이 설명서 항목의 목적은 1세대 Horizon Cloud 환경을 사용하여 Microsoft Azure 구독에서 포드를 생성하고, 이후에 Microsoft Azure 포털에 로그인한 후 해당 포드 배포자가 생성한 항목을 확인한 후에 표시되는 내용을 설명하는 것입니다. Microsoft Azure에서 포드를 배포하는 과정 중에 자동화된 배포 프로세스는 NSG(네트워크 보안 그룹) 집합을 생성한 후 각각을 VMware 제어 포드 관련 VM(가상 시스템)에 있는 특정 개별 네트워크 인터페이스(NIC)에 연결합니다. 이러한 포드 관련 VM은 포드 관리자 VM 및 포드가 Unified Access Gateway로 구성될 때 배포된 VM입니다.
이 페이지를 읽기 전에
이 페이지를 읽기 전에 다음 사항을 고려하십시오.
2022년 8월부터 Horizon Cloud Service - next-gen이 일반 공급되며 자체 가이드인 "Horizon Control Plane next-gen 사용" 이 제공됩니다.
차세대 또는 1세대 환경을 사용하고 있다는 사실은 환경에 로그인하고 Horizon Universal Console 레이블을 표시한 후 브라우저의 URL 필드에 표시되는 패턴을 통해 알 수 있습니다. 차세대 환경의 경우 콘솔의 URL 주소에 /hcsadmin/과 같은 부분이 포함됩니다. 1세대 콘솔의 URL에 다른 섹션(/horizonadmin/)이 있습니다.
전체 소개
포드 배포자는 포드의 VMware 설계 및 아키텍처에 따라, 적절한 배포자 생성 NSG를 적절한 NIC에 연결합니다. 이러한 NSG는 특정 VMware 관리 장치의 각 NIC가 NIC의 연결된 서브넷을 통해 표준 서비스 및 포드 작업에 대해 수신되어야 하는 트래픽을 수신할 수 있도록 하고 수신하지 않아야 하는 모든 트래픽을 해당 NIC에서 차단하도록 장치 수준에서 사용됩니다. 각 NSG에는 각 NIC에 대해 허용되는 트래픽을 정의하는 보안 규칙 집합이 포함되어 있습니다.
여기에 설명된 NSG는 Horizon Universal Console을 사용하여 생성할 때 포드에서 프로비저닝된 기본 VM, 팜 및 VDI 데스크톱에 사용되는 것과는 별개입니다. 이러한 NSG의 사용량 정보는 서로 다릅니다. 이러한 NSG에 대한 자세한 내용은 다음 항목을 참조하십시오.
- Horizon Cloud의 [마켓플레이스에서 가상 시스템 가져오기] 마법사에서 생성된 NSG(네트워크 보안 그룹)
- Horizon Cloud 포드에 있는 네트워크 보안 그룹 및 팜 정보
- Horizon Cloud 포드에 있는 네트워크 보안 그룹 및 VDI 데스크톱 정보
- 이러한 NSG 또는 NSG 규칙을 Horizon Cloud에서 사용하는 서브넷으로 복사 또는 이동
- 포드 VM에 연결된 NIC 간에 이러한 NSG 또는 NSG 규칙을 복사 또는 이동.
Horizon Cloud에서 생성되는 NSG와 그 내부의 규칙은 해당 NIC 및 VM이 연결된 특정 NIC 및 VN에만 해당됩니다. 이러한 NIC가 연결된 동일한 서브넷인 경우에도 이러한 NSG 또는 규칙을 변경하거나 다른 목적으로 사용하려고 하면 해당 NIC가 연결된 NIC와의 필수 네트워크 트래픽이 중단될 수 있습니다. 이러한 중단으로 인해 모든 포드 작업이 중단될 수 있습니다. 이러한 NSG의 수명 주기는 Horizon Cloud에서 관리되며 각각에 대해 고유한 이유가 있습니다. 이러한 이유는 다음과 같습니다.
- 클라우드 제어부에서 포드와 통신하는 능력.
