이 페이지는 일반적인 1세대 Horizon Cloud Service on Microsoft Azure 배포 내에서 통신에 사용되는 가능한 모든 포트 및 프로토콜에 대한 참조입니다. 다음 테이블을 사용하여 네트워크 구성 및 방화벽이 성공적인 포드 배포 및 일상적인 작업에 필요한 통신 트래픽을 허용하도록 합니다.

이 페이지 정보

중요: 1세대 제어부의 1세대 테넌트 환경에 액세스할 수 있는 경우에만 이 페이지를 사용합니다. KB-92424에 설명된 대로 1세대 제어부는 EOA(사용 종료)에 도달했습니다. 자세한 내용은 해당 문서를 참조하십시오.
참고: VMware KB 문서 93762에 설명된 대로 Horizon 인프라 모니터링 기능은 더 이상 사용되지 않으며 1세대 테넌트는 더 이상 해당 기능을 활성화하거나 사용할 수 없습니다. 2023년 10월부로 더 이상 사용되지 않는 기능과 관련된 포트 및 프로토콜 정보가 이 페이지에서 제거되었습니다.

특정 배포에 필요한 특정 포트 및 프로토콜은 Horizon Cloud Service on Microsoft Azure 배포에 사용하도록 선택하는 기능에 따라 부분적으로 달라집니다. 특정 구성 요소 또는 프로토콜을 사용하지 않으려는 경우 필요한 통신 트래픽이 사용자의 목적에 맞지 않으므로 해당 구성 요소와 연결된 포트를 무시할 수 있습니다. 예를 들어 최종 사용자가 Blast Extreme 디스플레이 프로토콜만 사용하는 경우 반드시 PCoIP 포트를 허용할 필요는 없습니다.

중요: 여기에 설명된 포트 및 프로토콜 외에도 포드 배포 및 일상적인 작업에 대한 네트워크 트래픽에는 특정 호스트 이름 요구 사항이 있습니다.

네트워크 트래픽은 특정 호스트 이름에 도달해야 합니다. 배포가 프록시를 사용하도록 구성된 경우 일부 네트워크 서비스는 프록시를 사용해야 하며 다른 네트워크 서비스는 직접 이동되어야 합니다. 호스트 이름으로의 네트워크 트래픽에 대한 자세한 내용은 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름 항목을 참조하십시오.

VMware 제품에 지원되는 다른 포트에 대한 자세한 내용은 VMware 포트 및 프로토콜로 이동하십시오.

포드 배포 프로세스의 일부로, 배포자는 배포된 모든 VM의 네트워크 인터페이스(NIC)에 NSG(네트워크 보안 그룹)를 생성합니다. 해당 NSG에 정의된 규칙에 대한 자세한 내용은 Horizon Cloud 포드의 VM에 대한 기본 네트워크 보안 그룹 규칙을 참조하십시오.

진행 중인 작업의 키 포드 구성 요소에 필요한 포트 및 프로토콜

DNS 요구 사항 외에도 다음 표에는 배포 후 진행 중인 작업을 위해 포드가 제대로 작동하는 데 필요한 포트 및 프로토콜이 표시됩니다. 이러한 표 중 일부는 특정 시나리오에서 또는 포드에서 특정 기능을 사용하도록 설정한 경우에 필요한 포트 및 프로토콜을 표시합니다.

Microsoft Azure Portal에서 이 포드 관리자 VM은 vmw-hcs-podID와 같은 파트(여기서 podID는 포드의 UUID임) 및 node 파트를 포함하는 이름을 갖습니다.

참고: v2204 서비스 릴리스부터 새 Horizon Cloud Service on Microsoft Azure 배포는 기본적으로 고가용성이 구성된 상태로 배포됩니다. 배포에는 2개의 포드 관리자 VM이 있습니다. 아래 표에서 포드 관리자 VM이라는 문구가 표시될 때마다 별도로 지정하지 않는 한, 두 포드 관리자 VM에 모두 해당 용어가 적용됩니다.

시스템의 포드 관리자 VM에서 Microsoft Azure Load Balancer를 사용하는 방식은 2019년 9월 서비스 릴리스의 매니페스트 1600에서 시작되었습니다. 따라서 매니페스트 1600부터 새로 배포된 모든 포드에는 포드 Microsoft Azure Load Balancer가 있습니다. 매니페스트 1600 이전에 처음 배포된 이후 후속 매니페스트로 업데이트된 포드에는 포드 Microsoft Azure Load Balancer도 있습니다. 포드의 로드 밸런서를 언급하는 테이블 행은 이러한 모든 포드에 적용됩니다.

표 1. 포드 작업 포트 및 프로토콜
소스 대상 포트 프로토콜 용도
포드 관리자 VM 포드의 다른 포드 관리자 VM 4101 TCP 이 트래픽은 포드 관리자 VM 간의 JMS 라우팅입니다.
포드 관리자 VM Unified Access Gateway VM 9443 HTTPS 이 포트는 관리 서브넷을 통해 포드 관리자 VM이 포드 Unified Access Gateway 구성에서 설정을 구성하는 데 사용됩니다. 이 포트 요구 사항은 초기에 Unified Access Gateway 구성을 사용하여 포드를 배포하고, 포드를 편집하여 Unified Access Gateway 구성을 추가하거나 해당 Unified Access Gateway 구성에 대한 설정을 업데이트하는 경우에 적용됩니다.
포드의 Microsoft Azure Load Balancer 포드 관리자 VM 8080 HTTP 로드 밸런서의 백엔드 풀에 있는 VM의 상태 점검.

고가용성 토글이 설정되지 않고 고가용성이 아직 추가되지 않은 v2204 릴리스 이전에 배포된 포드의 경우 로드 밸런서에는 확인할 백엔드 풀에 하나의 포드 관리자 VM이 있습니다.

포드 관리자 VM 도메인 컨트롤러 389 TCP

UDP

Horizon Cloud 테넌트를 Active Directory에 등록해야 합니다. 콘솔의 [AD 도메인 등록] 워크플로는 첫 번째 포드를 온보딩한 후에 수행해야 합니다.

