使用 Horizon Cloud Service - next-gen 在 Microsoft Azure 訂閱中建立 Horizon Edge 和 Unified Access Gateway 時,會建立多個預設網路安全性群組。在您登入 Microsoft Azure 入口網站時,可看見這些安全性群組,且其必須保持提供時的狀態。
在 Microsoft Azure 中部署 Horizon Edge 和 Unified Access Gateway 期間,自動部署程序會建立一組網路安全性群組 (NSG),且會將各個 NSG 與 VMware 所控制的各個 Horizon Edge 和 Unified Access Gateway 虛擬機器 (VM) 上的單一特定網路介面 (NIC) 相關聯。此類 Edge 和 UAG 相關的虛擬機器是 Edge 閘道的虛擬機器,也是為 Edge 設定 Unified Access Gateway 時部署的虛擬機器。
整體簡介
在 Horizon Cloud Service - next-gen 中,根據 Edge 的設計和架構,Edge 部署工具會將適當部署工具建立的 NSG 與適當的 NIC 相關聯。這些 NSG 會用於 NIC 層級,以確保特定受管理應用裝置上的每個 NIC,皆可接收受管理應用裝置所應接收 NIC 連接子網路上標準服務和 Edge 作業的流量,以及封鎖該應用裝置不應接收的所有流量。每個 NSG 皆包含一組安全性規則,用來定義進出每個 NIC 的允許流量。
此處說明由部署工具建立的 NSG,與您使用 Horizon Universal Console 建立時由 Edge 佈建的基礎虛擬機器、伺服器陣列和 VDI 桌面所使用的 NSG 不同。
由 Horizon Cloud Service - next-gen 建立的 NSG 及其中的規則,是與其連結之特定 NIC 和虛擬機器專用的 NSG,且僅供這些 NIC 和虛擬機器使用。對這些 NSG 或規則所做的任何變更,或任何將其用於任何其他用途的嘗試 (即使在這些 NIC 所連結的相同子網路上),皆很可能導致與其所連結 NIC 之間所需的往來網路流量中斷。流量的中斷可能繼而導致所有 Edge 作業中斷。這些 NSG 的生命週期由 Horizon Cloud Service - next-gen 管理,且各自有其特定的原因。
由於這些由部署工具建立的 NSG 是服務的組態需求,如果嘗試變更或移動它們,會被視為不受支援的 Horizon Cloud Service - next-gen 使用和服務供應項目的濫用。
但是,您可以建立自己的 NSG,使其包含您自己的組織規則,並將其納入 Horizon Cloud Service - next-gen 為 Edge 的虛擬機器自動建立並管理之 Edge 資源群組以外的資源群組中。您自己的 NSG 所含的規則不得與 Horizon Cloud Service - next-gen 所管理和操作 Edge 虛擬機器的需求相衝突。此類 NSG 應連結至 Edge 所使用的管理、租用戶和 DMZ 子網路。如果您在 Horizon Cloud Service - next-gen 管理的資源群組內建立自己的 NSG,但您在這些資源群組中的 NSG 與位於不同資源群組中的資源相關聯,則在 Horizon Cloud Service - next-gen 管理的資源群組上執行刪除動作時,作業將會失敗。
如 Microsoft Azure 說明文件中所述,網路安全性群組 (NSG) 的用途在於使用安全規則來篩選往返您的 Microsoft Azure 環境中資源的網路流量。每個規則皆有一組內容,例如來源、目的地、連接埠、通訊協定等,用來決定對 NSG 相關聯資源所允許的流量。對於由 Horizon Cloud Service - next-gen 自動建立且與所控制 Edge 虛擬機器之 NIC 產生關聯的 NSG,它會包含由 Horizon Cloud Service - next-gen 決定的特定規則,如此才能用於 Edge 的服務管理、正確執行進行中的 Edge 作業,以及管理網繭的生命週期。一般而言,這些 NSG 中定義的每個規則,目的是要為 Edge 作業連接埠流量做準備,該流量屬於 Horizon Cloud Service - next-gen 訂閱標準業務用途的服務履行的一部分 (例如,將虛擬桌面提供給使用者的 VDI 使用案例)。如需相關資訊,請參閱 部署 Horizon 8 Edge 的連接埠和通訊協定需求。
以下幾節列出 Horizon Cloud Service - next-gen 在這些部署工具建立的 NSG 中所定義的 NSG 規則。
有關由部署工具建立的 NSG 的一般事實
此清單適用於部署工具與 Edge 相關虛擬機器上特定 NIC 相關聯部署工具建立的所有 NSG。
- 這些自動建立的 NSG 適用於所控制軟體應用裝置的安全性。當將新軟體新增至您的訂閱,且需要其他規則時,系統會將這些新規則新增至這些 NSG。
- 對於 Microsoft Azure 入口網站中的 Unified Access Gateway,NSG 的名稱會包含
