若要從第一代 Horizon Cloud on Microsoft Azure 部署的第 0 天開始成功運作,您必須確定本說明文件頁面中所述的主機名稱皆能使用本頁面的表格中所識別的特定連接埠和通訊協定,從管理和租用戶子網路進行解析和存取。
關於此頁面
如 VMware 知識庫文章 93762 中所述,Horizon 基礎結構監控功能已棄用。從 2023 年 10 月起,已從此頁面中移除與該棄用功能相關的連接埠和通訊協定資訊。
在您登入您的環境並查看 Horizon Universal Console 標籤後,瀏覽器 URL 欄位中顯示的模式可指出您擁有的是下一代環境還是第一代環境。對於下一代環境,主控台的 URL 位址會包含類似 /hcsadmin/ 的部分。第一代主控台的 URL 則具有不同的內容 (/horizonadmin/)。
簡介
本頁面之所以同時包含「DNS 名稱」和「主機名稱」這兩個名詞,是因為 DNS 是用於解析主機名稱的網路標準,以在這些主機名稱之間進行通訊。
主機名稱是指派給指定網路上的機器執行個體的唯一名稱。如軟體網路產業所述,系統使用網域名稱系統 (DNS) 將主機名稱解析為其 IP 位址,以用於通訊目的。
網繭部署程序要求所部署的執行個體必須透過部署選取的 VNet,與本頁面中所述的主機名稱 (DNS 名稱) 進行網路通訊。
當網繭成功部署在訂閱中之後,各種日常服務作業都需要對特定主機名稱進行網路存取,而當有新軟體可用時,用來更新網繭軟體的網繭更新程序也需這樣做。
本頁面介紹了相關需求。本頁面有時會交替使用「DNS 名稱」和「主機名稱」這兩個詞。
一些首要的重點
- 關於這些必要的 DNS 名稱
-
部署並執行
Horizon Cloud Pod 時,需要經由 Microsoft Azure VNet 對特定 DNS 位址進行網路存取。為了使網繭部署工具正常運作,您必須將防火牆設定為允許對這些位址進行網路存取。下表說明每個 DNS 位址的用途。
除了允許與這些 DNS 位址進行網路通訊以外,您的 VNet 上的 DNS 組態還必須能解析本文章中所述的名稱。
當您選取對應選項,以將外部閘道部署在其本身 VNet (與網繭管理員的 VNet 不同) 時,該 VNet 的子網路必須符合與網繭管理員的 VNet 管理子網路相同的 DNS 需求。
除了網繭部署工具及其工作流程,各種服務功能需要對特定的 DNS 位址的存取權,這些功能才能在端對端上運作。下表也提供這些 DNS 名稱。
其中部分 DNS 名稱具有區域元素。
如在 VMware 生態系統內緊密整合中所述,您可以將 Horizon Cloud 與更廣泛的 VMware 生態系統中提供的其他產品搭配使用。那些其他產品可能具有其他 DNS 需求。此處未詳細說明此類其他 DNS 需求。如需此類 DNS 需求,請參閱您將與網繭整合之特定產品的說明文件集。
- 關於部署網繭後的連接埠和通訊協定,適用於進行中的服務相關作業
- 網繭成功部署後,進行中的 Horizon Cloud 作業將需要特定連接埠和通訊協定。如需詳細資料,請參閱 第一代租用戶 - Horizon Cloud Pod - 連接埠和通訊協定需求。
第一代租用戶 - 區域控制平面 DNS 名稱
您的「歡迎使用 Horizon 服務」電子郵件將會指出您的租用戶帳戶是在哪個區域控制平面執行個體中建立的。由於將歡迎電子郵件傳送給您時存在已知問題,您收到的電子郵件可能會顯示用於區域的系統字串名稱,而非可讓您理解的名稱。如果您在歡迎電子郵件中看到系統字串名稱,則可以使用下表將電子郵件中顯示的名稱與區域控制平面 DNS 名稱產生關聯。
| 您的歡迎電子郵件會指出 | 區域 DNS 名稱 |
|---|---|
USA |
cloud.horizon.vmware.com |
EU_CENTRAL_1 或 Europe |
cloud-eu-central-1.horizon.vmware.com |
AP_SOUTHEAST_2 或 Australia |
cloud-ap-southeast-2.horizon.vmware.com |
PROD1_NORTHCENTRALUS2_CP1 或 USA-2 |
cloud-us-2.horizon.vmware.com |
PROD1_NORTHEUROPE_CP1 或 Europe-2 |
cloud-eu-2.horizon.vmware.com |
PROD1_AUSTRALIAEAST_CP1 或 Australia-2 |
cloud-ap-2.horizon.vmware.com |
Japan |
