이 페이지 정보

특정 배포에 필요한 특정 포트 및 프로토콜은 Horizon Cloud Service on Microsoft Azure 배포에 사용하도록 선택하는 기능에 따라 부분적으로 달라집니다. 특정 구성 요소 또는 프로토콜을 사용하지 않으려는 경우 필요한 통신 트래픽이 사용자의 목적에 맞지 않으므로 해당 구성 요소와 연결된 포트를 무시할 수 있습니다. 예를 들어 최종 사용자가 Blast Extreme 디스플레이 프로토콜만 사용하는 경우 반드시 PCoIP 포트를 허용할 필요는 없습니다.

포드 배포 프로세스의 일부로, 배포자는 배포된 모든 VM의 네트워크 인터페이스(NIC)에 NSG(네트워크 보안 그룹)를 생성합니다. 해당 NSG에 정의된 규칙에 대한 자세한 내용은 Horizon Cloud 포드의 VM에 대한 기본 네트워크 보안 그룹 규칙을 참조하십시오.

진행 중인 작업의 키 포드 구성 요소에 필요한 포트 및 프로토콜

DNS 요구 사항 외에도 다음 표에는 배포 후 진행 중인 작업을 위해 포드가 제대로 작동하는 데 필요한 포트 및 프로토콜이 표시됩니다. 이러한 표 중 일부는 특정 시나리오에서 또는 포드에서 특정 기능을 사용하도록 설정한 경우에 필요한 포트 및 프로토콜을 표시합니다.

Microsoft Azure Portal에서 이 포드 관리자 VM은 vmw-hcs-podID와 같은 파트(여기서 podID는 포드의 UUID임) 및 node 파트를 포함하는 이름을 갖습니다.

시스템의 포드 관리자 VM에서 Microsoft Azure Load Balancer를 사용하는 방식은 2019년 9월 서비스 릴리스의 매니페스트 1600에서 시작되었습니다. 따라서 매니페스트 1600부터 새로 배포된 모든 포드에는 포드 Microsoft Azure Load Balancer가 있습니다. 매니페스트 1600 이전에 처음 배포된 이후 후속 매니페스트로 업데이트된 포드에는 포드 Microsoft Azure Load Balancer도 있습니다. 포드의 로드 밸런서를 언급하는 테이블 행은 이러한 모든 포드에 적용됩니다.

게이트웨이 커넥터 VM 포트 및 프로토콜 요구 사항

이 표는 외부 게이트웨이를 별도의 VNet에 배포했을 때 사용되는 게이트웨이의 커넥터 VM에 적용됩니다. DNS 요구 사항 외에도 다음 표의 포트 및 프로토콜은 배포 후 진행 중인 작업을 위해 외부 게이트웨이가 제대로 작동하는 데 필요합니다.

아래 표에서 커넥터 VM이라는 용어는 클라우드 관리부와 외부 게이트웨이 간의 연결을 관리하는 게이트웨이 커넥터 VM을 나타냅니다. Microsoft Azure Portal에서 이 VM은 vmw-hcs-ID와 같은 파트(여기서 ID는 게이트웨이의 배포자 ID임) 및 node 파트를 포함하는 이름을 갖습니다.

Unified Access Gateway VM 포트 및 프로토콜 요구 사항

DNS와 위의 기본 포트 및 프로토콜 요구 사항 외에, 배포 후 진행되는 작업을 위해 포드에서 올바르게 작동하도록 구성한 게이트웨이와 관련된 포트 및 프로토콜이 다음 표에 설명되어 있습니다.

Unified Access Gateway 인스턴스로 구성된 고가용성 지원 포드를 사용 중인 연결의 경우 아래 표에 나열된 대로 포드의 Unified Access Gateway 인스턴스에서 대상으로의 트래픽이 허용되어야 합니다. 포드 배포 중 포드의 Unified Access Gateway 인스턴스에서 사용하도록 Microsoft Azure 환경에 NSG(네트워크 보안 그룹)가 생성됩니다.