vmw-hcs-UUID模式,其中 UUID 是 Edge 的識別碼,但部署至其本身 VNet 中之外部閘道組態所使用的 NSG 除外。在此情況下,閘道的相關 NSG 在名稱中會包含vmw-hcs-ID模式,其中 ID 是該外部閘道的部署識別碼。備註: 如果使用部署至在個別訂閱中預先建立之現有資源群組的選項,將外部閘道組態部署至該訂閱中,則閘道連接器的虛擬機器管理 NIC 上的 NSG,將會以根據資源群組名稱的模式 (而非vmw-hcs-UUID模式) 命名。舉例來說,如果您將該資源群組命名為hcsgateways,則在該資源群組中, Horizon Cloud Service - next-gen 會建立名為hcsgateways-mgmt-nsg的 NSG,並將該 NSG 與閘道連接器虛擬機器的管理 NIC 產生關聯。對於 Horizon Edge 閘道,NSG 具有命名模式
aks-agentpool-ID-nsg,其中ID是 Microsoft Azure 新增的一個隨機數字,NSG 是具有命名模式vmw-hcs-UUID-edge-aks-node的資源群組的一部分,其中UUID是 Edge 識別碼。您可以從管理主控台的 [容量] 頁面導覽至 Edge 的詳細資料頁面,以找出這些識別碼。
備註: 當您選擇讓 Edge 的外部 Unified Access Gateway 使用自訂資源群組時,閘道連接器虛擬機器的部署工具建立的 NSG 名稱會包含該自訂資源群組的名稱,而非模式vmw-hcs-ID。例如,如果您使用名為ourhcspodgateway的自訂資源群組為 Edge 的外部閘道指定,則部署工具建立並與閘道虛擬機器之 NIC 相關聯的 NSG 將會命名為ourhcspodgateway-mgmt-nsg。 - NSG 位於與其相關聯虛擬機器和 NIC 相同的資源群組。例如,當外部閘道部署在 Edge 的 VNet 中並使用部署工具建立的資源群組時,與外部 Unified Access Gateway 虛擬機器上的 NIC 相關聯的 NSG,會位於名為
vmw-hcs-UUID-uag的資源群組中。 - Horizon Cloud 可能會視需要新增規則或修改這些規則,以確保服務的可維護性。
- 在 Edge 更新期間,將保留 NSG 和規則。系統不會將它們刪除。
- Horizon Cloud Service - next-gen 規則都會從優先順序 1000 開始,且優先順序一般會以 100 的增量往上增加。Horizon Cloud Service - next-gen 規則的結尾為優先順序 3000 的規則。
- 來源 IP 位址 168.63.129.16 的
AllowAzureInBound規則,可讓 NSG 接受來自 Microsoft Azure 平台的傳入通訊,如 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。所有與 Edge 相關的虛擬機器均為 Microsoft Azure 中的虛擬機器。如該 Microsoft Azure 說明文件主題中所述,其 IP 位址 168.63.129.16 有助於讓 Microsoft Azure 雲端平台對其雲端中的所有虛擬機器執行各種虛擬機器管理工作。例如,此 IP 位址有助於讓虛擬機器內的虛擬機器代理程式與 Microsoft Azure 平台進行通訊,以發出虛擬機器處於就緒狀態的訊號。 - Microsoft Azure 會在建立 NSG 時,自動在每個 NSG 中建立一些預設的規則。在建立的每個 NSG 中,Microsoft Azure 會以優先順序 65000 及更高來建立一些輸入和輸出規則。本說明文件主題中未描述這類 Microsoft Azure 預設規則,因為它們會由 Microsoft Azure 自動建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則。
- 這些 NSG 中定義的每個規則,目的是要為 Edge 作業連接埠流量做準備,而該流量屬於 Horizon Cloud Service - next-gen 訂閱標準業務用途的服務履行的一部分 (例如,將虛擬桌面提供給使用者的 VDI 使用案例)。如需相關資訊,請參閱 部署 Horizon 8 Edge 的連接埠和通訊協定需求。
- 當您編輯 Edge,以指定要與伺服器陣列和 VDI 桌面指派搭配使用的其他租用戶子網路時,系統會更新 Edge 閘道虛擬機器上租用戶子網路相關 NSG 中的規則,而 Unified Access Gateway 虛擬機器的 NIC 會更新,以包含這些額外的租用戶子網路。
Edge 閘道 AKS 的由部署工具建立的 NSG
Edge 閘道 AKS 具有虛擬機器 (VM) 規模集,其中,每個虛擬機器執行個體都有一個 NIC 連線至管理子網路。Microsoft Azure 會自動建立特定的 NSG,並將其與關聯到虛擬機器規模集執行個體的所有 NIC 相關聯。
對於 Edge 閘道虛擬機器類型,我們目前未建立任何 NSG。
在您的 Microsoft Azure 環境中,Edge AKS NSG 位於 Edge 的 AKS 節點資源群組中,且該資源群組採用 vmw-hcs-UUID-edge-aks-node 模式來命名。
