이 설명서 항목의 목적은 1세대 Horizon Cloud 환경을 사용하여 Microsoft Azure 구독에서 포드를 생성하고, 이후에 Microsoft Azure 포털에 로그인한 후 해당 포드 배포자가 생성한 항목을 확인한 후에 표시되는 내용을 설명하는 것입니다. Microsoft Azure에서 포드를 배포하는 과정 중에 자동화된 배포 프로세스는 NSG(네트워크 보안 그룹) 집합을 생성한 후 각각을 VMware 제어 포드 관련 VM(가상 시스템)에 있는 특정 개별 네트워크 인터페이스(NIC)에 연결합니다. 이러한 포드 관련 VM은 포드 관리자 VM 및 포드가 Unified Access Gateway로 구성될 때 배포된 VM입니다.

이 페이지를 읽기 전에

이 페이지를 읽기 전에 다음 사항을 고려하십시오.

기억할 사항: KB 문서 92424에 설명된 대로 1세대 Horizon Cloud 제어부의 사용 종료가 발표되었습니다. 1세대 Horizon Cloud 제품 설명서가 해당 발표에 맞게 업데이트되었습니다.
참고: KB 문서 93762에 설명된 대로 Horizon 인프라 모니터링 기능은 더 이상 사용되지 않으며 1세대 테넌트는 더 이상 해당 기능을 활성화하거나 사용할 수 없습니다. 2023년 10월부로 이전에 더 이상 사용되지 않는 기능과 관련된 이 페이지의 정보가 그에 맞게 업데이트되었습니다.
주의: 이 정보는 1세대 제어부의 1세대 테넌트 환경에 액세스할 수 있는 경우에만 적용됩니다. KB-92424에 설명된 대로 1세대 제어부는 EOA(사용 종료)에 도달했습니다. 자세한 내용은 해당 문서를 참조하십시오.

2022년 8월부터 Horizon Cloud Service - next-gen이 일반 공급되며 자체 가이드인 "Horizon Control Plane next-gen 사용" 이 제공됩니다.

차세대 또는 1세대 환경을 사용하고 있다는 사실은 환경에 로그인하고 Horizon Universal Console 레이블을 표시한 후 브라우저의 URL 필드에 표시되는 패턴을 통해 알 수 있습니다. 차세대 환경의 경우 콘솔의 URL 주소에 /hcsadmin/과 같은 부분이 포함됩니다. 1세대 콘솔의 URL에 다른 섹션(/horizonadmin/)이 있습니다.

전체 소개

포드 배포자는 포드의 VMware 설계 및 아키텍처에 따라, 적절한 배포자 생성 NSG를 적절한 NIC에 연결합니다. 이러한 NSG는 특정 VMware 관리 장치의 각 NIC가 NIC의 연결된 서브넷을 통해 표준 서비스 및 포드 작업에 대해 수신되어야 하는 트래픽을 수신할 수 있도록 하고 수신하지 않아야 하는 모든 트래픽을 해당 NIC에서 차단하도록 장치 수준에서 사용됩니다. 각 NSG에는 각 NIC에 대해 허용되는 트래픽을 정의하는 보안 규칙 집합이 포함되어 있습니다.

여기에 설명된 NSG는 Horizon Universal Console을 사용하여 생성할 때 포드에서 프로비저닝된 기본 VM, 팜 및 VDI 데스크톱에 사용되는 것과는 별개입니다. 이러한 NSG의 사용량 정보는 서로 다릅니다. 이러한 NSG에 대한 자세한 내용은 다음 항목을 참조하십시오.

경고: 여기에 설명된 배포자 생성 NSG 규칙은 서비스의 구성 요구 사항입니다. 자동으로 생성되고 포드 VM의 NIC에 연결된 Horizon Cloud NSG는 삭제하거나 편집하면 안 됩니다. 이 지침에는 다음과 같은 작업이 포함됩니다.
  • 이러한 NSG 또는 NSG 규칙을 Horizon Cloud에서 사용하는 서브넷으로 복사 또는 이동
  • 포드 VM에 연결된 NIC 간에 이러한 NSG 또는 NSG 규칙을 복사 또는 이동.