이 포트는 LDAP가 해당 워크플로에 지정될 때 LDAP 서비스에 필요합니다. LDAP는 대부분의 테넌트의 기본값입니다.

대상은 Active Directory 구성에 도메인 컨트롤러 역할을 포함하는 서버입니다.

포드 관리자 VM 글로벌 카탈로그 3268 TCP Horizon Cloud 테넌트를 Active Directory에 등록해야 합니다. 콘솔의 [AD 도메인 등록] 워크플로는 첫 번째 포드를 온보딩한 후에 수행해야 합니다.

이 포트는 LDAP가 해당 워크플로에 지정된 프로토콜일 때 LDAP 서비스에 필요합니다. LDAP는 대부분의 테넌트의 기본값입니다.

대상은 Active Directory 구성에 글로벌 카탈로그 역할을 포함하는 서버입니다.

포드 관리자 VM 도메인 컨트롤러 88 TCP

UDP

Kerberos 서비스. 대상은 Active Directory 구성에 도메인 컨트롤러 역할을 포함하는 서버입니다. 포드를 Active Directory에 등록해야 합니다.
포드 관리자 VM 도메인 컨트롤러 636, 3269 TCP Horizon Cloud 테넌트를 Active Directory에 등록해야 합니다. 콘솔의 [AD 도메인 등록] 워크플로는 첫 번째 포드를 온보딩한 후에 수행해야 합니다.

이러한 포트는 LDAPS가 등록된 해당 AD에 대한 구성에서 지정된 프로토콜인 경우에만 LDAPS(LDAP over SSL) 서비스에 필요합니다. 테넌트가 서비스의 LDAPS 기능을 사용하도록 설정된 경우에만 LDAPS를 등록된 AD에 지정할 수 있습니다. 그렇지 않으면 기본적으로 LDAP가 요구 사항입니다.

포드 관리자 VM DNS 서버 53 TCP

UDP

DNS 서비스.
포드 관리자 VM NTP 서버 123 UDP NTP 서비스. NTP 시간 동기화를 제공하는 서버입니다.
포드 관리자 VM True SSO 등록 서버 32111 TCP True SSO 등록 서버. Horizon 포드에서 True SSO를 사용하는 경우에 필요합니다.

32111은 등록 서버 설치에 사용되는 기본 포트입니다. 이 포트 번호는 요구 사항에 따라 등록 서버 설치 프로세스 중에 구성할 수 있습니다.

이 항목의 True SSO와 인증서 관리 및 Horizon Cloud on Microsoft Azure 배포 섹션도 참조하십시오.

포드 관리자 VM Workspace ONE Access 서비스 443 HTTPS
참고: 이 행은 단일 포드 브로커 구성이 있는 환경에 적용됩니다. 이 정보는 Universal Broker 구성이 있는 환경에 대한 것이 아닙니다. 단일 포드 브로커 구성된 환경에서 Workspace ONE Access Connector는 최종 사용자 사용 권한(할당)을 가져오기 위해 포드와 통신합니다.
Workspace ONE Access를 포드와 통합하지 않는 경우 선택 사항입니다. 단일 포드 브로커 구성 환경에서 이 연결은 포드와 Workspace ONE Access 서비스 간에 트러스트 관계를 생성하는 데 사용되며, 이 경우 Workspace ONE Access Connector가 포드와 동기화됩니다. 포드가 포트 443에서 사용 중인 Workspace ONE Access 환경에 연결할 수 있는지 확인합니다. Workspace ONE Access 클라우드 서비스를 사용 중인 경우 VMware 기술 자료 문서 2149884에서 Workspace ONE Access Connector 및 포드가 액세스할 수 있어야 하는 Workspace ONE Access 서비스 IP 주소의 목록도 참조하십시오.

게이트웨이 커넥터 VM 포트 및 프로토콜 요구 사항

이 표는 외부 게이트웨이를 별도의 VNet에 배포했을 때 사용되는 게이트웨이의 커넥터 VM에 적용됩니다. DNS 요구 사항 외에도 다음 표의 포트 및 프로토콜은 배포 후 진행 중인 작업을 위해 외부 게이트웨이가 제대로 작동하는 데 필요합니다.

아래 표에서 커넥터 VM이라는 용어는 클라우드 관리부와 외부 게이트웨이 간의 연결을 관리하는 게이트웨이 커넥터 VM을 나타냅니다. Microsoft Azure Portal에서 이 VM은 vmw-hcs-ID와 같은 파트(여기서 ID는 게이트웨이의 배포자 ID임) 및 node 파트를 포함하는 이름을 갖습니다.

표 2. 포드 작업 포트 및 프로토콜
소스 대상 포트 프로토콜 용도
커넥터 VM DNS 서버 53 TCP

UDP

DNS 서비스.
커넥터 VM NTP 서버 123 UDP NTP 서비스. NTP 시간 동기화를 제공하는 서버입니다.

Unified Access Gateway VM 포트 및 프로토콜 요구 사항

DNS와 위의 기본 포트 및 프로토콜 요구 사항 외에, 배포 후 진행되는 작업을 위해 포드에서 올바르게 작동하도록 구성한 게이트웨이와 관련된 포트 및 프로토콜이 다음 표에 설명되어 있습니다.

Unified Access Gateway 인스턴스로 구성된 고가용성 지원 포드를 사용 중인 연결의 경우 아래 표에 나열된 대로 포드의 Unified Access Gateway 인스턴스에서 대상으로의 트래픽이 허용되어야 합니다. 포드 배포 중 포드의 Unified Access Gateway 인스턴스에서 사용하도록 Microsoft Azure 환경에 NSG(네트워크 보안 그룹)가 생성됩니다.

표 3. 포드의 Unified Access Gateway 인스턴스의 트래픽에 대한 포트 요구 사항
소스 대상 포트 프로토콜 용도
Unified Access Gateway 포드의 Microsoft Azure Load Balancer 8443 TCP 로그인 인증 트래픽. Unified Access Gateway 인스턴스의 트래픽은 포드의 로드 밸런서를 통해 포드 관리자 VM에 도달합니다.
Unified Access Gateway NTP 서버 123 UDP NTP 서비스. NTP 시간 동기화를 제공하는 서버입니다.

