若要建立 Horizon Edge 部署,並安裝或更新您的 Horizon Cloud Service - next-gen 環境中的應用裝置模組,您必須允許使用各自連接埠上的適當 URL。
在以下表格中,所列用途以 Horizon Edge 部署為背景。
允許管理子網路的 URL,並檢查 URL 存取
- 允許使用下表中的 URL 和萬用字元子網域。例如,透過將這些 URL 和萬用字元子網域新增到防火牆的允許清單和網路安全性群組中。
- 略過 SSL 深度封包檢查,如下所示。
- 在防火牆中,針對下表中的 URL 和萬用字元子網域,略過這項檢查。
- 在 Proxy 伺服器中略過這項檢查 (如果適用)。
如果 Horizon Edge 閘道 透過 Proxy 伺服器連線至 Horizon Agent,則需在 Proxy 伺服器中針對下表中的 URL 和萬用字元子網域,略過 SSL 深度封包檢查。
| 目的地 (DNS 名稱) | 連接埠 | 通訊協定 | Proxy 流量 (如果在部署中設定) | 用途 |
|---|---|---|---|---|
| *.blob.core.windows.net | 443 | TCP | 是 | 用來以程式設計方式存取 Azure Blob 儲存區,並在需要時上傳 Horizon Edge 記錄。 用來下載 Docker 映像以建立所需的 Horizon Edge 模組,這些模組對監控、SSO、UAG 更新等非常有用。 |
| horizonedgeprod.azurecr.io | 443 | TCP | 是 | 用來在下載 Docker 映像以建立所需的 Horizon Edge 模組時進行驗證,這些模組對監控、SSO、UAG 更新等非常有用。 |
| *.azure-devices.net,或以下其中一個區域專用名稱,取決於哪個區域控制平面適用於您的租用戶帳戶: 北美洲:
歐洲:
日本:
|
443/TCP | TCP | 是 | 用於將應用裝置連線至 Horizon Cloud 控制平面、下載應用裝置模組的組態,以及更新應用裝置模組的執行階段狀態。 |
| vmwareprod.wavefront.com | 443 | TCP | 是 | 用於將作業度量傳送到 Tanzu Observability by Wavefront。VMware 操作員會收到用來為客戶提供支援的資料。 Tanzu Observability 是串流分析平台。您可以將資料傳送到 Tanzu Observability,並在自訂儀表板中檢視和操作資料。請參閱 Tanzu Observability by Wavefront 的說明文件。 |
*.data.vmwservices.com,或以下其中一個區域專用名稱,取決於哪個區域性 Workspace ONE Intelligence 目標適用於您的租用戶帳戶:
|
443 | TCP | 是 | 用於將事件或度量傳送到 Workspace ONE Intelligence。 |
如果您的防火牆或網路安全性群組 (NSG) 支援使用服務標籤,請套用 Azure 服務標籤 AzureCloud。如果您的防火牆或 NSG 不支援使用服務標籤,請使用主機名稱 monitor.horizon.vmware.com。 |
1514 和 1515 | TCP | 否 | 用於系統監控。 |
| azcopyvnext.azureedge.net | 443 | TCP | 是 | 用來將部署記錄上傳到 Azure Blob 儲存體,以進行疑難排解。 |
|
443 | HTTPS | 是 | 用來修補 Horizon Edge 閘道的 Microsoft 元件。 |
| time.google.com | 123 | UDP | 是 | 用於時間同步。 |
|
80 | HTTP | 是 | 用於修補 Ubuntu 元件。 |
| *.file.core.windows.net | 445 | TCP | 否 | 存取已為 App Volumes 工作流程佈建的檔案共用,用於匯入套件以及在檔案共用間複製套件。 |
| softwareupdate.vmware.com | 443 | TCP | 是 | 軟體套件伺服器。用來下載系統映像相關作業和自動化代理程式更新程序中所使用代理程式相關軟體的更新。 |
判斷管理子網路 URL 是否可以連線
TechZone 中的公用程式頁面上會提供 Horizon Cloud Service - next-gen Edge 子網路 URL 檢查程式工具。如需相關資訊,請參閱 TechZone 中的為 Horizon 8 環境部署 Horizon Edge 閘道頁面。
該工具以 .exe 檔案形式提供。在 Horizon Edge 所在的網路中,若要在以 Windows 10 或更新版本為基礎的虛擬機器上下載並使用 Horizon Cloud Service - next-gen Edge 子網路 URL 檢查程式工具,請執行以下步驟。
- 將 Horizon Cloud Service - next-gen Edge 子網路 URL 檢查程式下載到 Horizon Edge 網路中部署的 Windows 虛擬機器上。
- 按一下該檔案,以執行可執行檔。
隨即會顯示對話方塊。
- 按一下是。
- 開啟位於 C:/VMwareURLCheckerOutput/ 的輸出資料夾。
該資料夾包含每個區域控制平面的輸出檔。
- 開啟要部署 Horizon Edge 所在區域的輸出檔,以確定必要的 URL 是否可存取。
其詳細資料如下。
- 此檔案會顯示管理子網路所需 URL 的狀態。
- 每個 URL 的預期狀態都是「可以連線」。
- 當 URL 的狀態為「無法連線」時,請檢視錯誤訊息並進行必要的變更以取消封鎖該問題。
- 視需要重新執行該可執行檔,直到所需區域中所有網域的狀態均為「可以連線」。
允許租用戶 (桌面) 子網路的 URL - 全域 虛擬機器 Hub DNS 主機名稱
如果使用全域虛擬機器 Hub 執行個體可滿足您的站台需求,則在部署 Horizon Edge 閘道時,請允許使用以下 URL 及其設定。
| 目的地 (DNS 名稱) | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|
| *.horizon.vmware.com | 443 | TCP | 用於代理程式相關的作業,例如使用虛擬機器 Hub 簽署和更新憑證。 |
允許租用戶 (桌面) 子網路的 URL - 區域 虛擬機器 Hub DNS 主機名稱
如果使用區域虛擬機器 Hub 執行個體可滿足您的站台需求,則在指定區域中部署 Horizon Edge 閘道時,請使用所示的兩個對應的 URL。
因此,每個區域虛擬機器 Hub 執行個體與全域虛擬機器 Hub 執行個體的連接埠、通訊協定和用途相符。
| 連接埠 | 443 |
| 通訊協定 | TCP |
| 用途 | 用於代理程式相關的作業,例如使用虛擬機器 Hub 簽署和更新憑證。 |
| 對於以下 Azure 區域 | 允許以下目的地 (DNS 名稱) URL |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
允許 URL 啟用 Proxy
如果您計劃使用 Proxy 伺服器來控制來自您環境的流量,請開啟必要的連接埠,以允許 Horizon Edge 閘道連線至 Proxy 伺服器。如果 Microsoft Azure Edge 的格式為 Edge 閘道 (AKS),請參閱 Azure Kubernetes 服務 (AKS) 叢集的輸出網路和 FQDN 規則。
