若要在端對端成功使用服務功能,您必須確定本文件文章中所述的網域名稱服務 (DNS) 名稱皆能使用本文章的表格中所指出的特定連接埠和通訊協定,從管理和租用戶子網路進行解析和存取。將以網繭管理員為基礎的網繭具現化為 Microsoft Azure 訂閱的網繭部署程序時,需要部署工具相關應用裝置可透過您選取的 VNet 存取特定 DNS 名稱。接著,當網繭於您的訂閱中成功具現化且其網繭相關應用裝置啟動並執行後,各種日常服務作業會需要對特定 DNS 名稱的網路存取,且在 VMware 提供新軟體給您時,需要用於更新網繭軟體的網繭更新程序。本文說明這些 DNS 需求。

一些首要的重點

關於這些必要的 DNS 名稱
將在 Microsoft Azure 訂閱中具現化以網繭管理員為基礎的網繭及其相關聯閘道的程序自動化的 Horizon Cloud Pod 部署工具,需要透過這些訂閱的 VNet 對特定 DNS 位址的網路存取權。若要讓網繭部署工具成功具現化您的訂閱中網繭的元件,您必須設定防火牆,以允許重要的部署工具相關應用裝置具備存取這些 DNS 位址所需的網路存取權。下表說明每個 DNS 位址的用途。除了允許與這些 DNS 位址的網路通訊之外,您的 DNS 組態還必須能解析特定名稱,如本文中所述。當您選擇將外部閘道部署在其本身 VNet (與網繭管理員的 VNet 不同) 的選項時,該 VNet 的子網路必須符合與網繭管理員的 VNet 管理子網路相同的 DNS 需求。

網繭部署程序會使用 Jumpbox 虛擬機器。此 Jumpbox 虛擬機器在網繭部署程序方面有連接埠和通訊協定需求,且在您為網繭部署 Unified Access Gateway 組態期間設定網繭的 Unified Access Gateway 虛擬機器的設定時,也有這些需求。請參閱網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定

將外部閘道部署在其本身的 VNet 中時,也會使用其本身與網繭不同的 Jumpbox 虛擬機器。該 Jumpbox 虛擬機器在進行閘道部署程序時有其本身的連接埠和通訊協定需求。請參閱當外部閘道部署在其本身的 VNet 中時:外部閘道組態的 Jumpbox 在閘道部署和更新期間所需的連接埠和通訊協定

除了網繭部署工具及其工作流程,各種服務功能需要對特定的 DNS 位址的存取權,這些功能才能在端對端上運作。下表也提供這些 DNS 名稱。

其中部分 DNS 名稱具有區域元素。

在網繭上啟用 Horizon 基礎結構監控時,將自動具現化網繭管理員的 VNet 和管理子網路中的 Horizon Edge 虛擬應用裝置Horizon Edge 虛擬應用裝置有自己本身的 DNS 名稱需求。因此,在網繭上啟用 Horizon 基礎結構監控之前,請確保您符合 Horizon Edge 虛擬應用裝置的 DNS 需求,如下表所示。

關於部署網繭後的連接埠和通訊協定,適用於進行中的服務相關作業
網繭成功部署後,進行中的 Horizon Cloud 作業將需要特定連接埠和通訊協定。所需的特定連接埠和通訊協定取決於網繭是使用 2019 年 9 月版本的資訊清單版本,還是使用先前的資訊清單版本。

區域控制平面 DNS 名稱

您的「歡迎使用 Horizon 服務」電子郵件將會指出您的租用戶帳戶是在哪個區域控制平面執行個體中建立的。由於將歡迎電子郵件傳送給您時存在已知問題,您收到的電子郵件可能會顯示用於區域的系統字串名稱,而非可讓您理解的名稱。如果您在歡迎電子郵件中看到系統字串名稱,則可以使用下表將電子郵件中顯示的名稱與區域控制平面 DNS 名稱產生關聯。

表 1. 歡迎電子郵件中對應至區域控制平面 DNS 名稱的區域
您的歡迎電子郵件會指出 區域 DNS 名稱
USA cloud.horizon.vmware.com
EU_CENTRAL_1Europe cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2Australia cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1USA-2 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1Europe-2 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1Australia-2 cloud-ap-2.horizon.vmware.com
Japan cloud-jp.horizon.vmware.com
UK cloud-uk.horizon.vmware.com

