針對每個部署在您 Microsoft Azure 訂閱中的 Horizon Cloud Pod,網繭的資源群組中也會建立網路安全群組 (NSG) 以作為範本。您可以使用此範本,確保您已開啟伺服器陣列所提供遠端應用程式或 RDS 桌面可能需要的那些額外連接埠。
在 Microsoft Azure 中,網路安全群組 (NSG) 可控管哪些網路流量可進入連線至 Azure 虛擬網路 (VNet) 的資源。NSG 會定義允許或拒絕該網路流量的安全性規則。如需關於 NSG 如何篩選網路流量的詳細資訊,請參閱 Microsoft Azure 說明文件主題使用網路安全群組來篩選網路流量。
當一個 Horizon Cloud Pod 部署至 Microsoft Azure 時,系統會在該網繭的相同資源群組 (名為 vmw-hcs-podID) 中建立名為 vmw-hcs-podID-nsg-template 的 NSG (其中,podID 是網繭的識別碼)。您可以從網繭的詳細資料頁面 (從 Horizon Universal Console 中的 [容量] 頁面導覽) 取得網繭的識別碼。
依預設:
- Microsoft Azure 會在建立 NSG 時,自動在每個 NSG 中建立一些預設的規則。在建立的每個 NSG 中,Microsoft Azure 會以優先順序 65000 及更高來建立一些輸入和輸出規則。本說明文件主題中未描述這類 Microsoft Azure 預設規則,因為它們會在任何人或任何系統於 Microsoft Azure 中建立 NSG 時由 Microsoft Azure 自動建立。這些規則並非由 Horizon Cloud 建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則。
- Horizon Cloud Pod 部署工具會於網繭的範本 NSG 中建立下列輸入安全性規則。這些預設輸入安全性規則支援使用者用戶端存取其 RDS 工作階段桌面和遠端應用程式,以進行 Blast 和 PCOIP 以及 USB 重新導向。
| 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | 網際網路 | 任何 | 允許 |
| 1100 | AllowBlastTcpIn | 22443 | TCP | 網際網路 | 任何 | 允許 |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | 網際網路 | 任何 | 允許 |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | 網際網路 | 任何 | 允許 |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | 網際網路 | 任何 | 允許 |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | 網際網路 | 任何 | 允許 |
除了此範本 NSG 以外,建立伺服器陣列時,系統也會透過複製範本 NSG 來為該伺服器陣列建立 NSG。每個伺服器陣列都會有從範本 NSG 複製而來的專屬 NSG。伺服器陣列的 NSG 會指派給該伺服器陣列之虛擬機器 (VM) 的 NIC。依預設,每個伺服器陣列都會使用網繭範本 NSG 中設定的同一個預設安全性規則。
您可以修改範本 NSG 和個別伺服器陣列的 NSG。例如,如果您在伺服器陣列中有一個應用程式,且知道需要為該應用程式開啟另一個連接埠,則可以修改該伺服器陣列的 NSG,以允許該連接埠上的網路流量。如果您要建立多個需要開啟相同連接埠的伺服器陣列,則在建立那些伺服器陣列之前先編輯範本 NSG 是一種支援該案例的簡單方式。