cloud-jp.horizon.vmware.com |
UK |
cloud-uk.horizon.vmware.com |
Europe-3 |
cloud-de.horizon.vmware.com |
主機名稱、首要網繭部署程序的 DNS 需求、網繭更新、各種服務功能的啟用,以及進行中的作業
若要在端對端成功使用服務功能,您必須確定下列主機名稱皆能使用下表所指出的特定連接埠和通訊協定,從管理和租用戶子網路進行解析和存取。需要能夠存取特定主機名稱的一些服務功能包括:
- 自動將網繭管理員型網繭部署至 Microsoft Azure 訂閱的網繭部署工具
- 將網繭的軟體更新至更新軟體版本的網繭更新功能
- 使用從 Marketplace 匯入精靈的匯入映像程序
- 代理程式相關功能,例如自動化代理程式更新 (AAU)
- Universal Broker
- 與 Cloud Monitoring Service (CMS) 相關的功能
- 尤其最適用於網繭部署和網繭更新
-
您必須確定下列主機名稱皆能使用下表所指出的特定連接埠和通訊協定,從管理和租用戶子網路進行解析和存取。這些工作流程中使用的應用裝置會使用特定的輸出連接埠,以將這些程序所需的軟體安全地下載到您的 Microsoft Azure 環境中。系統也會使用這些 DNS 名稱,讓適當的工作流程相關應用裝置可以與雲端控制平面進行通訊。
針對新的網繭部署,您必須設定網路防火牆、網路安全性群組 (NSG) 規則和 Proxy 伺服器,讓重要部署相關的應用裝置能夠在其所需的連接埠上連線 DNS 位址。否則,網繭部署程序將會失敗。
- 使用該功能將外部閘道部署至其本身的 VNet 時
- 該 VNet 中的管理子網路必須符合下表中針對網繭 VNet 中管理子網路所述的相同 DNS 需求。外部閘道 VNet 的後端子網路和 DMZ 子網路沒有特定的 DNS 需求。
- 使用外部閘道和/或內部閘道部署網繭時
- 您必須上傳網繭部署工具將在這些閘道組態中設定的憑證。如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定,則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在 Unified Access Gateway 閘道組態中設定您提供的憑證期間, Unified Access Gateway 軟體將會連線至這些 DNS 名稱,以檢查憑證的撤銷狀態。如果無法連線到這些 DNS 名稱,網繭部署將會在其 連線階段失敗。這些名稱高度依存於您用來取得憑證的 CA,因此不會由 VMware 控制。
- 計劃使用 App Volumes on Azure 功能時
- 網繭部署工具會佈建一個 Azure 儲存區帳戶,以便在網繭管理員的資源群組中,供網繭的 App Volumes on Azure 功能使用。在佈建之後,Azure 雲端會為該儲存區帳戶指派一個模式為 *.file.core.windows.net 的完整網域名稱 (FQDN),其中 * 是 Azure 產生的儲存區帳戶名稱。此 FQDN 必須可讓您的 DNS 伺服器解析,以便 App Volumes 能夠存取和掛接以該儲存區帳戶為基礎的檔案共用,並提供 App Volumes 功能。您必須確定 DNS 伺服器始終都會針對在網繭管理員執行個體中執行的 App Volumes Manager 程序以及在 VDI 桌面中執行的 App Volumes Agent,解析該 FQDN。此端點是 Microsoft Azure 雲端環境中的 Microsoft Azure 端點,並且會在 Microsoft Azure 雲端空間中直接連線。
以租用戶範圍為基礎套用的新網繭部署、網繭更新和服務作業的 DNS 需求
下表說明適用於租用戶範圍的新網繭部署、網繭更新和服務作業的 DNS 需求。
從 2021 年初開始,由於對服務之區域控制平面執行個體的升級,任何區域控制平面執行個體皆不再需要 d1mes20qfad06k.cloudfront.net DNS 名稱。所有區域控制平面執行個體現在會使用 hydra-softwarelib-cdn.azureedge.net DNS 名稱。下表的內容與目前的實際情況一致。
| 子網路來源 | 目的地 (DNS 名稱) | 連接埠 | 通訊協定 | Proxy 流量 (如果在部署中設定) | 用途 |
|---|---|---|---|---|---|
