對於進行中的 Horizon Cloud 作業,在 2019 年 9 月版本之前部署於 Microsoft Azure 中的網繭具有的特定連接埠和通訊協定需求,不同於使用 2019 年 9 月版本的資訊清單版本部署的網繭,或是更新為 2019 年 9 月版本的資訊清單版本的網繭。在 2019 年 9 月版本之前部署的網繭,具有的資訊清單版本為 1493.1 或更早版本。
重要:
除了此處所述的連接埠和通訊協定之外,您還必須符合 DNS 需求。如需詳細資料,請參閱Microsoft 中 Horizon Cloud Pod 的 DNS 需求和相關服務功能。
如果您的網繭資訊清單為 1600.x 或更新版本,則連接埠和通訊協定需求會有所不同。請參閱使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud 網繭的連接埠和通訊協定需求。
資訊清單版本網繭的進行中作業所需的連接埠和通訊協定
除了 DNS 需求以外,網繭也需要下表中的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。
備註: 在此區段的表格中,管理員虛擬機器一詞是指網繭的管理員虛擬機器。在 Microsoft Azure 入口網站中,此虛擬機器的名稱會包含
vmw-hcs-podID 之類的部分 (其中的
podID 是網繭的 UUID),以及
node 部分。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 管理員虛擬機器 | 網域控制站 | 389 | TCP UDP |
LDAP 服務。在 Active Directory 組態中包含網域控制站角色的伺服器。網繭必須登錄至 Active Directory。 |
| 管理員虛擬機器 | 通用類別目錄 | 3268 | TCP | LDAP 服務。在 Active Directory 組態中包含通用類別目錄角色的伺服器。網繭必須登錄至 Active Directory。 |
| 管理員虛擬機器 | 網域控制站 | 88 | TCP UDP |
Kerberos 服務。在 Active Directory 組態中包含網域控制站角色的伺服器。網繭必須登錄至 Active Directory。 |
| 管理員虛擬機器 | DNS 伺服器 | 53 | TCP UDP |
DNS 服務。 |
| 管理員虛擬機器 | NTP 伺服器 | 123 | UDP | NTP 服務。提供 NTP 時間同步化的伺服器。 |
| 管理員虛擬機器 | True SSO 註冊伺服器 | 32111 | TCP | True SSO 註冊伺服器。如果您並未對網繭使用 True SSO 註冊伺服器功能,則此為選用項目。 |
| 管理員虛擬機器 | Workspace ONE Access 服務 | 443 | HTTPS |
備註: 此資料列適用於具有單一網繭代理組態的環境。此資訊不適用於具有 Universal Broker 組態的環境。在由單一網繭代理設定的環境中,
Workspace ONE Access Connector 會與網繭通訊以取得使用者權利 (指派)。Universal Broker 功能適用於資訊清單 2298 及更新版本的網繭,而不適用於舊版資訊清單。
如果您並未將 Workspace ONE Access 與網繭整合,則此為選用項目。在單一網繭代理設定的環境中,此連線會用來建立網繭與 Workspace ONE Access 服務之間的信任關係,Workspace ONE Access Connector 則會與網繭同步。請確定網繭可在連接埠 443 上連線至您所使用的 Workspace ONE Access 環境。當您使用 Workspace ONE Access 雲端服務時,也請在 VMware 知識庫文章 2149884 中,參閱 Workspace ONE Access Connector 和網繭必須能夠存取的 Workspace ONE Access 服務 IP 位址的清單。 |
| 暫時性 Jumpbox 虛擬機器 | 管理員虛擬機器 | 22 | TCP | 如網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定中所述,在網繭部署和網繭更新程序期間會使用暫時性的 Jumpbox。即使進行中的程序不需要這些連接埠,在網繭部署和網繭更新程序期間,此 Jumpbox 虛擬機器必須使用 SSH 連至管理員虛擬機器的連接埠 22 來與網繭的管理員虛擬機器進行通訊。如需有關 Jumpbox 虛擬機器需要此通訊之案例的詳細資料,請參閱網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定。 |
必須開啟哪些連接埠,讓來自使用者連線的流量能夠到達其網繭佈建的虛擬桌面和遠端應用程式,取決於您為使用者連線方式所做的選擇:
- 如果您選擇具有外部閘道組態的選項,則系統會在 Microsoft Azure 環境中自動部署 Unified Access Gateway 執行個體,並將 Microsoft Azure 負載平衡器資源部署至在其後端集區中的那些執行個體。該負載平衡器會與 DMZ 子網路上這些執行個體的 NIC 通訊,並設定為 Microsoft Azure 中的公用負載平衡器。圖表 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與網繭相同之 VNet 中的外部閘道、外部閘道虛擬機器上有三個 NIC、內部閘道虛擬機器上有兩個 NIC,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構 說明此公用負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的網繭具有此組態時,來自網際網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到負載平衡器。針對部署的網繭,外部閘道的負載平衡器會位於名為
vmw-hcs-podID-uag的資源群組中,其中 podID 為網繭的 UUID。 - 如果您選擇具有內部 Unified Access Gateway 組態的選項,則系統會在 Microsoft Azure 環境中自動部署 Unified Access Gateway 執行個體,並將 Microsoft Azure 負載平衡器資源部署至在其後端集區中的那些執行個體。該負載平衡器會與租用戶子網路上這些執行個體的 NIC 通訊,並設定為 Microsoft Azure 中的內部負載平衡器。圖表 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與網繭相同之 VNet 中的外部閘道、外部閘道虛擬機器上有三個 NIC、內部閘道虛擬機器上有兩個 NIC,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構 說明此內部負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的網繭具有此組態時,來自公司網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到負載平衡器。針對部署的網繭,內部閘道的負載平衡器會位於名為
vmw-hcs-podID-uag-internal的資源群組中,其中 podID 為網繭的 UUID。 - 如果您並未選擇任一 Unified Access Gateway 組態,則您可以改為讓使用者直接連線至網繭,例如使用 VPN。在此組態中,您需要在管理主控台中使用網繭摘要頁面上傳 SSL 憑證至網繭的管理員虛擬機器,如《VMware Horizon Cloud Service 管理指南》中所述。