Universal Broker에 필요한 포트 및 프로토콜

포드에서의 최종 사용자 할당 브로커링을 위해 Universal Broker 사용을 지원하려면 다음 표에 설명된 대로 포트 443을 구성해야 합니다. 활성 포드 관리자는 포트 443을 통해 Universal Broker 서비스와의 영구 WebSocket 연결을 설정하고, 임의로 선택된 포트를 통해 Universal Broker 서비스의 연결 요청을 수신합니다.

최종 사용자 연결 트래픽 포트 및 프로토콜 요구 사항

디바이스에서 포드 프로비저닝 가상 데스크톱 및 원격 애플리케이션에 연결하려면 최종 사용자는 호환되는 설치된 VMware Horizon Client 또는 브라우저(Horizon HTML Access 클라이언트)를 사용합니다. 최종 사용자 클라이언트의 트래픽이 포드가 프로비저닝된 가상 데스크톱 및 원격 애플리케이션에 도달하기 위해 열려 있어야 하는 포트는 최종 사용자의 연결 방법에 대한 선택 옵션에 따라 달라집니다.

포드의 자체 VNet에서 외부 게이트웨이 구성을 유지하기 위한 배포자 옵션을 선택하는 경우

배포자는 Microsoft Azure 환경에서 Microsoft Azure Load Balancer 리소스와 함께 Unified Access Gateway 인스턴스를 해당 로드 밸런서의 백엔드 풀에 있는 해당 인스턴스에 배포합니다. 이 로드 밸런서는 DMZ 서브넷의 해당 인스턴스 NIC와 통신하며 Microsoft Azure의 공용 로드 밸런서로 구성됩니다. 포드에 외부 및 내부 게이트웨이 구성이 모두 있고, 외부 게이트웨이를 포드와 동일한 VNet으로 배포하고, 외부 게이트웨이 VM의 3개 NIC, 내부 게이트웨이 VM의 2개 NIC, 외부 게이트웨이의 로드 밸런서용으로 공용 IP를 설정한 포드의 Horizon Cloud Pod 아키텍처 그림 다이어그램은 이 공용 로드 밸런서 및 Unified Access Gateway 인스턴스의 위치를 나타냅니다. 포드에 이 구성이 있으면 인터넷의 최종 사용자 트래픽은 Unified Access Gateway 인스턴스에 요청을 분산하는 해당 공용 로드 밸런서로 이동합니다. 이 구성의 경우 해당 최종 사용자 연결이 아래 나열된 포트 및 프로토콜을 사용하여 해당 로드 밸런서에 도달할 수 있는지 확인해야 합니다. 포드 배포에서 외부 게이트웨이의 로드 밸런서는 vmw-hcs-podID-uag라는 리소스 그룹에 있습니다. 여기서 podID는 포드의 UUID입니다.

내부 Unified Access Gateway 구성을 유지하기 위해 배포자 옵션을 선택하는 경우

내부 게이트웨이 구성은 기본적으로 포드의 자체 VNet에 배포됩니다. 배포자는 Microsoft Azure 환경에서 Microsoft Azure Load Balancer 리소스와 함께 Unified Access Gateway 인스턴스를 해당 백엔드 풀에 있는 해당 인스턴스에 배포합니다. 이 로드 밸런서는 테넌트 서브넷의 해당 인스턴스 NIC와 통신하며 Microsoft Azure의 내부 로드 밸런서로 구성됩니다. 포드에 외부 및 내부 게이트웨이 구성이 모두 있고, 외부 게이트웨이를 포드와 동일한 VNet으로 배포하고, 외부 게이트웨이 VM의 3개 NIC, 내부 게이트웨이 VM의 2개 NIC, 외부 게이트웨이의 로드 밸런서용으로 공용 IP를 설정한 포드의 Horizon Cloud Pod 아키텍처 그림 다이어그램은 이 내부 로드 밸런서 및 Unified Access Gateway 인스턴스의 위치를 나타냅니다. 포드에 이 구성이 있으면 회사 네트워크에 있는 최종 사용자 트래픽은 Unified Access Gateway 인스턴스에 요청을 분산하는 해당 공용 로드 밸런서로 이동합니다. 이 구성의 경우 해당 최종 사용자 연결이 아래 나열된 포트 및 프로토콜을 사용하여 해당 로드 밸런서에 도달할 수 있는지 확인해야 합니다. 포드 배포에서 내부 게이트웨이의 로드 밸런서는 vmw-hcs-podID-uag-internal라는 리소스 그룹에 있습니다. 여기서 podID는 포드의 UUID입니다.