對於下表中針對 Horizon Edge 虛擬應用裝置列出的區域 DNS 位址,這些位址會使用與區域控制平面 DNS 名稱相同的區域。

首要網繭部署程序、網繭更新、各種服務功能的啟用,以及進行中作業的 DNS 需求

若要在端對端成功使用服務功能,您必須確定下列 DNS 名稱皆能使用下表所指出的特定連接埠和通訊協定,從管理和租用戶子網路進行解析和存取。需要能夠存取特定 DNS 名稱的一些服務功能包括:

  • 自動將網繭管理員型 Horizon 網繭部署至 Microsoft Azure 訂閱的網繭部署工具
  • 將網繭的軟體更新至更新軟體版本的網繭更新功能
  • 使用從 Marketplace 匯入精靈的匯入映像程序
  • 代理程式相關功能,例如自動化代理程式更新 (AAU)
  • Universal Broker
  • Horizon 基礎結構監控及其 Horizon Edge 虛擬應用裝置
  • 與雲端管理服務 (CMS) 相關的功能
尤其是網繭部署、網繭更新以及在網繭上啟用 Horizon 基礎結構監控
您必須確定下列 DNS 名稱皆能使用下表所指出的特定連接埠和通訊協定,從管理和租用戶子網路進行解析和存取。這些工作流程中使用的應用裝置會使用特定的輸出連接埠,以將這些程序所需的軟體安全地下載到您的 Microsoft Azure 環境中。系統也會使用這些 DNS 名稱,讓適當的工作流程相關應用裝置可以與雲端控制平面進行通訊。

針對新的網繭部署,您必須設定網路防火牆、網路安全性群組 (NSG) 規則和 Proxy 伺服器,讓重要部署相關的應用裝置能夠在其所需的連接埠上連線 DNS 位址。否則,網繭部署程序將會失敗。

在網繭上啟用 Horizon 基礎結構監控時,會將 Horizon Edge 虛擬應用裝置具現化至與該網繭的網繭管理員應用裝置相同的 VNet 和管理子網路。您必須確保網路防火牆、NSG 規則和 Proxy 伺服器的組態會允許 Horizon Edge 虛擬應用裝置在所需的連接埠上存取 DNS 位址。否則,該應用裝置的部署將會失敗。

使用該功能將外部閘道部署至其本身的 VNet 時
該 VNet 中的管理子網路必須符合下表中針對網繭 VNet 中管理子網路所述的相同 DNS 需求。外部閘道 VNet 的後端子網路和 DMZ 子網路沒有特定的 DNS 需求。
使用外部閘道和/或內部閘道部署網繭時
您必須上傳網繭部署工具將在這些閘道組態中設定的憑證。如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定,則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在 Unified Access Gateway 閘道組態中設定您提供的憑證期間, Unified Access Gateway 軟體將會連線至這些 DNS 名稱,以檢查憑證的撤銷狀態。如果無法連線到這些 DNS 名稱,網繭部署將會在其 連線階段失敗。這些名稱高度依存於您用來取得憑證的 CA,因此不會由 VMware 控制。

以租用戶範圍為基礎套用的新網繭部署、網繭更新和服務作業的 DNS 需求

下表說明適用於租用戶範圍的新網繭部署、網繭更新和服務作業的 DNS 需求。對於 Horizon 基礎結構監控啟用和 Horizon Edge 虛擬應用裝置 DNS 需求,請參閱本節之後的小節。由於 Horizon 基礎結構監控功能會以每個網繭為基礎啟用,其 DNS 需求可保證提供自己的描述性表格。

表 2. 以租用戶範圍為基礎套用的新網繭部署、網繭更新和服務作業的 DNS 需求
子網路來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
管理 下列其中一個名稱,取決於您的 Horizon Cloud 租用戶帳戶中指定的區域控制平面執行個體。區域執行個體會在建立帳戶時進行設定,如部署和上架至適用於 Microsoft Azure 的 Horizon Cloud 和 Horizon 網繭中所述。
  • cloud.horizon.vmware.com
  • cloud-us-2.horizon.vmware.com
  • cloud-eu-central-1.horizon.vmware.com
  • cloud-eu-2.horizon.vmware.com
  • cloud-ap-southeast-2.horizon.vmware.com
  • cloud-ap-2.horizon.vmware.com
  • cloud-jp.horizon.vmware.com
  • cloud-uk.horizon.vmware.com
443 TCP 區域控制平面執行個體
  • 美國:cloud.horizon.vmware.com、cloud-us-2.horizon.vmware.com
  • 歐洲:cloud-eu-central-1.horizon.vmware.com、cloud-eu-2.horizon.vmware.com
  • 亞太地區:cloud-ap-southeast-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com
  • 日本:cloud-jp.horizon.vmware.com
  • 英國:cloud-uk.horizon.vmware.com
管理 softwareupdate.vmware.com 443 TCP VMware 軟體套件伺服器。用來下載系統映像相關作業中所使用代理程式相關軟體的更新。
管理 下列其中一個名稱,取決於哪個區域 DNS 名稱適用於您的帳戶。
  • d1mes20qfad06k.cloudfront.net
  • hydra-softwarelib-cdn.azureedge.net
443 TCP Horizon Cloud內容傳遞伺服器。在管理子網路中,此站台可用來下載網繭管理員和 Unified Access Gateway 虛擬機器的 VHD (虛擬硬碟)。此外也可用於閘道連接器虛擬機器的 VHD (如果外部閘道位於其本身的 VNet 中)