如需使用者可用於 Horizon Cloud網繭之各種 Horizon Client 的相關詳細資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Horizon-Client/index.html 的 Horizon Client 說明文件頁面。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向 (MMR)、USB 重新導向,以及通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指南》中的〈瞭解什麼是 URL 內容重新導向〉主題。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 4172 | TCP UDP |
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | UDP | 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 | UDP | 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | HTML Access |
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向 (MMR)、USB 重新導向,以及通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指南》中的〈瞭解什麼是 URL 內容重新導向〉主題。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 4172 | TCP UDP |
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | UDP | 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 | UDP | 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | HTML Access |
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 管理員虛擬機器 | 443 | TCP | 登入驗證流量 |
| Horizon Client | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 4172 | TCP UDP |
PCoIP |
| Horizon Client | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme |
| Horizon Client | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 32111 | TCP | USB 重新導向 |
| Horizon Client | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 9427 | TCP | 用戶端磁碟機重新導向 (CDR) 和多媒體重新導向 (MMR) |
| 瀏覽器 | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 443 | TCP | HTML Access |
如果連線使用以 Unified Access Gateway 執行個體設定的網繭,則必須允許從網繭之 Unified Access Gateway 執行個體傳輸至目標的流量,如下表所列。在網繭部署期間,系統會在您的 Microsoft Azure 環境中建立網路安全性群組 (NSG),供網繭的 Unified Access Gateway 軟體使用。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Unified Access Gateway | 管理員虛擬機器 | 443 | TCP | 登入驗證流量 |
| Unified Access Gateway | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 4172 | TCP UDP |
PCoIP |
| Unified Access Gateway | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme 依預設,在使用 Blast Extreme 時,用戶端磁碟機重新導向 (CDR) 流量和 USB 流量會在此連接埠中進行旁通道傳輸。如果您想改用其他方式,可以將 CDR 流量區隔至 TCP 9427 連接埠,並將 USB 重新導向流量區隔至 TCP 32111 連接埠。 |
| Unified Access Gateway | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 9427 | TCP | 用戶端驅動程式重新導向 (CDR) 和多媒體重新導向 (MMR) 流量的選用項目。 |
| Unified Access Gateway | 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 32111 | TCP | USB 重新導向流量的選用項目。 |
| Unified Access Gateway | 您的 RADIUS 執行個體 | 1812 | UDP | 使用 RADIUS 雙因素驗證搭配該 Unified Access Gateway 組態時。RADIUS 的預設值顯示如下。 |
下列連接埠必須允許從安裝在桌面虛擬機器和伺服器陣列伺服器虛擬機器中的 Horizon Agent 相關軟體傳輸流量。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 管理員虛擬機器 | 4001 | TCP | 當代理程式尚未與網繭配對時,虛擬機器中代理程式所使用的 Java Message Service (JMS、非 SSL)。代理程式會與網繭進行通訊,以取得與網繭配對所需的資訊。代理程式進行配對之後,它會使用連接埠 4002 與網繭進行通訊。 |
| 桌面或伺服器陣列的伺服器虛擬機器中的 Horizon Agent | 管理員虛擬機器 | 4002 | TCP | 當代理程式已與網繭配對時,代理程式用來與網繭進行通訊的 Java Message Service (JMS、SSL)。 |
| 桌面或伺服器陣列伺服器虛擬機器中的 FlexEngine 代理程式 (VMware Dynamic Environment Manager 的代理程式) | 您設定以供桌面或伺服器陣列伺服器虛擬機器中的執行中 FlexEngine 代理程式使用的檔案共用 | 445 | TCP | FlexEngine 代理程式會存取 SMB 檔案共用 (如果您使用 VMware Dynamic Environment Manager 功能)。 |
隨著網繭部署程序,部署工具會在所有已部署虛擬機器的網路介面 (NIC) 上建立網路安全性群組 (NSG)。如需在這些 NSG 中定義之規則的詳細資料,請參閱 Horizon Cloud 管理指南。
備註: 我們不會在 Horizon Cloud 知識庫 (KB) 文章列出 DNS 名稱、IP 位址、連接埠和通訊協定,而是在此處提供它們以作為核心 Horizon Cloud 說明文件的一部分。