포드가 아닌 자체 VNet에 외부 게이트웨이 구성을 유지하는 배포자 옵션을 선택하거나 고유한 구독을 사용하는 옵션을 선택하는 경우(VNet이 여러 구독에 걸쳐 있지 않으므로 고유한 VNet을 사용하는 특별한 하위 사례에 해당)

배포자는 Microsoft Azure 환경에서 Microsoft Azure Load Balancer 리소스와 함께 Unified Access Gateway 인스턴스를 해당 로드 밸런서의 백엔드 풀에 있는 해당 인스턴스에 배포합니다. 이 로드 밸런서는 DMZ 서브넷의 해당 인스턴스 NIC와 통신하며 Microsoft Azure의 공용 로드 밸런서로 구성됩니다. 다이어그램외부 게이트웨이를 포드의 VNet과는 별개인 자체 VNet에 배포할 때 외부 게이트웨이의 아키텍처 요소 그림은 게이트웨이 고유의 VNet에서 이 공용 로드 밸런서 및 Unified Access Gateway 인스턴스의 위치를 나타냅니다. 포드에 이 구성이 있으면 인터넷의 최종 사용자 트래픽은 Unified Access Gateway 인스턴스에 요청을 분산하는 해당 공용 로드 밸런서로 이동합니다. 이 구성의 경우 해당 최종 사용자 연결이 아래 나열된 포트 및 프로토콜을 사용하여 해당 로드 밸런서에 도달할 수 있는지 확인해야 합니다. 배포 후에 외부 게이트웨이의 로드 밸런서는 vmw-hcs-ID-uag라는 리소스 그룹에 있습니다. 여기서 ID는 포드 세부 정보 페이지의 배포자 ID 필드에 값이 표시됩니다. " 관리 가이드" 에 설명된 대로 콘솔의 [용량] 페이지에서 포드의 세부 정보 페이지를 볼 수 있습니다.

포드에 Unified Access Gateway 구성이 없는 경우

참고: 테넌트가 단일 포드 브로커링을 사용하도록 구성된 운영 환경의 경우 내부 최종 사용자 연결에 대한 모범 사례는 포드에서 내부 Unified Access Gateway 게이트웨이 구성을 사용하는 것입니다. 이러한 연결은 단일 포드 브로커링 시나리오에서 해당 게이트웨이 구성으로 이동합니다.

단일 포드 브로커링이 있고 Workspace ONE Access가 포드와 통합된 구성에서는 일반적으로 최종 사용자가 Workspace ONE Access를 통해 연결하게 됩니다. 이 시나리오에서는 Workspace ONE Access 및 포드를 직접 가리키는 Workspace ONE Access Connector를 구성해야 합니다. 최종 사용자가 Workspace ONE Access를 사용하여 포드 프로비저닝된 리소스에 연결하고 있습니다. 이 구성의 경우 "VMware Horizon Cloud Service 관리 가이드" 에 설명된 대로 콘솔의 포드 요약 페이지를 사용하여 SSL 인증서를 포드 관리자 VM에 업로드합니다.그런 다음, Workspace ONE Access를 포드와 통합하는 단계를 완료합니다.

기본 VM, VDI 데스크톱 VM 및 팜 RDSH VM에 설치된 에이전트에서 전송되는 트래픽에 대한 포트 및 프로토콜 요구 사항

다음 포트는 기본 VM, 데스크톱 VM 및 팜 RDSH VM에 설치된 에이전트 관련 소프트웨어에서 포드 관리자 VM으로의 트래픽을 허용해야 합니다.

