此頁面提供 Horizon Cloud Service - next-gen 中一般 Horizon Cloud Service on Microsoft Azure 部署內所有可用於通訊的連接埠和通訊協定,以供您參考。使用這些表格,可確保您的網路組態和防火牆允許通訊流量,讓部署和日常作業得以順利執行。
特定部署所需的特定連接埠和通訊協定有一部分取決於您選取用於 Horizon Cloud Service on Microsoft Azure 部署的功能。如果您不打算使用特定的元件或通訊協定,則其所需的通訊流量對您而言不是必要的,因此您可以忽略與該元件相關聯的連接埠。例如,如果您的使用者僅使用 Blast Extreme 顯示通訊協定,則不需要允許 PCoIP 連接埠。
Horizon Edge所需的連接埠和通訊協定
當您啟用 Horizon 基礎結構監控 時,會在相關聯的訂閱中部署及設定 Horizon Edge。下表列出在啟用程序期間,所需使用的連接埠和通訊協定,在此程序中,將部署應用裝置並設定管理員虛擬機器,以便應用裝置能夠按照設計的用途,從這些元件中收集監控資料。此表還會列出當該應用裝置按照其設計的用途,來收集資料的穩定狀態作業期間所需的連接埠和通訊協定。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Edge | Unified Access Gateway 虛擬機器 | 9443 | HTTPS | Edge 虛擬機器會透過管理子網路使用該連接埠,以在 Edge 的 Unified Access Gateway 組態中進行設定。在最初部署 Unified Access Gateway 組態時,以及在編輯 Edge 以新增 Unified Access Gateway 組態或更新該 Unified Access Gateway 組態的設定時,就會套用此項連接埠需求,此外,當從 Unified Access Gateway 監控工作階段統計資料時,也會套用此需求。 |
| Horizon Edge | 網域控制站 | Kerberos:88 LDAP:389、3268 LDAPS:636、3269 |
TCP UDP |
用來在網域中登錄 Horizon Cloud NextGen,以及用來進行 SSO 登入和定期探索網域控制站。 如果將在該工作流程中指定 LDAP/LDAPS,則 LDAP 或 LDAPS 服務需要這些連接埠。LDAP 是大多數租用戶的預設通訊協定。 目標是伺服器,且其含有 Active Directory 組態中的網域控制站角色。 |
| Horizon Edge | AD 憑證服務 | 135 以及 49152 到 65535 範圍內的連接埠 | RPC/TCP | 連線至 Microsoft 企業憑證授權機構 (AD CS) 以取得 True SSO 存留期短的憑證。Horizon Edge 使用 TCP 連接埠 135 進行初始 RPC 通訊,然後使用 49152 至 65535 範圍內的連接埠與 AD CS (Active Directory 憑證服務) 進行通訊。 |
| Horizon Edge | DNS 伺服器 | 53 和 853 | TCP UDP |
DNS 服務。 |
| Horizon Edge | *.file.core.windows.net | 445 | TCP | 存取針對 App Volumes 工作流程所佈建的檔案共用,該工作流程用來匯入套件以及跨檔案共用複寫套件。 |
| Horizon Edge |
|
443 | TCP | 用來以程式設計方式存取 Azure Blob Storage,並在需要時上傳 Horizon Edge 記錄。 用來下載 Docker 映像以建立所需的 Horizon Edge 模組,這些模組對監控、SSO、UAG 更新等非常有用。 |
| Horizon Edge | horizonedgeprod.azurecr.io | 443 | TCP | 用來在下載 Docker 映像以建立所需的 Horizon Edge 模組時進行驗證,這些模組對監控、SSO、UAG 更新等非常有用。 |
| Horizon Edge | *.azure-devices.net | 443 | TCP | 這些應用裝置用來與雲端控制平面通訊、下載應用裝置模組的組態,並更新應用裝置模組執行階段狀態。目前的具體端點包括: 北美洲:
歐洲:
日本:
|
| Horizon Edge | vmwareprod.wavefront.com | 443 | TCP | 用於將作業度量傳送到 VMware Tanzu Observability by Wavefront。VMware 操作員會收到用來為客戶提供支援的資料。 Tanzu Observability 是一個串流分析平台。您可以將資料傳送至 Tanzu Observability,並在自訂儀表板中檢視資料,並與之互動。請參閱 VMware Tanzu Observability by Wavefront 的說明文件。 |
| Horizon Edge | *.data.vmwservices.com | 443 | TCP | 將事件或度量傳送給 Workspace ONE Intelligence,以監控資料。 請參閱 Workspace ONE Intelligence。 目前的具體端點包括:
|
