針對每個部署在您 Microsoft Azure 訂閱中的 Horizon Cloud Pod,網繭的資源群組中也會建立網路安全群組 (NSG) 以作為範本。您可以使用此範本,確保您已開啟伺服器陣列所提供遠端應用程式或 RDS 桌面可能需要的那些額外連接埠。

在 Microsoft Azure 中,網路安全群組 (NSG) 可控管哪些網路流量可進入連線至 Azure 虛擬網路 (VNet) 的資源。NSG 會定義允許或拒絕該網路流量的安全性規則。如需關於 NSG 如何篩選網路流量的詳細資訊,請參閱 Microsoft Azure 說明文件主題使用網路安全群組來篩選網路流量

當一個 Horizon Cloud Pod 部署至 Microsoft Azure 時,系統會在該網繭的相同資源群組 (名為 vmw-hcs-podID) 中建立名為 vmw-hcs-podID-nsg-template 的 NSG (其中,podID 是網繭的識別碼)。您可以從網繭的詳細資料頁面 (從 Horizon Universal Console 中的 [容量] 頁面導覽) 取得網繭的識別碼。

依預設:

  • Microsoft Azure 會在建立 NSG 時,自動在每個 NSG 中建立一些預設的規則。在建立的每個 NSG 中,Microsoft Azure 會以優先順序 65000 及更高來建立一些輸入和輸出規則。本說明文件主題中未描述這類 Microsoft Azure 預設規則,因為它們會在任何人或任何系統於 Microsoft Azure 中建立 NSG 時由 Microsoft Azure 自動建立。這些規則並非由 Horizon Cloud 建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則
  • Horizon Cloud Pod 部署工具會於網繭的範本 NSG 中建立下列輸入安全性規則。這些預設輸入安全性規則支援使用者用戶端存取其 RDS 工作階段桌面和遠端應用程式,以進行 Blast 和 PCOIP 以及 USB 重新導向。
表 1. Horizon Cloud Pod 部署工具在網繭的範本 NSG 中建立的輸入安全性規則
優先順序 名稱 連接埠 通訊協定 來源 目的地 動作
1000 AllowBlastUdpIn 22443 UDP 網際網路 任何 允許
1100 AllowBlastTcpIn 22443 TCP 網際網路 任何 允許
1200 AllowPcoipTcpIn 4172 TCP 網際網路 任何 允許
1300 AllowPcoipUdpIn 4172 UDP 網際網路 任何 允許
1400 AllowTcpSideChannelIn 9427 TCP 網際網路 任何 允許
1500 AllowUsbRedirectionIn 32111 TCP 網際網路 任何 允許

除了此範本 NSG 以外,建立伺服器陣列時,系統也會透過複製範本 NSG 來為該伺服器陣列建立 NSG。每個伺服器陣列都會有從範本 NSG 複製而來的專屬 NSG。伺服器陣列的 NSG 會指派給該伺服器陣列之虛擬機器 (VM) 的 NIC。依預設,每個伺服器陣列都會使用網繭範本 NSG 中設定的同一個預設安全性規則。

您可以修改範本 NSG 和個別伺服器陣列的 NSG。例如,如果您在伺服器陣列中有一個應用程式,且知道需要為該應用程式開啟另一個連接埠,則可以修改該伺服器陣列的 NSG,以允許該連接埠上的網路流量。如果您要建立多個需要開啟相同連接埠的伺服器陣列,則在建立那些伺服器陣列之前先編輯範本 NSG 是一種支援該案例的簡單方式。

重要: 當您打算修改基礎範本時,請先建立複本再進行修改。當您需要還原為原始預設設定時,複本將可作為備份。