테넌트가 Universal Broker를 사용하도록 구성된 경우 다음 사항이 충족되는지 확인합니다.

  • 외부 Unified Access Gateway 구성은 DMZ 서브넷의 NTP 서버에 연결되어야 합니다.
  • 내부 Unified Access Gateway 구성은 테넌트 서브넷의 NTP 서버에 연결되어야 합니다.

그 이유는 서비스가 Unified Access Gateway 장치와 UTC(협정 세계시)에서 실행되는 Universal Broker NTP 서버 간에 시간 드리프트가 있음을 감지하면 시간 드리프트를 처리하도록 요청하는 이메일이 전송되기 때문입니다. Universal Broker와 Unified Access Gateway 장치 간에 시간 드리프트가 발생하면 최종 사용자 연결이 실패할 수 있습니다. 내부 Unified Access Gateway 구성이 테넌트 서브넷의 NTP 서버에 연결되지 않은 경우 NTP 서버가 없으면 해당 Unified Access Gateway 장치가 기본 VM의 시간에 의존하기 때문에 이러한 시간 드리프트가 발생할 가능성이 더 높아집니다.

사용하려는 NTP 서버가 내부 NTP 서버이고 DMZ 인터페이스와 통신할 수 없는 경우 VMware Horizon Cloud Service 팀이 배포 후에 Unified Access Gateway 구성에 대한 경로를 추가하는 데 도움이 되도록 SR을 열어 Unified Access Gateway에서 NTP 서버와 통신할 수 있도록 하십시오. VMware Horizon Cloud Service 팀에 경로를 추가하기 위한 API 호출이 있습니다.

팁: 테넌트가 단일 포드 브로커링을 사용하도록 구성된 경우 위의 사항이 모범 사례로 간주됩니다. 단일 포드 브로커 시나리오에서는 Unified Access Gateway 장치와의 시간 드리프트가 최종 사용자 연결에 영향을 미치지 않기 때문입니다.
Unified Access Gateway 데스크톱 또는 팜 RDSH VM의 Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway 데스크톱 또는 팜 RDSH VM의 Horizon Agent 22443 TCP

UDP

Blast Extreme

기본적으로 Blast Extreme을 사용하는 경우 CDR(클라이언트 드라이브 리디렉션) 트래픽 및 USB 트래픽은 이 포트에서 부채널로 전달됩니다. 대신, 원하는 경우 CDR 트래픽을 TCP 9427 포트로 분리하고 USB 리디렉션 트래픽을 TCP 32111 포트로 분리할 수 있습니다.

Unified Access Gateway 데스크톱 또는 팜 RDSH VM의 Horizon Agent 9427 TCP CDR(클라이언트 드라이버 리디렉션) 및 MMR(멀티미디어 리디렉션) 트래픽의 경우 선택 사항입니다.
Unified Access Gateway 데스크톱 또는 팜 RDSH VM의 Horizon Agent 32111 TCP USB 리디렉션 트래픽의 경우 선택 사항입니다.
Unified Access Gateway 해당 RADIUS 인스턴스 1812 UDP 해당 Unified Access Gateway 구성에서 RADIUS 2단계 인증을 사용하는 경우. RADIUS에 대한 기본값이 여기에 표시됩니다.
Unified Access Gateway RSA SecurID Authentication Manager 서버 5555 TCP 해당 Unified Access Gateway 구성에서 RSA SecurID 2단계 인증을 사용하는 경우. 여기에는 에이전트 인증을 위한 RSA SecurID 인증 API 에이전트의 통신 포트에 사용되는 기본값이 나와 있습니다.

Universal Broker에 필요한 포트 및 프로토콜

포드에서의 최종 사용자 할당 브로커링을 위해 Universal Broker 사용을 지원하려면 다음 표에 설명된 대로 포트 443을 구성해야 합니다. 활성 포드 관리자는 포트 443을 통해 Universal Broker 서비스와의 영구 WebSocket 연결을 설정하고, 임의로 선택된 포트를 통해 Universal Broker 서비스의 연결 요청을 수신합니다.

표 4. Universal Broker의 포트 요구 사항
소스 소스 포트 대상 대상 포트 프로토콜 용도
활성 포드 관리자 사용 가능한 포트에서 임의로 선택함 Universal Broker 서비스 443 초기: HTTPS, 이후: WebSocket Universal Broker 서비스와의 영구 WebSocket 연결을 설정합니다.

최종 사용자 연결 트래픽 포트 및 프로토콜 요구 사항

디바이스에서 포드 프로비저닝 가상 데스크톱 및 원격 애플리케이션에 연결하려면 최종 사용자는 호환되는 설치된 VMware Horizon Client 또는 브라우저(Horizon HTML Access 클라이언트)를 사용합니다. 최종 사용자 클라이언트의 트래픽이 포드가 프로비저닝된 가상 데스크톱 및 원격 애플리케이션에 도달하기 위해 열려 있어야 하는 포트는 최종 사용자의 연결 방법에 대한 선택 옵션에 따라 달라집니다.

