このページは、一般的な Horizon Cloud Service on Microsoft Azure 環境内の通信に使用されるすべてのポートとプロトコルのリファレンスです。以下の表を使用して、ネットワーク構成とファイアウォールでポッドの正常なデプロイと日常操作に必要な通信トラフィックが可能になるようにします。

特定のデプロイに必要な特定のポートとプロトコルは、Horizon Cloud Service on Microsoft Azure 環境で使用する機能によって多少異なります。特定のコンポーネントまたはプロトコルを使用しない場合、その必要な通信トラフィックはユーザーの目的には不要であり、そのコンポーネントに関連付けられているポートは無視してもかまいません。たとえば、エンド ユーザーが Blast Extreme 表示プロトコルのみを使用する場合、PCoIP ポートの許可は必須ではありません。

重要: ここで説明するポートとプロトコルに加えて、ポッドのデプロイとその日常操作には、特定の DNS 要件があります。詳細については、 Microsoft の Horizon Cloud ポッドおよび関連サービス機能の DNS 要件を参照してください。

ポッドのデプロイ プロセスの一環として、デプロイヤはデプロイされたすべての仮想マシンのネットワーク インターフェイス (NIC) にネットワーク セキュリティ グループ (NSG) を作成します。これらの NSG で定義されているルールの詳細については、Horizon Cloud ポッド内の仮想マシンに対するデフォルトのネットワーク セキュリティ グループ ルールを参照してください。

継続的な運用のために主要なポッド コンポーネントで必要となるポートとプロトコル

DNS の要件に加えて、次の表には、デプロイ後に進行中の操作に関してポッドが正常に操作されるために必要なポートおよびプロトコルが記載されています。これらの表の一部には、特定のシナリオで必要なポートとプロトコル、またはポッドで特定の機能を有効にした場合に必要なポートとプロトコルも記載されます。

下記の表では、マネージャ仮想マシンという用語はポッドのマネージャ仮想マシンを意味します。Microsoft Azure ポータルでは、この仮想マシンには vmw-hcs-podIDpodID はポッドの UUID)や node を含む名前が付けられます。

重要: 高可用性が有効になっているポッドには、2 台のマネージャ仮想マシンがあります。高可用性がオンになっているポッドには、1 台のみのマネージャ仮想マシンがあります。下記の表では、マネージャ仮想マシンという用語が示されている場合、特に指定がない限り、それは高可用性が有効なポッド内のすべてのマネージャ仮想マシンに適用されます。

システムでの Microsoft Azure ロード バランサとポッド マネージャ仮想マシンの使用は、マニフェスト 1600(2019 年 9 月のサービス リリース)から開始されました。したがって、マニフェスト 1600 以降で新しくデプロイされたすべてのポッドには、ポッドの Microsoft Azure ロード バランサが 1 台あります。マニフェスト 1600 より前に最初にデプロイされ、その後に以降のマニフェストに更新されたポッドにも、ポッドの Microsoft Azure ロード バランサが 1 台あります。ポッドのロード バランサに言及する表の行は、このようなすべてのポッドに適用されます。

表 1. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
マネージャ仮想マシン ポッドのその他のマネージャ仮想マシン 4101 TCP 高可用性が有効になっているポッドの場合、このトラフィックはマネージャ仮想マシン間の JMS ルーティングです。
マネージャ仮想マシン Unified Access Gateway 仮想マシン 9443 HTTPS このポートは、ポッドの Unified Access Gateway 構成の設定を構成するために、管理サブネット上のポッド マネージャ仮想マシンによって使用されます。このポート要件は、最初にポッドを Unified Access Gateway 構成でデプロイするときと、ポッドを編集して Unified Access Gateway 構成を追加またはその Unified Access Gateway 構成の設定を更新するときに適用されます。
ポッドの Microsoft Azure ロード バランサ マネージャ仮想マシン 8080 HTTP ロード バランサのバックエンド プール内の仮想マシンの健全性チェック。このリリースのマニフェスト バージョンのポッドで高可用性が有効になっていない場合、ロード バランサには、チェックする 1 台のマネージャ仮想マシンがそのバックエンド プールにあります。
マネージャ仮想マシン ドメイン コントローラ 389 TCP

UDP

LDAP サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン グローバル カタログ 3268 TCP LDAP サービス。Active Directory 構成内のグローバル カタログの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン ドメイン コントローラ 88 TCP

