Horizon Cloud Connector 仮想アプライアンスを Horizon ポッドとともに使用しているときに、アプライアンスが必要なドメイン ネーム サービス (DNS) のアドレスにアクセスできるように、ファイアウォールを構成する必要があります。さらに、このトピックで説明するように、プロキシ設定には構成済みのポートとプロトコルが必要で、DNS は特定の名前を解決する必要があります。次に、Horizon Cloud Connector 仮想アプライアンスがデプロイされ、ポッドを Horizon Cloud に正常に接続するための手順が完了したら、Horizon Cloud と仮想アプライアンス間の継続的な運用のために、特定のポートとプロトコルが必要となります。

Horizon ポッドをオンボーディングし、そのポッドで Horizon サブスクリプション ライセンスまたはクラウド ホスト型のサービスを使用する場合で説明されているように、Horizon Cloud Connector 仮想アプライアンスは、VMware Horizon デプロイで使用され、Horizon でサブスクリプション ライセンスをアクティブ化し、Horizon デプロイでクラウド ホスト型のサービスを使用できるようにします。

テナント全体に適用されるポッドの接続およびサービス運用の DNS 要件

このセクションでは、テナント全体に適用されるポッドの接続およびサービス運用の DNS 要件について説明します。Horizon インフラストラクチャ監視の有効化と Horizon Edge 仮想アプライアンスの DNS 要件については、この後のセクションを参照してください。Horizon インフラストラクチャ監視機能はポッドごとに有効化されるため、その DNS 要件は独自の記述テーブルを保証します。

Horizon Cloud Connector を使用して Horizon Cloud と Horizon ポッドを接続するための手順には、ブラウザを使用して Horizon Cloud Connector アプライアンスの IP アドレスに移動し、ログイン画面が表示される手順が含まれています。そのログイン画面を表示するためには、Horizon Cloud Connector アプライアンスと Horizon Cloud クラウド制御プレーン間のインターネット接続が必要です。アプライアンスは最初に HTTPS を使用して Horizon Cloud クラウド制御プレーンへの接続を確立してから、アウトバウンド インターネット ポート 443 を使用して永続的な WebSocket 接続を開きます。継続的な運用のために、Horizon Cloud Connector アプライアンスと Horizon Cloud 間の接続では、ポート 443 を使用するアウトバウンド インターネット接続が常に開いている必要があります。以下の Domain Name Service (DNS) 名が解決可能であり、以下の表に記載されている特定のポートおよびプロトコルを使用してアクセス可能であるようにする必要があります。

重要:

次の重要な点に注意してください。

  • すべてのテナント アカウントで、DNS 名 cloud.horizon.vmware.com へのアクセスが必要です。テナント アカウントで指定されているリージョンの地域別制御プレーンの DNS 名へのアクセスに加えて、cloud.horizon.vmware.com へのアクセスが必要です。

  • Horizon Cloud Connector は、業界で信頼されている認証局 (CA) である DigiCert によって署名された SSL 証明書を使用します。これらの証明書は、DigiCert ドメインの特定の DNS 名を参照する CRL(証明書失効リスト)と OCSP(オンライン証明書ステータス プロトコル)クエリを使用します。Horizon Cloud Connector 接続を確保するには、これらの DNS 名を、解決可能で仮想アプライアンスからアクセスできるように構成する必要があります。これらの DNS 名にアクセスできない場合、Horizon Cloud Connector 構成ポータルにアクセスできなくなります。特定の名前は DigiCert によって決定されるため、VMware によって管理されません。

  • ポッドで Universal Broker の使用を有効にする場合は、DNS 名に加えて接続性の要件があります。詳細については、Universal Broker のシステム要件 およびその関連トピックを参照してください。

「Horizon Service へようこそ」E メールには、自分のテナント アカウントがどの地域の制御プレーン インスタンスで作成されたかが示されます。「ようこそ」E メールが送信されたときに存在していた既知の問題により、受信した E メールには判読可能な名前ではなく、リージョンで使用されているシステム文字列名が表示されることがあります。「ようこそ」E メールにシステム文字列の名前が表示されている場合は、次の表を使用して、E メールに表示される文字列と地域別制御プレーンの DNS 名を関連付けることができます。