App Volumes 기능에 필요한 포트 및 프로토콜

Horizon Cloud on Microsoft Azure용 App Volumes 애플리케이션 - 개요 및 사전 요구 사항에 명시된 것처럼 Horizon Cloud 포드에서 사용하도록 지원되는 App Volumes 기능을 사용하도록 지원하려면 포드의 테넌트 서브넷에서 TCP 프로토콜 트래픽에 대해 포트 445를 구성해야 합니다. 포트 445는 Microsoft Windows의 SMB 파일 공유에 액세스하기 위한 표준 SMB 포트입니다. AppStack은 포드 관리자 VM과 동일한 리소스 그룹에 있는 SMB 파일 공유에 저장됩니다.

또한 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름에 설명된 대로 Azure Cloud가 SMB 파일 공유를 프로비저닝할 때 Azure Cloud는 FQDN(정규화된 도메인 이름)을 *.file.core.windows.net 패턴으로 할당합니다. 여기서 *는 SMB 파일 공유의 스토리지 계정에 대한 Azure 생성 이름입니다. App Volumes가 해당 파일 공유에 액세스 및 마운트하고 AppStack을 검색할 수 있도록 DNS 서버에서 이 FQDN을 확인할 수 있어야 합니다. DNS 서버가 포드 관리자 인스턴스 내에서 실행되는 App Volumes Manager 프로세스와 VDI 데스크톱에서 실행되는 App Volumes Agent에 대해 항상 해당 FQDN을 확인하는지 검토해야 합니다.

Workspace ONE Assist for Horizon과 통합 - DNS, 포트 및 프로토콜 요구 사항

Workspace ONE Assist for Horizon은 Workspace ONE UEM 제품 라인 내의 제품입니다. 2021년 8월, Horizon Cloud 릴리스부터 특정 요구 사항이 충족되면 해당 제품의 사용을 Horizon Cloud 테넌트의 포드에서 프로비저닝된 VDI 데스크톱과 통합할 수 있습니다. 요구 사항에 대한 자세한 내용은 VMware Workspace ONE Assist 설명서 영역 내에 있는 "VMware Workspace ONE Assist for Horizon 가이드" 를 참조하십시오.

지원 기능을 사용하려면 VDI 데스크톱 VM과 Horizon Cloud 테넌트와의 통합을 지원하는 Workspace ONE Assist 서버 간의 아웃바운드 통신이 필요합니다.

DNS 요구 사항

VDI 데스크톱 VM이 상주할 포드의 테넌트 서브넷에서 Workspace ONE Assist 서버의 DNS 이름을 확인하고 연결할 수 있는지 확인합니다. 이전에 언급한 " VMware Workspace ONE Assist for Horizon 가이드" 에서는 Workspace ONE Assist 서버의 DNS 이름을 제공합니다.

포트 및 프로토콜 요구 사항

포트 443, TCP 및 HTTPS를 사용하는 아웃바운드 트래픽은 Workspace ONE Assist for Horizon 애플리케이션이 설치된 VDI 데스크톱 VM에서 허용되어야 합니다.

활성 지원 요청에 필요한 경우 임시 Jumpbox 포트 및 프로토콜

VMware 지원을 요청하고 지원 팀이 해당 요청을 서비스하는 방법이 VMware 관리 장치와의 SSH 통신을 위해 임시 Jumpbox VM을 배포하는 것으로 결정한 경우 해당 Jumpbox에는 여기에 설명된 포트 및 프로토콜이 필요합니다.

지원 관련 Jumpbox 배포에 대한 사용 권한이 필요합니다. VMware 지원 팀은 지원 상황에 맞게 모든 통신 요구 사항을 사용자에게 알립니다.

이 지원 관련 Jumpbox VM은 다음 대상에 대한 소스로 통신하도록 설계되었습니다.

• SSH 및 포트 22를 사용하는 포드 관리자 VM의 포트 22.
• HTTPS를 사용하는 Unified Access Gateway VM의 포트 9443.
• 외부 게이트웨이가 자체 VNet에 배포된 배포에서 SSH를 사용하는 게이트웨이 커넥터 VM의 포트 22.

지원 요청의 특성과 배포에 사용되는 장치에 따라 통신 대상으로 허용되어야 하는 VMware 관리형 장치 또는 장치가 결정됩니다.

