이 설명서 항목의 목적은 Horizon Cloud를 사용하여 Microsoft Azure 구독에서 포드를 생성하고, 이후에 Microsoft Azure 포털에 로그인한 후 해당 포드 배포자가 생성한 항목을 확인한 후에 표시되는 내용을 설명하는 것입니다. Microsoft Azure에서 포드를 배포하는 과정 중에 자동화된 배포 프로세스는 NSG(네트워크 보안 그룹) 집합을 생성한 후 각각을 포드의 관련 VM(가상 시스템)에 있는 특정 개별 네트워크 인터페이스(NIC)에 연결합니다. 이러한 포드 관련 VM은 포드 관리자 VM 및 포드가 Unified Access Gateway로 구성될 때 배포된 VM입니다. 또한 포드 배포 또는 포드에 게이트웨이 구성 추가와 같은 포드 배포 관련 워크플로 동안, 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에도 NSG가 있습니다. 포드 배포자는 포드의 VMware 설계 및 아키텍처에 따라, 적절한 배포자 생성 NSG를 적절한 NIC에 연결합니다. 이러한 NSG는 특정 포드 VM의 각 NIC가 NIC의 연결된 서브넷을 통해 포드 작업에 대해 수신되어야 하는 트래픽을 수신할 수 있도록 하고 수신하지 않아야 하는 모든 트래픽을 해당 NIC에서 차단하도록 NIC 수준에서 사용됩니다. 각 NSG에는 해당 NIC에 대해 허용되는 트래픽을 정의하는 보안 규칙 집합이 포함되어 있습니다.

여기에 설명된 NSG는 포드에서 생성하는 팜 및 VDI 데스크톱에 사용되는 것과는 별개이며, 사용량 정보도 다릅니다. 팜 및 풀에 사용되는 NSG에 대한 자세한 내용은 네트워크 보안 그룹 및 팜 정보네트워크 보안 그룹 및 VDI 데스크톱 정보를 참조하십시오.

경고: 자동으로 생성되고 포드 VM의 NIC에 연결된 Horizon Cloud NSG는 삭제하거나 편집하면 안 됩니다. 여기에는 다음과 같은 작업이 포함됩니다.
  • 이러한 NSG 또는 NSG 규칙을 Horizon Cloud에서 사용하는 서브넷으로 복사 또는 이동
  • 포드 VM에 연결된 NIC 간에 이러한 NSG 또는 NSG 규칙을 복사 또는 이동.

Horizon Cloud에서 생성되는 NSG와 그 내부의 규칙은 해당 NIC 및 VM이 연결된 특정 NIC 및 VN에만 해당됩니다. 이러한 NIC가 연결된 동일한 서브넷인 경우에도 이러한 NSG 또는 규칙을 변경하거나 다른 목적으로 사용하려고 하면 해당 NIC가 연결된 NIC와의 필수 네트워크 트래픽이 중단될 수 있습니다. 이러한 중단으로 인해 모든 포드 작업이 중단될 수 있습니다. 이러한 NSG의 수명 주기는 Horizon Cloud에서 관리되며 각각에 대해 고유한 이유가 있습니다. 이러한 이유는 다음과 같습니다.

  • 클라우드 제어부에서 포드와 통신하는 능력.
  • 포드 인프라의 관리
  • 포드 수명 주기 작업
이러한 NSG를 변경 또는 다시 사용하려고 하거나 포함된 규칙으로 인해 해당 기능이 중단될 수 있는 경우 지원되지 않는 방식으로 Horizon Cloud를 사용한 것으로 간주됩니다.

그러나 포드 VM에 대해 Horizon Cloud에서 자동 생성 및 관리하는 포드 리소스 그룹 외부의 리소스 그룹에서 고유한 조직의 규칙을 포함하는 고유한 NSG를 생성할 수 있습니다. 자체 NSG의 규칙은 포드 VM의 관리 및 작업에 대한 Horizon Cloud 요구 사항과 충돌하지 않아야 합니다. 이러한 NSG는 포드에 사용되는 관리, 테넌트 및 DMZ 서브넷에 연결되어야 합니다. Horizon Cloud에서 관리하는 리소스 그룹에서 고유한 NSG를 생성하면 해당 리소스 그룹의 NSG가 다른 리소스 그룹에 있는 리소스에 연결된 경우 Horizon Cloud 관리 리소스 그룹에 대한 삭제 작업 동안 오류가 발생합니다.