表 1. 地域別制御プレーンの DNS 名にマッピングされた「ようこそ」E メール内の地域
「ようこそ」E メール内の記載 地域別の DNS 名
USA cloud.horizon.vmware.com
EU_CENTRAL_1 または Europe cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2 または Australia cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1 または USA-2 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1 または Europe-2 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1 または Australia-2 cloud-ap-2.horizon.vmware.com
Japan cloud-jp.horizon.vmware.com
UK cloud-uk.horizon.vmware.com

ソース

ターゲット (DNS 名)

ポート

プロトコル

目的

Horizon Cloud Connector

Horizon Cloud テナント アカウントで指定されている地域別制御プレーン インスタンスに応じた、次のいずれかの名前の cloud.horizon.vmware.com plus one。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。

  • cloud-us-2.horizon.vmware.com

  • cloud-eu-central-1.horizon.vmware.com

  • cloud-eu-2.horizon.vmware.com

  • cloud-ap-southeast-2.horizon.vmware.com

  • cloud-ap-2.horizon.vmware.com

  • cloud-jp.horizon.vmware.com

  • cloud-uk.horizon.vmware.com

443

TCP

地域別制御プレーン インスタンス。

注:

以下に示すように、地域のインスタンスに加えて、すべてのテナント アカウントで Horizon Cloud Connectorcloud.horizon.vmware.com にアクセスできる必要があります。

  • 米国:cloud.horizon.vmware.com, cloud-us-2.horizon.vmware.com

  • ヨーロッパ:cloud-eu-central-1.horizon.vmware.com, cloud-eu-2.horizon.vmware.com

  • アジア パシフィック: cloud-ap-southeast-2.horizon.vmware.com, cloud-ap-2.horizon.vmware.com

  • 日本:cloud-jp.horizon.vmware.com

  • 英国:cloud-uk.horizon.vmware.com

Horizon Cloud Connector

Horizon Cloud アカウントにどの地域別制御プレーンが指定されているかに応じて異なります。

北米:

  • kinesis.us-east-1.amazonaws.com

  • query-prod-us-east-1.cms.vmware.com

ヨーロッパ:

  • kinesis.eu-central-1.amazonaws.com

  • query-prod-eu-central-1.cms.vmware.com

オーストラリア:

  • kinesis.ap-southeast-2.amazonaws.com

  • query-prod-ap-southeast-2.cms.vmware.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com

  • query-prod-ap-northeast-1.cms.vmware.com

英国:

  • kinesis.eu-west-2.amazonaws.com

  • query-prod-eu-west-2.cms.vmware.com

443

TCP

Cloud Monitoring Service (CMS)

Horizon Cloud Connector

*.digicert.com

注:

許可される DNS 名にワイルドカードを使用することを組織が推奨しない場合は、代わりに特定の名前を許可できます。たとえば、この記事の執筆時点では、証明書の検証に必要な特定の DNS 名は次のとおりです。

  • ocsp.digicert.com

  • crl3.digicert.com

  • crl4.digicert.com

  • www.digicert.com/CPS

これらの DNS 名は、DigiCert によって決定され、変更される可能性があります。証明書に必要な特定の名前を取得する方法については、VMware ナレッジベースの記事 KB79859を参照してください。

80、443

HTTP、HTTPS

認証局 DigiCert から検証を取得するために使用される CRL または OCSP クエリ

Horizon Cloud Connector

Horizon Cloud テナント アカウントで指定されている地域別制御プレーンのインスタンスに応じた、次のいずれかの名前。地域別のインスタンスは、Microsoft Azure および Horizon ポッドの Horizon Cloud へのデプロイとオンボーディングの記載どおりに、アカウントの作成時に設定されます。

  • connector-azure-us.vmwarehorizon.com

  • connector-azure-eu.vmwarehorizon.com

  • connector-azure-aus.vmwarehorizon.com

  • connector-azure-jp.vmwarehorizon.com

  • connector-azure-uk.vmwarehorizon.com

  • connector-azure-de.vmwarehorizon.com

443

TCP

Universal Broker サービスのリージョン インスタンス

  • 米国:connector-azure-us.vmwarehorizon.com

  • ヨーロッパ:connector-azure-eu.vmwarehorizon.com

  • オーストラリア:connector-azure-aus.vmwarehorizon.com

  • 日本:connector-azure-jp.vmwarehorizon.com

  • 英国:connector-azure-uk.vmwarehorizon.com

  • ドイツ:connector-azure-de.vmwarehorizon.com

高度な機能をサポートするための DNS 要件

Horizon インフラストラクチャの監視 などの特定の高度な機能をサポートするには、Horizon Cloud Connector アプライアンスが次の表に記載されている DNS エントリにアクセスできる必要があります。詳細については、Horizon インフラストラクチャの監視と Horizon Cloud 環境のポッドを参照してください。

ソース

ターゲット (DNS 名)

ポート

プロトコル

目的

Horizon Cloud Connector

次の両方:

  • *.blob.core.windows.net
  • horizonedgeprod.azurecr.io

443

TCP

Azure BLOB ストレージへのプログラム アクセスに使用されます。アプライアンスの Edge モジュールが必要とする DNS アドレスから Docker イメージをダウンロードするために使用されます。

Horizon Cloud Connector

*.Azure-devices.net、またはテナント アカウントに適用される地域別制御プレーンに対応した、以下の地域固有の名前のいずれか。

北米:

  • edgehubprodna.azure-devices.net

ヨーロッパ:

  • edgehubprodeu.azure-devices.net

オーストラリア:

  • edgehubprodap.azure-devices.net

日本:

  • edgehubprodjp.azure-devices.net

443

TCP

アプライアンスを Horizon Cloud 制御プレーンに接続し、アプライアンスの Edge モジュールの構成をダウンロードし、Edge モジュールのランタイム ステータスを更新するために使用されます。

Horizon Cloud Connector

テナント アカウントにどの地域別制御プレーンが適用されているかに応じて異なります。

北米:

  • kinesis.us-east-1.amazonaws.com

ヨーロッパ:

  • kinesis.eu-central-1.amazonaws.com

オーストラリア:

  • kinesis.ap-southeast-2.amazonaws.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com

英国:

  • kinesis.eu-west-2.amazonaws.com

443

TCP

アプライアンスによって収集されたポッド監視データを Horizon Cloud 制御プレーンに送信するために使用されます。

Horizon Cloud Connector 仮想アプライアンスで必要となるポートとプロトコル

Horizon Cloud ConnectorHorizon Cloud の間の継続的な運用のためには、次の表のポートとプロトコルが必要です。

表 2. Horizon Cloud Connector のポート

ソース

ターゲット

ポート

プロトコル

説明

Horizon Cloud Connector

Horizon Cloud

443

HTTPS

Horizon Cloud ConnectorHorizon Cloud とペアリングしてデータを転送するために使用されます。

Horizon Cloud Connector

Connection Server

443

HTTPS

Connection Server への API 呼び出し。

Horizon Cloud Connector

Connection Server

4002

TCP

Cloud Connector と Connection Server との間の Java Message Service (JMS) 通信

Horizon Cloud Connector アプライアンスの新しいバージョン

Horizon Cloud Connector アプライアンスの既存のバージョン

22

SSH

更新プロセスの開始要求を待機します。

Web ブラウザ

Horizon Cloud Connector

443

HTTPS

ペアリング プロセスの開始を待機します。

ネットワーク上のクラウド接続された Horizon ポッドからのデスクトップまたはサーバ仮想マシンの Cloud Monitoring Service エージェント

Horizon Cloud Connector アプライアンス

11002

TCP

サーバまたはデスクトップ仮想マシン上の Cloud Monitoring Service エージェントがデータを Horizon Cloud Connector に送信するために使用されます。

Horizon Cloud Connector

vCenter Server の SDK エンドポイント。例:https://<vCenter Server の FQDN>/sdk

443

TCP

このオプションのポート構成は、自動更新機能で使用するために必要です。自動更新機能はデフォルトで無効になっており、リクエストがあった場合のみポッドごとに有効にできます。Horizon Cloud Connector 仮想アプライアンスの自動更新の構成を参照してください。

Horizon Cloud Connector

vCenter Server の SDK エンドポイント。例:https://<vCenter Server の FQDN>/sdk

443

HTTPS

このオプションのポート構成は、Horizon Image Management Service で使用するために必要です。テナント アカウントで Horizon Image Management Service 機能が有効になっている場合にのみ、このポートとプロトコルを構成する必要があります。『クラウドからの Horizon イメージの管理』を参照してください。