Horizon Cloud ポッドを自己管理/中継 VNet に展開すると、次のエンティティが CSM および NSX Manager で自動的に作成されます。

注: エンティティの自動作成は NSX-T Data Center バージョン 3.1.1 以降のみの機能です。

CSM の Horizon Cloud 仮想マシン

  • Horizon Cloud 仮想マシンは、エンド ユーザーの管理仮想マシンまたは VDI にすることができます。
  • CSM は、エンド ユーザーが利用可能な VDI の Horizon Cloud 管理仮想マシンを次のように区別します。
    • Horizon Cloud 管理仮想マシンには、UAG、ベース、ノードの 3 種類があり、[CSM] > [クラウド] > [Azure] > [インスタンス][Horizon 管理仮想マシン] というラベルが付けられています。Horizon Cloud 管理者は、Microsoft Azure のこれらの仮想マシンに割り当てられているセキュリティ グループを完全に制御できます。
    • 起動時に NSX Cloud が有効な場合、NSX Cloud が有効になっているイメージを使用して、Horizon Cloud ポッドで起動されたすべての VDI は、NSX で管理されます。NSX Tools はこのような VDI にインストールされ、NSX 適用モードでは他の管理対象仮想マシンと同じように管理されます。これらの VDI は、[CSM] > [クラウド] > [Azure] > [インスタンス]で、[Horizon VDI] というラベルが付けられて表示されます。

      詳細については、『NSX-T Data Center 管理ガイド』の「Managing VMs in the NSX Enforced Mode」を参照してください。

      Horizon Cloud Service 製品のドキュメントの「Microsoft Azure 内の VMware NSX Cloud と Horizon Cloud ポッド」も参照してください。

NSX Manager での Horizon Cloud エンティティの作成

NSX Manager コンポーネント 自動作成されるエンティティ 詳細
[インベントリ] > [サービス] HorizonUAGPolicyService このサービスにより、Horizon Cloud UAG と VDI 間の通信が可能になります。詳細については、インフラストラクチャ カテゴリに Horizon Cloud の連携用に自動作成される DFW ポリシーの表を参照してください。
[インベントリ] > [サービス] HorizonNodeVMPolicyService このサービスを使用して、VDI から Horizon Cloud 管理ノードの仮想マシンへの通信を許可します。詳細については、インフラストラクチャ カテゴリに Horizon Cloud の連携用に自動作成される DFW ポリシーの表を参照してください。
[インベントリ] > [グループ]
  • vmw-hcs-<pod-id>-base
  • vmw-hcs-<pod-id>-node
  • vmw-hcs-<pod-id>-uag
  • vmw-hcs-<pod-id>-vdi
これらのグループのグループ定義は次のとおりです。
  • Horizon Cloud が Microsoft Azure のこれらの仮想マシンに適用するインスタンス タイプのラベル。
  • 自己管理/中継 VNet の Microsoft Azure ID。また、Horizon Cloud ポッドをホストします。

vmw-hcs-<id>-vdi グループに含まれている VDI を管理します。他のグループは Horizon Cloud によって管理されます。

Horizon Cloud ジャンプボックス仮想マシンは、vmw-hcs-<id>-node にグループ化されます。
[インベントリ] > [仮想マシン] Horizon Cloud によって名前が付けられた Horizon Cloud VDI これらは、NSX Manager 内の仮想マシンとして分類される、Horizon Cloud の VDI です。NSX Manager 内のすべてのセキュリティ ポリシーとその他の構成は、これらの仮想マシンを対象としています。
[インベントリ] > [タグ]
  • タグの範囲:azure:instance_type
  • タグの値:
    • HORIZON_MGMT
    • HORIZON_BASE
    • HORIZON_UAG
    • HORIZON_VDI
 これらのシステム タグは、セキュリティ ポリシーのグループを作成する際に使用されます。

[セキュリティ ポリシー]

[セキュリティ] > [分散ファイアウォール] > [インフラストラクチャ]で、DFW ポリシーは [vmw-hcs-<pod_id>-security-policy] という名前で作成されます。このポリシーには、次の [許可] ルールが適用されます。

表 1. インフラストラクチャ カテゴリに Horizon Cloud の連携用に自動作成される DFW ポリシー
DFW のルール名 送信元 宛先 サービス/ポート プロトコル
AllowHCSUAGToVDI Unified Access Gateway VDI HorizonUAGPolicyService

TCP(送信元:Any、宛先:22443、32111、4172、443、8443、9427)

UDP(送信元:Any |宛先:22443、4172)

 TCP および UDP
AllowVDIToHCSNode VDI ノード仮想マシン HorizonNodeVMPolicyService(送信元:Any、宛先:3099、4001、4002) TCP
注: VNet 内の NSX 管理対象 VDI のすべてのネットワークは、Microsoft Azure を経由します。NSX-T Data Center は、VNet から送信されるトラフィックのみを管理します。

検出されたタグの詳細については、『NSX-T Data Center 管理ガイド』の「NSX-T Data Center とパブリック クラウド タグを使用した仮想マシンのグループ化」を参照してください。これらのタグは Microsoft Azure で VDI に適用されます。また、NSX Manager に表示され、タグベースのグループ化を有効にします。