Horizon Cloud Service - next-gen을 사용하여 Microsoft Azure 구독에서 Horizon Edge 및 Unified Access Gateway를 생성하면 몇 가지 기본 네트워크 보안 그룹이 생성됩니다. 이러한 보안 그룹은 Microsoft Azure Portal에 로그인할 때 표시되며 제공된 대로 유지되어야 합니다.
Microsoft Azure에서 Horizon Edge 및 Unified Access Gateway를 배포하는 중에 자동화된 배포 프로세스는 NSG(네트워크 보안 그룹) 집합을 생성한 후 각 NSG를 VMware 제어 Horizon Edge 및 Unified Access Gateway VM(가상 시스템) 각각의 특정 개별 NIC(네트워크 인터페이스)에 연결합니다. 이러한 Edge 및 UAG 관련 VM은 Edge 게이트웨이의 VM 및 Edge가 Unified Access Gateway로 구성될 때 배포되는 VM입니다.
전체 소개
Horizon Cloud Service - next-gen에서 Edge 배포자는 Edge의 설계 및 아키텍처에 따라, 적절한 배포자 생성 NSG를 적절한 NIC에 연결합니다. 이러한 NSG는 특정 관리 장치의 각 NIC가 NIC의 연결된 서브넷을 통해 표준 서비스 및 Edge 작업에 대해 수신되어야 하는 트래픽을 수신할 수 있도록 하고 해당 장치에서 수신하지 않아야 하는 모든 트래픽을 차단하도록 NIC 수준에서 사용됩니다. 각 NSG에는 각 NIC에 대해 허용되는 트래픽을 정의하는 보안 규칙 집합이 포함되어 있습니다.
여기에 설명된 배포자 생성 NSG는 Horizon Universal Console을 사용하여 생성할 때 Edge에서 프로비저닝된 기본 VM, 팜 및 VDI 데스크톱에 사용되는 것과는 별개입니다.
Horizon Cloud Service - next-gen에서 생성되는 NSG와 그 내부의 규칙은 해당 NIC 및 VM이 연결된 특정 NIC 및 VN에만 해당됩니다. 이러한 NIC가 연결된 동일한 서브넷인 경우에도 이러한 NSG 또는 규칙을 변경하거나 다른 목적으로 사용하려고 하면 해당 NIC가 연결된 NIC와의 필수 네트워크 트래픽이 중단될 수 있습니다. 이러한 중단으로 인해 모든 Edge 작업이 중단될 수 있습니다. 이러한 NSG의 수명 주기는 Horizon Cloud Service - next-gen에서 관리되며 각각에 대해 고유한 이유가 있습니다.
이러한 배포자 생성 NSG는 서비스의 구성 요구 사항이므로, 이를 변경하거나 이동하려고 시도하면 Horizon Cloud Service - next-gen의 지원되지 않는 사용과 서비스 제품의 잘못된 사용으로 간주됩니다.
그러나 Edge VM에 대해 Horizon Cloud Service - next-gen에서 자동 생성 및 관리하는 Edge 리소스 그룹 외부의 리소스 그룹에서 고유한 조직의 규칙을 포함하는 고유한 NSG를 생성할 수 있습니다. 자체 NSG의 규칙은 Edge VM의 관리 및 작업에 대한 Horizon Cloud Service - next-gen 요구 사항과 충돌하지 않아야 합니다. 이러한 NSG는 Edge에 사용되는 관리, 테넌트 및 DMZ 서브넷에 연결되어야 합니다. Horizon Cloud Service - next-gen에서 관리하는 리소스 그룹에서 고유한 NSG를 생성하면 해당 리소스 그룹의 NSG가 다른 리소스 그룹에 있는 리소스에 연결된 경우 Horizon Cloud Service - next-gen 관리 리소스 그룹에 대한 삭제 작업 동안 오류가 발생합니다.
Microsoft Azure 설명서에 설명된 대로, NSG(네트워크 보안 그룹)의 용도는 보안 규칙을 사용하여 Microsoft Azure 환경에 있는 리소스에 대한 네트워크 트래픽을 필터링합니다. 각 규칙에는 NSG가 연결된 리소스에 대해 허용되는 트래픽을 결정하는 소스, 대상, 포트, 프로토콜 등과 같은 속성 집합이 있습니다. Horizon Cloud Service - next-gen에서 자동으로 생성하고 제어 Edge VM의 NIC에 연결하는 NSG에는 Horizon Cloud Service - next-gen이 Edge의 서비스 관리, 예정된 Edge 작업의 적절한 실행 및 Edge 수명 주기의 관리에 필요하다고 결정한 특정 규칙이 포함되어 있습니다. 일반적으로 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud Service - next-gen 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 Edge 작업의 포트 트래픽을 제공하기 위한 것입니다. 관련 정보는 Horizon 8 Edge 배포를 위한 포트 및 프로토콜 요구 사항 항목을 참조하십시오.