- 포드 인프라의 관리
- 포드 수명 주기 작업
그러나 포드 VM에 대해 Horizon Cloud에서 자동 생성 및 관리하는 포드 리소스 그룹 외부의 리소스 그룹에서 고유한 조직의 규칙을 포함하는 고유한 NSG를 생성할 수 있습니다. 자체 NSG의 규칙은 포드 VM의 관리 및 작업에 대한 Horizon Cloud 요구 사항과 충돌하지 않아야 합니다. 이러한 NSG는 포드에 사용되는 관리, 테넌트 및 DMZ 서브넷에 연결되어야 합니다. Horizon Cloud에서 관리하는 리소스 그룹에서 고유한 NSG를 생성하면 해당 리소스 그룹의 NSG가 다른 리소스 그룹에 있는 리소스에 연결된 경우 Horizon Cloud 관리 리소스 그룹에 대한 삭제 작업 동안 오류가 발생합니다.
Microsoft Azure 설명서에 설명된 대로, NSG(네트워크 보안 그룹)의 용도는 보안 규칙을 사용하여 Microsoft Azure 환경에 있는 리소스에 대한 네트워크 트래픽을 필터링합니다. 각 규칙에는 NSG가 연결된 리소스에 대해 허용되는 트래픽을 결정하는 소스, 대상, 포트, 프로토콜 등과 같은 속성 집합이 있습니다. Horizon Cloud에서 자동으로 생성하고 VMware 제어 포드 VM의 NIC에 연결하는 NSG에는 Horizon Cloud가 포드의 서비스 관리, 예정된 포드 작업의 적절한 실행 및 포드 수명 주기의 관리에 필요하다고 결정한 특정 규칙이 포함되어 있습니다. 일반적으로 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 포드 작업의 포트 트래픽을 제공하기 위한 것입니다. Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항도 참조하십시오.
아래 섹션에는 Horizon Cloud가 해당 NSG에서 정의하는 NSG 규칙이 나열되어 있습니다.
이러한 NSG에 대한 일반적인 사실
이 목록은 배포자가 포드 관련 VM의 특정 NIC와 연결하는 모든 배포자 생성 NSG에 적용됩니다.
- 이러한 VMware 생성 NSG는 VMware 제어 소프트웨어 장치의 보안을 위한 것입니다. VMware에서 구독에 새 소프트웨어를 추가하고 추가 규칙이 필요한 경우 해당 새 규칙이 이러한 NSG에 추가됩니다.
- Microsoft Azure Portal에서 NSG 이름은 패턴
vmw-hcs-podUUID를 포함합니다. 여기서 podUUID는 자체 VNet에 배포된 외부 게이트웨이 구성에 대한 NSG를 제외하고 포드 식별자입니다. 예외 경우에서 게이트웨이의 관련 NSG 이름은 패턴vmw-hcs-ID를 포함합니다. 여기서 ID는 해당 외부 게이트웨이의 배포 ID입니다.참고: 외부 게이트웨이 구성이 해당 구독에 미리 생성한 기존 리소스 그룹에 배포하는 옵션을 사용하여 별도의 구독에 배포되는 시나리오의 경우, 게이트웨이 커넥터의 VM 관리 NIC에 있는 NSG는vmw-hcs-podUUID패턴 대신, 리소스 그룹 이름에 기반한 패턴에 따라 이름이 지정됩니다. 예를 들어, 해당 리소스 그룹의 이름을hcsgateways로 지정한 경우 해당 리소스 그룹에서 Horizon Cloud는hcsgateways-mgmt-nsg라는 NSG를 생성하고 해당 NSG를 게이트웨이 커넥터 VM의 관리 NIC에 연결합니다.관리 콘솔의 [용량] 페이지에서 포드의 세부 정보로 이동하여 이러한 식별자를 찾을 수 있습니다.
참고: 포드의 외부 Unified Access Gateway가 사용자 지정 리소스 그룹을 사용하도록 선택하면 게이트웨이 커넥터 VM의 배포자 생성 NSG 이름에vmw-hcs-ID패턴 대신, 해당 사용자 지정 리소스 그룹의 이름이 포함됩니다. 예를 들어, 포드의 외부 게이트웨이에 대해ourhcspodgateway라는 사용자 지정 리소스 그룹을 사용하도록 지정하면 배포자가 생성한 후 게이트웨이 VM의 NIC와 연결하는 NSG 이름이ourhcspodgateway-mgmt-nsg로 지정됩니다. - NSG는 연결된 VM 및 NIC와 동일한 리소스 그룹에 있습니다. 예를 들어, 외부 게이트웨이가 포드의 VNet에 배포되며 배포자 생성 리소스 그룹을 사용하는 경우 외부 Unified Access Gateway VM의 NIC와 연결된 NSG는 이름이
vmw-hcs-podUUID-uag인 리소스 그룹에 있습니다. 1세대 테넌트 - Microsoft Azure에 배포된 포드에 대해 생성된 리소스 그룹 항목도 참조하십시오. - Horizon Cloud는 새 규칙을 추가하거나 서비스의 유지 관리를 위해 적절하게 이러한 규칙을 수정할 수 있습니다.
