此頁面提供典型第一代 Horizon Cloud Service on Microsoft Azure 部署內所有可用於通訊的連接埠和通訊協定,以供您參考。使用這些表格,可確保您的網路組態和防火牆允許通訊流量,讓網繭部署和日常作業得以順利執行。
關於此頁面
特定部署所需的特定連接埠和通訊協定有一部分取決於您選擇用於 Horizon Cloud Service on Microsoft Azure 部署的功能。如果您不打算使用特定的元件或通訊協定,則其所需的通訊流量對您而言不是必要的,因此您可以忽略與該元件相關聯的連接埠。例如,如果您的使用者僅使用 Blast Extreme 顯示通訊協定,則不需要允許 PCoIP 連接埠。
網路流量必須連線至特定的主機名稱。如果將部署設定為使用 Proxy,則有些網路服務應使用 Proxy,而其他網路服務應直接連線。如需可傳輸至主機名稱之網路流量的詳細資料,請參閱第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱。
如需 VMware 產品支援的其他連接埠的相關資訊,請移至 VMware Ports and Protocols。
隨著網繭部署程序,部署工具會在所有已部署虛擬機器的網路介面 (NIC) 上建立網路安全性群組 (NSG)。如需關於那些 NSG 中所定義規則的詳細資料,請參閱適用於 Horizon Cloud Pod 中虛擬機器的預設網路安全性群組規則。
用於進行中作業之主要網繭元件所需的連接埠和通訊協定
除了 DNS 需求以外,下表列出網繭所需的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。其中的部分表格也會列出特定案例或您在網繭上啟用特定功能時所需的連接埠和通訊協定。
在 Microsoft Azure 入口網站中,此網繭管理員虛擬機器的名稱會包含 vmw-hcs-podID 之類的部分 (其中的 podID 是網繭的 UUID),以及 node 部分。
從 2019 年 9 月服務版本的資訊清單 1600 起,系統將 Microsoft Azure 負載平衡器與網繭管理員虛擬機器搭配使用。因此,從資訊清單 1600 起,新部署的所有網繭都具有網繭 Microsoft Azure 負載平衡器。如果網繭是在資訊清單 1600 之前第一次部署,且之後更新至更新資訊清單版本,也會具有網繭 Microsoft Azure 負載平衡器。提及網繭負載平衡器的資料表列適用於所有這類網繭。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 網繭管理員虛擬機器 | 網繭的另一個網繭管理員虛擬機器 | 4101 | TCP | 此流量是網繭管理員虛擬機器之間的 JMS 路由。 |
| 網繭管理員虛擬機器 | Unified Access Gateway 虛擬機器 | 9443 | HTTPS | 網繭管理員虛擬機器會透過管理子網路使用此連接埠,以設定網繭 Unified Access Gateway 組態中的設定。當您初次使用 Unified Access Gateway 組態部署網繭時,以及編輯網繭以新增 Unified Access Gateway 組態或更新該 Unified Access Gateway 組態的設定時,皆適用此連接埠需求。 |
| 網繭的 Microsoft Azure 負載平衡器 | 網繭管理員虛擬機器 | 8080 | HTTP | 負載平衡器的後端集區中虛擬機器的健全狀況檢查。 對於在 v2204 版本之前部署的網繭,如果未設定高可用性切換且尚未新增高可用性,負載平衡器的後端集區會有一個網繭管理員虛擬機器需要檢查。 |
| 網繭管理員虛擬機器 | 網域控制站 | 389 | TCP UDP |
必須將您的 Horizon Cloud 租用戶登錄至 Active Directory。在上架第一個網繭後,必須執行主控台的 [登錄 AD 網域] 工作流程。 如果會在該工作流程中指定 LDAP,則 LDAP 服務需要此連接埠。LDAP 是大多數租用戶的預設通訊協定。 目標是伺服器,且其含有 Active Directory 組態中的網域控制站角色。 |
| 網繭管理員虛擬機器 | 通用類別目錄 | 3268 | TCP | 必須將您的 Horizon Cloud 租用戶登錄至 Active Directory。在上架第一個網繭後,必須執行主控台的 [登錄 AD 網域] 工作流程。 如果 LDAP 會是該工作流程中指定的通訊協定,則 LDAP 服務需要此連接埠。LDAP 是大多數租用戶的預設通訊協定。 目標是伺服器,且其含有 Active Directory 組態中的全域目錄角色。 |
| 網繭管理員虛擬機器 | 網域控制站 | 88 | TCP UDP |
Kerberos 服務。目標是伺服器,且其含有 Active Directory 組態中的網域控制站角色。網繭必須登錄至 Active Directory。 |
| 網繭管理員虛擬機器 | 網域控制站 | 636、3269 | TCP | 必須將您的 Horizon Cloud 租用戶登錄至 Active Directory。在上架第一個網繭後,必須執行主控台的 [登錄 AD 網域] 工作流程。 只有在 LDAPS 將成為該已登錄 AD 之組態中指定的通訊協定時,基於 SSL 的 LDAP (LDAPS) 服務才需要這些連接埠。只有在您的租用戶支援使用服務的 LDAPS 功能時,才能將 LDAPS 指定給已登錄的 AD。否則,依預設,需要使用 LDAP。 |
| 網繭管理員虛擬機器 | DNS 伺服器 | 53 | TCP UDP |
DNS 服務。 |
| 網繭管理員虛擬機器 | NTP 伺服器 | 123 | UDP | NTP 服務。提供 NTP 時間同步化的伺服器。 |