aks-agentpool-ID-nsg 模式來命名,其中
ID 是由 Microsoft Azure 指派的一個隨機數字。
如前所述,依預設,Microsoft Azure 會建立下列各資料表中顯示的規則,如 Microsoft Azure 說明文件主題預設安全規則中所述。
| 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetInBound | 任何 | 任何 | VirtualNetwork | VirtualNetwork | 允許 |
| 65001 | AllowAzureLoadBalancerInBound | 任何 | 任何 | AzureLoadBalancer | 任何 | 允許 |
| 65500 | DenyAllInbound | 任何 | 任何 | 任何 | 任何 | 拒絕 |
| 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetOutBound | 任何 | 任何 | VirtualNetwork | VirtualNetwork | 允許 |
| 65001 | AllowInternetOutBound | 任何 | 任何 | 任何 | 網際網路 | 允許 |
| 65500 | DenyAllOutbound | 任何 | 任何 | 任何 | 任何 | 拒絕 |
外部 Unified Access Gateway 虛擬機器上由部署工具建立的 NSG
外部 Unified Access Gateway 組態的每個虛擬機器皆有三 (3) 個 NIC,一個連線至管理子網路,一個連線至租用戶子網路,而另一個連線至 DMZ 子網路。部署工具會為這三個 NIC 各自建立特定的 NSG,並將每個 NSG 與其適當的 NIC 相關聯。
- 管理 NIC 具有以
vmw-hcs-ID-uag-management-nsg模式命名的 NSG。 - 租用戶 NIC 具有以
vmw-hcs-ID-uag-tenant-nsg模式命名的 NSG。 - DMZ NIC 具有以
vmw-hcs-ID-uag-dmz-nsg模式命名的 NSG。
在您的 Microsoft Azure 環境中,這些 NSG 會以 vmw-hcs-ID-uag 的模式來命名,其中,ID 為主控台的 Edge 詳細資料頁面上顯示的 Edge 識別碼,除非外部閘道部署在其本身的 VNet (與 Edge 的 VNet 不同)。如果外部閘道部署在其本身的 VNet 中,則 ID 會是 Edge 詳細資料頁面上顯示的部署識別碼值。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子網路 | 任何 | 允許 | 讓服務能夠使用其管理介面來設定閘道的管理設定。如 Unified Access Gateway 產品說明文件中所述,其管理介面位於連接埠 9443/TCP。 |
| 輸入 | 1100 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1200 | AllowSshInBound | 22 | 任何 | 管理子網路 | 任何 | 允許 | 讓 VMware 在需要進行疑難排解時對虛擬機器執行緊急存取。在進行任何緊急存取之前,將向您要求權限。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,以拒絕來自此 NIC 的輸出流量。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1400 | AllowPcoipUdpInBound | 任何 | UDP | 租用戶子網路 | 任何 | 允許 | 此規則支援用於 Unified Access Gateway 與 Horizon Agent 搭配使用的標準組態。桌面和伺服器陣列虛擬機器中的 Horizon Agent 會使用 UDP 將 PCoIP 資料傳送回 Unified Access Gateway 執行個體。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援與 Edge 閘道虛擬機器進行通訊的 Unified Access Gateway 執行個體,以將新用戶端連線要求傳送至 Edge 閘道。 |