- 포드 업데이트 중에 NSG 및 규칙이 유지됩니다. 이러한 항목은 삭제되지 않습니다.
- Horizon Cloud 규칙은 우선 순위 1000에서 시작하고 우선 순위는 일반적으로 100씩 증가합니다. Horizon Cloud 규칙은 우선 순위 3000에서의 규칙으로 종료됩니다.
- 소스 IP 주소 168.63.129.16에 대한
AllowAzureInBound규칙은 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16에 설명된 대로 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하는 NSG를 지원합니다. 모든 포드 관련 VM은 Microsoft Azure의 VM입니다. 해당 Microsoft Azure 설명서 항목에 설명된 대로 해당 IP 주소 168.63.129.16은 Microsoft Azure 클라우드 플랫폼이 클라우드의 모든 VM에 대해 수행하는 다양한 VM 관리 작업을 용이하게 합니다. 예를 들어, 이 IP 주소는 VM 내에 있는 VM 에이전트가 손쉽게 Microsoft Azure 플랫폼과 통신하여 VM이 준비 상태임을 알릴 수 있도록 합니다. - Unified Access Gateway 인스턴스의 NSG에서 PCoIP 트래픽은 4173+ 범위의 가변 포트 번호를 사용하고 있으므로 트래픽이 특정 포트 집합으로 제한될 수 없기 때문에 모든 포트에 대해
AllowPcoipUdpInBound규칙이 설정됩니다. - Microsoft Azure는 NSG 생성 시 각 NSG에 몇 가지 기본 규칙을 자동으로 생성합니다. 생성되는 모든 NSG에서 Microsoft Azure는 우선 순위 65000 이상에서 일부 인바운드 및 아웃바운드 규칙을 생성합니다. 이러한 Microsoft Azure 기본 규칙은 Microsoft Azure에서 자동으로 생성되므로 이 설명서 항목에 설명되어 있지 않습니다. 이러한 기본 규칙에 대한 자세한 내용은 Microsoft Azure 설명서 항목 기본 보안 규칙을 참조하십시오.
- 이러한 NSG에 정의된 각 규칙은 최종 사용자에게 가상 데스크톱을 제공하는 VDI 사용 사례와 같이 Horizon Cloud 구독에 대한 서비스의 표준 비즈니스 목적 이행에 속하는 포드 작업의 포트 트래픽을 제공하기 위한 것입니다. Horizon Cloud 포드에 대한 포트 및 프로토콜 요구 사항도 참조하십시오.
- 포드를 편집하여 팜 및 VDI 데스크톱 할당에 사용할 추가 테넌트 서브넷을 지정하는 경우 포드 관리자 VM 및 Unified Access Gateway VM의 NIC에 있는 테넌트 서브넷 관련 NSG의 규칙이 해당 추가 테넌트 서브넷을 포함하도록 업데이트됩니다.
- VMware에 지원을 요청하고 지원 팀이 해당 요청을 서비스하는 방법이 임시 Jumpbox VM을 배포하는 것이라고 결정한 경우 이 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에 NSG가 있습니다. 이 NSG는 지원 팀 작업이 완료되어 Jumpbox의 리소스 그룹이 삭제될 때 삭제됩니다.
포드 관리자 VM의 배포자 생성 NSG
포드 관리자 VM에는 두 개의 NIC가 있습니다. 하나는 관리 서브넷에 연결되어 있고 다른 하나는 테넌트 서브넷에 연결되어 있습니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.
- 관리 NIC에는 이름이
vmw-hcs-podUUID-mgmt-nsg패턴을 따르는 NSG가 있습니다. - 테넌트 NIC에는 이름이
vmw-hcs-podUUID-tenant-nsg패턴을 따르는 NSG가 있습니다.
Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID에 명명된 포드 리소스 그룹에 있습니다.
