access Gateway インスタンスからターゲットに対して許可される必要があります。ポッドのデプロイ中に、ネットワーク セキュリティ グループ (NSG) は、ポッドの Unified Access Gateway ソフトウェアによる使用に対応するために Microsoft Azure 環境に作成されます。
ソース | ターゲット | ポート | プロトコル | 目的 |
---|---|---|---|---|
Unified Access Gateway | マネージャ仮想マシン | 443 | TCP | ログイン認証トラフィック |
Unified Access Gateway | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 4172 | TCP UDP |
PCoIP |
Unified Access Gateway | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 22443 | TCP UDP |
Blast Extreme デフォルトでは、Blast Extreme を使用する場合、クライアント ドライブ リダイレクト (CDR) トラフィックおよび USB トラフィックはこのポート内でサイド チャネルされます。好みに応じて、CDR トラフィックは TCP 9427 ポート上で、および USB リダイレクト トラフィックは TCP 32111 ポート上で分離できます。 |
Unified Access Gateway | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 9427 | TCP | クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR) トラフィックでは省略できます。 |
Unified Access Gateway | デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | 32111 | TCP | USB リダイレクト トラフィックでは省略できます。 |
Unified Access Gateway | RADIUS インスタンス | 1812 | UDP | その Unified Access Gateway の構成に RADIUS 2 要素認証を使用する場合。RADIUS のデフォルト値はここに表示されます。 |
次のポートは、デスクトップ仮想マシンとファーム サーバ仮想マシンにインストールされている Horizon Agent に関連するソフトウェアからのトラフィックを許可する必要があります。
ソース | ターゲット | ポート | プロトコル | 目的 |
---|---|---|---|---|
デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | マネージャ仮想マシン | 4001 | TCP | エージェントがまだポッドとペアリングされていない場合に、仮想マシンのエージェントによって使用される Java Message Service(JMS、非 SSL)。エージェントはポッドと通信して、ポッドとのペアリングに必要な情報を取得します。エージェントがペアリングされた後、ポート 4002 を使用してポッドと通信します。 |
デスクトップまたはファーム サーバ仮想マシン内の Horizon Agent | マネージャ仮想マシン | 4002 | TCP | エージェントがすでにポッドとペアリングされている場合に、ポッドと通信するためにエージェントによって使用される Java Message Service(JMS、SSL)。 |
デスクトップまたはファーム サーバ仮想マシンの FlexEngine エージェント(VMware Dynamic Environment Manager のエージェント) | デスクトップまたはファーム サーバ仮想マシンで実行される FlexEngine エージェントによる使用のためにセットアップしたファイル共有 | 445 | TCP | VMware Dynamic Environment Manager 機能を使用している場合、SMB ファイル共有への FlexEngine エージェント アクセス。 |
ポッドのデプロイ プロセスの一環として、デプロイヤはデプロイされたすべての仮想マシンのネットワーク インターフェイス (NIC) にネットワーク セキュリティ グループ (NSG) を作成します。これらの NSG で定義されているルールの詳細については、『Horizon Cloud 管理ガイド』を参照してください。