Microsoft Azure 설명서에 설명된 대로, NSG(네트워크 보안 그룹)의 용도는 보안 규칙을 사용하여 Microsoft Azure 환경에 있는 리소스에 대한 네트워크 트래픽을 필터링합니다. 각 규칙에는 NSG가 연결된 리소스에 대해 허용되는 트래픽을 결정하는 소스, 대상, 포트, 프로토콜 등과 같은 속성 집합이 있습니다. Horizon Cloud에서 자동으로 생성하고 포드 VM의 NIC에 연결하는 NSG에는 Horizon Cloud가 포드의 서비스 관리, 예정된 포드 작업의 적절한 실행 및 포드 수명 주기의 관리에 필요하다고 결정한 특정 규칙이 포함되어 있습니다. 아래 섹션에는 Horizon Cloud가 해당 NSG에서 정의하는 NSG 규칙이 나열되어 있습니다.

이러한 NSG에 대한 일반적인 사실

이 목록은 배포자가 포드 관련 VM의 특정 NIC와 연결하는 모든 배포자 생성 NSG에 적용됩니다.

  • Microsoft Azure Portal에서 NSG 이름은 패턴 vmw-hcs-podUUID를 포함합니다. 여기서 podUUID는 자체 VNet에 배포된 외부 게이트웨이 구성에 대한 NSG를 제외하고 포드 식별자입니다. 예외 경우에서 게이트웨이의 관련 NSG 이름은 패턴 vmw-hcs-ID를 포함합니다. 여기서 ID는 해당 외부 게이트웨이의 배포 ID입니다.
    참고: 외부 게이트웨이 구성이 해당 구독에 미리 생성한 기존 리소스 그룹에 배포하는 옵션을 사용하여 별도의 구독에 배포되는 시나리오의 경우, 게이트웨이 커넥터의 VM 관리 NIC에 있는 NSG는 vmw-hcs-podUUID 패턴 대신, 리소스 그룹 이름에 기반한 패턴에 따라 이름이 지정됩니다. 예를 들어, 해당 리소스 그룹의 이름을 hcsgateways로 지정한 경우 해당 리소스 그룹에서 Horizon Cloudhcsgateways-mgmt-nsg라는 NSG를 생성하고 해당 NSG를 게이트웨이 커넥터 VM의 관리 NIC에 연결합니다.

    관리 콘솔의 [용량] 페이지에서 포드의 세부 정보로 이동하여 이러한 식별자를 찾을 수 있습니다.