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 규칙의 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowSshInBound | 22 | 임의 | 관리 서브넷 | 임의 | 허용 | 안정적인 상태 작업 중에 VMware에 대해 지원을 요청하고, 지원 팀이 해당 요청을 해결하는 방법이 포드 관리자 VM에 대한 SSH 통신을 위해 Jumpbox VM을 배포하는 것임을 확인하면 이 NSG 규칙이 해당 사용 사례를 지원합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. 단기 Jumpbox VM은 VM의 포트 22에 대한 SSH를 사용하여 포드 관리자 VM과 통신합니다. 일일 포드 작업의 경우 포드 관리자 VM에서 포트 22를 사용할 필요가 없습니다. |
| 인바운드 | 1100 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 1200 | AllowHttpsInBound | 443 | 임의 | 관리 서브넷 | 임의 | 허용 | 클라우드 제어부가 포드 관리자의 REST API 끝점과 안전하게 통신하도록 합니다. |
| 인바운드 | 1300 | AllowApacheGeodeInBound | 10334-10336, 41000-41002, 41100-41102, 42000-42002 | 임의 | 관리 서브넷 | 임의 | 허용 | 이러한 포트는 포드 관리자 VM 간에 사용자 세션 및 파일 공유 관련 정보를 복제하는 데 사용됩니다. |
| 인바운드 | 1400 | AllowTelegrafInBound | 9172 | 임의 | 관리 서브넷 | 임의 | 허용 | 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다. |
| 인바운드 | 1500 | AllowAgentJmsInBound | 4001, 4002 | 임의 | 관리 서브넷 | 임의 | 허용 | 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 임의 | 허용 | 이 규칙은 내부 최종 사용자(VPN 등을 통해 회사 네트워크에서)에게 포드의 Microsoft Azure Load Balancer에 매핑한 FQDN에 대해 클라이언트 연결을 수행하도록 지시할 수 있는 이례적인 시나리오를 지원합니다. 이 시나리오를 직접 포드 연결이라고도 합니다. 포드 관리자에 대한 로그인 인증 요청의 경우, Horizon Client 및 Horizon 웹 클라이언트는 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다. |
| 인바운드 | 1100 | AllowAgentHttpsInBound | 3443 8443 |
TCP | 테넌트 서브넷 | 임의 | 허용 | 이 NIC에 대한 인바운드 포트 3443은 기본, 데스크톱 VM 및 팜 RDSH VM의 App Volumes Agent가 포드 관리자에서 실행되는 App Volumes Manager 서비스에 액세스하는 데 사용합니다. 이 NIC에 대한 인바운드 포트 8443은 Unified Access Gateway 인스턴스가 포드 관리자를 확인하는 데 사용합니다. 게이트웨이 인스턴스는 이 끝점을 사용하여 새 클라이언트 연결 요청을 포드 관리자로 전송하는 것을 확인합니다. |
| 인바운드 | 1110 | AllowGatewayBrokeringHttpsInBound | 8443 | TCP | VirtualNetwork | 임의 | 허용 | 코드 일관성과 유지 보수 용이성을 위해 포드 배포자는 항상 이 규칙을 이 NSG에 씁니다. 포드의 외부 게이트웨이가 포드와는 별개의 자체 VNet에 배포된 배포에서 이 규칙은 외부 게이트웨이의 Unified Access Gateway 인스턴스에서의 인바운드 트래픽이 포드 관리자에서 확인되도록 지원합니다. 게이트웨이 인스턴스는 이 끝점을 사용하여 새 클라이언트 연결 요청을 포드 관리자로 전송하는 것을 확인합니다. |
| 인바운드 | 1120 | AllowUagHttpsInBound | 8443 | TCP | 관리 서브넷 | 임의 | 허용 | 이 규칙은 향후 서비스 릴리스에서 사용할 계획입니다. |
| 인바운드 | 1200 | AllowAgentJmsInBound | 4001 4002 |
TCP | 테넌트 서브넷 | 임의 | 허용 | 기본 VM, 데스크톱 VM 및 팜 RDSH VM의 Horizon Agent는 이러한 포트를 사용합니다. 포트 4001은 SSL 연결을 보호하기 위해 인증서 지문 확인 및 교환의 일부로 VM의 에이전트에서 포드와 통신하는 데 사용하는 JMS(Java Message Service)(비 SSL)를 위한 것입니다.
VM과 포드 관리자 간에 키를 협상하고 교환한 후 에이전트는 포트 4002를 사용하여 보안 SSL 연결을 생성합니다.