d1mes20qfad06k.cloudfront.net 對應於 cloud.horizon.vmware.com、cloud-eu-central-1.horizon.vmware.com、cloud-ap-southeast-2.horizon.vmware.com 的區域執行個體。

hydra-softwarelib-cdn.azureedge.net 對應於 cloud-us-2.horizon.vmware.com、cloud-eu-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com、cloud-jp.horizon.vmware.com、cloud-uk.horizon.vmware.com 的區域執行個體

管理 packages.microsoft.com 443 和 11371 TCP Microsoft 軟體套件伺服器。用來安全地下載 Microsoft Azure 命令列介面 (CLI) 軟體。
管理 azure.archive.ubuntu.com 80 TCP Ubuntu 軟體套件伺服器。供網繭相關的 Linux 型虛擬機器用於 Ubuntu 作業系統更新。
管理 api.snapcraft.io 443 TCP Ubuntu 軟體套件伺服器。供網繭的 Linux 型虛擬機器用於 Ubuntu 作業系統更新。
管理 archive.ubuntu.com 80 TCP Ubuntu 軟體套件伺服器。供網繭的 Linux 型虛擬機器用於 Ubuntu 作業系統更新。
管理 changelogs.ubuntu.com 80 TCP Ubuntu 軟體套件伺服器。供網繭的 Linux 型虛擬機器用於追蹤 Ubuntu 作業系統更新。
管理 security.ubuntu.com 80 TCP Ubuntu 軟體套件伺服器。供網繭的 Linux 型虛擬機器用於安全性相關的 Ubuntu 作業系統更新。
管理 根據您將網繭部署至哪個 Microsoft Azure 雲端而適用於下列其中一項:
  • Microsoft Azure (全域):login.microsoftonline.com
  • Microsoft Azure Germany:login.microsoftonline.de
  • Microsoft Azure China:login.chinacloudapi.cn
  • Microsoft Azure US Government:login.microsoftonline.us
443 TCP 應用程式通常會使用此網址來對 Microsoft Azure 服務進行驗證。如需 Microsoft Azure 說明文件中的部分說明,請參閱 OAuth 2.0 授權碼流程Azure Active Directory v2.0 和 OpenID Connect 通訊協定,以及國家雲端國家雲端主題將說明每個 Microsoft Azure 國家雲端為什麼有不同的 Azure AD 驗證端點。
管理 根據您將網繭部署至哪個 Microsoft Azure 雲端而適用於下列其中一項:
  • Microsoft Azure (全域):management.azure.com
  • Microsoft Azure Germany:management.microsoftazure.de
  • Microsoft Azure China:management.chinacloudapi.cn
  • Microsoft Azure US Government:management.usgovcloudapi.net
443 TCP 用於對 Microsoft Azure 資源管理員服務的網繭 API 要求,以使用 Microsoft Azure 資源管理員端點。Microsoft Azure 資源管理員提供一致性的管理層,以透過 Azure PowerShell、Azure CLI、Azure 入口網站、REST API 和用戶端 SDK 來執行工作。
管理 根據您將網繭部署至哪個 Microsoft Azure 雲端而適用於下列其中一項:
  • Microsoft Azure (全域):graph.windows.net
  • Microsoft Azure Germany:graph.cloudapi.de
  • Microsoft Azure China:graph.chinacloudapi.cn
  • Microsoft Azure US Government:graph.windows.net
443 TCP 存取 Azure Active Directory (Azure AD) 圖形 API,這會用於讓網繭透過 OData REST API 端點以程式設計方式存取 Azure Active Directory (Azure AD)。
管理 下列其中一項,具體取決於您將網繭部署至哪個 Microsoft Azure 雲端:
  • Microsoft Azure (全域):*.blob.core.windows.net
  • Microsoft Azure Germany:*.blob.core.cloudapi.de
  • Microsoft Azure China:*.blob.core.chinacloudapi.cn
  • Microsoft Azure US Government:*.blob.core.usgovcloudapi.net
443 TCP 用於讓網繭以程式設計方式存取 Azure Blob 儲存區。Azure Blob 儲存區是一種用來儲存大量非結構化物件資料 (例如文字或二進位資料) 的服務。
管理 下列其中一項,具體取決於您將網繭部署至哪個 Microsoft Azure 雲端:
  • Microsoft Azure (全域):*.vault.azure.net
  • Microsoft Azure Germany:*.vault.microsoftazure.de
  • Microsoft Azure China:*.vault.azure.cn
  • Microsoft Azure US Government:*.vault.usgovcloudapi.net
443 TCP 用於讓網繭具備以程式設計方式搭配使用 Azure Key Vault 雲端服務的能力。Azure Key Vault 是一種雲端服務,提供安全的密碼存放區。
管理 如果您的防火牆或網路安全性群組 (NSG) 支援使用服務標記,請執行下列其中一項:
  • 全域 Azure SQL 服務標記:Sql
  • 部署網繭所在 Azure 區域的區域特定 SQL 服務標記:Sql.region,例如 Sql.WestUS

