針對每個部署在您 Microsoft Azure 雲端中的 Horizon Cloud Pod,網繭的資源群組中也會建立網路安全群組 (NSG) 以作為範本。您可以使用此範本,確保您已開啟 VDI 桌面指派所提供 VDI 桌面可能需要的那些額外連接埠。
在 Microsoft Azure 中,網路安全群組 (NSG) 可控管哪些網路流量可進入連線至 Azure 虛擬網路 (VNet) 的資源。NSG 會定義允許或拒絕該網路流量的安全性規則。如需關於 NSG 如何篩選網路流量的詳細資訊,請參閱 Microsoft Azure 說明文件主題使用網路安全群組來篩選網路流量。
當一個 Horizon Cloud Pod 部署至 Microsoft Azure 時,系統會在該網繭的相同資源群組 (名為 vmw-hcs-podID) 中建立名為 vmw-hcs-podID-nsg-template 的 NSG (其中,podID 是網繭的識別碼)。您可以從網繭的詳細資料頁面 (從 Horizon Universal Console 中的 [容量] 頁面導覽) 取得網繭的識別碼。
依預設:
- Microsoft Azure 會在建立 NSG 時,自動在每個 NSG 中建立一些預設的規則。在建立的每個 NSG 中,Microsoft Azure 會以優先順序 65000 及更高來建立一些輸入和輸出規則。本說明文件主題中未描述這類 Microsoft Azure 預設規則,因為它們會在任何人或任何系統於 Microsoft Azure 中建立 NSG 時由 Microsoft Azure 自動建立。這些規則並非由 Horizon Cloud 建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則。
- Horizon Cloud Pod 部署工具會於網繭的範本 NSG 中建立下列輸入安全性規則。這些預設的輸入安全性規則支援使用者用戶端利用 Blast 和 PCOIP 和 USB 重新導向來存取其 VDI 桌面。
| 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | 網際網路 | 任何 | 允許 |
| 1100 | AllowBlastTcpIn | 22443 | TCP | 網際網路 | 任何 | 允許 |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | 網際網路 | 任何 | 允許 |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | 網際網路 | 任何 | 允許 |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | 網際網路 | 任何 | 允許 |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | 網際網路 | 任何 | 允許 |
除了此範本 NSG 以外,建立 VDI 桌面指派時,系統也會透過複製範本 NSG 來為該指派的桌面集區建立 NSG。每個 VDI 桌面指派的集區都會有從範本 NSG 複製而來的專屬 NSG。集區的 NSG 會指派給該集區之 VDI 桌面虛擬機器 (VM) 的 NIC。依預設,每個 VDI 桌面集區都會使用網繭範本 NSG 中設定的同一個預設安全性規則。
您可以修改範本 NSG 和個別 VDI 桌面指派的 NSG。例如,如果您在 VDI 桌面中有一個應用程式,且知道需要為該應用程式開啟另一個連接埠,則可以修改對應的 VDI 桌面指派集區的 NSG,以允許該連接埠上的網路流量。如果您要建立多個需要開啟相同連接埠的 VDI 桌面指派,則在建立 VDI 桌面指派之前先編輯範本 NSG 是一種支援該案例的簡單方式。