포드의 자체 VNet에서 외부 게이트웨이 구성을 유지하기 위한 배포자 옵션을 선택하는 경우
배포자는 Microsoft Azure 환경에서 Microsoft Azure Load Balancer 리소스와 함께 Unified Access Gateway 인스턴스를 해당 로드 밸런서의 백엔드 풀에 있는 해당 인스턴스에 배포합니다. 이 로드 밸런서는 DMZ 서브넷의 해당 인스턴스 NIC와 통신하며 Microsoft Azure의 공용 로드 밸런서로 구성됩니다. 고가용성이 사용되도록 설정되고 외부 및 내부 Unified Access Gateway 구성 모두로 구성된 포드에 대한 Horizon Cloud 포드 아키텍처의 그림 다이어그램은 이 공용 로드 밸런서 및 Unified Access Gateway 인스턴스의 위치를 나타냅니다. 포드에 이 구성이 있으면 인터넷의 최종 사용자 트래픽은 Unified Access Gateway 인스턴스에 요청을 분산하는 해당 공용 로드 밸런서로 이동합니다. 이 구성의 경우 해당 최종 사용자 연결이 아래 나열된 포트 및 프로토콜을 사용하여 해당 로드 밸런서에 도달할 수 있는지 확인해야 합니다. 포드 배포에서 외부 게이트웨이의 로드 밸런서는 vmw-hcs-podID-uag라는 리소스 그룹에 있습니다. 여기서 podID는 포드의 UUID입니다.
내부 Unified Access Gateway 구성을 유지하기 위해 배포자 옵션을 선택하는 경우
내부 게이트웨이 구성은 기본적으로 포드의 자체 VNet에 배포됩니다. 배포자는 Microsoft Azure 환경에서 Microsoft Azure Load Balancer 리소스와 함께 Unified Access Gateway 인스턴스를 해당 백엔드 풀에 있는 해당 인스턴스에 배포합니다. 이 로드 밸런서는 테넌트 서브넷의 해당 인스턴스 NIC와 통신하며 Microsoft Azure의 내부 로드 밸런서로 구성됩니다. 고가용성이 사용되도록 설정되고 외부 및 내부 Unified Access Gateway 구성 모두로 구성된 포드에 대한 Horizon Cloud 포드 아키텍처의 그림 다이어그램은 이 내부 로드 밸런서 및 Unified Access Gateway 인스턴스의 위치를 나타냅니다. 포드에 이 구성이 있으면 회사 네트워크에 있는 최종 사용자 트래픽은 Unified Access Gateway 인스턴스에 요청을 분산하는 해당 공용 로드 밸런서로 이동합니다. 이 구성의 경우 해당 최종 사용자 연결이 아래 나열된 포트 및 프로토콜을 사용하여 해당 로드 밸런서에 도달할 수 있는지 확인해야 합니다. 포드 배포에서 내부 게이트웨이의 로드 밸런서는 vmw-hcs-podID-uag-internal라는 리소스 그룹에 있습니다. 여기서 podID는 포드의 UUID입니다.
포드가 아닌 자체 VNet에 외부 게이트웨이 구성을 유지하는 배포자 옵션을 선택하거나 고유한 구독을 사용하는 옵션을 선택하는 경우(VNet이 여러 구독에 걸쳐 있지 않으므로 고유한 VNet을 사용하는 특별한 하위 사례에 해당)
배포자는 Microsoft Azure 환경에서 Microsoft Azure Load Balancer 리소스와 함께 Unified Access Gateway 인스턴스를 해당 로드 밸런서의 백엔드 풀에 있는 해당 인스턴스에 배포합니다. 이 로드 밸런서는 DMZ 서브넷의 해당 인스턴스 NIC와 통신하며 Microsoft Azure의 공용 로드 밸런서로 구성됩니다. 다이어그램외부 게이트웨이를 포드의 VNet과는 별개인 자체 VNet에 배포할 때 외부 게이트웨이의 아키텍처 요소 그림은 게이트웨이 고유의 VNet에서 이 공용 로드 밸런서 및 Unified Access Gateway 인스턴스의 위치를 나타냅니다. 포드에 이 구성이 있으면 인터넷의 최종 사용자 트래픽은 Unified Access Gateway 인스턴스에 요청을 분산하는 해당 공용 로드 밸런서로 이동합니다. 이 구성의 경우 해당 최종 사용자 연결이 아래 나열된 포트 및 프로토콜을 사용하여 해당 로드 밸런서에 도달할 수 있는지 확인해야 합니다. 배포 후에 외부 게이트웨이의 로드 밸런서는 vmw-hcs-ID-uag라는 리소스 그룹에 있습니다. 여기서 ID는 포드 세부 정보 페이지의 배포자 ID 필드에 값이 표시됩니다. " 관리 가이드" 에 설명된 대로 콘솔의 [용량] 페이지에서 포드의 세부 정보 페이지를 볼 수 있습니다.
포드에 Unified Access Gateway 구성이 없는 경우
참고: 테넌트가 단일 포드 브로커링을 사용하도록 구성된 운영 환경의 경우 내부 최종 사용자 연결에 대한 모범 사례는 포드에서 내부 Unified Access Gateway 게이트웨이 구성을 사용하는 것입니다. 이러한 연결은 단일 포드 브로커링 시나리오에서 해당 게이트웨이 구성으로 이동합니다.
단일 포드 브로커링이 있고 Workspace ONE Access가 포드와 통합된 구성에서는 일반적으로 최종 사용자가 Workspace ONE Access를 통해 연결하게 됩니다. 이 시나리오에서는 Workspace ONE Access 및 포드를 직접 가리키는 Workspace ONE Access Connector를 구성해야 합니다. 최종 사용자가 Workspace ONE Access를 사용하여 포드 프로비저닝된 리소스에 연결하고 있습니다. 이 구성의 경우 Workspace ONE AccessConnector가 포드 관리자 VM에 대한 연결을 신뢰할 수 있도록 해당 장치를 Microsoft Azure의 Horizon Cloud 포드와 통합하는 경우처럼 포드 관리자 VM에서 SSL 인증서 직접 구성에 설명된 대로 콘솔의 포드 요약 페이지를 사용하여 SSL 인증서를 포드 관리자 VM에 업로드합니다.그런 다음, Workspace ONE Access를 포드와 통합하는 단계를 완료합니다.
표 5. 포드 구성에 외부 Unified Access Gateway 인스턴스가 있는 경우 외부 최종 사용자 연결 포트 및 프로토콜
소스 대상 포트 프로토콜 용도
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 443 TCP 로그인 인증 트래픽. CDR(클라이언트 드라이브 리디렉션), MMR(멀티미디어 리디렉션), USB 리디렉션 및 터널링된 RDP 트래픽을 전달할 수 있습니다.

기본적으로 SSL(HTTPS 액세스)이 클라이언트 연결에 사용하도록 설정됩니다. 일부 경우에 포트 80(HTTP 액세스)을 사용할 수 있습니다.

Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 4172 TCP

UDP

Unified Access Gateway의 PCoIP 보안 게이트웨이를 통한 PCoIP
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 배포에 설정된 항목에 따라 8443 또는 443 TCP Horizon Client에서 보내는 데이터 트래픽을 위한 Unified Access Gateway의 Blast 보안 게이트웨이를 통한 Blast Extreme. Horizon Cloud 포드의 경우 이 포트는 배포 마법사의 Blast Extreme TCP 포트 메뉴를 사용하여 선택됩니다. 네트워킹이 클라이언트가 외부 게이트웨이에 지정한 아웃바운드 액세스를 허용하는지 확인합니다. 이 URL은 클라이언트가 해당 인스턴스 앞에 있는 로드 밸런서를 통해 Unified Access Gateway 인스턴스에 Horizon Blast 세션을 설정할 때 사용됩니다.

2021년 10월 서비스 릴리스부터 게이트웨이 구성의 새 배포를 위해 배포자는 배포자가 해당 Unified Access Gateway 구성에서 구성하려는 Blast Extreme TCP 포트에 8443 또는 443을 선택하는 기능을 제공합니다. 이전에는 배포자가 선택 옵션을 제공하지 않고 기본적으로 443을 구성했습니다. 게이트웨이 구성이 2021년 10월 서비스 릴리스 날짜 이전에 배포된 경우 해당 구성에서 일반적으로 Unified Access Gateway 관리 설정의 Blast External URL 필드에 443 포트가 설정되어 있습니다.

참고: 포트 8443은 더 효율적이고 좋은 성능을 제공하며 Unified Access Gateway 인스턴스에서 더 적은 리소스를 사용하기 때문에 선호됩니다. 포트 443은 효율성 및 성능이 낮습니다. 포트 443을 사용하면 인스턴스에서 CPU 정체가 발생합니다. 포트 443은 조직이 클라이언트 측 제한을 설정한 경우에만 배포에 사용됩니다. 예를 들어 조직에서는 8443이 아닌 443 아웃바운드만 허용합니다.
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 443 UDP 데이터 트래픽을 위한 Unified Access Gateway를 통한 Blast Extreme
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 8443 UDP 데이터 트래픽을 위한 Unified Access Gateway의 Blast 보안 게이트웨이를 통한 Blast Extreme(적응형 전송)
브라우저 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 443 TCP 로그인 인증 트래픽. CDR(클라이언트 드라이브 리디렉션), MMR(멀티미디어 리디렉션), USB 리디렉션 및 터널링된 RDP 트래픽을 전달할 수 있습니다.

기본적으로 SSL(HTTPS 액세스)이 클라이언트 연결에 사용하도록 설정됩니다. 일부 경우에 포트 80(HTTP 액세스)을 사용할 수 있습니다.

브라우저 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 배포에 설정된 항목에 따라 8443 또는 443 TCP Horizon HTML Access 클라이언트(웹 클라이언트)의 데이터 트래픽을 위한 Unified Access Gateway의 Blast 보안 게이트웨이를 통한 Blast Extreme. Horizon Cloud 포드의 경우 이 포트는 배포 마법사의 Blast Extreme TCP 포트 메뉴를 사용하여 선택됩니다. 네트워킹이 클라이언트가 외부 게이트웨이에 지정한 아웃바운드 액세스를 허용하는지 확인합니다. 이 URL은 브라우저의 Horizon HTML Access 클라이언트가 해당 인스턴스 앞에 있는 로드 밸런서를 통해 Unified Access Gateway 인스턴스에 Horizon Blast 세션을 설정할 때 사용됩니다.

2021년 10월 서비스 릴리스부터 게이트웨이 구성의 새 배포를 위해 배포자는 배포자가 해당 Unified Access Gateway 구성에서 구성하려는 Blast Extreme TCP 포트에 8443 또는 443을 선택하는 기능을 제공합니다. 이전에는 배포자가 선택 옵션을 제공하지 않고 기본적으로 443을 구성했습니다. 게이트웨이 구성이 2021년 10월 서비스 릴리스 날짜 이전에 배포된 경우 해당 구성에서 일반적으로 Unified Access Gateway 관리 설정의 Blast External URL 필드에 443 포트가 설정되어 있습니다.

참고: 포트 8443은 더 효율적이고 좋은 성능을 제공하며 Unified Access Gateway 인스턴스에서 더 적은 리소스를 사용하기 때문에 선호됩니다. 포트 443은 효율성 및 성능이 낮습니다. 포트 443을 사용하면 인스턴스에서 CPU 정체가 발생합니다. 포트 443은 조직이 클라이언트 측 제한을 설정한 경우에만 배포에 사용됩니다. 예를 들어 조직에서는 8443이 아닌 443 아웃바운드만 허용합니다.
표 6. 포드 구성에 내부 Unified Access Gateway 인스턴스가 있는 경우 내부 최종 사용자 연결 포트 및 프로토콜
소스 대상 포트 프로토콜 용도
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 443 TCP 로그인 인증 트래픽. CDR(클라이언트 드라이브 리디렉션), MMR(멀티미디어 리디렉션), USB 리디렉션 및 터널링된 RDP 트래픽을 전달할 수 있습니다.

기본적으로 SSL(HTTPS 액세스)이 클라이언트 연결에 사용하도록 설정됩니다. 일부 경우에 포트 80(HTTP 액세스)을 사용할 수 있습니다. 단일 포드 브로커 - Horizon Cloud 포드 및 URL 컨텐츠 리디렉션 기능 항목을 참조하십시오.

Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 4172 TCP

UDP

Unified Access Gateway의 PCoIP 보안 게이트웨이를 통한 PCoIP
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 배포에 설정된 항목에 따라 8443 또는 443 TCP Horizon Client에서 보내는 데이터 트래픽을 위한 Unified Access Gateway의 Blast 보안 게이트웨이를 통한 Blast Extreme. Horizon Cloud 포드의 경우 이 포트는 배포 마법사의 Blast Extreme TCP 포트 메뉴를 사용하여 선택됩니다. 네트워킹이 클라이언트가 외부 게이트웨이에 지정한 아웃바운드 액세스를 허용하는지 확인합니다. 이 URL은 클라이언트가 해당 인스턴스 앞에 있는 로드 밸런서를 통해 Unified Access Gateway 인스턴스에 Horizon Blast 세션을 설정할 때 사용됩니다.

2021년 10월 서비스 릴리스부터 게이트웨이 구성의 새 배포를 위해 배포자는 배포자가 해당 Unified Access Gateway 구성에서 구성하려는 Blast Extreme TCP 포트에 8443 또는 443을 선택하는 기능을 제공합니다. 이전에는 배포자가 선택 옵션을 제공하지 않고 기본적으로 443을 구성했습니다. 게이트웨이 구성이 2021년 10월 서비스 릴리스 날짜 이전에 배포된 경우 해당 구성에서 일반적으로 Unified Access Gateway 관리 설정의 Blast External URL 필드에 443 포트가 설정되어 있습니다.

참고: 포트 8443은 더 효율적이고 좋은 성능을 제공하며 Unified Access Gateway 인스턴스에서 더 적은 리소스를 사용하기 때문에 선호됩니다. 포트 443은 효율성 및 성능이 낮습니다. 포트 443을 사용하면 인스턴스에서 CPU 정체가 발생합니다. 포트 443은 조직이 클라이언트 측 제한을 설정한 경우에만 배포에 사용됩니다. 예를 들어 조직에서는 8443이 아닌 443 아웃바운드만 허용합니다.
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 443 UDP 데이터 트래픽을 위한 Unified Access Gateway를 통한 Blast Extreme
Horizon Client 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 8443 UDP 데이터 트래픽을 위한 Unified Access Gateway의 Blast 보안 게이트웨이를 통한 Blast Extreme(적응형 전송)
브라우저 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 443 TCP 로그인 인증 트래픽. CDR(클라이언트 드라이브 리디렉션), MMR(멀티미디어 리디렉션), USB 리디렉션 및 터널링된 RDP 트래픽을 전달할 수 있습니다.

기본적으로 SSL(HTTPS 액세스)이 클라이언트 연결에 사용하도록 설정됩니다. 일부 경우에 포트 80(HTTP 액세스)을 사용할 수 있습니다.

브라우저 이러한 Unified Access Gateway 인스턴스에 대한 Microsoft Azure Load Balancer 배포에 설정된 항목에 따라 8443 또는 443 TCP Horizon HTML Access 클라이언트(웹 클라이언트)의 데이터 트래픽을 위한 Unified Access Gateway의 Blast 보안 게이트웨이를 통한 Blast Extreme. Horizon Cloud 포드의 경우 이 포트는 배포 마법사의 Blast Extreme TCP 포트 메뉴를 사용하여 선택됩니다. 네트워킹이 클라이언트가 외부 게이트웨이에 지정한 아웃바운드 액세스를 허용하는지 확인합니다. 이 URL은 브라우저의 Horizon HTML Access 클라이언트가 해당 인스턴스 앞에 있는 로드 밸런서를 통해 Unified Access Gateway 인스턴스에 Horizon Blast 세션을 설정할 때 사용됩니다.

2021년 10월 서비스 릴리스부터 게이트웨이 구성의 새 배포를 위해 배포자는 배포자가 해당 Unified Access Gateway 구성에서 구성하려는 Blast Extreme TCP 포트에 8443 또는 443을 선택하는 기능을 제공합니다. 이전에는 배포자가 선택 옵션을 제공하지 않고 기본적으로 443을 구성했습니다. 게이트웨이 구성이 2021년 10월 서비스 릴리스 날짜 이전에 배포된 경우 해당 구성에서 일반적으로 Unified Access Gateway 관리 설정의 Blast External URL 필드에 443 포트가 설정되어 있습니다.

참고: 포트 8443은 더 효율적이고 좋은 성능을 제공하며 Unified Access Gateway 인스턴스에서 더 적은 리소스를 사용하기 때문에 선호됩니다. 포트 443은 효율성 및 성능이 낮습니다. 포트 443을 사용하면 인스턴스에서 CPU 정체가 발생합니다. 포트 443은 조직이 클라이언트 측 제한을 설정한 경우에만 배포에 사용됩니다. 예를 들어 조직에서는 8443이 아닌 443 아웃바운드만 허용합니다.
표 7. 예를 들어 직접 연결(예: VPN을 통해)을 사용하는 경우 내부 최종 사용자 연결 포트 및 프로토콜
소스 대상 포트 프로토콜 용도
Horizon Client 포드의 Microsoft Azure Load Balancer 443 TCP 로그인 인증 트래픽. 클라이언트의 트래픽은 포드의 로드 밸런서를 통해 포드 관리자 VM에 도달합니다.
Horizon Client 데스크톱 또는 팜 RDSH VM의 Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client 데스크톱 또는 팜 RDSH VM의 Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client 데스크톱 또는 팜 RDSH VM의 Horizon Agent 32111 TCP USB 리디렉션
Horizon Client 데스크톱 또는 팜 RDSH VM의 Horizon Agent 9427 TCP CDR(클라이언트 드라이브 리디렉션) 및 MMR(멀티미디어 리디렉션)
브라우저 데스크톱 또는 팜 RDSH VM의 Horizon Agent 443 TCP HTML Access

기본 VM, VDI 데스크톱 VM 및 팜 RDSH VM에 설치된 에이전트에서 전송되는 트래픽에 대한 포트 및 프로토콜 요구 사항

다음 포트는 기본 VM, 데스크톱 VM 및 팜 RDSH VM에 설치된 에이전트 관련 소프트웨어에서 포드 관리자 VM으로의 트래픽을 허용해야 합니다.