| Horizon Edge | login.microsoftonline.com | 443 | TCP | 通常供應用程式用來對 Microsoft Azure 服務進行驗證。 |
| Horizon Edge | management.azure.com | 443 | TCP | 用於對 Microsoft Azure 資源管理員端點的 Edge API 要求,以使用 Microsoft Azure 資源管理員服務。Microsoft Azure 資源管理員提供一致性的管理層,以透過 Azure PowerShell、Azure CLI、Azure 入口網站、REST API 和用戶端 SDK 來執行工作。 |
| Horizon Edge | *.horizon.vmware.com 區域專用 美國
歐盟
日本
|
443 | TCP | 用來與雲端控制平面通訊,以及用於執行第 2 天作業的應用裝置。 |
| Horizon Edge | NTP 伺服器 | 123 | UDP | NTP 服務 |
Unified Access Gateway 虛擬機器連接埠和通訊協定需求
除了上表中列出的主要連接埠和通訊協定需求以外,您所設定的閘道也需要下表中相關的連接埠和通訊協定,才能在部署後執行進行中的作業。
對於設定了 Unified Access Gateway 執行個體的連線,則必須允許從 Unified Access Gateway 執行個體傳輸至目標的流量,如下表所列。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Unified Access Gateway | *.horizon.vmware.com | DMZ 網路上的 53 或 443 | TCP UDP |
Unified Access Gateway 需要能夠隨時解析這些位址,否則使用者將無法啟動工作階段,因為 Unified Access Gateway 會從以下端點提取 JWK 集: cloud-sg-<region>-r-<DC>.horizon.vmware.com。 目前的具體端點如下所示:
|
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme 依預設,在使用 Blast Extreme 時,用戶端磁碟機重新導向 (CDR) 流量和 USB 流量會在此連接埠中進行旁通道傳輸。如果您願意,可以將 CDR 流量區隔至 TCP 9427 連接埠,並將 USB 重新導向流量區隔至 TCP 32111 連接埠。 |
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 9427 | TCP | 對 CDR 和多媒體重新導向 (MMR) 流量是選用的。 |
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 32111 | TCP | USB 重新導向流量的選用項目。 |
| Unified Access Gateway | time.google.com | 123 | UDP | NTP 服務 |
| Unified Access Gateway | *.blob.core.windows.net *.blob.storage.azure.net | 443 | TCP | 用來以程式設計方式存取 Azure Blob Storage,並在需要時上傳 Unified Access Gateway 記錄。 |
App Volumes 連接埠和通訊協定
若要支援將 App Volumes 功能與 Horizon Cloud Service on Microsoft Azure 搭配使用,必須設定連接埠 445 供 TCP 通訊協定流量傳輸至租用戶 (桌面) 子網路時使用。連接埠 445 是一個標準 SMB 連接埠,用來存取 Microsoft Windows 上的 SMB 檔案共用。AppStack 會儲存在 SMB 檔案內,位於與網繭管理員虛擬機器相同的網繭資源群組中。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 基礎已匯入的虛擬機器、最佳配置映像、桌面虛擬機器、伺服器陣列 RDSH 虛擬機器中的 App Volumes Agent | *.file.core.windows.net | 445 | TCP | VDI 機器上的 App Volumes 應用程式虛擬化和 VDI 機器上的應用程式套件擷取,取決於對檔案共用的存取權。 |
VDI 連接埠和通訊協定需求
下表針對設定於環境中的桌面 (VDI 或租用戶) 子網路,提供其所需的連接埠和通訊協定。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 桌面 (租用戶) 子網路 | *.horizon.vmware.com | 443 | TCP MQTT | 用於代理程式相關的作業,例如:使用虛擬機器 Hub 進行的憑證簽署以及更新。目前的具體端點包括: 美國:
歐盟:
日本:
|
| 桌面 (租用戶) 子網路 | 網域控制站 | 88 | TCP UDP |
Kerberos 服務。目標是伺服器,且其含有 Active Directory 組態中的網域控制站角色。必須在 Active Directory 中登錄 Edge。 |