| 網繭管理員虛擬機器 | True SSO 註冊伺服器 | 32111 | TCP | True SSO 註冊伺服器。如果將 True SSO 與 Horizon 網繭搭配使用,則需要使用該伺服器。 32111 是安裝註冊伺服器時使用的預設連接埠。在註冊伺服器安裝程序期間,可以根據您的需求來設定此連接埠號碼。 另請參閱本主題中的 True SSO 和憑證管理以及 Horizon Cloud on Microsoft Azure 部署 一節。 |
| 網繭管理員虛擬機器 | Workspace ONE Access 服務 | 443 | HTTPS |
備註: 此資料列適用於具有單一網繭代理組態的環境。此資訊不適用於具有 Universal Broker 組態的環境。在由單一網繭代理設定的環境中,
Workspace ONE Access Connector 會與網繭通訊以取得使用者權利 (指派)。
如果您並未將 Workspace ONE Access 與網繭整合,則此為選用項目。在單一網繭代理設定的環境中,此連線會用來建立網繭與 Workspace ONE Access 服務之間的信任關係,Workspace ONE Access Connector 則會與網繭同步。請確定網繭可在連接埠 443 上連線至您所使用的 Workspace ONE Access 環境。當您使用 Workspace ONE Access 雲端服務時,也請在 VMware 知識庫文章 2149884 中,參閱 Workspace ONE Access Connector 和網繭必須能夠存取的 Workspace ONE Access 服務 IP 位址的清單。 |
閘道連接器虛擬機器的連接埠和通訊協定需求
下表適用於您在個別 VNet 中部署外部閘道時所使用的閘道連接器虛擬機器。除了 DNS 需求以外,外部閘道也需要下表中的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。
在下表中,「連接器虛擬機器」一詞是指管理雲端管理平面與外部閘道之間連線的閘道連接器虛擬機器。在 Microsoft Azure 入口網站中,此虛擬機器的名稱會包含 vmw-hcs-ID 之類的部分 (其中的 ID 是閘道的部署工具識別碼),以及 node 部分。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 連接器虛擬機器 | DNS 伺服器 | 53 | TCP UDP |
DNS 服務。 |
| 連接器虛擬機器 | NTP 伺服器 | 123 | UDP | NTP 服務。提供 NTP 時間同步化的伺服器。 |
Unified Access Gateway 虛擬機器的連接埠和通訊協定需求
除了 DNS 和前述主要連接埠和通訊協定需求以外,您已在網繭上設定的閘道也需要下表中相關的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。
針對使用已設定 Unified Access Gateway 執行個體設定、已啟用高可用性網繭的連線,必須允許從網繭之 Unified Access Gateway 執行個體傳輸至目標的流量,如下表所列。在網繭部署期間,系統會在您的 Microsoft Azure 環境中建立網路安全性群組 (NSG),供網繭的 Unified Access Gateway 執行個體使用。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Unified Access Gateway | 網繭的 Microsoft Azure 負載平衡器 | 8443 | TCP | 登入驗證流量。來自 Unified Access Gateway 執行個體的流量會透過網繭的負載平衡器到達網繭管理員虛擬機器。 |
| Unified Access Gateway | NTP 伺服器 | 123 | UDP | NTP 服務。提供 NTP 時間同步化的伺服器。 將租用戶設定為使用 Universal Broker 時,請確保符合下列幾點要求:
這是因為,如果服務偵測到 Unified Access Gateway 應用裝置與執 UTC (國際標準時間) 的 Universal Broker NTP 伺服器之間存在時間偏移,則會傳送一封電子郵件給您,要求您解決時間偏移問題。Universal Broker 與 Unified Access Gateway 應用裝置之間的時間偏移可能會導致使用者連線失敗。如果內部 Unified Access Gateway 組態無法從租用戶子網路連線至 NTP 伺服器,它們很可能會發生此類時間偏移,因為如果沒有 NTP 伺服器,這些 Unified Access Gateway 應用裝置將依賴於基礎虛擬機器的時間。 如果您想要使用的 NTP 伺服器是內部 NTP 伺服器,且不允許從 DMZ 介面進行通訊,請建立 SR,以便 VMware Horizon Cloud Service 團隊可以在部署後協助將路由新增至 Unified Access Gateway 組態,從而 Unified Access Gateway 可以與您的 NTP 伺服器進行通訊。VMware Horizon Cloud Service 團隊會透過 API 呼叫來為您新增路由。
提示: 將租用戶設定為使用單一網繭代理時,可將上述要點視為最佳做法,因為在單一網繭代理案例中,Unified Access Gateway 應用裝置的時間偏移不會影響使用者連線。
|
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 4172 | TCP UDP |
PCoIP |
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme 依預設,在使用 Blast Extreme 時,用戶端磁碟機重新導向 (CDR) 流量和 USB 流量會在此連接埠中進行旁通道傳輸。如果您想改用其他方式,可以將 CDR 流量區隔至 TCP 9427 連接埠,並將 USB 重新導向流量區隔至 TCP 32111 連接埠。 |