UDP

Kerberos サービス。Active Directory 構成内のドメイン コントローラの役割が含まれているサーバ。Active Directory へのポッドの登録が必要です。
マネージャ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
マネージャ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。
マネージャ仮想マシン True SSO 登録サーバ 32111 TCP True SSO 登録サーバ。ポッドで True SSO 登録サーバの機能を使用していない場合は省略できます。
マネージャ仮想マシン Workspace ONE Access サービス 443 HTTPS
注: この行は、シングルポッド ブローカ構成の環境に適用されます。この情報は、Universal Broker 構成の環境ではありません。シングルポッド ブローカによって構成された環境では、 Workspace ONE Access Connector はポッドと通信してエンド ユーザーの資格(割り当て)を取得しす。
Workspace ONE Access をポッドと統合していない場合は省略できます。シングルポッド ブローカによって構成された環境では、この接続を使用して、ポッドと Workspace ONE Access サービスの間に信頼関係が作成され、Workspace ONE Access Connector はポッドと同期されます。使用中の Workspace ONE Access 環境に対して、ポッドがポート 443 でアクセスできることを確認します。Workspace ONE Access クラウド サービスを使用している場合、Workspace ONE Access Connector およびポッドがアクセス権を持つ必要のある、Workspace ONE Access サービスの IP アドレスのリスト(VMware のナレッジベースの記事 KB2149884 にある)も参照してください。
一時的なジャンプ ボックス仮想マシン マネージャ仮想マシン 22 TCP ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルで説明したように、一時的なジャンプ ボックスは、ポッドのデプロイおよびポッドの更新中に使用されます。進行中のプロセスがこれらのポートを必要としない場合でも、ポッドのデプロイおよびポッドの更新中は、このジャンプ ボックス仮想マシンはマネージャ仮想マシンのポート 22 への SSH を使用してマネージャ仮想マシンと通信する必要があります。ジャンプ ボックス仮想マシンでこの通信が必要になる場合の詳細については、ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルを参照してください。
注: マニフェスト バージョンが 1600 以降で、高可用性機能が有効になっているポッドには、2 台のマネージャ仮想マシンがあります。前述のパラグラフでは、仮想マシンという単語の複数形を使用して、ポッドのマネージャ仮想マシンが 1 台だけの場合でも 2 台の場合でも、ジャンプ ボックス仮想マシンはすべてのマネージャ仮想マシンと通信する必要があることを示します。
一時的なジャンプ ボックス仮想マシン Unified Access Gateway 仮想マシン 9443 HTTPS このポートは、ポッドの Unified Access Gateway 構成を設定するために、管理サブネット上のジャンプ ボックス仮想マシンによって使用されます。このポート要件は、最初にポッドを Unified Access Gateway 構成でデプロイするときと、ポッドを編集して Unified Access Gateway 構成をポッドに追加するときに適用されます。

ゲートウェイ コネクタ仮想マシンのポートとプロトコルの要件

この表は、外部ゲートウェイを別の VNet にデプロイしたときに使用されるゲートウェイのコネクタ仮想マシンに適用されます。DNS の要件に加えて、デプロイ後に継続的な運用に関して外部ゲートウェイが正常に操作されるためには、次の表に記載されたポートおよびプロトコルが必要です。

次の表では、コネクタ仮想マシンという用語は、クラウド管理プレーンと外部ゲートウェイ間の接続を管理するゲートウェイのコネクタ仮想マシンを指します。Microsoft Azure ポータルでは、この仮想マシンには vmw-hcs-IDID はゲートウェイのデプロイヤ ID)や node を含む名前が付けられます。

表 2. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
コネクタ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
コネクタ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。
一時的なジャンプ ボックス仮想マシン コネクタ仮想マシン 22 TCP ポッドのデプロイと更新中にポッドのジャンプ ボックスで必要となるポートとプロトコルで説明したように、一時的なジャンプ ボックスは、外部ゲートウェイのデプロイおよび更新中に使用されます。進行中のプロセスがこれらのポートを必要としない場合でも、デプロイおよび更新中は、このジャンプ ボックス仮想マシンはコネクタ仮想マシンのポート 22 への SSH を使用してコネクタ仮想マシンと通信する必要があります。

Unified Access Gateway 仮想マシンのポートとプロトコルの要件

DNS および上記のプライマリ ポートとプロトコルの要件に加え、次の表のポートとプロトコルは、デプロイ後の継続的な運用のために適切に動作するようにポッドで構成したゲートウェイに関連しています。