| 桌面 (租用戶) 子網路 | 網域控制站 | Kerberos:88 LDAP:389、3268 LDAPS:636、3269 |
TCP UDP |
LDAP 或 LDAPS 服務需要此連接埠,以建立從虛擬機器到網域控制站的連線,萬一 VDI 無法存取任何網域控制站,就無法啟動工作階段。 |
| 桌面 (租用戶) 子網路 | DNS 伺服器 | 53 和 853 | TCP UDP |
DNS 服務 |
| 桌面 (租用戶) 子網路 | NTP 伺服器 | 123 | UDP | NTP 服務 |
| 桌面 (租用戶) 子網路 | *.blob.core.windows.net | 443 | TCP | 上傳 DCT 記錄服務包。當客戶管理員在要求處理後,按一下任何虛擬機器的 DCT 記錄收集時,該服務包將從 VDI 上傳至 Blob,以便讓該服務包可從 Horizon Universal Console 下載。 |
| 桌面 (租用戶) 子網路 | Horizon Edge | 31883 | TCP MQTT UDP |
Horizon Agent (執行於虛擬機器上) 至 MQTT (執行於 Edge 上)。 |
| 桌面 (租用戶) 子網路 | Horizon Edge | 32443 | TCP | 單一登入 (當 Microsoft Azure Edge 的格式為 Edge 閘道 (虛擬機器) 時)。 |
| 桌面 (租用戶) 子網路 | Horizon Edge | 443 | TCP | 單一登入 (當 Microsoft Azure Edge 的格式為 Edge 閘道 (AKS) 時)。 |
| 桌面 (租用戶) 子網路和管理子網路 | softwareupdate.vmware.com | 443 | TCP | VMware 軟體套件伺服器。用來下載系統映像相關作業和自動化代理程式更新程序中所使用代理程式相關軟體的更新。 |
| 桌面 (租用戶) 子網路 | 私人連結端點 | 443 | TCP | 桌面與雲端控制平面中連線服務的連線。 |
| 桌面 (租用戶) 子網路和管理子網路 | AD 憑證服務 | 135 和 445,以及 49152 到 65535 範圍內的連接埠 | RPC/TCP | 將桌面新增到網域。 |
使用者連線流量的連接埠和通訊協定需求
如需相關使用者可用於 Horizon Edge 虛擬應用裝置的各種 Horizon Client 的詳細資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Horizon-Client/index.html 的 Horizon Client 說明文件頁面。必須開啟哪些連接埠,讓來自使用者連線的流量能夠到達其虛擬桌面和遠端應用程式,取決於所選擇的使用者連線方式。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 這些 Unified Access Gateway 執行個體的 Microsoft Azure 負載平衡器 | 443 | TCP | 執行 CDR、MMR、USB 重新導向和通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體的 Microsoft Azure 負載平衡器 | 8443 或 443 | TCP | 透過 Unified Access Gateway 上的 Blast 安全閘道使用 Blast Extreme,進行來自 Horizon Client 的資料流量傳輸。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體的 Microsoft Azure 負載平衡器 | 443 | UDP | 透過 Unified Access Gateway 使用 Blast Extreme,進行資料流量傳輸。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體的 Microsoft Azure 負載平衡器 | 8443 | UDP | 透過 Unified Access Gateway 上的 Blast 安全閘道使用 Blast Extreme,進行資料流量傳輸 (調適性傳輸)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體的 Microsoft Azure 負載平衡器 | 443 | TCP | 執行 CDR、MMR、USB 重新導向和通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體的 Microsoft Azure 負載平衡器 | 8443 或 443 | TCP | 透過 Unified Access Gateway 上的 Blast 安全閘道使用 Blast Extreme,進行來自 Horizon HTML Access 用戶端 (Web 用戶端) 的資料流量傳輸。 |
| Horizon Client/瀏覽器 | *.horizon.vmware.com | 443 | TCP | 在登入並列出啟動項目後,當客戶按一下以啟動桌面時,將根據上線時選取的客戶組織位置,將通訊協定流量從其中一個 URL 重新導向至 Unified Access Gateway。目前的具體端點包括:
|