| 輸出 | 1100 | AllowBlastOutBound | 22443 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面或伺服器陣列虛擬機器中 Horizon Client Blast Extreme 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1200 | AllowPcoipOutBound | 4172 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面虛擬機器中 Horizon Client PCoIP 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1300 | AllowUsbOutBound | 32111 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援 USB 重新導向流量的使用案例。USB 重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 32111,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1400 | AllowMmrOutBound | 9427 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援多媒體重新導向 (MMR) 和用戶端磁碟機重新導向 (CDR) 流量的使用案例。這些重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 9427,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1500 | AllowAllOutBound | 任何 | 任何 | 任何 | 租用戶子網路 | 允許 | 在支援多個使用者工作階段的虛擬機器中執行時,Horizon Agent 會選擇不同的連接埠來用於工作階段的 PCoIP 流量。由於這些連接埠無法提前判斷,因此 NSG 規則會指定特定連接埠,以因應無法提前定義該流量的情況。因此,與優先順序為 1200 的規則類似,此規則支援使用此類虛擬機器的多個 Horizon Client PCoIP 工作階段使用案例。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸出流量限制在前述資料列中的項目。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 80 443 |
TCP | 網際網路 | 任何 | 允許 | 此規則可讓來自 Horizon Client 和 Horizon Web 用戶端之外部使用者的輸入流量,向 Edge 閘道要求進行登入驗證。依預設,Horizon Client 和 Horizon Web 用戶端會針對此要求使用連接埠 443。為了支援輕鬆重新導向,以方便在其用戶端中輸入 HTTP 而非 HTTPS 的使用者,該流量會到達連接埠 80,並自動重新導向至連接埠 443。 |
| 輸入 | 1100 | AllowBlastInBound | 443 8443 |
任何 | 網際網路 | 任何 | 允許 | 此規則支援從外部使用者的 Horizon Client 接收 Blast 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1200 | AllowPcoipInBound | 4172 | 任何 | 網際網路 | 任何 | 允許 | 此規則支援從外部使用者的 Horizon Client 接收 PCoIP 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1300 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
內部 Unified Access Gateway 虛擬機器上由部署工具建立的 NSG
內部 Unified Access Gateway 組態的每個虛擬機器皆有二 (2) 個 NIC,一個連線至管理子網路,而另一個連線至租用戶子網路。部署工具會為這兩個 NIC 各自建立特定的 NSG,並將每個 NSG 與其適當的 NIC 相關聯。
- 管理 NIC 具有的 NSG 命名模式為
vmw-hcs-podUUID-uag-management-nsg。 - 租用戶 NIC 具有的 NSG 命名模式為
vmw-hcs-podUUID-uag-tenant-nsg。
在 Microsoft Azure 環境中,這些 NSG 位於 Edge 的資源群組,且命名模式為 vmw-hcs-podUUID-uag-internal。
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子網路 | 任何 | 允許 | 讓服務能夠使用其管理介面來設定閘道的管理設定。如 Unified Access Gateway 產品說明文件中所述,其管理介面位於連接埠 9443/TCP。 |
| 輸入 | 1100 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1200 | AllowSshInBound | 22 | 任何 | 管理子網路 | 任何 | 任何 | 讓 VMware 在需要進行疑難排解時對虛擬機器執行緊急存取。在進行任何緊急存取之前,將向您要求權限。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,以拒絕來自此 NIC 的輸出流量。 |