Horizon Cloud에서 생성되는 NSG와 그 내부의 규칙은 해당 NIC 및 VM이 연결된 특정 NIC 및 VN에만 해당됩니다. 이러한 NIC가 연결된 동일한 서브넷인 경우에도 이러한 NSG 또는 규칙을 변경하거나 다른 목적으로 사용하려고 하면 해당 NIC가 연결된 NIC와의 필수 네트워크 트래픽이 중단될 수 있습니다. 이러한 중단으로 인해 모든 포드 작업이 중단될 수 있습니다. 이러한 NSG의 수명 주기는 Horizon Cloud에서 관리되며 각각에 대해 고유한 이유가 있습니다. 이러한 이유는 다음과 같습니다.

  • 클라우드 제어부에서 포드와 통신하는 능력.
  • 포드 인프라의 관리
  • 포드 수명 주기 작업
이러한 배포자 생성 NSG는 서비스의 구성 요구 사항이므로, 이를 변경하거나 이동하려고 시도하면 VMware Horizon 서비스에 대한 서비스 수준 약정에 설명된 대로 Horizon Cloud의 지원되지 않는 사용과 서비스 제품의 잘못된 사용으로 간주됩니다.

그러나 포드 VM에 대해 Horizon Cloud에서 자동 생성 및 관리하는 포드 리소스 그룹 외부의 리소스 그룹에서 고유한 조직의 규칙을 포함하는 고유한 NSG를 생성할 수 있습니다. 자체 NSG의 규칙은 포드 VM의 관리 및 작업에 대한 Horizon Cloud 요구 사항과 충돌하지 않아야 합니다. 이러한 NSG는 포드에 사용되는 관리, 테넌트 및 DMZ 서브넷에 연결되어야 합니다. Horizon Cloud에서 관리하는 리소스 그룹에서 고유한 NSG를 생성하면 해당 리소스 그룹의 NSG가 다른 리소스 그룹에 있는 리소스에 연결된 경우 Horizon Cloud 관리 리소스 그룹에 대한 삭제 작업 동안 오류가 발생합니다.

Microsoft Azure 설명서에 설명된 대로, NSG(네트워크 보안 그룹)의 용도는 보안 규칙을 사용하여 Microsoft Azure 환경에 있는 리소스에 대한 네트워크 트래픽을 필터링합니다. 각 규칙에는 NSG가 연결된 리소스에 대해 허용되는 트래픽을 결정하는 소스, 대상, 포트, 프로토콜 등과 같은 속성 집합이 있습니다. Horizon Cloud에서 자동으로 생성하고 VMware 제어 포드 VM의 NIC에 연결하는 NSG에는 Horizon Cloud가 포드의 서비스 관리, 예정된 포드 작업의 적절한 실행 및 포드 수명 주기의 관리에 필요하다고 결정한 특정 규칙이 포함되어 있습니다. 일반적으로 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 포드 작업의 포트 트래픽을 제공하기 위한 것입니다. Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항도 참조하십시오.

아래 섹션에는 Horizon Cloud가 해당 NSG에서 정의하는 NSG 규칙이 나열되어 있습니다.

이러한 NSG에 대한 일반적인 사실

이 목록은 배포자가 포드 관련 VM의 특정 NIC와 연결하는 모든 배포자 생성 NSG에 적용됩니다.

  • 이러한 VMware 생성 NSG는 VMware 제어 소프트웨어 장치의 보안을 위한 것입니다. VMware에서 구독에 새 소프트웨어를 추가하고 추가 규칙이 필요한 경우 해당 새 규칙이 이러한 NSG에 추가됩니다.
  • Microsoft Azure Portal에서 NSG 이름은 패턴 vmw-hcs-podUUID를 포함합니다. 여기서 podUUID는 자체 VNet에 배포된 외부 게이트웨이 구성에 대한 NSG를 제외하고 포드 식별자입니다. 예외 경우에서 게이트웨이의 관련 NSG 이름은 패턴 vmw-hcs-ID를 포함합니다. 여기서 ID는 해당 외부 게이트웨이의 배포 ID입니다.
    참고: 외부 게이트웨이 구성이 해당 구독에 미리 생성한 기존 리소스 그룹에 배포하는 옵션을 사용하여 별도의 구독에 배포되는 시나리오의 경우, 게이트웨이 커넥터의 VM 관리 NIC에 있는 NSG는 vmw-hcs-podUUID 패턴 대신, 리소스 그룹 이름에 기반한 패턴에 따라 이름이 지정됩니다. 예를 들어, 해당 리소스 그룹의 이름을 hcsgateways로 지정한 경우 해당 리소스 그룹에서 Horizon Cloudhcsgateways-mgmt-nsg라는 NSG를 생성하고 해당 NSG를 게이트웨이 커넥터 VM의 관리 NIC에 연결합니다.