이러한 VM은 동적으로 IP 주소가 할당되기 때문에 다음 네트워크 규칙이 설명된 통신에 제공할 수 있습니다. 지원 요청 작업 중에는 항상 지원 관련 Jumpbox 배포에 대한 요구 사항에 따라 VMware 지원의 지침과 감독을 요청합니다.

• 소스 및 대상 둘 다로 관리 서브넷 CIDR 사용(대상 포트 22, 소스 포트 임의 및 프로토콜 TCP).
• Unified Access Gateway 구성이 사용되는 경우 소스 및 대상 둘 다로 관리 서브넷 CIDR 사용(대상 포트 9443, 소스 포트 임의 및 프로토콜 TCP).

True SSO와 인증서 관리 및 Horizon Cloud on Microsoft Azure 배포

Horizon Cloud 포드 프로비저닝된 데스크톱 VM은 등록 서버와 직접 통신하지 않습니다. Horizon Cloud on Microsoft Azure 배포의 활성 포드 관리자 VM은 인증서 요청을 등록 서버로 릴레이합니다. 인증서를 가져온 후 데스크톱 VM의 Horizon Agent는 해당 인증서를 사용하여 데스크톱 사용자 대신 인증서 로그온 작업을 수행합니다.

요청 응답 아키텍처는 Horizon Cloud on Microsoft Azure 배포의 Horizon Connection Server와 마찬가지로 Horizon 배포의 포드 관리자 VM에 대해 동일합니다. Horizon Cloud on Microsoft Azure 배포에서 포드 관리자 VM은 기본 VM 서브넷(테넌트 서브넷)의 데스크톱 VM, 그리고 VDI 관리자가 포드 편집 워크플로를 사용하여 추가했을 수 있는 추가 VM 서브넷에 연결되어 있습니다.

두 가지 인증서 클래스는 다양한 구성 요소인 사용자 인증서 및 채널 인증서에 의해 검증이 실시됩니다. True SSO는 인증 서버에서 검증한 사용자 인증서를 추가합니다. Horizon Cloud on Microsoft Azure 배포의 경우 해당 인증 서버는 Microsoft Active Directory 서버입니다. Microsoft 아키텍처는 이 인증서 검증에 사용할 수 있는 포트 번호를 결정하므로 포트가 Microsoft 아키텍처 자체의 일부이며 Horizon Cloud on Microsoft Azure 배포 자체에 특정되지 않기 때문에 다양한 포트 번호를 이 검증에 사용할 수 있습니다.

Horizon Cloud on Microsoft Azure 배포에서 True SSO를 사용하는 경우 Horizon Agent는 CSR을 생성하고 해당 포드 관리자 VM과 해당 Horizon Agent 사이에 이미 있는 통신 채널을 통해 배포의 활성 포드 관리자 VM으로 전송합니다. 포드 관리자 VM은 보안 SSL 암호화 TCP 채널(포트 32111 또는 등록 서버 설치 시 고객이 구성한 포트)을 통해 등록 서버에 요청을 릴레이합니다. 등록 서버는 CMC 요청을 생성하고, 포드 관리자가 제공한 대로 CSR 및 사용자 이름을 추가하고, 등록 에이전트 인증서를 사용하여 CMC에 서명하고, MS-DCOM(RPC) 프로토콜을 사용하여 CA(인증 기관)에 제출합니다.

Horizon Agent는 인증서를 수신하고, 로그온 자격 증명으로 직렬화하고, Windows 로그온 프로세스에 제출합니다. LSASS Windows 구성 요소는 인증서를 수신하고, 인증서가 유효하고 신뢰할 수 있는지와 로컬 시스템이 인증서의 개인 키를 보유하고 있는지 확인하고, 이를 DC(도메인 컨트롤러)로 전송합니다. DC는 사용자 인증서에 지정된 대로 CRL을 확인하도록 선택할 수 있습니다.

시각적으로 풍부한 네트워킹 다이어그램

이러한 구성 요소, 포트 및 프로토콜 간의 관계를 시각적으로 풍부한 설명으로 보려면 https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams에서 VMware Digital Workspace Tech Zone 네트워크 다이어그램 및 설명을 참조하십시오.