| 管理 | 下列其中一個名稱,取決於您的 Horizon Cloud 租用戶帳戶中指定的區域控制平面執行個體。區域執行個體會在建立帳戶時進行設定,如部署和上架至適用於 Microsoft Azure 的 Horizon Cloud 和 Horizon 網繭中所述。
|
443 | TCP | 是 | 區域控制平面執行個體
|
| 管理 | softwareupdate.vmware.com | 443 | TCP | 是 | VMware 軟體套件伺服器。用來下載系統映像相關作業中所使用代理程式相關軟體的更新。 |
| 管理 | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | 否 網繭管理員和 Unified Access Gateway 二進位檔資訊清單會儲存在此,並從這裡提供服務。只有在網繭和閘道部署及升級期間,才會使用這些資訊清單。與此端點的連線設定為直接連線,而不透過 Proxy。 |
Horizon Cloud內容傳遞伺服器。在管理子網路上,服務會使用此站台來下載網繭基礎結構所用的必要二進位檔。 |
| 管理 | packages.microsoft.com | 443 和 11371 | TCP | 否 此站台不在應用程式和服務範圍內。因此,連線不使用所設定的 Proxy。 此端點是 Microsoft Azure 雲端環境中的 Microsoft Azure 端點,並且會在 Microsoft Azure 雲端空間中直接連線。 |
Microsoft 軟體套件伺服器。用來安全地下載 Microsoft Azure 命令列介面 (CLI) 軟體。 |
| 管理 | azure.archive.ubuntu.com | 80 | TCP | 否 此站台不在應用程式和服務範圍內。因此,連線不使用所設定的 Proxy。 此端點是 Microsoft Azure 雲端環境中的 Microsoft Azure 端點,並且會在 Microsoft Azure 雲端空間中直接連線。 |
Ubuntu 軟體套件伺服器。供網繭相關的 Linux 型虛擬機器用於 Ubuntu 作業系統更新。 |
| 管理 | api.snapcraft.io | 443 | TCP | 否 此端點不在應用程式和服務範圍內。連線不使用所設定的 Proxy。 |
Ubuntu 軟體套件伺服器。網繭管理員和 Unified Access Gateway 執行個體會執行 Ubuntu 作業系統。這些 Ubuntu 作業系統設定為從這個 Ubuntu 站台取得這些 Ubuntu 作業系統的更新。 |
| 管理 | archive.ubuntu.com | 80 | TCP | 否 此端點不在應用程式和服務範圍內。連線不使用所設定的 Proxy。 |
Ubuntu 軟體套件伺服器。網繭管理員和 Unified Access Gateway 執行個體會執行 Ubuntu 作業系統。這些 Ubuntu 作業系統設定為從這個 Ubuntu 站台取得這些 Ubuntu 作業系統的更新。 |
| 管理 | changelogs.ubuntu.com | 80 | TCP | 否 此站台不在應用程式和服務範圍內。因此,連線不使用所設定的 Proxy。 |
Ubuntu 軟體套件伺服器。網繭管理員和 Unified Access Gateway 執行個體會執行 Ubuntu 作業系統。這些 Ubuntu 作業系統設定為使用此 Ubuntu 站台來追蹤 Ubuntu 作業系統更新。 |
| 管理 | security.ubuntu.com | 80 | TCP | 否 此端點不在應用程式和服務範圍內。連線不使用所設定的 Proxy。 |
Ubuntu 軟體套件伺服器。網繭管理員和 Unified Access Gateway 執行個體會執行 Ubuntu 作業系統。這些 Ubuntu 作業系統設定為使用此 Ubuntu 站台來取得與安全性相關的 Ubuntu 作業系統更新。 |
| 管理 | esm.ubuntu.com | 80 和 443 | TCP | 否 此端點不在應用程式和服務範圍內。連線不使用所設定的 Proxy。 |
Ubuntu 軟體套件伺服器。網繭管理員和 Unified Access Gateway 執行個體會執行 Ubuntu 作業系統。這些 Ubuntu 作業系統設定為使用此 Ubuntu 站台來追蹤 Ubuntu 型作業系統和擴充基礎結構中,高度和嚴重 CVE (常見漏洞與暴露) 的安全性更新。 |
| 管理 | 根據您將網繭部署至哪個 Microsoft Azure 雲端而適用於下列其中一項:
|