참고: 안정적인 상태 작업을 수행하려면 4001 및 4002가 모두 필요합니다. 경우에 따라 에이전트는 포드 키를 다시 입력해야 할 수 있습니다.
|
| 인바운드 | 1210 | AllowRouterJmsInBound | 4101 | TCP | 테넌트 서브넷 | 임의 | 허용 | HA(고가용성)에 대해 포드를 사용하도록 설정하면 이 트래픽은 포드 관리자 VM(노드 1 및 노드 2) 간의 JMS 라우팅입니다. |
| 인바운드 | 1300 | AllowAgentUdpInBound | 5678 | UDP | 테넌트 서브넷 | 임의 | 허용 | 매니페스트 1600 이상의 포드에서는 사용되지 않습니다. 서비스의 2019년 9월 릴리스부터 DaaS Agent가 포드 매니페스트 1600의 Horizon Agent에 통합되었습니다. 이전에는 이 포트 5678 및 UDP 프로토콜이 DaaS Agent 사용을 지원하는 데 사용되었습니다. |
| 인바운드 | 1400 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
외부 Unified Access Gateway VM의 배포자 생성 NSG
외부 Unified Access Gateway 구성에 대한 각 VM에는 3개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결되고, 나머지 하나는 DMZ 서브넷에 연결됩니다. 배포자는 이러한 세 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.
- 관리 NIC에는 이름이
vmw-hcs-ID-uag-management-nsg패턴을 따르는 NSG가 있습니다. - 테넌트 NIC에는 이름이
vmw-hcs-ID-uag-tenant-nsg패턴을 따르는 NSG가 있습니다. - DMZ NIC에는 이름이
vmw-hcs-ID-uag-dmz-nsg패턴을 따르는 NSG가 있습니다.
Microsoft Azure 환경에서 이러한 NSG는 vmw-hcs-ID-uag 패턴으로 이름이 지정됩니다. 여기서 ID는 외부 게이트웨이가 포드의 VNet과는 별도로 고유한 VNet에 배포되지 않는 한, 콘솔에서 포드 세부 정보 페이지에 표시되는 포드의 Id입니다. 자체 VNet에 배포된 외부 게이트웨이의 경우 ID는 포드의 세부 정보 페이지에 표시되는 배포 ID 값입니다.
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowHttpsInBound | 9443 | TCP | 관리 서브넷 | 임의 | 허용 | 서비스에서 해당 관리 인터페이스를 사용하여 게이트웨이의 관리 설정을 구성하도록 합니다. Unified Access Gateway 제품 설명서에 설명된 대로 해당 관리 인터페이스는 포트 9443/TCP에 있습니다. |
| 인바운드 | 1100 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 1200 | AllowSshInBound | 22 | 임의 | 관리 서브넷 | 임의 | 허용 | 문제 해결에 필요한 경우 VMware에서 VM에 대해 긴급 액세스를 수행하도록 합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
| 아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 거부하기 위해 추가했습니다. |
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 1400 | AllowPcoipUdpInBound | 임의 | UDP | 테넌트 서브넷 | 임의 | 허용 | 이 규칙은 Unified Access Gateway에서 Horizon Agent 작업에 사용하는 표준 구성을 지원합니다. 데스크톱 및 팜 VM의 Horizon Agent는 UDP를 사용하여 PCoIP 데이터를 Unified Access Gateway 인스턴스로 다시 전송합니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
| 아웃바운드 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 포드 관리자에 대한 새 클라이언트 연결 요청을 위해 포드 관리자 VM과 통신하는 Unified Access Gateway 인스턴스를 지원합니다. |
| 아웃바운드 | 1100 | AllowBlastOutBound | 22443 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 또는 팜 VM의 Horizon Agent에 대해 Horizon Client Blast Extreme 세션을 사용하는 경우를 지원합니다. |
| 아웃바운드 | 1200 | AllowPcoipOutBound | 4172 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 VM의 Horizon Agent에 대해 Horizon Client PCoIP 세션을 사용하는 경우를 지원합니다. |
| 아웃바운드 | 1300 | AllowUsbOutBound | 32111 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 USB 리디렉션 트래픽의 사용 사례를 지원합니다. USB 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 32111을 사용합니다. |
| 아웃바운드 | 1400 | AllowMmrOutBound | 9427 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 MMR(멀티미디어 리디렉션) 및 CDR(클라이언트 드라이버 리디렉션) 트래픽의 사용 사례를 지원합니다. 이러한 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 9427을 사용합니다. |