    관리 콘솔의 [용량] 페이지에서 포드의 세부 정보로 이동하여 이러한 식별자를 찾을 수 있습니다.

    참고: 포드의 외부 Unified Access Gateway가 사용자 지정 리소스 그룹을 사용하도록 선택하면 게이트웨이 커넥터 VM의 배포자 생성 NSG 이름에 vmw-hcs-ID 패턴 대신, 해당 사용자 지정 리소스 그룹의 이름이 포함됩니다. 예를 들어, 포드의 외부 게이트웨이에 대해 ourhcspodgateway라는 사용자 지정 리소스 그룹을 사용하도록 지정하면 배포자가 생성한 후 게이트웨이 VM의 NIC와 연결하는 NSG 이름이 ourhcspodgateway-mgmt-nsg로 지정됩니다.
  • NSG는 연결된 VM 및 NIC와 동일한 리소스 그룹에 있습니다. 예를 들어, 외부 게이트웨이가 포드의 VNet에 배포되며 배포자 생성 리소스 그룹을 사용하는 경우 외부 Unified Access Gateway VM의 NIC와 연결된 NSG는 이름이 vmw-hcs-podUUID-uag인 리소스 그룹에 있습니다. 1세대 테넌트 - Microsoft Azure에 배포된 포드에 대해 생성된 리소스 그룹 항목도 참조하십시오.
  • Horizon Cloud는 새 규칙을 추가하거나 서비스의 유지 관리를 위해 적절하게 이러한 규칙을 수정할 수 있습니다.
  • 포드 업데이트 중에 NSG 및 규칙이 유지됩니다. 이러한 항목은 삭제되지 않습니다.
  • Horizon Cloud 규칙은 우선 순위 1000에서 시작하고 우선 순위는 일반적으로 100씩 증가합니다. Horizon Cloud 규칙은 우선 순위 3000에서의 규칙으로 종료됩니다.
  • 소스 IP 주소 168.63.129.16에 대한 AllowAzureInBound 규칙은 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16에 설명된 대로 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하는 NSG를 지원합니다. 모든 포드 관련 VM은 Microsoft Azure의 VM입니다. 해당 Microsoft Azure 설명서 항목에 설명된 대로 해당 IP 주소 168.63.129.16은 Microsoft Azure 클라우드 플랫폼이 클라우드의 모든 VM에 대해 수행하는 다양한 VM 관리 작업을 용이하게 합니다. 예를 들어, 이 IP 주소는 VM 내에 있는 VM 에이전트가 손쉽게 Microsoft Azure 플랫폼과 통신하여 VM이 준비 상태임을 알릴 수 있도록 합니다.
  • Unified Access Gateway 인스턴스의 NSG에서 PCoIP 트래픽은 4173+ 범위의 가변 포트 번호를 사용하고 있으므로 트래픽이 특정 포트 집합으로 제한될 수 없기 때문에 모든 포트에 대해 AllowPcoipUdpInBound 규칙이 설정됩니다.
  • Microsoft Azure는 NSG 생성 시 각 NSG에 몇 가지 기본 규칙을 자동으로 생성합니다. 생성되는 모든 NSG에서 Microsoft Azure는 우선 순위 65000 이상에서 일부 인바운드 및 아웃바운드 규칙을 생성합니다. 이러한 Microsoft Azure 기본 규칙은 Microsoft Azure에서 자동으로 생성되므로 이 설명서 항목에 설명되어 있지 않습니다. 이러한 기본 규칙에 대한 자세한 내용은 Microsoft Azure 설명서 항목 기본 보안 규칙을 참조하십시오.
  • 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 포드 작업의 포트 트래픽을 제공하기 위한 것입니다. Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항도 참조하십시오.
  • 포드를 편집하여 팜 및 VDI 데스크톱 할당에 사용할 추가 테넌트 서브넷을 지정하는 경우 포드 관리자 VM 및 Unified Access Gateway VM의 NIC에 있는 테넌트 서브넷 관련 NSG의 규칙이 해당 추가 테넌트 서브넷을 포함하도록 업데이트됩니다.
  • VMware에 지원을 요청하고 지원 팀이 해당 요청을 서비스하는 방법이 임시 Jumpbox VM을 배포하는 것이라고 결정한 경우 이 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에 NSG가 있습니다. 이 NSG는 지원 팀 작업이 완료되어 Jumpbox의 리소스 그룹이 삭제될 때 삭제됩니다.

포드 관리자 VM의 배포자 생성 NSG

포드 관리자 VM에는 두 개의 NIC가 있습니다. 하나는 관리 서브넷에 연결되어 있고 다른 하나는 테넌트 서브넷에 연결되어 있습니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

  • 관리 NIC에는 이름이 vmw-hcs-podUUID-mgmt-nsg 패턴을 따르는 NSG가 있습니다.
  • 테넌트 NIC에는 이름이 vmw-hcs-podUUID-tenant-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID에 명명된 포드 리소스 그룹에 있습니다.

표 1. 포드 관리자 VM 관리 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 규칙의 용도
인바운드 1000 AllowSshInBound 22 임의 관리 서브넷 임의 허용 안정적인 상태 작업 중에 VMware에 대해 지원을 요청하고, 지원 팀이 해당 요청을 해결하는 방법이 포드 관리자 VM에 대한 SSH 통신을 위해 Jumpbox VM을 배포하는 것임을 확인하면 이 NSG 규칙이 해당 사용 사례를 지원합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. 단기 Jumpbox VM은 VM의 포트 22에 대한 SSH를 사용하여 포드 관리자 VM과 통신합니다. 일일 포드 작업의 경우 포드 관리자 VM에서 포트 22를 사용할 필요가 없습니다.
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 1200 AllowHttpsInBound 443 임의 관리 서브넷 임의 허용 클라우드 제어부가 포드 관리자의 REST API 끝점과 안전하게 통신하도록 합니다.
인바운드 1300 AllowApacheGeodeInBound 10334-10336, 41000-41002, 41100-41102, 42000-42002 임의 관리 서브넷 임의 허용 이러한 포트는 포드 관리자 VM 간에 사용자 세션 및 파일 공유 관련 정보를 복제하는 데 사용됩니다.
인바운드 1400 AllowTelegrafInBound 9172 임의 관리 서브넷 임의 허용 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다.
인바운드 1500 AllowAgentJmsInBound 4001, 4002 임의 관리 서브넷 임의 허용 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.
표 2. 포드 관리자 VM 테넌트 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 임의 허용 이 규칙은 내부 최종 사용자(VPN 등을 통해 회사 네트워크에서)에게 포드의 Microsoft Azure Load Balancer에 매핑한 FQDN에 대해 클라이언트 연결을 수행하도록 지시할 수 있는 이례적인 시나리오를 지원합니다. 이 시나리오를 직접 포드 연결이라고도 합니다. 포드 관리자에 대한 로그인 인증 요청의 경우, Horizon Client 및 Horizon 웹 클라이언트는 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다.
인바운드 1100 AllowAgentHttpsInBound

3443

8443

TCP 테넌트 서브넷 임의 허용

이 NIC에 대한 인바운드 포트 3443은 기본, 데스크톱 VM 및 팜 RDSH VM의 App Volumes Agent가 포드 관리자에서 실행되는 App Volumes Manager 서비스에 액세스하는 데 사용합니다.

이 NIC에 대한 인바운드 포트 8443은 Unified Access Gateway 인스턴스가 포드 관리자를 확인하는 데 사용합니다. 게이트웨이 인스턴스는 이 끝점을 사용하여 새 클라이언트 연결 요청을 포드 관리자로 전송하는 것을 확인합니다.

인바운드 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork 임의 허용 코드 일관성과 유지 보수 용이성을 위해 포드 배포자는 항상 이 규칙을 이 NSG에 씁니다.

포드의 외부 게이트웨이가 포드와는 별개의 자체 VNet에 배포된 배포에서 이 규칙은 외부 게이트웨이의 Unified Access Gateway 인스턴스에서의 인바운드 트래픽이 포드 관리자에서 확인되도록 지원합니다. 게이트웨이 인스턴스는 이 끝점을 사용하여 새 클라이언트 연결 요청을 포드 관리자로 전송하는 것을 확인합니다.

인바운드 1120 AllowUagHttpsInBound 8443 TCP 관리 서브넷 임의 허용 이 규칙은 향후 서비스 릴리스에서 사용할 계획입니다.
인바운드 1200 AllowAgentJmsInBound

4001

4002

TCP 테넌트 서브넷 임의 허용

기본 VM, 데스크톱 VM 및 팜 RDSH VM의 Horizon Agent는 이러한 포트를 사용합니다.

포트 4001은 SSL 연결을 보호하기 위해 인증서 지문 확인 및 교환의 일부로 VM의 에이전트에서 포드와 통신하는 데 사용하는 JMS(Java Message Service)(비 SSL)를 위한 것입니다.

VM과 포드 관리자 간에 키를 협상하고 교환한 후 에이전트는 포트 4002를 사용하여 보안 SSL 연결을 생성합니다.
참고: 안정적인 상태 작업을 수행하려면 4001 및 4002가 모두 필요합니다. 경우에 따라 에이전트는 포드 키를 다시 입력해야 할 수 있습니다.
인바운드 1210 AllowRouterJmsInBound 4101 TCP 테넌트 서브넷 임의 허용 HA(고가용성)에 대해 포드를 사용하도록 설정하면 이 트래픽은 포드 관리자 VM(노드 1 및 노드 2) 간의 JMS 라우팅입니다.
인바운드 1300 AllowAgentUdpInBound 5678 UDP 테넌트 서브넷 임의 허용 매니페스트 1600 이상의 포드에서는 사용되지 않습니다. 서비스의 2019년 9월 릴리스부터 DaaS Agent가 포드 매니페스트 1600의 Horizon Agent에 통합되었습니다. 이전에는 이 포트 5678 및 UDP 프로토콜이 DaaS Agent 사용을 지원하는 데 사용되었습니다.
인바운드 1400 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.

외부 Unified Access Gateway VM의 배포자 생성 NSG

외부 Unified Access Gateway 구성에 대한 각 VM에는 3개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결되고, 나머지 하나는 DMZ 서브넷에 연결됩니다. 배포자는 이러한 세 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

  • 관리 NIC에는 이름이 vmw-hcs-ID-uag-management-nsg 패턴을 따르는 NSG가 있습니다.
  • 테넌트 NIC에는 이름이 vmw-hcs-ID-uag-tenant-nsg 패턴을 따르는 NSG가 있습니다.
  • DMZ NIC에는 이름이 vmw-hcs-ID-uag-dmz-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 vmw-hcs-ID-uag 패턴으로 이름이 지정됩니다. 여기서 ID는 외부 게이트웨이가 포드의 VNet과는 별도로 고유한 VNet에 배포되지 않는 한, 콘솔에서 포드 세부 정보 페이지에 표시되는 포드의 Id입니다. 자체 VNet에 배포된 외부 게이트웨이의 경우 ID는 포드의 세부 정보 페이지에 표시되는 배포 ID 값입니다.

표 3. 외부 Unified Access Gateway VM 관리 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowHttpsInBound 9443 TCP 관리 서브넷 임의 허용 서비스에서 해당 관리 인터페이스를 사용하여 게이트웨이의 관리 설정을 구성하도록 합니다. Unified Access Gateway 제품 설명서에 설명된 대로 해당 관리 인터페이스는 포트 9443/TCP에 있습니다.
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 1200 AllowSshInBound 22 임의 관리 서브넷 임의 허용 문제 해결에 필요한 경우 VMware에서 VM에 대해 긴급 액세스를 수행하도록 합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 아웃바운드 트래픽을 거부하기 위해 추가했습니다.
표 4. 외부 Unified Access Gateway VM 테넌트 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 1400 AllowPcoipUdpInBound 임의 UDP 테넌트 서브넷 임의 허용 이 규칙은 Unified Access Gateway에서 Horizon Agent 작업에 사용하는 표준 구성을 지원합니다. 데스크톱 및 팜 VM의 Horizon Agent는 UDP를 사용하여 PCoIP 데이터를 Unified Access Gateway 인스턴스로 다시 전송합니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.
아웃바운드 1000 AllowHttpsOutBound

443

8443

TCP 임의 테넌트 서브넷 허용

이 규칙은 포드 관리자에 대한 새 클라이언트 연결 요청을 위해 포드 관리자 VM과 통신하는 Unified Access Gateway 인스턴스를 지원합니다.

아웃바운드 1100 AllowBlastOutBound 22443 임의 임의 테넌트 서브넷 허용 이 규칙은 데스크톱 또는 팜 VM의 Horizon Agent에 대해 Horizon Client Blast Extreme 세션을 사용하는 경우를 지원합니다.
아웃바운드 1200 AllowPcoipOutBound 4172 임의 임의 테넌트 서브넷 허용 이 규칙은 데스크톱 VM의 Horizon Agent에 대해 Horizon Client PCoIP 세션을 사용하는 경우를 지원합니다.
아웃바운드 1300 AllowUsbOutBound 32111 TCP 임의 테넌트 서브넷 허용 이 규칙은 USB 리디렉션 트래픽의 사용 사례를 지원합니다. USB 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 32111을 사용합니다.
아웃바운드 1400 AllowMmrOutBound 9427 TCP 임의 테넌트 서브넷 허용 이 규칙은 MMR(멀티미디어 리디렉션) 및 CDR(클라이언트 드라이버 리디렉션) 트래픽의 사용 사례를 지원합니다. 이러한 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 9427을 사용합니다.
아웃바운드 1500 AllowAllOutBound 임의 임의 임의 테넌트 서브넷 허용 여러 사용자 세션을 지원하는 VM에서 실행하는 경우 Horizon Agent는 세션의 PCoIP 트래픽에 사용할 다른 포트를 선택합니다. 이러한 포트는 미리 확인할 수 없기 때문에 해당 트래픽을 허용하는 특정 포트를 명명하는 NSG 규칙은 미리 정의할 수 없습니다. 따라서 우선 순위 1200의 규칙과 유사하게, 이 규칙은 이러한 VM을 사용하는 다중 Horizon Client PCoIP 세션의 사용 사례를 지원합니다.
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.
표 5. 외부 Unified Access Gateway VM DMZ NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowHttpsInBound

80

443

TCP 인터넷 임의 허용 이 규칙은 Horizon Client 및 Horizon 웹 클라이언트에서 인바운드 외부 최종 사용자 트래픽을 지원하여 포드 관리자에 대한 로그인 인증 요청을 요청합니다. 기본적으로 Horizon Client 및 Horizon 웹 클라이언트는 이 요청을 위해 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다.
인바운드 1100 AllowBlastInBound

443

8443

임의 인터넷 임의 허용 이 규칙은 외부 최종 사용자의 Horizon Client에서 Blast 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다.
인바운드 1200 AllowPcoipInBound 4172 임의 인터넷 임의 허용 이 규칙은 외부 최종 사용자의 Horizon Client에서 PCoIP 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다.
인바운드 1300 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.

내부 Unified Access Gateway VM의 배포자 생성 NSG

내부 Unified Access Gateway 구성에 대한 각 VM에는 2개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결됩니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

  • 관리 NIC에는 이름이 vmw-hcs-podUUID-uag-management-nsg 패턴을 따르는 NSG가 있습니다.
  • 테넌트 NIC에는 이름이 vmw-hcs-podUUID-uag-tenant-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID-uag-internal에 명명된 포드 리소스 그룹에 있습니다.

표 6. 내부 Unified Access Gateway VM 관리 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowHttpsInBound 9443 TCP 관리 서브넷 임의 허용 서비스에서 해당 관리 인터페이스를 사용하여 게이트웨이의 관리 설정을 구성하도록 합니다. Unified Access Gateway 제품 설명서에 설명된 대로 해당 관리 인터페이스는 포트 9443/TCP에 있습니다.
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 1200 AllowSshInBound 22 임의 관리 서브넷 임의 임의 문제 해결에 필요한 경우 VMware에서 VM에 대해 긴급 액세스를 수행하도록 합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 아웃바운드 트래픽을 거부하기 위해 추가했습니다.
표 7. 내부 Unified Access Gateway VM 테넌트 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork 임의 허용 이 규칙은 Horizon Client 및 Horizon 웹 클라이언트에서 인바운드 내부 최종 사용자 트래픽을 지원하여 포드 관리자에 대한 로그인 인증 요청을 요청합니다. 기본적으로 Horizon Client 및 Horizon 웹 클라이언트는 이 요청을 위해 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다.
인바운드 1200 AllowBlastInBound

443

8443

임의 VirtualNetwork 임의 허용 이 규칙은 내부 최종 사용자의 Horizon Client에서 Blast 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다.
인바운드 1300 AllowPcoipInBound 4172 임의 VirtualNetwork 임의 허용 이 규칙은 내부 최종 사용자의 Horizon Client에서 PCoIP 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다.
인바운드 1400 AllowPcoipUdpInBound 임의 UDP 테넌트 서브넷 임의 허용 이 규칙은 Unified Access Gateway에서 Horizon Agent 작업에 사용하는 표준 구성을 지원합니다. 데스크톱 및 팜 VM의 Horizon Agent는 UDP를 사용하여 PCoIP 데이터를 Unified Access Gateway 인스턴스로 다시 전송합니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.
아웃바운드 1000 AllowHttpsOutBound

443

8443

TCP 임의 테넌트 서브넷 허용

이 규칙은 포드에 대한 새 클라이언트 연결 요청을 위해 포드 관리자 VM과 통신하는 Unified Access Gateway 인스턴스를 지원합니다.

아웃바운드 1100 AllowBlastOutBound 22443 임의 임의 테넌트 서브넷 허용 이 규칙은 데스크톱 또는 팜 VM의 Horizon Agent에 대해 Horizon Client Blast Extreme 세션을 사용하는 경우를 지원합니다.
아웃바운드 1200 AllowPcoipOutBound 4172 임의 임의 테넌트 서브넷 허용 이 규칙은 데스크톱 VM의 Horizon Agent에 대해 Horizon Client PCoIP 세션을 사용하는 경우를 지원합니다.
아웃바운드 1300 AllowUsbOutBound 32111 TCP 임의 테넌트 서브넷 허용 이 규칙은 USB 리디렉션 트래픽의 사용 사례를 지원합니다. USB 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 32111을 사용합니다.
아웃바운드 1400 AllowMmrOutBound 9427 TCP 임의 테넌트 서브넷 허용 이 규칙은 MMR(멀티미디어 리디렉션) 및 CDR(클라이언트 드라이버 리디렉션) 트래픽의 사용 사례를 지원합니다. 이러한 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 9427을 사용합니다.
아웃바운드 1500 AllowAllOutBound 임의 임의 임의 테넌트 서브넷 허용 여러 사용자 세션을 지원하는 VM에서 실행하는 경우 Horizon Agent는 세션의 PCoIP 트래픽에 사용할 다른 포트를 선택합니다. 이러한 포트는 미리 확인할 수 없기 때문에 해당 트래픽을 허용하는 특정 포트를 명명하는 NSG 규칙은 미리 정의할 수 없습니다. 따라서 우선 순위 1200의 규칙과 유사하게, 이 규칙은 이러한 VM을 사용하는 다중 Horizon Client PCoIP 세션의 사용 사례를 지원합니다.
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.

외부 게이트웨이가 자체 VNet에 배포될 때 게이트웨이 커넥터 VM의 배포자 생성 NSG

게이트웨이 커넥터 VM에는 단일 NIC가 있습니다. 이 NIC는 외부 게이트웨이의 VNet 관리 서브넷에 연결됩니다. 배포자는 단일 NSG를 생성하고 해당 NIC에 해당 NSG를 특별히 연결합니다. 기본적으로 게이트웨이 커넥터의 관리 NIC에 대한 배포자 생성 NSG에는 포드 관리자 VM에 대한 배포자 생성 NSG와 같은 규칙이 있습니다.

표 8. 외부 게이트웨이 커넥터 VM의 관리 NIC에 대한 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 1000 AllowSshInBound 22 임의 관리 서브넷 임의 허용 안정적인 상태 작업 중에 VMware에 대해 지원을 요청하고, 지원 팀이 해당 요청을 해결하는 방법이 게이트웨이 커넥터 VM에 대한 SSH 통신을 위해 Jumpbox VM을 배포하는 것임을 확인하면 이 NSG 규칙이 해당 사용 사례를 지원합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. 단기 Jumpbox VM은 VM의 포트 22에 대한 SSH를 사용하여 게이트웨이 커넥터 VM과 통신합니다. 일일 포드 작업의 경우 게이트웨이 커넥터 VM에서 포트 22를 사용할 필요가 없습니다.
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용 VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다.
인바운드 1200 AllowHttpsInBound 443 임의 관리 서브넷 임의 허용 클라우드 제어부가 게이트웨이 커넥터의 REST API 끝점과 안전하게 통신하도록 합니다.
인바운드 1300 AllowApacheGeodeInBound 10334-10336, 41000-41002, 41100-41102, 42000-42002 임의 관리 서브넷 임의 허용 이러한 포트는 포드 관리자 VM 및 게이트웨이 커넥터 VM 전체에서 사용자 세션 및 파일 공유 관련 정보를 복제하는 데 사용됩니다.
인바운드 1400 AllowTelegrafInBound 9172 임의 관리 서브넷 임의 허용 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다.
인바운드 1500 AllowAgentJmsInBound 4001, 4002 임의 관리 서브넷 임의 허용 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다.
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다.

임시 Jumpbox VM의 배포자 생성 NSG

VMware에 지원을 요청하고 지원 팀이 해당 요청을 서비스하는 방법이 임시 Jumpbox VM을 배포하는 것이라고 결정한 경우 이 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에 NSG가 있습니다. 이 NSG는 지원 팀 작업이 완료되어 Jumpbox의 리소스 그룹이 삭제될 때 삭제됩니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다.

표 9. 임시 Jumpbox VM 관리 NIC의 서비스 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치 용도
인바운드 100 AllowSSHInBound 22 임의 관리 서브넷 관리 서브넷 허용 서비스 요청에 대한 VMware 지원 팀의 조사와 관련된 VMware 관리 장치에 대한 SSH 통신. 단기 Jumpbox VM은 SSH 및 포트 22를 사용하여 통신합니다.
참고: 클라우드 제어부에서 포드에 대한 액세스 권한을 손실한 경우 지원 팀은 공용 IP를 사용하여 긴급 Jumpbox를 배포하여 포드에 대한 액세스 권한을 설정할 수 있습니다. 이 시나리오에서는 이 규칙을 소스=임의 및 대상=임의로 지정해야 합니다.
아웃바운드 100 AllowSSHOutbound 22 TCP 관리 서브넷 관리 서브넷 허용 Jumpbox VM이 설계된 기능을 수행합니다.
아웃바운드 101 AllowHttpsOutbound 443 TCP 관리 서브넷 임의 허용 Jumpbox VM에서 Microsoft Azure CLI(명령줄 인터페이스)와 같은 외부의 특정 소프트웨어 구성 요소를 다운로드하고 설계된 기능을 수행합니다.
아웃바운드 102 AllowHttpOutbound 80 TCP 관리 서브넷 임의 허용 Jumpbox VM에서 Ubuntu 소프트웨어 업데이트와 같은 외부의 특정 소프트웨어 구성 요소를 다운로드하고 설계된 기능을 수행합니다.
아웃바운드 103 AllowUagOutbound 9443 TCP 관리 서브넷 관리 서브넷 허용 Jumpbox VM이 게이트웨이의 관리 인터페이스를 사용하여 게이트웨이 관리 설정과 관련하여 설계된 기능을 수행합니다.
아웃바운드 104 AllowDnsOutbound 53 임의 관리 서브넷 임의 허용 Jumpbox VM이 DNS 서비스에 연결할 수 있도록 합니다.
아웃바운드 105 AllowHttpProxyOutbound 임의 TCP 임의 임의 허용 포드 배포가 프록시 포트가 80이 아닌 프록시를 사용하도록 구성된 경우 임시 Jumpbox 배포자가 이 NSG에서 이 규칙을 생성합니다. 이 규칙은 이러한 프록시 환경에서 임시 Jumpbox를 지원합니다.

포드 배포의 구성에 프록시가 지정되지 않았거나 프록시 포트 80으로 지정된 프록시가 있는 경우 이 규칙이 이 NSG에 나타나지 않습니다.

아웃바운드 1000 DenyAllOutBound 임의 TCP 임의 임의 거부 TCP를 사용하여 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한합니다.