Unified Access Gateway インスタンスで構成されている高可用性が有効なポッドを使用した接続では、トラフィックは次の表に記載されているようにポッドの Unified Access Gateway インスタンスからターゲットに対して許可される必要があります。ポッドのデプロイ中に、ネットワーク セキュリティ グループ (NSG) は、ポッドの Unified Access Gateway インスタンスによる使用に対応するために Microsoft Azure 環境に作成されます。

表 3. ポッドの Unified Access Gateway インスタンスからのトラフィックに関するポートの要件
ソース ターゲット ポート プロトコル 目的
Unified Access Gateway ポッドの Microsoft Azure ロード バランサ 8443 TCP ログイン認証トラフィック。Unified Access Gateway インスタンスからのトラフィックは、ポッドのロード バランサを経由してポッドのマネージャ仮想マシンに到達します。
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme

デフォルトでは、Blast Extreme を使用する場合、クライアント ドライブ リダイレクト (CDR) トラフィックおよび USB トラフィックはこのポート内でサイド チャネルされます。好みに応じて、CDR トラフィックは TCP 9427 ポート上で、および USB リダイレクト トラフィックは TCP 32111 ポート上で分離できます。

Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR) トラフィックでは省略できます。
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト トラフィックでは省略できます。
Unified Access Gateway RADIUS インスタンス 1812 UDP その Unified Access Gateway の構成に RADIUS 2 要素認証を使用する場合。RADIUS のデフォルト値はここに表示されます。

Universal Broker で必要なポートおよびプロトコル

ポッドからのエンドユーザー割り当ての仲介に Universal Broker を使用できるようにするには、次の表の説明に従ってポート 443 を構成する必要があります。アクティブなポッド マネージャは、ポート 443 を介して Universal Broker サービスとの永続的な WebSocket 接続を確立し、ランダムに選択されたポートを介して Universal Broker サービスからの接続要求を受信します。

表 4. Universal Broker のポート要件
ソース 接続元ポート ターゲット ターゲット ポート プロトコル 目的
アクティブなポッド マネージャ 使用可能なポートからランダムに選択されます。 Universal Broker サービス 443 最初は HTTPS、次に WebSocket Universal Broker サービスとの永続的な WebSocket 接続を確立します。

Horizon Edge 仮想アプライアンス で必要なポートおよびプロトコル

ポッドの Horizon インフラストラクチャの監視 を有効にすると、そのポッドのサブスクリプションで Horizon Edge 仮想アプライアンス がデプロイされて構成されます。アプライアンスのポッドの管理サブネットには 1 つの NIC があり、その NIC で NSG が自動的に構成されます。この NSG のルールでは、アプライアンスへの、およびアプライアンスからの許可されるトラフィックを指定します。次の表には、有効化プロセスの実行中に必要となる NSG からのポートとプロトコルが記載されています。このプロセスでは、アプライアンスがデプロイされ、それらのコンポーネントから設計に従って収集すべき監視データを収集するためにポッド マネージャ仮想マシンを構成します。またこの表には、現在のサービス リリースで設計に従って収集すべきデータを収集するアプライアンスの定常状態の運用中に必要なポートとプロトコルも記載されています。

表 5. Horizon Edge 仮想アプライアンス のポート要件
ソース ターゲット ポート プロトコル 目的
Horizon Edge 仮想アプライアンス DNS サーバ 53 TCP DNS サービス
Horizon Edge 仮想アプライアンス ポッド マネージャ仮想マシン 9172 任意 管理サブネットに対する定常状態の運用において、アプライアンスが設計に従って収集すべき監視データを収集するため。
Horizon Edge 仮想アプライアンス クラウド制御プレーン 443 TCP 管理サブネットに対する定常状態の運用において、アプライアンスがクラウド制御プレーンに監視データを送信するため。また、アプライアンスのデプロイ時に、このポートは Microsoft Azure CLI ソフトウェアなどの外部に配置された特定のソフトウェア コンポーネントをダウンロードするために使用されます。これらのコンポーネントは、アプライアンスが監視データの収集のためにポッド マネージャ仮想マシンの構成を実行するのに必要となります。
Horizon Edge 仮想アプライアンス ポッド マネージャ仮想マシン 4002 TCP 管理サブネットに対する定常状態の運用において、アプライアンスが設計に従って収集すべき監視データを収集するため。

エンドユーザーの接続トラフィックのポートとプロトコルの要件

エンド ユーザーが Horizon Cloud ポッドで使用する可能性のあるさまざまな Horizon Client の詳細については、https://docs.vmware.com/jp/VMware-Horizon-Client/index.html にある Horizon Client のドキュメント ページを参照してください。エンド ユーザーの接続によるトラフィックで、ポッドがプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにアクセスするためにどのポートが開かれていなければならないかは、エンド ユーザーが接続する方法に関する選択内容によって異なります。

ポッド専用の VNet で外部ゲートウェイ構成を使用するためのデプロイヤ オプションを選択する場合
デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのロード バランサのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure でのパブリック ロード バランサとして構成されます。 高可用性が有効にされ、外部および内部ゲートウェイ構成の両方で構成されたポッドの Horizon Cloud ポッド アーキテクチャの図、ポッドと同じ VNet にデプロイされた外部ゲートウェイ、外部ゲートウェイ仮想マシンに 3 つの NIC、内部ゲートウェイ仮想マシンに 2 つの NIC、および外部ゲートウェイのロード バランサに対して有効なパブリック IP アドレスは、このパブリック ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後に、外部ゲートウェイのロード バランサは vmw-hcs-podID-uag という名前のリソース グループにあります。ここで podID はポッドの UUID です。
内部 Unified Access Gateway 構成を使用するためのデプロイヤ オプションを選択する場合
内部ゲートウェイ構成は、デフォルトでポッド専用の VNet にデプロイされます。デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、テナント サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure での内部ロード バランサとして構成されます。 高可用性が有効にされ、外部および内部ゲートウェイ構成の両方で構成されたポッドの Horizon Cloud ポッド アーキテクチャの図、ポッドと同じ VNet にデプロイされた外部ゲートウェイ、外部ゲートウェイ仮想マシンに 3 つの NIC、内部ゲートウェイ仮想マシンに 2 つの NIC、および外部ゲートウェイのロード バランサに対して有効なパブリック IP アドレスは、この内部ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、企業ネットワーク内のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後に、内部ゲートウェイのロード バランサは vmw-hcs-podID-uag-internal という名前のリソース グループにあります。ここで podID はポッドの UUID です。
ポッドではなく、専用の VNet で外部ゲートウェイ構成を使用する、または専用のサブスクリプションを使用するオプション(VNet は複数のサブスクリプションにまたがらないため、これは専用の VNet を使用する特別なサブケースです)のいずれかのデプロイヤ オプションを選択する場合
デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのロード バランサのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure でのパブリック ロード バランサとして構成されます。 外部ゲートウェイがポッドの VNet とは別の専用の VNet にデプロイされている場合の外部ゲートウェイのアーキテクチャ要素の図は、このパブリック ロード バランサと、ゲートウェイ専用の VNet 内の Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後、外部ゲートウェイのロード バランサは、 vmw-hcs-ID-uag という名前のリソース グループにあります。ここで ID は、ポッドの詳細ページの [デプロイヤ ID] フィールドに表示される値です。『 管理ガイド』の説明に従って、コンソールの [キャパシティ] ページからポッドの詳細ページにアクセスします。
ポッドに Unified Access Gateway 構成がない場合
注: シングルポッド仲介を使用するようにテナントが構成されている本番環境の場合、内部エンドユーザー接続のベスト プラクティスは、ポッドで内部 Unified Access Gateway ゲートウェイ構成を使用することです。これらの接続は、シングルポッド仲介シナリオのゲートウェイ構成経由になります。
シングルポッド仲介とポッドと統合した Workspace ONE Access の構成では、通常、 Workspace ONE Access を介してエンド ユーザーが接続します。このシナリオでは、 Workspace ONE AccessWorkspace ONE Access Connector がポッドを直接参照するように構成する必要があります。エンド ユーザーは、 Workspace ONE Access を使用して、ポッドでプロビジョニングされたリソースに接続しています。 この構成の場合、『VMware Horizon Cloud Service 管理ガイド』の説明に従って、コンソールのポッドの [サマリ] ページを使用して、SSL 証明書をポッドのマネージャ仮想マシンにアップロードします。 次に、 Workspace ONE Access をポッドと統合する手順を完了します。
表 6. ポッドの構成に外部 Unified Access Gateway インスタンスがある場合の外部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon Client からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。

ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon HTML Access クライアント(Web クライアント)からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、ブラウザの Horizon HTML Access クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
表 7. ポッドの構成に内部 Unified Access Gateway インスタンスがある場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。VMware Horizon Cloud Service 管理ガイド』で「URL コンテンツ リダイレクトについて」のトピックを参照してください。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon Client からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効化されています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。

ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon HTML Access クライアント(Web クライアント)からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、ブラウザの Horizon HTML Access クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
表 8. VPN を介するなどの直接接続を使用する場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client ポッドの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアントからのトラフィックは、ポッドのロード バランサを経由してポッドのマネージャ仮想マシンに到達します。
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR)
ブラウザ デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 443 TCP HTML Access

ベース仮想マシン、VDI デスクトップ仮想マシン、およびファーム RDSH 仮想マシン内にインストールされたエージェントからのトラフィックのポートおよびプロトコルの要件

次のポートは、ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンにインストールされているエージェントに関連するソフトウェアと、ポッド マネージャ仮想マシンとの間のトラフィックを許可する必要があります。

ソース ターゲット ポート プロトコル 目的
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの Horizon Agent マネージャ仮想マシン 4001 TCP 仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)。キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。たとえば、[インポートされた仮想マシン] ページで [エージェント ペアリングをリセット] アクションを実行するには、ベースのインポートされた仮想マシンとポッド間でのエージェント ペアリング ワークフローのためにポート 4001 を使用した通信が必要です。
注: 定常状態の動作には、ポート 4001 と 4002 の両方が必要です。エージェントがポッドのキーを再設定する必要がある場合があります。そのため、ポート 4001 を開いたままにしておく必要があります。
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの Horizon Agent マネージャ仮想マシン 4002 TCP これらの仮想マシンのエージェントがセキュアな SSL 接続を使用してポッドと通信するために使用する Java Message Service(JMS、SSL)。
デスクトップまたはファーム RDSH 仮想マシンの FlexEngine エージェント(VMware Dynamic Environment Manager のエージェント) デスクトップまたはファーム RDSH 仮想マシンで実行される FlexEngine エージェントによる使用のためにセットアップしたファイル共有 445 TCP VMware Dynamic Environment Manager 機能を使用している場合、SMB ファイル共有への FlexEngine エージェント アクセス。

App Volumes 機能で必要なポートおよびプロトコル

Horizon Cloud on Microsoft Azure の App Volumes アプリケーション:概要と前提条件 で説明したように、Horizon Cloud ポッドでの使用がサポートされている App Volumes 機能の使用をサポートするには、ポッドのテナント サブネットでポート 445 を TCP プロトコル トラフィック用に構成する必要があります。ポート 445 は、Microsoft Windows の SMB ファイル共有にアクセスするための標準の SMB ポートです。AppStack は、ポッド マネージャ仮想マシンと同じリソース グループにある SMB ファイル共有に保存されます。

重要: Horizon Cloud ポッドと NSX Cloud バージョン 3.1.1 以降を統合し、 App Volumes 割り当てを使用する場合は、NSX PCG をデプロイした後、そのポッドを使用して最初の App Volumes 割り当てを作成する前に、NSX ファイアウォール ルール内のポッドのテナント サブネットに対してこのポート 445/TCP を手動で開く必要があります。
表 9. App Volumes のポート要件
ソース ターゲット ポート プロトコル 目的
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent ポッド マネージャのリソース グループ内の SMB ファイル共有 445 TCP ポッドのテナント サブネットで、SMB ファイル共有に保存されている App Volumes AppStack にアクセスします。

Workspace ONE Assist for Horizon との統合 - DNS、ポート、およびプロトコルの要件

Workspace ONE Assist for Horizon は、Workspace ONE UEM 製品ラインの製品です。2021 年 8 月の Horizon Cloud リリースの時点で、特定の要件が満たされると、その製品の使用を Horizon Cloud テナントのポッドからプロビジョニングされた VDI デスクトップと統合できます。要件の詳細については、Workspace ONE for Horizon と Horizon Cloud ドキュメントを参照してください。

アシスタント機能を使用するには、VDI デスクトップ仮想マシンと、Horizon Cloud テナントとの統合をサポートする Workspace ONE Assist サーバ間のアウトバンド通信が必要です。

DNS 要件
Workspace ONE Assist サーバの DNS 名が解決可能であり、VDI デスクトップ仮想マシンが配置されるポッドのテナント サブネットからアクセスできることを確認します。 Workspace ONE for Horizon と Horizon Cloud ドキュメントには Workspace ONE Assist サーバの DNS 名が記載されています。
ポートとプロトコルの要件
ポート 443、TCP、HTTPS を使用する送信トラフィックは、 Workspace ONE Assist for Horizon アプリケーションがインストールされている VDI デスクトップ仮想マシンから許可される必要があります。

視覚的に豊かなネットワークの図

これらのコンポーネント、ポート、およびプロトコル間の関係の視覚的に豊かな図については、https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams にある VMware Digital Workspace Tech Zone のネットワーク図と説明を参照してください。