| 아웃바운드 | 1500 | AllowAllOutBound | 임의 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 여러 사용자 세션을 지원하는 VM에서 실행하는 경우 Horizon Agent는 세션의 PCoIP 트래픽에 사용할 다른 포트를 선택합니다. 이러한 포트는 미리 확인할 수 없기 때문에 해당 트래픽을 허용하는 특정 포트를 명명하는 NSG 규칙은 미리 정의할 수 없습니다. 따라서 우선 순위 1200의 규칙과 유사하게, 이 규칙은 이러한 VM을 사용하는 다중 Horizon Client PCoIP 세션의 사용 사례를 지원합니다. |
| 아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowHttpsInBound | 80 443 |
TCP | 인터넷 | 임의 | 허용 | 이 규칙은 Horizon Client 및 Horizon 웹 클라이언트에서 인바운드 외부 최종 사용자 트래픽을 지원하여 포드 관리자에 대한 로그인 인증 요청을 요청합니다. 기본적으로 Horizon Client 및 Horizon 웹 클라이언트는 이 요청을 위해 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다. |
| 인바운드 | 1100 | AllowBlastInBound | 443 8443 |
임의 | 인터넷 | 임의 | 허용 | 이 규칙은 외부 최종 사용자의 Horizon Client에서 Blast 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
| 인바운드 | 1200 | AllowPcoipInBound | 4172 | 임의 | 인터넷 | 임의 | 허용 | 이 규칙은 외부 최종 사용자의 Horizon Client에서 PCoIP 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
| 인바운드 | 1300 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
내부 Unified Access Gateway VM의 배포자 생성 NSG
내부 Unified Access Gateway 구성에 대한 각 VM에는 2개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결됩니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.
- 관리 NIC에는 이름이
vmw-hcs-podUUID-uag-management-nsg패턴을 따르는 NSG가 있습니다. - 테넌트 NIC에는 이름이
vmw-hcs-podUUID-uag-tenant-nsg패턴을 따르는 NSG가 있습니다.
Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID-uag-internal에 명명된 포드 리소스 그룹에 있습니다.
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowHttpsInBound | 9443 | TCP | 관리 서브넷 | 임의 | 허용 | 서비스에서 해당 관리 인터페이스를 사용하여 게이트웨이의 관리 설정을 구성하도록 합니다. Unified Access Gateway 제품 설명서에 설명된 대로 해당 관리 인터페이스는 포트 9443/TCP에 있습니다. |
| 인바운드 | 1100 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 1200 | AllowSshInBound | 22 | 임의 | 관리 서브넷 | 임의 | 임의 | 문제 해결에 필요한 경우 VMware에서 VM에 대해 긴급 액세스를 수행하도록 합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
| 아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 거부하기 위해 추가했습니다. |
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 임의 | 허용 | 이 규칙은 Horizon Client 및 Horizon 웹 클라이언트에서 인바운드 내부 최종 사용자 트래픽을 지원하여 포드 관리자에 대한 로그인 인증 요청을 요청합니다. 기본적으로 Horizon Client 및 Horizon 웹 클라이언트는 이 요청을 위해 포트 443을 사용합니다. 클라이언트에서 HTTPS 대신 HTTP를 입력할 수 있는 사용자의 편리한 리디렉션을 지원하기 위해 이 트래픽은 포트 80에 도달하고 포트 443로 자동 리디렉션됩니다. |
| 인바운드 | 1200 | AllowBlastInBound | 443 8443 |
임의 | VirtualNetwork | 임의 | 허용 | 이 규칙은 내부 최종 사용자의 Horizon Client에서 Blast 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
| 인바운드 | 1300 | AllowPcoipInBound | 4172 | 임의 | VirtualNetwork | 임의 | 허용 | 이 규칙은 내부 최종 사용자의 Horizon Client에서 PCoIP 트래픽을 수신하는 Unified Access Gateway 인스턴스를 지원합니다. |
| 인바운드 | 1400 | AllowPcoipUdpInBound | 임의 | UDP | 테넌트 서브넷 | 임의 | 허용 | 이 규칙은 Unified Access Gateway에서 Horizon Agent 작업에 사용하는 표준 구성을 지원합니다. 데스크톱 및 팜 VM의 Horizon Agent는 UDP를 사용하여 PCoIP 데이터를 Unified Access Gateway 인스턴스로 다시 전송합니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
| 아웃바운드 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 포드에 대한 새 클라이언트 연결 요청을 위해 포드 관리자 VM과 통신하는 Unified Access Gateway 인스턴스를 지원합니다. |
| 아웃바운드 | 1100 | AllowBlastOutBound | 22443 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 또는 팜 VM의 Horizon Agent에 대해 Horizon Client Blast Extreme 세션을 사용하는 경우를 지원합니다. |
| 아웃바운드 | 1200 | AllowPcoipOutBound | 4172 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 데스크톱 VM의 Horizon Agent에 대해 Horizon Client PCoIP 세션을 사용하는 경우를 지원합니다. |
| 아웃바운드 | 1300 | AllowUsbOutBound | 32111 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 USB 리디렉션 트래픽의 사용 사례를 지원합니다. USB 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 32111을 사용합니다. |
| 아웃바운드 | 1400 | AllowMmrOutBound | 9427 | TCP | 임의 | 테넌트 서브넷 | 허용 | 이 규칙은 MMR(멀티미디어 리디렉션) 및 CDR(클라이언트 드라이버 리디렉션) 트래픽의 사용 사례를 지원합니다. 이러한 리디렉션은 데스크톱 또는 팜 VM의 에이전트 옵션입니다. 해당 트래픽은 데스크톱 또는 팜 VM의 Horizon Agent에 대한 최종 사용자 클라이언트 세션에 포트 9427을 사용합니다. |
| 아웃바운드 | 1500 | AllowAllOutBound | 임의 | 임의 | 임의 | 테넌트 서브넷 | 허용 | 여러 사용자 세션을 지원하는 VM에서 실행하는 경우 Horizon Agent는 세션의 PCoIP 트래픽에 사용할 다른 포트를 선택합니다. 이러한 포트는 미리 확인할 수 없기 때문에 해당 트래픽을 허용하는 특정 포트를 명명하는 NSG 규칙은 미리 정의할 수 없습니다. 따라서 우선 순위 1200의 규칙과 유사하게, 이 규칙은 이러한 VM을 사용하는 다중 Horizon Client PCoIP 세션의 사용 사례를 지원합니다. |
| 아웃바운드 | 3000 | DenyAllOutBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
외부 게이트웨이가 자체 VNet에 배포될 때 게이트웨이 커넥터 VM의 배포자 생성 NSG
게이트웨이 커넥터 VM에는 단일 NIC가 있습니다. 이 NIC는 외부 게이트웨이의 VNet 관리 서브넷에 연결됩니다. 배포자는 단일 NSG를 생성하고 해당 NIC에 해당 NSG를 특별히 연결합니다. 기본적으로 게이트웨이 커넥터의 관리 NIC에 대한 배포자 생성 NSG에는 포드 관리자 VM에 대한 배포자 생성 NSG와 같은 규칙이 있습니다.
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 1000 | AllowSshInBound | 22 | 임의 | 관리 서브넷 | 임의 | 허용 | 안정적인 상태 작업 중에 VMware에 대해 지원을 요청하고, 지원 팀이 해당 요청을 해결하는 방법이 게이트웨이 커넥터 VM에 대한 SSH 통신을 위해 Jumpbox VM을 배포하는 것임을 확인하면 이 NSG 규칙이 해당 사용 사례를 지원합니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다. 단기 Jumpbox VM은 VM의 포트 22에 대한 SSH를 사용하여 게이트웨이 커넥터 VM과 통신합니다. 일일 포드 작업의 경우 게이트웨이 커넥터 VM에서 포트 22를 사용할 필요가 없습니다. |
| 인바운드 | 1100 | AllowAzureInBound | 임의 | 임의 | 168.63.129.16 | 임의 | 허용 | VM이 앞에 나온 일반적인 사실 섹션과 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16이란?에 설명된 것처럼 Microsoft Azure 플랫폼에서 수신하는 통신을 수락하도록 합니다. |
| 인바운드 | 1200 | AllowHttpsInBound | 443 | 임의 | 관리 서브넷 | 임의 | 허용 | 클라우드 제어부가 게이트웨이 커넥터의 REST API 끝점과 안전하게 통신하도록 합니다. |
| 인바운드 | 1300 | AllowApacheGeodeInBound | 10334-10336, 41000-41002, 41100-41102, 42000-42002 | 임의 | 관리 서브넷 | 임의 | 허용 | 이러한 포트는 포드 관리자 VM 및 게이트웨이 커넥터 VM 전체에서 사용자 세션 및 파일 공유 관련 정보를 복제하는 데 사용됩니다. |
| 인바운드 | 1400 | AllowTelegrafInBound | 9172 | 임의 | 관리 서브넷 | 임의 | 허용 | 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다. |
| 인바운드 | 1500 | AllowAgentJmsInBound | 4001, 4002 | 임의 | 관리 서브넷 | 임의 | 허용 | 폐기되었습니다. 이 NSG는 VMware KB 문서 93762에 설명된 대로 더 이상 사용되지 않는 Horizon 인프라 모니터링 기능에서 사용되었습니다. |
| 인바운드 | 3000 | DenyAllInBound | 임의 | 임의 | 임의 | 임의 | 거부 | 배포자가 이 NIC의 인바운드 트래픽을 이전 행의 항목으로 제한하기 위해 추가합니다. |
임시 Jumpbox VM의 배포자 생성 NSG
VMware에 지원을 요청하고 지원 팀이 해당 요청을 서비스하는 방법이 임시 Jumpbox VM을 배포하는 것이라고 결정한 경우 이 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에 NSG가 있습니다. 이 NSG는 지원 팀 작업이 완료되어 Jumpbox의 리소스 그룹이 삭제될 때 삭제됩니다. 긴급 액세스 전에 사용자가 사용 권한을 요청합니다.
| 방향 | 우선 순위 | 이름 | 포트 | 프로토콜 | 소스 | 대상 | 조치 | 용도 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 100 | AllowSSHInBound | 22 | 임의 | 관리 서브넷 | 관리 서브넷 | 허용 | 서비스 요청에 대한 VMware 지원 팀의 조사와 관련된 VMware 관리 장치에 대한 SSH 통신. 단기 Jumpbox VM은 SSH 및 포트 22를 사용하여 통신합니다.
참고: 클라우드 제어부에서 포드에 대한 액세스 권한을 손실한 경우 지원 팀은 공용 IP를 사용하여 긴급 Jumpbox를 배포하여 포드에 대한 액세스 권한을 설정할 수 있습니다. 이 시나리오에서는 이 규칙을 소스=임의 및 대상=임의로 지정해야 합니다.
|
| 아웃바운드 | 100 | AllowSSHOutbound | 22 | TCP | 관리 서브넷 | 관리 서브넷 | 허용 | Jumpbox VM이 설계된 기능을 수행합니다. |
| 아웃바운드 | 101 | AllowHttpsOutbound | 443 | TCP | 관리 서브넷 | 임의 | 허용 | Jumpbox VM에서 Microsoft Azure CLI(명령줄 인터페이스)와 같은 외부의 특정 소프트웨어 구성 요소를 다운로드하고 설계된 기능을 수행합니다. |
| 아웃바운드 | 102 | AllowHttpOutbound | 80 | TCP | 관리 서브넷 | 임의 | 허용 | Jumpbox VM에서 Ubuntu 소프트웨어 업데이트와 같은 외부의 특정 소프트웨어 구성 요소를 다운로드하고 설계된 기능을 수행합니다. |
| 아웃바운드 | 103 | AllowUagOutbound | 9443 | TCP | 관리 서브넷 | 관리 서브넷 | 허용 | Jumpbox VM이 게이트웨이의 관리 인터페이스를 사용하여 게이트웨이 관리 설정과 관련하여 설계된 기능을 수행합니다. |
| 아웃바운드 | 104 | AllowDnsOutbound | 53 | 임의 | 관리 서브넷 | 임의 | 허용 | Jumpbox VM이 DNS 서비스에 연결할 수 있도록 합니다. |
| 아웃바운드 | 105 | AllowHttpProxyOutbound | 임의 | TCP | 임의 | 임의 | 허용 | 포드 배포가 프록시 포트가 80이 아닌 프록시를 사용하도록 구성된 경우 임시 Jumpbox 배포자가 이 NSG에서 이 규칙을 생성합니다. 이 규칙은 이러한 프록시 환경에서 임시 Jumpbox를 지원합니다. 포드 배포의 구성에 프록시가 지정되지 않았거나 프록시 포트 80으로 지정된 프록시가 있는 경우 이 규칙이 이 NSG에 나타나지 않습니다. |
| 아웃바운드 | 1000 | DenyAllOutBound | 임의 | TCP | 임의 | 임의 | 거부 | TCP를 사용하여 이 NIC의 아웃바운드 트래픽을 이전 행의 항목으로 제한합니다. |