아래 섹션에는 Horizon Cloud Service - next-gen이 해당 배포자 생성 NSG에서 정의하는 NSG 규칙이 나열되어 있습니다.
배포자 생성 NSG에 대한 일반 정보
이 목록은 배포자가 Edge 관련 VM의 특정 NIC와 연결하는 모든 배포자 생성 NSG에 적용됩니다.
- 이러한 자동으로 생성된 NSG는 제어된 소프트웨어 장치의 보안을 위한 것입니다. 구독에 새 소프트웨어가 추가되고 추가 규칙이 필요한 경우 해당 새 규칙이 이러한 NSG에 추가됩니다.
- Microsoft Azure Portal의 Unified Access Gateway에 대해 NSG 이름은 패턴
vmw-hcs-UUID
를 포함합니다. 여기서 UUID는 자체 VNet에 배포된 외부 게이트웨이 구성에 대한 NSG를 제외하고 Edge 식별자입니다. 예외 경우에서 게이트웨이의 관련 NSG 이름은 패턴vmw-hcs-ID
를 포함합니다. 여기서 ID는 해당 외부 게이트웨이의 배포 ID입니다.참고: 외부 게이트웨이 구성이 해당 구독에 미리 생성한 기존 리소스 그룹에 배포하는 옵션을 사용하여 별도의 구독에 배포되는 시나리오의 경우, 게이트웨이 커넥터의 VM 관리 NIC에 있는 NSG는vmw-hcs-UUID
패턴 대신, 리소스 그룹 이름에 기반한 패턴에 따라 이름이 지정됩니다. 예를 들어, 해당 리소스 그룹의 이름을hcsgateways
로 지정한 경우 해당 리소스 그룹에서 Horizon Cloud Service - next-gen는hcsgateways-mgmt-nsg
라는 NSG를 생성하고 해당 NSG를 게이트웨이 커넥터 VM의 관리 NIC에 연결합니다.Horizon Edge 게이트웨이의 경우 NSG에는 이름 지정 패턴
aks-agentpool-ID-nsg
가 있습니다. 여기서ID
는 Microsoft Azure에서 추가한 난수이고 NSG는 이름 지정 패턴이vmw-hcs-UUID-edge-aks-node
인 리소스 그룹의 일부입니다. 여기서UUID
는 Edge 식별자입니다.관리 콘솔의 [용량] 페이지에서 Edge의 세부 정보로 이동하여 이러한 식별자를 찾을 수 있습니다.
참고: Edge의 외부 Unified Access Gateway가 사용자 지정 리소스 그룹을 사용하도록 선택하면 게이트웨이 커넥터 VM의 배포자 생성 NSG 이름에vmw-hcs-ID
패턴 대신, 해당 사용자 지정 리소스 그룹의 이름이 포함됩니다. 예를 들어, Edge의 외부 게이트웨이에 대해ourhcspodgateway
라는 사용자 지정 리소스 그룹을 사용하도록 지정하면 배포자가 생성한 후 게이트웨이 VM의 NIC와 연결하는 NSG 이름이ourhcspodgateway-mgmt-nsg
로 지정됩니다. - NSG는 연결된 VM 및 NIC와 동일한 리소스 그룹에 있습니다. 예를 들어, 외부 게이트웨이가 Edge의 VNet에 배포되며 배포자 생성 리소스 그룹을 사용하는 경우 외부 Unified Access Gateway VM의 NIC와 연결된 NSG는 이름이
vmw-hcs-UUID-uag
인 리소스 그룹에 있습니다. - Horizon Cloud는 새 규칙을 추가하거나 서비스의 유지 관리를 위해 적절하게 이러한 규칙을 수정할 수 있습니다.
- Edge 업데이트 중에 NSG 및 규칙이 유지됩니다. 이러한 항목은 삭제되지 않습니다.
- Horizon Cloud Service - next-gen 규칙은 우선 순위 1000에서 시작하고 우선 순위는 일반적으로 100씩 증가합니다. Horizon Cloud Service - next-gen 규칙은 우선 순위 3000에서의 규칙으로 종료됩니다.