443 | TCP | 是 | 應用程式通常會使用此網址來對 Microsoft Azure 服務進行驗證。如需 Microsoft Azure 說明文件中的部分說明,請參閱 OAuth 2.0 授權碼流程、Azure Active Directory v2.0 和 OpenID Connect 通訊協定,以及國家雲端。國家雲端主題將說明每個 Microsoft Azure 國家雲端為什麼有不同的 Azure AD 驗證端點。 |
| 管理 | 根據您將網繭部署至哪個 Microsoft Azure 雲端而適用於下列其中一項:
|
443 | TCP | 是 | 用於對 Microsoft Azure 資源管理員服務的網繭 API 要求,以使用 Microsoft Azure 資源管理員端點。Microsoft Azure 資源管理員提供一致性的管理層,以透過 Azure PowerShell、Azure CLI、Azure 入口網站、REST API 和用戶端 SDK 來執行工作。 |
| 管理 | 根據您將網繭部署至哪個 Microsoft Azure 雲端而適用於下列其中一項:
|
443 | TCP | 是 | 存取 Azure Active Directory (Azure AD) 圖形 API,這會用於讓網繭透過 OData REST API 端點以程式設計方式存取 Azure Active Directory (Azure AD)。 |
| 管理 | 如果您的防火牆或網路安全性群組 (NSG) 支援使用服務標記,請執行下列其中一項:
如果您的防火牆或網路安全性群組 (NSG) 不支援使用服務標記,您可以使用資料庫的主機名稱。此名稱遵循 *.postgres.database.azure.com 模式。 |
5432 | TCP | 否 此端點是 Microsoft Azure 雲端環境中的 Microsoft Azure PostgreSQL 資料庫服務。此連線會在 Microsoft Azure 雲端空間中直接進行。 |
用於網繭與為此 Horizon Cloud on Microsoft Azure 部署設定的 Microsoft Azure PostgreSQL 資料庫服務進行的通訊。 如需安全群組中服務標記的相關資訊,請參閱 Microsoft Azure 說明文件中的服務標記主題。 |
| 管理 | 下列其中一個名稱,取決於您的 Horizon Cloud 租用戶帳戶中指定的區域控制平面執行個體。區域執行個體會在建立帳戶時進行設定,如部署和上架至適用於 Microsoft Azure 的 Horizon Cloud 和 Horizon 網繭中所述。
|
443 | TCP | 是 | Universal Broker服務的區域執行個體
|
| 管理 | 根據適用於您 Horizon Cloud 帳戶的區域控制平面:
|
443 | TCP | 是 | Cloud Monitoring Service (CMS) |
| 管理 |
|
443 | TCP | 否 | *.blob.core.windows.net 端點用於以程式設計方式存取 Azure Blob 儲存區。此端點是 Microsoft Azure 雲端環境中的 Microsoft Azure 端點,該端點的通訊會直接在 Microsoft Azure 雲端空間內進行。 sauron-jp.horizon.vmware.com 端點可讓 VMware 監控系統,以偵測 VMware 受管理執行個體上的安全性事件。啟用 VMware 對已部署執行個體的管理責任,會強制要求 VMware 系統對這些執行個體進行監控。 |
| 租用戶 | hydra-softwarelib-cdn.azureedge.net | 443 | TCP | 否 | Horizon Cloud內容傳遞伺服器。在租用戶子網路上,此站台由各種與系統映像相關的處理程序所使用,包括系統的自動 [從 Marketplace 匯入映像] 工作流程以及代理程式配對工作流程中所涉及的處理程序。 |
| 租用戶 | scapi.vmware.com | 443 | TCP | 否 | VMware Cloud Services,用於 VMware 服務使用量資料計劃。從租用戶子網路輸出後,網繭佈建的桌面執行個體和伺服器陣列執行個體中的 Horizon Agent,會傳送代理程式的相關組態資訊。 |
| 租用戶 | *.file.core.windows.net | 445 | TCP | 否 此端點是 Microsoft Azure 雲端環境內的 Microsoft Azure 檔案儲存服務。此連線會在 Microsoft Azure 雲端空間中直接進行。 |
