針對每個部署在您 Microsoft Azure 雲端中的 Horizon Cloud Pod,網繭的資源群組中也會建立網路安全性群組 (NSG) 以作為範本。您可以使用此範本,確保您已開啟伺服器陣列所提供遠端應用程式或 RDS 桌面可能需要的那些額外連接埠。
在 Microsoft Azure 中,網路安全性群組 (NSG) 可控管哪些網路流量可進入連線至 Azure 虛擬網路 (VNet) 的資源。NSG 會定義允許或拒絕該網路流量的安全性規則。如需關於 NSG 如何篩選網路流量的詳細資訊,請參閱 Microsoft Azure 說明文件主題使用網路安全性群組來篩選網路流量。
當一個 Horizon Cloud Pod 部署至 Microsoft Azure 時,系統會在該網繭的相同資源群組 (名為 vmw-hcs-podID) 中建立名為 vmw-hcs-podID-nsg-template 的 NSG (其中,podID 是網繭的識別碼)。您可以從網繭的詳細資料頁面 (從 Horizon Cloud 管理主控台的 [容量] 頁面導覽) 取得網繭的識別碼。
依預設,網繭的範本 NSG 中不會設定輸出安全性規則,而會設定下列輸入安全性規則。這些預設輸入安全性規則支援使用者用戶端存取其 RDS 工作階段桌面和遠端應用程式,以進行 Blast 和 PCOIP 以及 USB 重新導向。
| 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 |
|---|---|---|---|---|---|---|
| 1000 | AllowBlastUdpIn | 22443 | UDP | 網際網路 | 任何 | 允許 |
| 1100 | AllowBlastTcpIn | 22443 | TCP | 網際網路 | 任何 | 允許 |
| 1200 | AllowPcoipTcpIn | 4172 | TCP | 網際網路 | 任何 | 允許 |
| 1300 | AllowPcoipUdpIn | 4172 | UDP | 網際網路 | 任何 | 允許 |
| 1400 | AllowTcpSideChannelIn | 9427 | TCP | 網際網路 | 任何 | 允許 |
| 1500 | AllowUsbRedirectionIn | 32111 | TCP | 網際網路 | 任何 | 允許 |
除了此範本 NSG 以外,建立伺服器陣列時,系統也會透過複製範本 NSG 來為該伺服器陣列建立 NSG。每個伺服器陣列都會有從範本 NSG 複製而來的專屬 NSG。伺服器陣列的 NSG 會指派給該伺服器陣列之虛擬機器 (VM) 的 NIC。依預設,每個伺服器陣列都會使用網繭範本 NSG 中設定的同一個預設安全性規則。
您可以修改範本 NSG 和個別伺服器陣列的 NSG。例如,如果您在伺服器陣列中有一個應用程式,且知道需要為該應用程式開啟另一個連接埠,則可以修改該伺服器陣列的 NSG,以允許該連接埠上的網路流量。如果您要建立多個需要開啟相同連接埠的伺服器陣列,則在建立那些伺服器陣列之前先編輯範本 NSG 是一種支援該案例的簡單方式。