- 소스 IP 주소 168.63.129.16에 대한
AllowAzureInBound
규칙은 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16에 설명된 대로 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하는 NSG를 지원합니다. 모든 Edge 관련 VM은 Microsoft Azure의 VM입니다. 해당 Microsoft Azure 설명서 항목에 설명된 대로 해당 IP 주소 168.63.129.16은 Microsoft Azure 클라우드 플랫폼이 클라우드의 모든 VM에 대해 수행하는 다양한 VM 관리 작업을 용이하게 합니다. 예를 들어, 이 IP 주소는 VM 내에 있는 VM 에이전트가 손쉽게 Microsoft Azure 플랫폼과 통신하여 VM이 준비 상태임을 알릴 수 있도록 합니다. - Microsoft Azure는 NSG 생성 시 각 NSG에 몇 가지 기본 규칙을 자동으로 생성합니다. 생성되는 모든 NSG에서 Microsoft Azure는 우선 순위 65000 이상에서 일부 인바운드 및 아웃바운드 규칙을 생성합니다. 이러한 Microsoft Azure 기본 규칙은 Microsoft Azure에서 자동으로 생성되므로 이 설명서 항목에 설명되어 있지 않습니다. 이러한 기본 규칙에 대한 자세한 내용은 Microsoft Azure 설명서 항목 기본 보안 규칙을 참조하십시오.
- 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud Service - next-gen 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 Edge 작업의 포트 트래픽을 제공하기 위한 것입니다. 관련 정보는 Horizon 8 Edge 배포를 위한 포트 및 프로토콜 요구 사항 항목을 참조하십시오.
- Edge를 편집하여 팜 및 VDI 데스크톱 할당에 사용할 추가 테넌트 서브넷을 지정하는 경우 Edge 게이트웨이 VM 및 Unified Access Gateway VM의 NIC에 있는 테넌트 서브넷 관련 NSG의 규칙이 해당 추가 테넌트 서브넷을 포함하도록 업데이트됩니다.
Edge 게이트웨이 AKS 배포자 생성 NSG
Edge 게이트웨이 AKS에는 각 가상 시스템 인스턴스가 관리 서브넷에 연결된 하나의 NIC를 포함하는 VM(가상 시스템) 확장 집합이 있습니다. Microsoft Azure는 특정 NSG를 자동으로 생성하고 이 NSG를 VM 확장 집합 인스턴스에 연결된 모든 NIC와 연결합니다.
Edge 게이트웨이 VM 유형의 경우 현재 NSG를 생성하지 않습니다.
Microsoft Azure 환경에서 Edge AKS NSG는 패턴 vmw-hcs-UUID-edge-aks-node
에 명명된 Edge의 AKS 노드 리소스 그룹에 상주합니다.
aks-agentpool-ID-nsg
에 명명됩니다. 여기서
ID
는 Microsoft Azure에서 할당한 난수입니다.
앞서 설명한 대로 Microsoft Azure는 Microsoft Azure 설명서 항목 기본 보안 규칙에 설명된 대로 기본적으로 다음 표에 표시된 규칙을 생성합니다.
우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 |
---|---|---|---|---|---|---|
65000 | AllowVnetInBound | 임의 | 임의 | VirtualNetwork | VirtualNetwork | 허용 |
65001 | AllowAzureLoadBalancerInBound | 임의 | 임의 | AzureLoadBalancer | 임의 | 허용 |
65500 | DenyAllInbound | 임의 | 임의 | 임의 | 임의 | 거부 |
우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 |
---|---|---|---|---|---|---|
65000 | AllowVnetOutBound | 임의 | 임의 | VirtualNetwork | VirtualNetwork | 허용 |
65001 | AllowInternetOutBound | 임의 | 임의 | 임의 | 인터넷 | 허용 |
65500 | DenyAllOutbound | 임의 | 임의 | 임의 | 임의 | 거부 |
외부 Unified Access Gateway VM의 배포자 생성 NSG
외부 Unified Access Gateway 구성에 대한 각 VM에는 3개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결되고, 나머지 하나는 DMZ 서브넷에 연결됩니다. 배포자는 이러한 세 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.
- 관리 NIC에는 이름이
vmw-hcs-ID-uag-management-nsg
패턴을 따르는 NSG가 있습니다. - 테넌트 NIC에는 이름이
vmw-hcs-ID-uag-tenant-nsg
패턴을 따르는 NSG가 있습니다. - DMZ NIC에는 이름이
vmw-hcs-ID-uag-dmz-nsg
패턴을 따르는 NSG가 있습니다.