소스 대상 포트 프로토콜 용도
기본 가져온 VM, 골든 이미지, 데스크톱 VM, 팜 RDSH VM의 Horizon Agent 포드 관리자 VM 4001 TCP SSL 연결을 보호하기 위해 인증서 지문 확인 및 교환의 일부로 VM의 에이전트에서 포드와 통신하는 데 사용하는 JMS(Java Message Service)(비 SSL)입니다. VM과 포드 관리자 간에 키를 협상하고 교환한 후 에이전트는 포트 4002를 사용하여 보안 SSL 연결을 생성합니다. 예를 들어, [가져온 VM] 페이지에서 에이전트 연결 재설정 작업을 수행하려면 기본 가져온 VM과 포드 사이의 해당 에이전트 연결 워크플로를 위해 포트 4001을 통한 통신이 필요합니다.
참고: 안정적인 상태 작업을 수행하려면 포트 4001 및 4002가 모두 필요합니다. 에이전트가 포드에 대한 키를 다시 생성해야 하는 경우가 있습니다. 따라서 포트 4001을 열어 두어야 합니다.
기본 가져온 VM, 골든 이미지, 데스크톱 VM, 팜 RDSH VM의 Horizon Agent 포드 관리자 VM 4002 TCP 보안 SSL 연결을 사용하여 포드와 통신하기 위해 이러한 VM의 에이전트에서 사용하는 JMS(Java Message Service)(SSL)입니다.
데스크톱 VM, 팜 RDSH VM의 Horizon Agent VMware Cloud Services 호스트 이름 scapi.vmware.com 443 TCP VMware 서비스 사용량 데이터 프로그램에 사용됩니다. 테넌트 서브넷에서 아웃바운드로, Horizon Agent에서 VMware Cloud Services 호스트 이름 scapi.vmware.com으로 전송되는 트래픽입니다.
데스크톱 또는 팜 RDSH VM에서 FlexEngine 에이전트(VMware Dynamic Environment Manager용 에이전트) 사용자가 데스크톱 또는 팜 RDSH VM에서 실행되는 FlexEngine 에이전트로 사용하도록 설정한 해당 파일 공유 445 TCP VMware Dynamic Environment Manager 기능을 사용하는 경우, FlexEngine 에이전트는 SMB 파일 공유에 액세스합니다.

App Volumes 기능에 필요한 포트 및 프로토콜

Horizon Cloud on Microsoft Azure용 App Volumes 애플리케이션 - 개요 및 사전 요구 사항에 명시된 것처럼 Horizon Cloud 포드에서 사용하도록 지원되는 App Volumes 기능을 사용하도록 지원하려면 포드의 테넌트 서브넷에서 TCP 프로토콜 트래픽에 대해 포트 445를 구성해야 합니다. 포트 445는 Microsoft Windows의 SMB 파일 공유에 액세스하기 위한 표준 SMB 포트입니다. AppStack은 포드 관리자 VM과 동일한 리소스 그룹에 있는 SMB 파일 공유에 저장됩니다.

또한 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름에 설명된 대로 Azure Cloud가 SMB 파일 공유를 프로비저닝할 때 Azure Cloud는 FQDN(정규화된 도메인 이름)을 *.file.core.windows.net 패턴으로 할당합니다. 여기서 *는 SMB 파일 공유의 스토리지 계정에 대한 Azure 생성 이름입니다. App Volumes가 해당 파일 공유에 액세스 및 마운트하고 AppStack을 검색할 수 있도록 DNS 서버에서 이 FQDN을 확인할 수 있어야 합니다. DNS 서버가 포드 관리자 인스턴스 내에서 실행되는 App Volumes Manager 프로세스와 VDI 데스크톱에서 실행되는 App Volumes Agent에 대해 항상 해당 FQDN을 확인하는지 검토해야 합니다.

중요: Horizon Cloud 포드와 NSX Cloud 버전 3.1.1 이상을 통합하고 App Volumes 할당을 사용하려는 경우 NSX PCG를 배포한 후, 해당 포드를 사용하여 첫 번째 App Volumes 할당을 생성하기 전에 NSX 방화벽 규칙에서 포트 테넌트 서브넷에 대해 이 포트 445/TCP를 수동으로 열어야 합니다.
표 8. App Volumes의 포트 요구 사항
소스 대상 포트 프로토콜 용도
기본 가져온 VM, 골든 이미지, 데스크톱 VM, 팜 RDSH VM의 App Volumes 에이전트 포드 관리자의 리소스 그룹에 있는 SMB 파일 공유 445 TCP 포드의 테넌트 서브넷에서 SMB 파일 공유에 저장된 App Volumes AppStack에 액세스하는 데 필요합니다.

Workspace ONE Assist for Horizon과 통합 - DNS, 포트 및 프로토콜 요구 사항

Workspace ONE Assist for HorizonWorkspace ONE UEM 제품 라인 내의 제품입니다. 2021년 8월, Horizon Cloud 릴리스부터 특정 요구 사항이 충족되면 해당 제품의 사용을 Horizon Cloud 테넌트의 포드에서 프로비저닝된 VDI 데스크톱과 통합할 수 있습니다. 요구 사항에 대한 자세한 내용은 VMware Workspace ONE Assist 설명서 영역 내에 있는 "VMware Workspace ONE Assist for Horizon 가이드" 를 참조하십시오.

지원 기능을 사용하려면 VDI 데스크톱 VM과 Horizon Cloud 테넌트와의 통합을 지원하는 Workspace ONE Assist 서버 간의 아웃바운드 통신이 필요합니다.

DNS 요구 사항
VDI 데스크톱 VM이 상주할 포드의 테넌트 서브넷에서 Workspace ONE Assist 서버의 DNS 이름을 확인하고 연결할 수 있는지 확인합니다. 이전에 언급한 " VMware Workspace ONE Assist for Horizon 가이드" 에서는 Workspace ONE Assist 서버의 DNS 이름을 제공합니다.
포트 및 프로토콜 요구 사항
포트 443, TCP 및 HTTPS를 사용하는 아웃바운드 트래픽은 Workspace ONE Assist for Horizon 애플리케이션이 설치된 VDI 데스크톱 VM에서 허용되어야 합니다.