用於 App Volumes on Azure 功能。用來以程式設計方式存取網繭管理員資源群組中的 SMB 檔案共用,以便存取儲存在該 SMB 檔案共用中的 App Volumes AppStack。 |
強制性 VMware 系統監控需求 - monitor.horizon.vmware.com
本節中所述的強制性需求能夠使 VMware 監控系統,偵測 VMware 受管理執行個體 (部署於 Horizon Cloud on Microsoft Azure 部署的管理、租用戶和 DMZ 子網路) 上的安全事件。
對於 Horizon Cloud on Microsoft Azure 部署,VMware 可控制和管理部署中的下列資源:網繭管理員執行個體、Unified Access Gateway 執行個體、與 App Volumes 相關的 Azure 檔案、Azure PostgreSQL 服務,以及與支援相關的 Jumpbox 執行個體 (對各種情況進行疑難排解時需要)。
VMware 對已部署執行個體的管理責任,強制要求 VMware 系統對這些執行個體進行監控。
此強制性 VMware 系統監控會要求您符合下述需求。
概括來講,部署的執行個體必須能在連接埠 1514 (TCP 和 UDP) 和連接埠 1515 (TCP 和 UDP) 上,輸出連線至主機名稱 monitor.horizon.vmware.com。
- 當網路啟用了 SSL 檢查時適用的需求
- 在網路上啟用 SSL 檢查後,必須指定排除主機 monitor.horizon.vmware.com。
- 當部署具有內部閘道組態時適用的需求
-
您必須遵循
知識庫文章 90145 中的所有步驟和資訊,為內部閘道組態建立輸出通訊。請遵循知識庫文章所述內容,包括文章末尾的最後注意事項。
然後,如果您在進行輸出通訊時還要使用 Proxy 或防火牆,則必須符合使用 Proxy 或防火牆進行輸出通訊時適用的下列需求。
- 使用 Proxy 或防火牆進行輸出通訊時適用的需求
-
當您使用 Proxy 或防火牆進行輸出通訊時,您必須允許在 Proxy 或防火牆上進行通訊,如下所示:
- 商業環境 - 允許在 1514 (TCP 和 UDP) 和 1515 (TCP 和 UDP) 上存取主機名稱 monitor.horizon.vmware.com
- 美國聯邦環境 - 請向 VMware 聯邦支援團隊開立案例,以要求監控系統主機名稱。
在此類環境中,您必須允許下列來源進行上述通訊:
- 管理 - 網繭管理員執行個體
- DMZ - 外部閘道組態的 Unified Access Gateway 執行個體
- 租用戶 - 內部閘道組態的 Unified Access Gateway 執行個體
備註: 當部署具有內部閘道組態時,您必須符合前述適用於內部閘道組態的要求,相關步驟位於 知識庫文章 90145。
如果需要作用中支援要求、暫時性 Jumpbox 連接埠和通訊協定
如果您向 VMware 提出支援要求,而支援團隊決定處理該要求的作法是,部署一個暫時性 Jumpbox 虛擬機器,來與 VMware 管理的應用裝置進行 SSH 通訊,則該 Jumpbox 需要使用這裡所述的連接埠和通訊協定。
對於與支援相關的 Jumpbox 部署,會向您求取相關權限。當有任何適用的支援情況時,VMware 支援團隊將會通知您相關需求。
依照設計,這種與支援相關的 Jumpbox 虛擬機器旨在作為來源,來與以下目的地通訊:
- 使用 SSH 來存取網繭的網繭管理員虛擬機器連接埠 22。
- 使用 HTTPS 來存取 Unified Access Gateway 虛擬機器連接埠 9443。
- 在外部閘道部署於其本身 VNet 中的部署,使用 SSH 來存取閘道連接器虛擬機器的連接埠 22。
由於這些虛擬機器的 IP 位址是動態指派的,因此以下網路規則允許所述的通訊。在支援請求活動期間,一律會向「VMware 支援」尋求指導和監督,以瞭解支援相關 Jumpbox 部署的需求。
- 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 22、任何來源連接埠,以及通訊協定 TCP)。
- 涉及 Unified Access Gateway 組態時,使用管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 9443、任何來源連接埠,以及通訊協定 TCP)。