    참고: 포드의 외부 Unified Access Gateway가 사용자 지정 리소스 그룹을 사용하도록 선택하면 게이트웨이 커넥터 VM의 배포자 생성 NSG 이름에 vmw-hcs-ID 패턴 대신, 해당 사용자 지정 리소스 그룹의 이름이 포함됩니다. 예를 들어, 포드의 외부 게이트웨이에 대해 ourhcspodgateway라는 사용자 지정 리소스 그룹을 사용하도록 지정하면 배포자가 생성한 후 게이트웨이 VM의 NIC와 연결하는 NSG 이름이 ourhcspodgateway-mgmt-nsg로 지정됩니다.
  • NSG는 연결된 VM 및 NIC와 동일한 리소스 그룹에 있습니다. 예를 들어, 외부 게이트웨이가 포드의 VNet에 배포되며 배포자 생성 리소스 그룹을 사용하는 경우 외부 Unified Access Gateway VM의 NIC와 연결된 NSG는 이름이 vmw-hcs-podUUID-uag인 리소스 그룹에 있습니다. Microsoft Azure에 배포된 포드에 대해 생성된 리소스 그룹 항목도 참조하십시오.
  • Horizon Cloud는 새 규칙을 추가하거나 서비스의 유지 관리를 위해 적절하게 이러한 규칙을 수정할 수 있습니다.
  • 포드 업데이트 중에 NSG 및 규칙이 유지됩니다. 이러한 항목은 삭제되지 않습니다.
  • 임시 Jumpbox의 NSG 규칙을 제외하고, Horizon Cloud 규칙은 우선 순위 1000에서 시작하고 우선 순위는 100씩 증가합니다. Horizon Cloud 규칙은 우선 순위 3000에서의 규칙으로 종료됩니다. Jumpbox의 NSG 규칙에서, Horizon Cloud 규칙은 우선 순위 100에서 시작하고 우선 순위는 1씩 증가합니다. Horizon Cloud 규칙은 우선 순위 1000에서의 규칙으로 종료됩니다.
  • 소스 IP 주소 168.63.129.16에 대한 AllowAzureInBound 규칙은 Microsoft Azure 설명서 항목 IP 주소 168.63.129.16에 설명된 대로 Microsoft Azure 플랫폼에서 들어오는 통신을 수락하는 NSG를 지원합니다.
  • Unified Access Gateway 인스턴스의 NSG에서 PCoIP 트래픽은 4173+ 범위의 가변 포트 번호를 사용하고 있으므로 트래픽이 특정 포트 집합으로 제한될 수 없기 때문에 모든 포트에 대해 AllowPcoipUdpInBound 규칙이 설정됩니다.
  • Microsoft Azure는 NSG 생성 시 각 NSG에 몇 가지 기본 규칙을 자동으로 생성합니다. 생성되는 모든 NSG에서 Microsoft Azure는 우선 순위 65000 이상에서 일부 인바운드 및 아웃바운드 규칙을 생성합니다. 이러한 Microsoft Azure 기본 규칙은 Microsoft Azure에서 자동으로 생성되므로 이 설명서 항목에 설명되어 있지 않습니다. 이러한 기본 규칙에 대한 자세한 내용은 Microsoft Azure 설명서 항목 기본 보안 규칙을 참조하십시오.
  • 포드 배포 또는 포드에 게이트웨이 구성 추가와 같은 배포 관련 워크플로가 수행되는 동안, 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에도 NSG가 있습니다. 이 NSG는 워크플로 완료 시 Jumpbox의 리소스 그룹이 삭제될 때 삭제됩니다.

포드 관리자 VM의 배포자 생성 NSG

포드 관리자 VM에는 두 개의 NIC가 있습니다. 하나는 관리 서브넷에 연결되어 있고 다른 하나는 테넌트 서브넷에 연결되어 있습니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

  • 관리 NIC에는 이름이 vmw-hcs-podUUID-mgmt-nsg 패턴을 따르는 NSG가 있습니다.
  • 테넌트 NIC에는 이름이 vmw-hcs-podUUID-tenant-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID에 명명된 포드 리소스 그룹에 있습니다.

중요: 포드가 해당 기능을 사용하여 외부 게이트웨이를 별도의 VNet에 있는 경우(해당 게이트웨이가 포드 구독과는 별개인 구독을 사용하는 경우) 포드 관리자 VM의 테넌트 NIC에 대한 NSG에는 소스가 VirtualNetwork인 포트 8443 TCP에 대해 AllowGatewayBrokeringHttpsInBound라는 이름의 추가 인바운드 규칙이 있습니다. 외부 게이트웨이가 별도의 VNet에 있는 경우 포드 관리자 VM의 테넌트 NIC에 대한 배포자 생성 NSG 규칙이 아래의 세 번째 표에 나와 있습니다.
표 1. 포드 관리자 VM 관리 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowSshInBound 22 임의 관리 서브넷 임의 허용
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 1200 AllowHttpsInBound 443 임의 관리 서브넷 임의 허용
인바운드 1300 AllowApacheGeodeInBound 10334, 41000-41002, 42000-42002 임의 관리 서브넷 임의 허용
인바운드 1400 AllowTelegrafInBound 9172 임의 관리 서브넷 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부
표 2. 포드 관리자 VM 테넌트 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 임의 허용
인바운드 1100 AllowAgentHttpsInBound