| 方向 | 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 輸入 | 1000 | AllowAzureInBound | 任何 | 任何 | 168.63.129.16 | 任何 | 允許 | 讓虛擬機器接受來自 Microsoft Azure 平台的傳入通訊,如前述的〈一般事實〉一節,以及 Microsoft Azure 說明文件主題什麼是 IP 位址 168.63.129.16 中所述。 |
| 輸入 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任何 | 允許 | 此規則可讓來自 Horizon Client 和 Horizon Web 用戶端之內部使用者的輸入流量,向 Edge 閘道要求進行登入驗證。依預設,Horizon Client 和 Horizon Web 用戶端會針對此要求使用連接埠 443。為了支援輕鬆重新導向,以方便在其用戶端中輸入 HTTP 而非 HTTPS 的使用者,該流量會到達連接埠 80,並自動重新導向至連接埠 443。 |
| 輸入 | 1200 | AllowBlastInBound | 443 8443 |
任何 | VirtualNetwork | 任何 | 允許 | 此規則支援從內部使用者的 Horizon Client 接收 Blast 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1300 | AllowPcoipInBound | 4172 | 任何 | VirtualNetwork | 任何 | 允許 | 此規則支援從內部使用者的 Horizon Client 接收 PCoIP 流量的 Unified Access Gateway 執行個體。 |
| 輸入 | 1400 | AllowPcoipUdpInBound | 任何 | UDP | 租用戶子網路 | 任何 | 允許 | 此規則支援用於 Unified Access Gateway 與 Horizon Agent 搭配使用的標準組態。桌面和伺服器陣列虛擬機器中的 Horizon Agent 會使用 UDP 將 PCoIP 資料傳送回 Unified Access Gateway 執行個體。 |
| 輸入 | 3000 | DenyAllInBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸入流量限制在前述資料列中的項目。 |
| 輸出 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援與 Edge 閘道虛擬機器進行通訊的 Unified Access Gateway 執行個體,以將新用戶端連線要求傳送至 Edge。 |
| 輸出 | 1100 | AllowBlastOutBound | 22443 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面或伺服器陣列虛擬機器中 Horizon Client Blast Extreme 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1200 | AllowPcoipOutBound | 4172 | 任何 | 任何 | 租用戶子網路 | 允許 | 此規則支援在桌面虛擬機器中 Horizon Client PCoIP 工作階段至 Horizon Agent 的使用案例。 |
| 輸出 | 1300 | AllowUsbOutBound | 32111 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援 USB 重新導向流量的使用案例。USB 重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 32111,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1400 | AllowMmrOutBound | 9427 | TCP | 任何 | 租用戶子網路 | 允許 | 此規則支援多媒體重新導向 (MMR) 和用戶端磁碟機重新導向 (CDR) 流量的使用案例。這些重新導向是桌面或伺服器陣列虛擬機器中的代理程式選項。該流量使用連接埠 9427,供使用者用戶端工作階段連至桌面或伺服器陣列虛擬機器中的 Horizon Agent。 |
| 輸出 | 1500 | AllowAllOutBound | 任何 | 任何 | 任何 | 租用戶子網路 | 允許 | 在支援多個使用者工作階段的虛擬機器中執行時,Horizon Agent 會選擇不同的連接埠來用於工作階段的 PCoIP 流量。由於這些連接埠無法提前判斷,因此 NSG 規則會指定特定連接埠,以因應無法提前定義該流量的情況。因此,與優先順序為 1200 的規則類似,此規則支援使用此類虛擬機器的多個 Horizon Client PCoIP 工作階段使用案例。 |
| 輸出 | 3000 | DenyAllOutBound | 任何 | 任何 | 任何 | 任何 | 拒絕 | 由部署工具新增,用於將此 NIC 的輸出流量限制在前述資料列中的項目。 |