Microsoft Azure 환경에서 이러한 NSG는 vmw-hcs-ID-uag
패턴으로 이름이 지정됩니다. 여기서 ID는 외부 게이트웨이가 Edge의 VNet과는 별도로 고유한 VNet에 배포되지 않는 한, 콘솔에서 Edge 세부 정보 페이지에 표시되는 Edge의 ID입니다. 자체 VNet에 배포된 외부 게이트웨이의 경우 ID는 Edge의 세부 정보 페이지에 표시되는 배포 ID 값입니다.
방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
---|---|---|---|---|---|---|---|---|
인바운드 | 1000 | AllowHttpsInBound | 9443 | TCP | 관리 서브넷 | 임의 | 허용 | 서비스에서 해당 관리 인터페이스를 사용하여 게이트웨이의 관리 설정을 구성하도록 합니다. Unified Access Gateway 제품 설명서에 설명된 대로 해당 관리 인터페이스는 포트 9443/TCP에 있습니다. |
인바운드 | 1100 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
인바운드 | 1200 | AllowSshInBound | 22 | 임의 | 관리 서브넷 | 임의 | 허용 | 문제 해결에 필요한 경우 VMware에서 VM에 대해 긴급 액세스를 수행하도록 합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. |
인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 거부하기 위해 추가했습니다. |
방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
---|---|---|---|---|---|---|---|---|
인바운드 | 1000 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
인바운드 | 1400 | AllowPcoipUdpInBound | 임의 | UDP | 테넌트 서브넷 | 임의 | 허용 | 이 규칙은 Unified Access Gateway에서 Horizon Agent 작업에 사용하는 표준 구성을 지원합니다. 데스크톱 및 팜 VM의 Horizon Agent는 UDP를 사용하여 PCoIP 데이터를 Unified Access Gateway 인스턴스로 다시 전송합니다. |
인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
아웃바운드 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 Edge 게이트웨이에 대한 새 클라이언트 연결 요청을 위해 Edge 게이트웨이 VM과 통신하는 Unified Access Gateway 인스턴스를 지원합니다. |
아웃바운드 | 1100 | AllowBlastOutBound | 22443 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 또는 팜 VM의 Horizon Agent에 대해 Horizon Client Blast Extreme 세션을 사용하는 경우를 지원합니다. |
아웃바운드 | 1200 | AllowPcoipOutBound | 4172 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 VM의 Horizon Agent에 대해 Horizon Client PCoIP 세션을 사용하는 경우를 지원합니다. |
아웃바운드 | 1300 | AllowUsbOutBound | 32111 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 USB 리디렉션 트래픽의 사용 사례를 지원합니다. USB 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 32111을 사용합니다. |
아웃바운드 | 1400 | AllowMmrOutBound | 9427 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 MMR(멀티미디어 리디렉션) 및 CDR(클라이언트 드라이버 리디렉션) 트래픽의 사용 사례를 지원합니다. 이러한 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 9427을 사용합니다. |
아웃바운드 | 1500 | AllowAllOutBound | 임의 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 여러 사용자 세션을 지원하는 VM에서 실행하는 경우 Horizon Agent는 세션의 PCoIP 트래픽에 사용할 다른 포트를 선택합니다. 이러한 포트는 미리 확인할 수 없기 때문에 해당 트래픽을 허용하는 특정 포트를 명명하는 NSG 규칙은 미리 정의할 수 없습니다. 따라서 우선 순위 1200의 규칙과 유사하게, 이 규칙은 이러한 VM을 사용하는 다중 Horizon Client PCoIP 세션의 사용 사례를 지원합니다. |
아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
---|---|---|---|---|---|---|---|---|
인바운드 | 1000 | AllowHttpsInBound | 80 443 |
TCP | 인터넷 | 임의 | 허용 | 이 규칙은 외부 최종 사용자에게 Horizon Client 및 Horizon 웹 클라이언트에서의 인바운드 트래픽을 제공하여 Edge 게이트웨이에 대한 로그인 인증 요청을 요청합니다. 기본적으로 Horizon Client 및 Horizon 웹 클라이언트는 이 요청을 위해 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다. |
인바운드 | 1100 | AllowBlastInBound | 443 8443 |
임의 | 인터넷 | 임의 | 허용 | 이 규칙은 외부 최종 사용자의 Horizon Client에서 Blast 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
인바운드 | 1200 | AllowPcoipInBound | 4172 | 임의 | 인터넷 | 임의 | 허용 | 이 규칙은 외부 최종 사용자의 Horizon Client에서 PCoIP 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
인바운드 | 1300 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
내부 Unified Access Gateway VM의 배포자 생성 NSG
내부 Unified Access Gateway 구성에 대한 각 VM에는 2개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결됩니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.