3443

8443

TCP 테넌트 서브넷 임의 허용
인바운드 1200 AllowAgentJmsInBound

4001

4002

TCP 테넌트 서브넷 임의 허용
인바운드 1210 AllowRouterJmsInBound 4101 TCP 테넌트 서브넷 임의 허용
인바운드 1300 AllowAgentUdpInBound 5678 UDP 테넌트 서브넷 임의 허용
인바운드 1400 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부
표 3. 외부 게이트웨이가 별도의 VNet에 있는 경우 포드 관리자 VM의 테넌트 NIC에 대한 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowHttpsInBound

80

443

TCP VirtualNetwork 임의 허용
인바운드 1100 AllowAgentHttpsInBound

3443

8443

TCP 테넌트 서브넷 임의 허용
인바운드 1110 AllowGatewayBrokeringHttpsInBound 8443 TCP VirtualNetwork 임의 허용
인바운드 1200 AllowAgentJmsInBound

4001

4002

TCP 테넌트 서브넷 임의 허용
인바운드 1210 AllowRouterJmsInBound 4101 TCP 테넌트 서브넷 임의 허용
인바운드 1300 AllowAgentUdpInBound 5678 UDP 테넌트 서브넷 임의 허용
인바운드 1400 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부

외부 Unified Access Gateway VM의 배포자 생성 NSG

외부 Unified Access Gateway 구성에 대한 각 VM에는 3개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결되고, 나머지 하나는 DMZ 서브넷에 연결됩니다. 배포자는 이러한 세 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

  • 관리 NIC에는 이름이 vmw-hcs-ID-uag-management-nsg 패턴을 따르는 NSG가 있습니다.
  • 테넌트 NIC에는 이름이 vmw-hcs-ID-uag-tenant-nsg 패턴을 따르는 NSG가 있습니다.
  • DMZ NIC에는 이름이 vmw-hcs-ID-uag-dmz-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 vmw-hcs-ID-uag 패턴으로 이름이 지정됩니다. 여기서 ID는 외부 게이트웨이가 포드의 VNet과는 별도로 고유한 VNet에 배포되지 않는 한, 콘솔에서 포드 세부 정보 페이지에 표시되는 포드의 Id입니다. 자체 VNet에 배포된 외부 게이트웨이의 경우 ID는 포드의 세부 정보 페이지에 표시되는 배포 ID 값입니다.

표 4. 외부 Unified Access Gateway VM 관리 NIC의 배포자 생성 SG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowHttpsInBound 9443 TCP 관리 서브넷 임의 허용
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 1200 AllowSshInBound 22 임의 관리 서브넷 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부
표 5. 외부 Unified Access Gateway VM 테넌트 NIC의 배포자 생성 SG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 1400 AllowPcoipUdpInBound 임의 UDP 테넌트 서브넷 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부
아웃바운드 1000 AllowHttpsOutBound

443

8443

TCP 임의 테넌트 서브넷 허용
아웃바운드 1100 AllowBlastOutBound 22443 임의 임의 테넌트 서브넷 허용
아웃바운드 1200 AllowPcoipOutBound 4172 임의 임의 테넌트 서브넷 허용
아웃바운드 1300 AllowUsbOutBound 32111 TCP 임의 테넌트 서브넷 허용
아웃바운드 1400 AllowMmrOutBound 9427 TCP 임의 테넌트 서브넷 허용
아웃바운드 1500 AllowAllOutBound 임의 임의 임의 테넌트 서브넷 허용
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부
표 6. 외부 Unified Access Gateway VM DMZ NIC의 배포자 생성 SG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowHttpsInBound

80

443

TCP 인터넷 임의 허용
인바운드 1100 AllowBlastInBound

443

8443

임의 인터넷 임의 허용
인바운드 1200 AllowPcoipInBound 4172 임의 인터넷 임의 허용
인바운드 1300 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부

내부 Unified Access Gateway VM의 배포자 생성 NSG

내부 Unified Access Gateway 구성에 대한 각 VM에는 2개의 NIC가 있으며, 하나는 관리 서브넷에 연결되고, 다른 하나는 테넌트 서브넷에 연결됩니다. 배포자는 이러한 두 NIC 각각에 대해 특정 NSG를 생성하고 각 NSG를 해당 NIC에 연결합니다.

  • 관리 NIC에는 이름이 vmw-hcs-podUUID-uag-management-nsg 패턴을 따르는 NSG가 있습니다.
  • 테넌트 NIC에는 이름이 vmw-hcs-podUUID-uag-tenant-nsg 패턴을 따르는 NSG가 있습니다.

Microsoft Azure 환경에서 이러한 NSG는 패턴 vmw-hcs-podUUID-uag-internal에 명명된 포드 리소스 그룹에 있습니다.

표 7. 내부 Unified Access Gateway VM 관리 NIC의 배포자 생성 SG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowHttpsInBound 9443 TCP 관리 서브넷 임의 허용
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 1200 AllowSshInBound 22 임의 관리 서브넷 임의 임의
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부
표 8. 내부 Unified Access Gateway VM 테넌트 NIC의 배포자 생성 SG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 1100 AllowHttpsInBound

80

443

TCP VirtualNetwork 임의 허용
인바운드 1200 AllowBlastInBound

443

8443

임의 VirtualNetwork 임의 허용
인바운드 1300 AllowPcoipInBound 4172 임의 VirtualNetwork 임의 허용
인바운드 1400 AllowPcoipUdpInBound 임의 UDP 테넌트 서브넷 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부
아웃바운드 1000 AllowHttpsOutBound

443

8443

TCP 임의 테넌트 서브넷 허용
아웃바운드 1100 AllowBlastOutBound 22443 임의 임의 테넌트 서브넷 허용
아웃바운드 1200 AllowPcoipOutBound 4172 임의 임의 테넌트 서브넷 허용
아웃바운드 1300 AllowUsbOutBound 32111 TCP 임의 테넌트 서브넷 허용
아웃바운드 1400 AllowMmrOutBound 9427 TCP 임의 테넌트 서브넷 허용
아웃바운드 1500 AllowAllOutBound 임의 임의 임의 테넌트 서브넷 허용
아웃바운드 3000 DenyAllOutBound 임의 임의 임의 임의 거부

외부 게이트웨이가 자체 VNet에 배포될 때 게이트웨이 커넥터 VM의 배포자 생성 NSG

게이트웨이 커넥터 VM에는 단일 NIC가 있습니다. 이 NIC는 외부 게이트웨이의 VNet 관리 서브넷에 연결됩니다. 배포자는 단일 NSG를 생성하고 해당 NIC에 해당 NSG를 특별히 연결합니다.

표 9. 외부 게이트웨이 커넥터 VM의 관리 NIC에 대한 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 1000 AllowSshInBound 22 임의 관리 서브넷 임의 허용
인바운드 1100 AllowAzureInBound 임의 임의 168.63.129.16 임의 허용
인바운드 1200 AllowHttpsInBound 443 임의 관리 서브넷 임의 허용
인바운드 1300 AllowApacheGeodeInBound 10334, 41000-41002, 42000-42002 임의 관리 서브넷 임의 허용
인바운드 1400 AllowTelegrafInBound 9172 임의 관리 서브넷 임의 허용
인바운드 3000 DenyAllInBound 임의 임의 임의 임의 거부

임시 Jumpbox VM의 배포자 생성 NSG

포드 배포 또는 포드에 게이트웨이 구성 추가와 같은 배포 관련 워크플로가 수행되는 동안, 임시 Jumpbox의 임시 Jumpbox 리소스 그룹에도 NSG가 있습니다. 이 NSG는 워크플로 완료 시 Jumpbox의 리소스 그룹이 삭제될 때 삭제됩니다.

표 10. Jumpbox VM 관리 NIC의 배포자 생성 NSG 규칙
방향 우선 순위 이름 포트 프로토콜 소스 대상 조치
인바운드 100 AllowSSHInBound 22 임의 임의 임의 허용
아웃바운드 100 AllowSSHOutbound 22 TCP 관리 서브넷 관리 서브넷 허용
아웃바운드 101 AllowHttpsOutbound 443 TCP 관리 서브넷 임의 허용
아웃바운드 102 AllowHttpOutbound 80 TCP 관리 서브넷 임의 허용
아웃바운드 103 AllowUagOutbound 9443 TCP 관리 서브넷 관리 서브넷 허용
아웃바운드 104 AllowDnsOutbound 53 임의 관리 서브넷 임의 허용
아웃바운드 1000 DenyAllOutBound 임의 TCP 임의 임의 거부