활성 지원 요청에 필요한 경우 임시 Jumpbox 포트 및 프로토콜

VMware 지원을 요청하고 지원 팀이 해당 요청을 서비스하는 방법이 VMware 관리 장치와의 SSH 통신을 위해 임시 Jumpbox VM을 배포하는 것으로 결정한 경우 해당 Jumpbox에는 여기에 설명된 포트 및 프로토콜이 필요합니다.

지원 관련 Jumpbox 배포에 대한 사용 권한이 필요합니다. VMware 지원 팀은 지원 상황에 맞게 모든 통신 요구 사항을 사용자에게 알립니다.

이 지원 관련 Jumpbox VM은 다음 대상에 대한 소스로 통신하도록 설계되었습니다.

  • SSH 및 포트 22를 사용하는 포드 관리자 VM의 포트 22.
  • HTTPS를 사용하는 Unified Access Gateway VM의 포트 9443.
  • 외부 게이트웨이가 자체 VNet에 배포된 배포에서 SSH를 사용하는 게이트웨이 커넥터 VM의 포트 22.

지원 요청의 특성과 배포에 사용되는 장치에 따라 통신 대상으로 허용되어야 하는 VMware 관리형 장치 또는 장치가 결정됩니다.

표 9. 지원 관련 Jumpbox 포트 및 프로토콜
소스 대상 포트 프로토콜 용도
Jumpbox VM
  • 포드 관리자 VM
  • 게이트웨이 커넥터 VM
22 SSH VMware 지원에서 지원 요청을 이행하기 위해 나열된 장치 중 하나 이상에 대해 이 통신을 필요로 하는 경우 Jumpbox VM은 관리 서브넷을 통해 대상 장치의 포트 22로 통신합니다.
Jumpbox VM Unified Access Gateway VM 9443 HTTPS VMware 지원에서 지원 요청을 이행하기 위해 이 통신을 필요로 하는 경우 Jumpbox VM은 관리 서브넷을 통해 통신하여 Unified Access Gateway 구성에서 설정을 구성합니다.

이러한 VM은 동적으로 IP 주소가 할당되기 때문에 다음 네트워크 규칙이 설명된 통신에 제공할 수 있습니다. 지원 요청 작업 중에는 항상 지원 관련 Jumpbox 배포에 대한 요구 사항에 따라 VMware 지원의 지침과 감독을 요청합니다.

  • 소스 및 대상 둘 다로 관리 서브넷 CIDR 사용(대상 포트 22, 소스 포트 임의 및 프로토콜 TCP).
  • Unified Access Gateway 구성이 사용되는 경우 소스 및 대상 둘 다로 관리 서브넷 CIDR 사용(대상 포트 9443, 소스 포트 임의 및 프로토콜 TCP).

True SSO와 인증서 관리 및 Horizon Cloud on Microsoft Azure 배포

Horizon Cloud 포드 프로비저닝된 데스크톱 VM은 등록 서버와 직접 통신하지 않습니다. Horizon Cloud on Microsoft Azure 배포의 활성 포드 관리자 VM은 인증서 요청을 등록 서버로 릴레이합니다. 인증서를 가져온 후 데스크톱 VM의 Horizon Agent는 해당 인증서를 사용하여 데스크톱 사용자 대신 인증서 로그온 작업을 수행합니다.

요청 응답 아키텍처는 Horizon Cloud on Microsoft Azure 배포의 Horizon Connection Server와 마찬가지로 Horizon 배포의 포드 관리자 VM에 대해 동일합니다. Horizon Cloud on Microsoft Azure 배포에서 포드 관리자 VM은 기본 VM 서브넷(테넌트 서브넷)의 데스크톱 VM, 그리고 VDI 관리자가 포드 편집 워크플로를 사용하여 추가했을 수 있는 추가 VM 서브넷에 연결되어 있습니다.

두 가지 인증서 클래스는 다양한 구성 요소인 사용자 인증서 및 채널 인증서에 의해 검증이 실시됩니다. True SSO는 인증 서버에서 검증한 사용자 인증서를 추가합니다. Horizon Cloud on Microsoft Azure 배포의 경우 해당 인증 서버는 Microsoft Active Directory 서버입니다. Microsoft 아키텍처는 이 인증서 검증에 사용할 수 있는 포트 번호를 결정하므로 포트가 Microsoft 아키텍처 자체의 일부이며 Horizon Cloud on Microsoft Azure 배포 자체에 특정되지 않기 때문에 다양한 포트 번호를 이 검증에 사용할 수 있습니다.

Horizon Cloud on Microsoft Azure 배포에서 True SSO를 사용하는 경우 Horizon Agent는 CSR을 생성하고 해당 포드 관리자 VM과 해당 Horizon Agent 사이에 이미 있는 통신 채널을 통해 배포의 활성 포드 관리자 VM으로 전송합니다. 포드 관리자 VM은 보안 SSL 암호화 TCP 채널(포트 32111 또는 등록 서버 설치 시 고객이 구성한 포트)을 통해 등록 서버에 요청을 릴레이합니다. 등록 서버는 CMC 요청을 생성하고, 포드 관리자가 제공한 대로 CSR 및 사용자 이름을 추가하고, 등록 에이전트 인증서를 사용하여 CMC에 서명하고, MS-DCOM(RPC) 프로토콜을 사용하여 CA(인증 기관)에 제출합니다.

Horizon Agent는 인증서를 수신하고, 로그온 자격 증명으로 직렬화하고, Windows 로그온 프로세스에 제출합니다. LSASS Windows 구성 요소는 인증서를 수신하고, 인증서가 유효하고 신뢰할 수 있는지와 로컬 시스템이 인증서의 개인 키를 보유하고 있는지 확인하고, 이를 DC(도메인 컨트롤러)로 전송합니다. DC는 사용자 인증서에 지정된 대로 CRL을 확인하도록 선택할 수 있습니다.

시각적으로 풍부한 네트워킹 다이어그램

이러한 구성 요소, 포트 및 프로토콜 간의 관계를 시각적으로 풍부한 설명으로 보려면 https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams에서 VMware Digital Workspace Tech Zone 네트워크 다이어그램 및 설명을 참조하십시오.