如果您的防火牆或網路安全性群組 (NSG) 不支援使用服務標記,您可以使用資料庫的主機名稱。此名稱遵循 *.postgres.database.azure.com 模式。

5432 TCP 用於網繭與 Microsoft Azure PostgreSQL 資料庫伺服器的通訊。從 2019 年 9 月版本開始,在該發行日期之後新部署的網繭,以及更新為該版本的資訊清單版本的網繭,將會設定 Microsoft Azure PostgreSQL 資料庫伺服器。

如需安全群組中服務標記的相關資訊,請參閱 Microsoft Azure 說明文件中的服務標記主題。

管理 下列其中一個名稱,取決於您的 Horizon Cloud 租用戶帳戶中指定的區域控制平面執行個體。區域執行個體會在建立帳戶時進行設定,如部署和上架至適用於 Microsoft Azure 的 Horizon Cloud 和 Horizon 網繭中所述。
  • connector-azure-us.vmwarehorizon.com
  • connector-azure-eu.vmwarehorizon.com
  • connector-azure-aus.vmwarehorizon.com
  • connector-azure-jp.vmwarehorizon.com
  • connector-azure-uk.vmwarehorizon.com
  • connector-azure-de.vmwarehorizon.com

443 TCP Universal Broker服務的區域執行個體
  • 美國:connector-azure-us.vmwarehorizon.com
  • 歐洲:connector-azure-eu.vmwarehorizon.com
  • 澳大利亞:connector-azure-aus.vmwarehorizon.com
  • 日本:connector-azure-jp.vmwarehorizon.com
  • 英國:connector-azure-uk.vmwarehorizon.com
  • 德國:connector-azure-de.vmwarehorizon.com
租用戶 下列其中一個名稱,取決於哪個區域 DNS 名稱適用於您的帳戶。
  • d1mes20qfad06k.cloudfront.net
  • hydra-softwarelib-cdn.azureedge.net
443 TCP Horizon Cloud內容傳遞伺服器。在租用戶子網路上,系統自動匯入映像程序會使用此站台來下載代理程式相關軟體的安裝程式。

d1mes20qfad06k.cloudfront.net 對應於 cloud.horizon.vmware.com、cloud-eu-central-1.horizon.vmware.com、cloud-ap-southeast-2.horizon.vmware.com 的區域執行個體。

hydra-softwarelib-cdn.azureedge.net 對應於 cloud-us-2.horizon.vmware.com、cloud-eu-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com、cloud-jp.horizon.vmware.com、cloud-uk.horizon.vmware.com 的區域執行個體

租用戶 根據適用於您 Horizon Cloud 帳戶的區域控制平面:

北美:

  • kinesis.us-east-1.amazonaws.com
  • query-prod-us-east-1.cms.vmware.com

歐洲:

  • kinesis.eu-central-1.amazonaws.com
  • query-prod-eu-central-1.cms.vmware.com

澳大利亞:

  • kinesis.ap-southeast-2.amazonaws.com
  • query-prod-ap-southeast-2.cms.vmware.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com
  • query-prod-ap-northeast-1.cms.vmware.com

英國:

  • kinesis.eu-west-2.amazonaws.com
  • query-prod-eu-west-2.cms.vmware.com
443 TCP Cloud Monitoring Service (CMS)

Horizon Edge 虛擬應用裝置 DNS 需求

在網繭上啟用 Horizon 基礎結構監控時,將具現化您的 Microsoft Azure 訂閱中的 Linux 型 Horizon Edge 虛擬應用裝置Horizon Edge 虛擬應用裝置會部署至網繭的訂閱中,且具有網繭的管理子網路 (與該網繭的網繭管理員應用裝置相同的管理子網路) 上的 NIC。在下表中,列出的用途位於此虛擬應用裝置的內容。

備註: 此表格中沒有沒有如同上表具備 uk 的 DNS 名稱。如版本說明中所述,此 Horizon 基礎結構監控功能目前的可用性受到限制。
表 3. Horizon 基礎結構監控 DNS 需求
子網路來源 目的地 (DNS 名稱) 連接埠/通訊協定 用途
管理
  • azure.archive.ubuntu.com
  • archive.ubuntu.com
  • changelogs.ubuntu.com
  • security.ubuntu.com
80 和 443/TCP Ubuntu 軟體套件伺服器。供 Linux 型應用裝置用於 Ubuntu 作業系統更新。
管理
  • *.blob.core.windows.net
  • horizonedgeprod.azurecr.io
443/TCP 用於以程式設計方式存取 Azure Blob 儲存體。

用於從應用裝置模組所需的 DNS 位址下載 Docker 映像。

管理

*.azure-devices.net,或以下其中一個區域特定名稱,取決於適用您的租用戶帳戶的區域控制平面:

北美:

  • edgehubprodna.azure-devices.net

歐洲:

  • edgehubprodeu.azure-devices.net

澳大利亞:

  • edgehubprodap.azure-devices.net

日本:

  • edgehubprodjp.azure-devices.net
443/TCP 用於將應用裝置連線至 Horizon Cloud 控制平面、下載應用裝置模組的組態,以及更新應用裝置模組的執行階段狀態。
管理
  • *.docker.com
  • *.docker.io
  • docker.io
  • cloud.google.com
  • gcr.io
  • dl.k8s.io
  • k8s.gcr.io
  • storage.googleapis.com
  • cloud.weave.works
  • packages.cloud.google.com
  • apt.kubernetes.io
443/TCP 用於下載應用裝置所需的 Docker 二進位檔案和 Kubernetes 二進位檔案。
管理 根據適用於您租用戶帳戶的區域控制平面:

北美:

  • kinesis.us-east-1.amazonaws.com
  • sauron.horizon.vmware.com

歐洲:

  • kinesis.eu-central-1.amazonaws.com
  • sauron-eu.horizon.vmware.com

澳大利亞:

  • kinesis.ap-southeast-2.amazonaws.com
  • sauron-ap.horizon.vmware.com

日本:

  • kinesis.ap-northeast-1.amazonaws.com
  • sauron-jp.horizon.vmware.com
443/TCP 用於將應用裝置所收集的網繭監控資料傳送至 Horizon Cloud 控制平面。

網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定

《Horizon Cloud 部署指南》中所述,Jumpbox 虛擬機器用於網繭的初始建立,以及網繭環境上的後續軟體更新期間。建立網繭之後,即會刪除 Jumpbox 虛擬機器。然後,當網繭正在更新時,Jumpbox 虛擬機器會重新建立以執行該更新程序,並於更新完成時刪除。這類更新包括編輯網繭以新增 Unified Access Gateway 組態的情況。

備註: 在 Microsoft Azure 中使用 2019 年 9 月版本開始部署的新網繭,或更新為 2019 年 9 月版本資訊清單層級並啟用高可用性的網繭,會有兩個管理員虛擬機器。下列段落對「虛擬機器」一詞使用複數形式 (VMs),表示 Jumpbox 虛擬機器必須與網繭的所有管理員虛擬機器通訊,而無論僅有一個網繭還是有兩個網繭。

執行這些程序時,該 Jumpbox 虛擬機器會與下列目標進行通訊:

  • 網繭的管理員虛擬機器 (使用 SSH 連線至管理員虛擬機器的連接埠 22)。如此一來,在網繭部署程序與網繭更新程序期間,必須滿足 Jumpbox 虛擬機器和管理員虛擬機器連接埠 22 之間的通訊需求。作為來源的 Jumpbox 虛擬機器與作為目的地的管理員虛擬機器之間,必須允許管理員虛擬機器的連接埠 22。
  • Unified Access Gateway 虛擬機器 (使用 HTTPS 連線至這些虛擬機器的連接埠 9443,且使用 Unified Access Gateway 組態部署網繭,或編輯網繭以新增該組態)。如此一來,在網繭部署程序與網繭更新程序期間,如果網繭組態包含 Unified Access Gateway,則必須滿足 Jumpbox 虛擬機器和 Unified Access Gateway 虛擬機器連接埠 9443 之間的通訊需求。作為來源的 Jumpbox 虛擬機器與作為目的地的 Unified Access Gateway 虛擬機器之間,必須允許 Unified Access Gateway 虛擬機器的連接埠 9443。

由於系統會以動態方式為這些虛擬機器指派 IP 位址,因此應使用允許此通訊的網路規則:

  • 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 22、任何來源連接埠,以及通訊協定 TCP)。
  • 涉及 Unified Access Gateway 組態時,使用管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 9443、任何來源連接埠,以及通訊協定 TCP)。
備註: 進行中的網繭作業不需要在網繭的管理員虛擬機器上連接埠 22 的可用性。不過,如果您對 VMware 提出支援要求,而支援團隊判斷對該要求進行偵錯的方式,是將用於 SSH 通訊的 Jumpbox 虛擬機器部署至網繭的管理員虛擬機器,則在 VMware 支援團隊需要連接埠來偵錯問題的期間,您必須符合此連接埠需求。當有任何適用的支援情況時,VMware 支援團隊將會通知您相關需求。

當外部閘道部署在其本身的 VNet 中時:外部閘道組態的 Jumpbox 在閘道部署和更新期間所需的連接埠和通訊協定

《Horizon Cloud 部署指南》所述,在初次將外部閘道建立於其本身的 VNet 中時,以及後續在該閘道上進行軟體更新期間,會使用 Jumpbox 虛擬機器。將外部閘道建立於其本身的 VNet 中之後,即會刪除 Jumpbox 虛擬機器。然後,當外部閘道進行更新時,Jumpbox 虛擬機器會重新建立以執行該更新程序,並於更新完成後刪除。在編輯網繭以將外部閘道新增至其本身的 VNet 時,也會進行此類更新。

執行這些程序時,該 Jumpbox 虛擬機器會與下列目標進行通訊:

  • 進行這些程序時,該 Jumpbox 虛擬機器會使用 SSH 連至閘道連接器虛擬機器的連接埠 22 與該連接器虛擬機器進行通訊。因此,在進行閘道部署程序與更新程序期間,必須符合 Jumpbox 虛擬機器與連接器虛擬機器連接埠 22 之間的通訊需求。作為來源的 Jumpbox 虛擬機器與作為目的地的連接器虛擬機器之間,必須允許連接器虛擬機器的連接埠 22。
  • Unified Access Gateway 虛擬機器 (使用 HTTPS 連線至這些虛擬機器的連接埠 9443)。如此一來,在網繭部署程序與網繭更新程序期間,如果網繭組態包含 Unified Access Gateway,則必須滿足 Jumpbox 虛擬機器和 Unified Access Gateway 虛擬機器連接埠 9443 之間的通訊需求。作為來源的 Jumpbox 虛擬機器與作為目的地的 Unified Access Gateway 虛擬機器之間,必須允許 Unified Access Gateway 虛擬機器的連接埠 9443。

由於系統會以動態方式為這些虛擬機器指派 IP 位址,因此應使用允許此通訊的網路規則:

  • 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 22、任何來源連接埠,以及通訊協定 TCP)。
  • 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 9443、任何來源連接埠,以及通訊協定 TCP)。
備註: 進行中的網繭作業不需使用閘道連接器虛擬機器上的連接埠 22。不過,如果您對 VMware 提出支援要求,而支援團隊決定對該要求進行偵錯的方式,是將用於 SSH 通訊的 Jumpbox 虛擬機器部署至該閘道的連接器虛擬機器,則在 VMware 支援團隊需要以該連接埠來偵錯問題時,您必須符合此連接埠需求。當有任何適用的支援情況時,VMware 支援團隊將會通知您相關需求。