- 관리 NIC에는 이름이
vmw-hcs-podUUID-uag-management-nsg
패턴을 따르는 NSG가 있습니다. - 테넌트 NIC에는 이름이
vmw-hcs-podUUID-uag-tenant-nsg
패턴을 따르는 NSG가 있습니다.
Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID-uag-internal
에 명명된 Edge 리소스 그룹에 있습니다.
방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
---|---|---|---|---|---|---|---|---|
인바운드 | 1000 | AllowHttpsInBound | 9443 | TCP | 관리 서브넷 | 임의 | 허용 | 서비스에서 해당 관리 인터페이스를 사용하여 게이트웨이의 관리 설정을 구성하도록 합니다. Unified Access Gateway 제품 설명서에 설명된 대로 해당 관리 인터페이스는 포트 9443/TCP에 있습니다. |
인바운드 | 1100 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
인바운드 | 1200 | AllowSshInBound | 22 | 임의 | 관리 서브넷 | 임의 | 임의 | 문제 해결에 필요한 경우 VMware에서 VM에 대해 긴급 액세스를 수행하도록 합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. |
인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 거부하기 위해 추가했습니다. |
방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
---|---|---|---|---|---|---|---|---|
인바운드 | 1000 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
인바운드 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 임의 | 허용 | 이 규칙은 최종 사용자에게 Horizon Client 및 Horizon 웹 클라이언트에서의 인바운드 트래픽을 제공하여 Edge 게이트웨이에 대한 로그인 인증 요청을 요청합니다. 기본적으로 Horizon Client 및 Horizon 웹 클라이언트는 이 요청을 위해 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다. |
인바운드 | 1200 | AllowBlastInBound | 443 8443 |
임의 | VirtualNetwork | 임의 | 허용 | 이 규칙은 내부 최종 사용자의 Horizon Client에서 Blast 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
인바운드 | 1300 | AllowPcoipInBound | 4172 | 임의 | VirtualNetwork | 임의 | 허용 | 이 규칙은 내부 최종 사용자의 Horizon Client에서 PCoIP 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
인바운드 | 1400 | AllowPcoipUdpInBound | 임의 | UDP | 테넌트 서브넷 | 임의 | 허용 | 이 규칙은 Unified Access Gateway에서 Horizon Agent 작업에 사용하는 표준 구성을 지원합니다. 데스크톱 및 팜 VM의 Horizon Agent는 UDP를 사용하여 PCoIP 데이터를 Unified Access Gateway 인스턴스로 다시 전송합니다. |
인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
아웃바운드 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 Edge에 대한 새 클라이언트 연결 요청을 위해 Edge 게이트웨이 VM과 통신하는 Unified Access Gateway 인스턴스를 지원합니다. |
아웃바운드 | 1100 | AllowBlastOutBound | 22443 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 또는 팜 VM의 Horizon Agent에 대해 Horizon Client Blast Extreme 세션을 사용하는 경우를 지원합니다. |
아웃바운드 | 1200 | AllowPcoipOutBound | 4172 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 VM의 Horizon Agent에 대해 Horizon Client PCoIP 세션을 사용하는 경우를 지원합니다. |
아웃바운드 | 1300 | AllowUsbOutBound | 32111 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 USB 리디렉션 트래픽의 사용 사례를 지원합니다. USB 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 32111을 사용합니다. |
아웃바운드 | 1400 | AllowMmrOutBound | 9427 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 MMR(멀티미디어 리디렉션) 및 CDR(클라이언트 드라이버 리디렉션) 트래픽의 사용 사례를 지원합니다. 이러한 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 9427을 사용합니다. |
아웃바운드 | 1500 | AllowAllOutBound | 임의 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 여러 사용자 세션을 지원하는 VM에서 실행하는 경우 Horizon Agent는 세션의 PCoIP 트래픽에 사용할 다른 포트를 선택합니다. 이러한 포트는 미리 확인할 수 없기 때문에 해당 트래픽을 허용하는 특정 포트를 명명하는 NSG 규칙은 미리 정의할 수 없습니다. 따라서 우선 순위 1200의 규칙과 유사하게, 이 규칙은 이러한 VM을 사용하는 다중 Horizon Client PCoIP 세션의 사용 사례를 지원합니다. |
아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |