このページは、一般的な第 1 世代 Horizon Cloud Service on Microsoft Azure 環境内の通信に使用されるすべてのポートとプロトコルのリファレンスです。以下の表を使用して、ネットワーク構成とファイアウォールでポッドの正常なデプロイと日常操作に必要な通信トラフィックが可能になるようにします。

このページについて

重要: この情報は、第 1 世代の制御プレーンで第 1 世代のテナント環境にアクセスできる場合にのみ適用されます。 KB-92424 で説明されているように、第 1 世代の制御プレーンは提供終了 (EOA) となりました。詳細については、該当記事を参照してください。
注: VMware ナレッジベースの記事 KB93762 で説明されているように、 Horizon インフラストラクチャの監視機能は廃止され、第 1 世代のテナントではこの機能を有効化したり使用したりできなくなります。2023 年 10 月の時点で、廃止された機能に関連するポートとプロトコルの情報はこのページから削除されました。

特定のデプロイに必要な特定のポートとプロトコルは、Horizon Cloud Service on Microsoft Azure 環境で使用する機能によって多少異なります。特定のコンポーネントまたはプロトコルを使用しない場合、その必要な通信トラフィックはユーザーの目的には不要であり、そのコンポーネントに関連付けられているポートは無視してもかまいません。たとえば、エンド ユーザーが Blast Extreme 表示プロトコルのみを使用する場合、PCoIP ポートの許可は必須ではありません。

重要: ここで説明するポートとプロトコルに加えて、ポッドのデプロイと日常の運用のためのネットワーク トラフィックには、特定のホスト名の要件があります。

ネットワーク トラフィックは特定のホスト名に到達する必要があります。デプロイがプロキシを使用するように構成されている場合、一部のネットワーク サービスがプロキシを使用し、その他のネットワーク サービスは直接接続されることが予想されます。ホスト名へのネットワーク トラフィックの詳細については、第 1 世代テナント - Horizon Cloud on Microsoft Azure のデプロイ - ホスト名解決の要件、DNS 名を参照してください。

VMware 製品でサポートされているその他のポートの詳細については、VMware Ports and Protocols を参照してください。

ポッドのデプロイ プロセスの一環として、デプロイヤはデプロイされたすべての仮想マシンのネットワーク インターフェイス (NIC) にネットワーク セキュリティ グループ (NSG) を作成します。これらの NSG で定義されているルールの詳細については、Horizon Cloud ポッド内の仮想マシンに対するデフォルトのネットワーク セキュリティ グループ ルールを参照してください。

継続的な運用のために主要なポッド コンポーネントで必要となるポートとプロトコル

DNS の要件に加えて、次の表には、デプロイ後に進行中の操作に関してポッドが正常に操作されるために必要なポートおよびプロトコルが記載されています。これらの表の一部には、特定のシナリオで必要なポートとプロトコル、またはポッドで特定の機能を有効にした場合に必要なポートとプロトコルも記載されます。

Microsoft Azure ポータルでは、ポッド マネージャ仮想マシンには vmw-hcs-podIDpodID はポッドの UUID)や node を含む名前が付けられます。

注: v2204 サービス リリース以降、新しい Horizon Cloud Service on Microsoft Azure 展開はデフォルトで高可用性が構成された状態でデプロイされます。展開には 2 台のポッド マネージャ仮想マシンがあります。次の表で、「ポッド マネージャ仮想マシン」という語句が表示されている場合は、特に指定されていない限り、両方のポッド マネージャ仮想マシンに適用されます。

システムでの Microsoft Azure ロード バランサとポッド マネージャ仮想マシンの使用は、マニフェスト 1600(2019 年 9 月のサービス リリース)から開始されました。したがって、マニフェスト 1600 以降で新しくデプロイされたすべてのポッドには、ポッドの Microsoft Azure ロード バランサが 1 台あります。マニフェスト 1600 より前に最初にデプロイされ、その後に以降のマニフェストに更新されたポッドにも、ポッドの Microsoft Azure ロード バランサが 1 台あります。ポッドのロード バランサに言及する表の行は、このようなすべてのポッドに適用されます。

表 1. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
ポッド マネージャ仮想マシン ポッドのその他のポッド マネージャ仮想マシン 4101 TCP このトラフィックは、ポッド マネージャ仮想マシン間の JMS ルーティングです。
ポッド マネージャ仮想マシン Unified Access Gateway 仮想マシン 9443 HTTPS このポートは、ポッドの Unified Access Gateway 構成の設定を構成するために、管理サブネット上のポッド マネージャ仮想マシンによって使用されます。このポート要件は、最初にポッドを Unified Access Gateway 構成でデプロイするときと、ポッドを編集して Unified Access Gateway 構成を追加またはその Unified Access Gateway 構成の設定を更新するときに適用されます。
ポッドの Microsoft Azure ロード バランサ ポッド マネージャ仮想マシン 8080 HTTP ロード バランサのバックエンド プール内の仮想マシンの健全性チェック。

v2204 リリースより前にデプロイされた、高可用性トグルが設定されておらず、高可用性がまだ追加されていないポッドの場合、ロード バランサのバックエンド プールにはチェックするポッド マネージャ仮想マシンが 1 台あります。

ポッド マネージャ仮想マシン ドメイン コントローラ 389 TCP

UDP

Active Directory への Horizon Cloud テナントの登録が必要です。最初のポッドをオンボーディングした後に、コンソールの [Active Directory ドメインの登録] ワークフローを実行する必要があります。

LDAP がそのワークフローで指定される場合、このポートは LDAP サービスに必要です。LDAP は、ほとんどのテナントでデフォルトです。

ターゲットは、Active Directory 構成内のドメイン コントローラのロールが含まれているサーバです。

ポッド マネージャ仮想マシン グローバル カタログ 3268 TCP Active Directory への Horizon Cloud テナントの登録が必要です。最初のポッドをオンボーディングした後に、コンソールの [Active Directory ドメインの登録] ワークフローを実行する必要があります。

LDAP がそのワークフローで指定されたプロトコルになる場合、LDAP サービスにはこのポートが必要です。LDAP は、ほとんどのテナントでデフォルトです。

ターゲットは、Active Directory 構成にグローバル カタログ ロールを含むサーバです。

ポッド マネージャ仮想マシン ドメイン コントローラ 88 TCP

UDP

Kerberos サービス。ターゲットは、Active Directory 構成内のドメイン コントローラのロールが含まれているサーバです。Active Directory へのポッドの登録が必要です。
ポッド マネージャ仮想マシン ドメイン コントローラ 636、3269 TCP Active Directory への Horizon Cloud テナントの登録が必要です。最初のポッドをオンボーディングした後に、コンソールの [Active Directory ドメインの登録] ワークフローを実行する必要があります。

これらのポートは、LDAPS がその登録済み Active Directory の構成で指定されたプロトコルになる場合のみ、LDAP over SSL (LDAPS) サービスに必要です。LDAPS は、テナントがサービスの LDAPS 機能の使用を有効にしている場合にのみ、登録済み Active Directory に対して指定できます。それ以外の場合は、デフォルトで LDAP が必要です。

ポッド マネージャ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
ポッド マネージャ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。
ポッド マネージャ仮想マシン True SSO 登録サーバ 32111 TCP True SSO 登録サーバ。Horizon ポッドで True SSO を使用している場合に必要です。

32111 は、登録サーバのインストールで使用されるデフォルトのポートです。このポート番号は、必要に応じて登録サーバのインストール中に構成できます。

このトピックのTrue SSO、証明書管理、および Horizon Cloud on Microsoft Azure 環境セクションも参照してください。

ポッド マネージャ仮想マシン Workspace ONE Access サービス 443 HTTPS
注: この行は、シングルポッド ブローカ構成の環境に適用されます。この情報は、Universal Broker 構成の環境ではありません。シングルポッド ブローカによって構成された環境では、 Workspace ONE Access Connector はポッドと通信してエンド ユーザーの資格(割り当て)を取得します。
Workspace ONE Access をポッドと統合していない場合は省略できます。シングルポッド ブローカによって構成された環境では、この接続を使用して、ポッドと Workspace ONE Access サービスの間に信頼関係が作成され、Workspace ONE Access Connector はポッドと同期されます。使用中の Workspace ONE Access 環境に対して、ポッドがポート 443 でアクセスできることを確認します。Workspace ONE Access クラウド サービスを使用している場合、Workspace ONE Access Connector およびポッドがアクセス権を持つ必要のある、Workspace ONE Access サービスの IP アドレスのリスト(VMware のナレッジベースの記事 KB2149884 にある)も参照してください。

ゲートウェイ コネクタ仮想マシンのポートとプロトコルの要件

この表は、外部ゲートウェイを別の VNet にデプロイしたときに使用されるゲートウェイのコネクタ仮想マシンに適用されます。DNS の要件に加えて、デプロイ後に継続的な運用に関して外部ゲートウェイが正常に操作されるためには、次の表に記載されたポートおよびプロトコルが必要です。

次の表では、コネクタ仮想マシンという用語は、クラウド管理プレーンと外部ゲートウェイ間の接続を管理するゲートウェイのコネクタ仮想マシンを指します。Microsoft Azure ポータルでは、この仮想マシンには vmw-hcs-IDID はゲートウェイのデプロイヤ ID)や node を含む名前が付けられます。

表 2. ポッドの操作に関するポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
コネクタ仮想マシン DNS サーバ 53 TCP

UDP

DNS サービス。
コネクタ仮想マシン NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。

Unified Access Gateway 仮想マシンのポートとプロトコルの要件

DNS および上記のプライマリ ポートとプロトコルの要件に加え、次の表のポートとプロトコルは、デプロイ後の継続的な運用のために適切に動作するようにポッドで構成したゲートウェイに関連しています。

Unified Access Gateway インスタンスで構成されている高可用性が有効なポッドを使用した接続では、トラフィックは次の表に記載されているようにポッドの Unified Access Gateway インスタンスからターゲットに対して許可される必要があります。ポッドのデプロイ中に、ネットワーク セキュリティ グループ (NSG) は、ポッドの Unified Access Gateway インスタンスによる使用に対応するために Microsoft Azure 環境に作成されます。

表 3. ポッドの Unified Access Gateway インスタンスからのトラフィックに関するポートの要件
ソース ターゲット ポート プロトコル 目的
Unified Access Gateway ポッドの Microsoft Azure ロード バランサ 8443 TCP ログイン認証トラフィック。Unified Access Gateway インスタンスからのトラフィックは、ポッドのロード バランサを経由してポッド マネージャ仮想マシンに到達します。
Unified Access Gateway NTP サーバ 123 UDP NTP サービス。NTP の時刻同期を提供するサーバ。

テナントが Universal Broker を使用するように構成されている場合は、以下の要件が満たされていることを確認してください。

  • 外部 Unified Access Gateway 構成には、DMZ サブネットから NTP サーバへの接続が必要です。
  • 内部 Unified Access Gateway 構成には、テナント サブネットから NTP サーバへの接続が必要です。

理由は、サービスが Unified Access Gateway アプライアンスと UTC(協定世界時)を実行している Universal Broker の NTP サーバとの間に時刻ドリフトがあることを検出すると、時刻ドリフトに対処するように求める E メールが送信されるためです。Universal Broker と Unified Access Gateway アプライアンス間の時刻ドリフトにより、エンドユーザー接続が失敗することがあります。内部 Unified Access Gateway 構成がテナント サブネットから NTP サーバに接続されていない場合、このような時刻ドリフトが発生する可能性が高くなります。理由は、NTP サーバがない場合、これらの Unified Access Gateway アプライアンスは基盤となる仮想マシンの時刻に依存するためです。

使用する NTP サーバが内部 NTP サーバであり、DMZ インターフェイスからの通信が許可されていない場合は、SR を開いて、デプロイ後に VMware Horizon Cloud Service チームが Unified Access Gateway 構成へのルートの追加を支援できるようにしてください。これにより、Unified Access Gateway が NTP サーバと通信できるようになります。VMware Horizon Cloud Service チームには、ルートを追加するための API 呼び出しがあります。

ヒント: テナントがシングル ポッド仲介を使用するように構成されている場合、シングル ポッド ブローカのシナリオでは Unified Access Gateway アプライアンスの時刻ドリフトがエンドユーザーの接続に影響しないため、上記の要件を満たすことがベスト プラクティスと考えられます。
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme

デフォルトでは、Blast Extreme を使用する場合、クライアント ドライブ リダイレクト (CDR) トラフィックおよび USB トラフィックはこのポート内でサイド チャネルされます。好みに応じて、CDR トラフィックは TCP 9427 ポート上で、および USB リダイレクト トラフィックは TCP 32111 ポート上で分離できます。

Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR) トラフィックでは省略できます。
Unified Access Gateway デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト トラフィックでは省略できます。
Unified Access Gateway RADIUS インスタンス 1812 UDP その Unified Access Gateway の構成に RADIUS 2 要素認証を使用する場合。RADIUS のデフォルト値はここに表示されます。
Unified Access Gateway RSA SecurID Authentication Manager サーバ 5555 TCP その Unified Access Gateway の構成に RSA SecurID 2 要素認証を使用する場合。ここでは、エージェント認証の RSA SecurID 認証 API エージェントの通信ポートに使用されるデフォルト値を示します。

Universal Broker で必要なポートおよびプロトコル

ポッドからのエンドユーザー割り当ての仲介に Universal Broker を使用できるようにするには、次の表の説明に従ってポート 443 を構成する必要があります。アクティブなポッド マネージャは、ポート 443 を介して Universal Broker サービスとの永続的な WebSocket 接続を確立し、ランダムに選択されたポートを介して Universal Broker サービスからの接続要求を受信します。

表 4. Universal Broker のポート要件
ソース 接続元ポート ターゲット ターゲット ポート プロトコル 目的
アクティブなポッド マネージャ 使用可能なポートからランダムに選択されます。 Universal Broker サービス 443 最初は HTTPS、次に WebSocket Universal Broker サービスとの永続的な WebSocket 接続を確立します。

エンドユーザーの接続トラフィックのポートとプロトコルの要件

ポッドでプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにデバイスから接続するには、エンド ユーザーは互換性のあるインストール済みの VMware Horizon Client またはそのブラウザ(Horizon HTML Access クライアントと呼ばれる)を使用します。エンド ユーザーのクライアントからのトラフィックが、ポッドでプロビジョニングされた仮想デスクトップおよびリモート アプリケーションにアクセスするために開く必要があるポートは、エンド ユーザーの接続方法の選択によって異なります。

ポッド専用の VNet で外部ゲートウェイ構成を使用するためのデプロイヤ オプションを選択する場合
デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのロード バランサのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure でのパブリック ロード バランサとして構成されます。 ポッドが外部および内部ゲートウェイの両方で構成された Horizon クラウド ポッド アーキテクチャの図(外部ゲートウェイはポッドと同じ VNet にデプロイされた;外部ゲートウェイ仮想マシンに 3 つの NIC、内部ゲートウェイ仮想マシンに 2 つの NIC がある;外部ゲートウェイのロード バランサに対してパブリック IP アドレスが有効)は、このパブリック ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後に、外部ゲートウェイのロード バランサは vmw-hcs-podID-uag という名前のリソース グループにあります。ここで podID はポッドの UUID です。
内部 Unified Access Gateway 構成を使用するためのデプロイヤ オプションを選択する場合
内部ゲートウェイ構成は、デフォルトでポッド専用の VNet にデプロイされます。デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、テナント サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure での内部ロード バランサとして構成されます。 ポッドが外部および内部ゲートウェイの両方で構成された Horizon クラウド ポッド アーキテクチャの図(外部ゲートウェイはポッドと同じ VNet にデプロイされた;外部ゲートウェイ仮想マシンに 3 つの NIC、内部ゲートウェイ仮想マシンに 2 つの NIC がある;外部ゲートウェイのロード バランサに対してパブリック IP アドレスが有効)は、この内部ロード バランサと Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、企業ネットワーク内のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後に、内部ゲートウェイのロード バランサは vmw-hcs-podID-uag-internal という名前のリソース グループにあります。ここで podID はポッドの UUID です。
ポッドではなく、専用の VNet で外部ゲートウェイ構成を使用する、または専用のサブスクリプションを使用するオプション(VNet は複数のサブスクリプションにまたがらないため、これは専用の VNet を使用する特別なサブケースです)のいずれかのデプロイヤ オプションを選択する場合
デプロイヤは、Microsoft Azure 環境に Unified Access Gateway インスタンスをデプロイします。このとき、そのロード バランサのバックエンド プールのインスタンスに Microsoft Azure ロード バランサ リソースもデプロイされます。このロード バランサは、DMZ サブネット上のこれらのインスタンスの NIC と通信し、 Microsoft Azure でのパブリック ロード バランサとして構成されます。 外部ゲートウェイがポッドの VNet とは別の専用の VNet にデプロイされている場合の外部ゲートウェイのアーキテクチャ要素の図は、このパブリック ロード バランサと、ゲートウェイ専用の VNet 内の Unified Access Gateway インスタンスの場所を示します。ポッドがこの構成を使用している場合、インターネット上のエンド ユーザーからのトラフィックは、Unified Access Gateway インスタンスに要求を配信するロード バランサに向かいます。この構成に対しては、これらのエンド ユーザー接続が、次のリストにあるポートおよびプロトコルを使用してロード バランサにアクセス可能であるようにする必要があります。デプロイ後、外部ゲートウェイのロード バランサは、 vmw-hcs-ID-uag という名前のリソース グループにあります。ここで ID は、ポッドの詳細ページの [デプロイヤ ID] フィールドに表示される値です。『 管理ガイド』の説明に従って、コンソールの [キャパシティ] ページからポッドの詳細ページにアクセスします。
ポッドに Unified Access Gateway 構成がない場合
注: シングルポッド仲介を使用するようにテナントが構成されている本番環境の場合、内部エンドユーザー接続のベスト プラクティスは、ポッドで内部 Unified Access Gateway ゲートウェイ構成を使用することです。これらの接続は、シングルポッド仲介シナリオのゲートウェイ構成経由になります。
シングルポッド仲介とポッドと統合した Workspace ONE Access の構成では、通常、 Workspace ONE Access を介してエンド ユーザーが接続します。このシナリオでは、 Workspace ONE AccessWorkspace ONE Access Connector がポッドを直接参照するように構成する必要があります。エンド ユーザーは、 Workspace ONE Access を使用して、ポッドでプロビジョニングされたリソースに接続しています。 この構成の場合、『VMware Horizon Cloud Service 管理ガイド』の説明に従って、コンソールのポッドの [サマリ] ページを使用して、SSL 証明書をポッド マネージャ仮想マシンにアップロードします。 次に、 Workspace ONE Access をポッドと統合する手順を完了します。
表 5. ポッドの構成に外部 Unified Access Gateway インスタンスがある場合の外部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効にされています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon Client からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効にされています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。

ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon HTML Access クライアント(Web クライアント)からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、ブラウザの Horizon HTML Access クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
表 6. ポッドの構成に内部 Unified Access Gateway インスタンスがある場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効にされています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。VMware Horizon Cloud Service 管理ガイド』で「URL コンテンツ リダイレクトについて」のトピックを参照してください。

Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 4172 TCP

UDP

Unified Access Gateway 上の PCoIP Secure Gateway を介した PCoIP
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon Client からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 UDP データ トラフィック用の Unified Access Gateway を介した Blast Extreme。
Horizon Client これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 UDP データ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme(アダプティブ トランスポート)。
ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアント ドライブ リダイレクト (CDR)、マルチ メディア リダイレクト (MMR)、USB リダイレクト、および RDP トラフィックのトンネルも実行できます。

SSL(HTTPS アクセス)は、デフォルトでクライアント接続に対して有効にされています。ポート 80(HTTP アクセス)は、いくつかの場合に使用できます。

ブラウザ これらの Unified Access Gateway インスタンスの Microsoft Azure ロード バランサ 8443 または 443。デプロイでの設定内容によって異なる TCP Horizon HTML Access クライアント(Web クライアント)からのデータ トラフィック用の Unified Access Gateway 上の Blast Secure Gateway を介した Blast Extreme。Horizon Cloud ポッドの場合、このポートはデプロイ ウィザードの [Blast Extreme TCP ポート] メニューを使用して選択されます。ネットワークで、外部ゲートウェイに指定したいずれかへの送信アクセスがクライアントに許可されていることを確認します。この URL は、ブラウザの Horizon HTML Access クライアントが、Unified Access Gateway インスタンスの前にあるロード バランサを介して、これらのインスタンスへの Horizon Blast セッションを確立するために使用されます。

2021 年 10 月のサービス リリース以降、ゲートウェイ構成の新規デプロイで、デプロイヤは対応する Unified Access Gateway 構成で構成する Blast Extreme TCP ポートに対して 8443 または 443 を選択できるようにします。以前は、デプロイヤはデフォルトで 443 を構成し、ポートを選択できませんでした。ゲートウェイ構成が 2021 年 10 月のサービス リリースの日付より前にデプロイされた場合、その構成では通常、Unified Access Gateway 管理設定の [Blast 外部 URL] フィールドに 443 ポートが設定されています。

注: ポート 8443 は、より効率的で、パフォーマンスが向上し、 Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。ポート 443 は、より非効率的で、パフォーマンスが低下します。ポート 443 を使用すると、インスタンスで CPU の輻輳が発生します。ポート 443 は、組織でクライアント側の制限が設定されている場合(組織で 8443 ではなく 443 送信のみが許可されているなど)にのみデプロイで使用されます。
表 7. VPN を介するなどの直接接続を使用する場合の内部エンド ユーザー接続のポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
Horizon Client ポッドの Microsoft Azure ロード バランサ 443 TCP ログイン認証トラフィック。クライアントからのトラフィックは、ポッドのロード バランサを経由してポッド マネージャ仮想マシンに到達します。
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 32111 TCP USB リダイレクト
Horizon Client デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 9427 TCP クライアント ドライブ リダイレクト (CDR) とマルチ メディア リダイレクト (MMR)
ブラウザ デスクトップまたはファーム RDSH 仮想マシン内の Horizon Agent 443 TCP HTML Access

ベース仮想マシン、VDI デスクトップ仮想マシン、およびファーム RDSH 仮想マシン内にインストールされたエージェントからのトラフィックのポートおよびプロトコルの要件

次のポートは、ベース仮想マシン、デスクトップ仮想マシン、およびファーム RDSH 仮想マシンにインストールされているエージェントに関連するソフトウェアと、ポッド マネージャ仮想マシンとの間のトラフィックを許可する必要があります。

ソース ターゲット ポート プロトコル 目的
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの Horizon Agent ポッド マネージャ仮想マシン 4001 TCP 仮想マシンのエージェントが証明書のサムプリント検証の一部としてポッドと通信するために使用し、ポッドとの SSL 接続を保護するために交換される Java Message Service(JMS、非 SSL)。キーがネゴシエートされ、仮想マシンとポッド マネージャとの間で交換された後、エージェントはポート 4002 を使用してセキュアな SSL 接続を確立します。たとえば、[インポートされた仮想マシン] ページで [エージェント ペアリングをリセット] アクションを実行するには、ベースのインポートされた仮想マシンとポッド間でのエージェント ペアリング ワークフローのためにポート 4001 を使用した通信が必要です。
注: 定常状態の動作には、ポート 4001 と 4002 の両方が必要です。エージェントがポッドのキーを再設定する必要がある場合があります。そのため、ポート 4001 を開いたままにしておく必要があります。
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの Horizon Agent ポッド マネージャ仮想マシン 4002 TCP これらの仮想マシンのエージェントがセキュアな SSL 接続を使用してポッドと通信するために使用する Java Message Service(JMS、SSL)。
デスクトップ仮想マシン、ファーム RDSH 仮想マシン内の Horizon Agent VMware Cloud Services のホスト名 scapi.vmware.com 443 TCP VMware Service Usage Data Program に使用されます。テナント サブネットから送信される場合、VMware Cloud Services のホスト名 scapi.vmware.com に送信される Horizon Agent からのトラフィック。
デスクトップまたはファーム RDSH 仮想マシンの FlexEngine エージェント(VMware Dynamic Environment Manager のエージェント) デスクトップまたはファーム RDSH 仮想マシンで実行される FlexEngine エージェントによる使用のためにセットアップしたファイル共有 445 TCP VMware Dynamic Environment Manager 機能を使用している場合、SMB ファイル共有への FlexEngine エージェント アクセス。

App Volumes 機能で必要なポートおよびプロトコル

Horizon Cloud on Microsoft Azure の App Volumes アプリケーション:概要と前提条件 で説明したように、Horizon Cloud ポッドでの使用がサポートされている App Volumes 機能の使用をサポートするには、ポッドのテナント サブネットでポート 445 を TCP プロトコル トラフィック用に構成する必要があります。ポート 445 は、Microsoft Windows の SMB ファイル共有にアクセスするための標準の SMB ポートです。AppStack は、ポッド マネージャ仮想マシンと同じリソース グループにある SMB ファイル共有に保存されます。

また、「第 1 世代テナント - Horizon Cloud on Microsoft Azure のデプロイ - ホスト名解決の要件、DNS 名」で説明されているように、Azure Cloud がその SMB ファイル共有をプロビジョニングすると、Azure Cloud は *.file.core.windows.net のパターンで完全修飾ドメイン名 (FQDN) を割り当てます。ここで * は Azure が生成した SMB ファイル共有のストレージ アカウントの名前です。App Volumes がこれらのファイル共有にアクセスしてマウントし、AppStack を取得できるように、この FQDN は DNS サーバによって解決可能である必要があります。ポッド マネージャ インスタンス内で実行される App Volumes Manager プロセスと、VDI デスクトップで実行される App Volumes Agent について、DNS サーバが常にその FQDN を解決するようにする必要があります。

重要: Horizon Cloud ポッドと NSX Cloud バージョン 3.1.1 以降を統合し、 App Volumes 割り当てを使用する場合は、NSX PCG をデプロイした後、そのポッドを使用して最初の App Volumes 割り当てを作成する前に、NSX ファイアウォール ルール内のポッドのテナント サブネットに対してこのポート 445/TCP を手動で開く必要があります。
表 8. App Volumes のポート要件
ソース ターゲット ポート プロトコル 目的
ベースのインポートされた仮想マシン、ゴールド イメージ、デスクトップ仮想マシン、ファーム RDSH 仮想マシンの App Volumes Agent ポッド マネージャのリソース グループ内の SMB ファイル共有 445 TCP ポッドのテナント サブネットで、SMB ファイル共有に保存されている App Volumes AppStack にアクセスします。

Workspace ONE Assist for Horizon との統合 - DNS、ポート、およびプロトコルの要件

Workspace ONE Assist for Horizon は、Workspace ONE UEM 製品ラインの製品です。2021 年 8 月の Horizon Cloud リリースの時点で、特定の要件が満たされると、その製品の使用を Horizon Cloud テナントのポッドからプロビジョニングされた VDI デスクトップと統合できます。要件の詳細については、VMware Workspace ONE Assist ドキュメント領域にある『VMware Workspace ONE Assist for Horizon ガイド』を参照してください。

アシスタント機能を使用するには、VDI デスクトップ仮想マシンと、Horizon Cloud テナントとの統合をサポートする Workspace ONE Assist サーバ間のアウトバンド通信が必要です。

DNS 要件
Workspace ONE Assist サーバの DNS 名が解決可能であり、VDI デスクトップ仮想マシンが配置されるポッドのテナント サブネットからアクセスできることを確認します。前述の『 VMware Workspace ONE Assist for Horizon ガイド』には、 Workspace ONE Assist サーバの DNS 名が記載されています。
ポートとプロトコルの要件
ポート 443、TCP、HTTPS を使用する送信トラフィックは、 Workspace ONE Assist for Horizon アプリケーションがインストールされている VDI デスクトップ仮想マシンから許可される必要があります。

アクティブなサポート リクエストに必要な場合は、一時的なジャンプ ボックス ポートとプロトコル

VMware にサポート リクエストを発行し、サポート チームがそのリクエストを処理する方法として、VMware が管理するアプライアンスとの SSH 通信用の一時的なジャンプ ボックス仮想マシンをデプロイすることを決めた場合、そのジャンプ ボックスにはここで説明するポートとプロトコルが必要です。

サポート関連のジャンプ ボックス デプロイの権限がお客様から要求されます。VMware サポート チームは、サポート状況に応じて、通信要件をお知らせします。

このサポート関連のジャンプ ボックス仮想マシンは、次の宛先への送信元として通信するように設計されています。

  • SSH およびポート 22 を使用するポッドのポッド マネージャ仮想マシンのポート 22。
  • HTTPS を使用する Unified Access Gateway 仮想マシンのポート 9443。
  • 外部ゲートウェイが専用の VNet にデプロイされている環境で、SSH を使用するゲートウェイ コネクタ仮想マシンのポート 22。

サポート リクエストの性質とデプロイで使用されるアプライアンスによって、通信のターゲットとして許可する必要がある VMware 管理対象アプライアンスが決まります。

表 9. サポート関連のジャンプ ボックスのポートおよびプロトコル
ソース ターゲット ポート プロトコル 目的
ジャンプ ボックス仮想マシン
  • ポッド マネージャ仮想マシン
  • ゲートウェイ コネクタ仮想マシン
22 SSH VMware のサポートでサポート リクエストに対応するためにリストされた 1 つ以上のアプライアンスとのこの通信を必要とする場合、ジャンプ ボックス仮想マシンは、管理サブネットを介してターゲット アプライアンスのポート 22 と通信します。
ジャンプ ボックス仮想マシン Unified Access Gateway 仮想マシン 9443 HTTPS VMware のサポートでサポート リクエストに対応するためにこの通信を必要とする場合、ジャンプ ボックス仮想マシンは管理サブネットを介して通信し、Unified Access Gateway 構成で設定します。

これらの仮想マシンには IP アドレスが動的に割り当てられているため、次のネットワーク ルールを使用して、説明されている通信を行うことができます。サポート リクエスト活動中は、サポート関連のジャンプ ボックス デプロイの要件について、VMware のサポートからのガイダンスと監督を受けるようにしてください。

  • 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:22、接続元ポート:任意、プロトコル:TCP)。
  • 接続元と接続先の両方としての管理サブネット CIDR (接続先ポート:9443、接続元ポート:任意、プロトコル:TCP、Unified Access Gateway 構成が関係する場合)。

True SSO、証明書管理、および Horizon Cloud on Microsoft Azure 環境

Horizon Cloud ポッドでプロビジョニングされたデスクトップ仮想マシンは、登録サーバと直接通信しません。Horizon Cloud on Microsoft Azure 環境のアクティブなポッド マネージャ仮想マシンは、証明書要求を登録サーバにリレーします。証明書が取得されると、デスクトップ仮想マシンの Horizon Agent はその証明書を使用して、デスクトップ ユーザーの代わりに証明書ログイン操作を実行します。

Horizon Cloud on Microsoft Azure 環境のポッド マネージャ仮想マシンの要求-応答アーキテクチャは、Horizon 環境の Horizon Connection Server の場合と同じです。Horizon Cloud on Microsoft Azure 環境では、ポッド マネージャ仮想マシンは、プライマリ仮想マシン サブネット(テナント サブネットとも呼ばれる)、および VDI 管理者が [ポッドの編集] ワークフローを使用して追加した可能性のある追加の仮想マシン サブネット上のデスクトップ仮想マシンに接続されています。

ユーザー証明書とチャネル証明書の 2 つのクラスの証明書がさまざまなコンポーネントによって検証されます。True SSO が、認証サーバによって検証されたユーザー証明書を追加します。この Horizon Cloud on Microsoft Azure 環境の場合、その認証サーバは Microsoft Active Directory サーバです。Microsoft アーキテクチャではこの証明書の検証に使用できるポート番号が決定されるため、ポートは Microsoft アーキテクチャ自体の一部であり、Horizon Cloud on Microsoft Azure 環境自体に固有ではないため、この検証には幅広いポート番号を使用できます。

Horizon Cloud on Microsoft Azure 環境で True SSO を使用する場合、Horizon Agent は CSR を生成し、そのポッド マネージャー仮想マシンとその Horizon Agent の間にすでに配置されている通信チャネルを介して、環境のアクティブなポッド マネージャー仮想マシンに CSR を送信します。ポッド マネージャ仮想マシンは、安全な SSL 暗号化 TCP チャネル(ポート 32111 または登録サーバのインストールでユーザーが構成したポート)を介して登録サーバに要求をリレーします。登録サーバは CMC 要求を生成し、ポッド マネージャによって提供される CSR とユーザー名を追加し、登録エージェント証明書を使用して CMC に署名し、MS-DCOM (RPC) プロトコルを使用して認証局に送信します。

Horizon Agent は証明書を受け取り、ログイン認証情報としてシリアル化して、Windows ログイン プロセスに送信します。LSASS Windows コンポーネントは証明書を受け取り、証明書を検証し(有効で信頼されていること、およびローカル マシンが証明書のプライベート キーを保持していることを確認する)、ドメイン コントローラ (DC) に送信します。DC は、ユーザー証明書で指定されている CRL を確認することを選択できます。

視覚的に豊かなネットワークの図

これらのコンポーネント、ポート、およびプロトコル間の関係の視覚的に豊かな図については、https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams にある VMware Digital Workspace Tech Zone のネットワーク図と説明を参照してください。