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 9427 | TCP | 用戶端驅動程式重新導向 (CDR) 和多媒體重新導向 (MMR) 流量的選用項目。 |
| Unified Access Gateway | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 32111 | TCP | USB 重新導向流量的選用項目。 |
| Unified Access Gateway | 您的 RADIUS 執行個體 | 1812 | UDP | 使用 RADIUS 雙因素驗證搭配該 Unified Access Gateway 組態時。RADIUS 的預設值顯示如下。 |
| Unified Access Gateway | 您的 RSA SecurID Authentication Manager 伺服器 | 5555 | TCP | 使用 RSA SecurID 雙因素驗證搭配該 Unified Access Gateway 組態時。此處顯示的是通訊連接埠的預設值,供 RSA SecurID 驗證 API 代理程式用來進行代理程式驗證。 |
Universal Broker所需的連接埠和通訊協定
若要支援使用Universal Broker來代理從網繭進行的使用者指派,您必須依照下表所述設定連接埠 443。作用中網繭管理員會透過連接埠 443 建立 Universal Broker服務的持續性 WebSocket 連線,並透過隨機選取的連接埠接收來自 Universal Broker服務的連線要求。
| 來源 | 來源連接埠 | 目標 | 目標連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|---|
| 作用中網繭管理員 | 從可用的連接埠中隨機選取 | Universal Broker 服務 | 443 | 最初為 HTTPS,然後是 WebSocket | 建立與 Universal Broker服務的持續性 WebSocket 連線 |
使用者連線流量的連接埠和通訊協定需求
若要從其裝置連線至網繭佈建的虛擬桌面和遠端應用程式,使用者需要使用已安裝的相容 VMware Horizon Client 或瀏覽器 (稱為 Horizon HTML Access Client)。必須開啟哪些連接埠,讓來自使用者用戶端的流量能夠到達其網繭佈建的虛擬桌面和遠端應用程式,取決於您為使用者連線方式所做的選擇:
- 當您選擇在網繭本身的 VNet 中使用外部閘道組態的部署工具選項時
-
部署工具會在您的 Microsoft Azure 環境中部署
Unified Access Gateway 執行個體,並將
Microsoft Azure 負載平衡器資源部署至該負載平衡器後端集區中的那些執行個體。該負載平衡器會與 DMZ 子網路上這些執行個體的 NIC 通訊,並設定為
Microsoft Azure 中的公用負載平衡器。
圖表 此圖顯示 Horizon Cloud Pod 架構,其中網繭同時具有外部和內部閘道組態、外部閘道部署在與網繭相同的 VNet 中、外部閘道虛擬機器上有三個 NIC、內部閘道虛擬機器上有兩個 NIC,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構 說明此公用負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的網繭具有此組態時,來自網際網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到負載平衡器。部署後,外部閘道的負載平衡器會位於名為
vmw-hcs-podID-uag的資源群組中,其中的 podID 為網繭的 UUID。 - 當您選擇使用內部 Unified Access Gateway 組態的部署工具選項時
-
依預設會將內部閘道組態部署至網繭本身的 VNet 中。部署工具會在您的 Microsoft Azure 環境中部署
Unified Access Gateway 執行個體,並將
Microsoft Azure 負載平衡器資源部署至其後端集區中的那些執行個體。該負載平衡器會與租用戶子網路上這些執行個體的 NIC 通訊,並設定為
Microsoft Azure 中的內部負載平衡器。
圖表 此圖顯示 Horizon Cloud Pod 架構,其中網繭同時具有外部和內部閘道組態、外部閘道部署在與網繭相同的 VNet 中、外部閘道虛擬機器上有三個 NIC、內部閘道虛擬機器上有兩個 NIC,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構 說明此內部負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的網繭具有此組態時,來自公司網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到負載平衡器。部署後,內部閘道的負載平衡器會位於名為
vmw-hcs-podID-uag-internal的資源群組中,其中的 podID 為網繭的 UUID。 - 當您選擇在本身的 VNet 中 (而非在網繭中) 使用外部閘道組態的部署工具選項時,或選擇使用本身訂閱的選項時 (這是使用本身 VNet 的特殊子案例,因為 VNet 不會跨訂閱)
-
部署工具會在您的 Microsoft Azure 環境中部署
Unified Access Gateway 執行個體,並將
Microsoft Azure 負載平衡器資源部署至該負載平衡器後端集區中的那些執行個體。該負載平衡器會與 DMZ 子網路上這些執行個體的 NIC 通訊,並設定為
Microsoft Azure 中的公用負載平衡器。
圖表 此圖顯示將外部閘道部署至其本身的 VNet (與網繭的 VNet 不同) 時的外部閘道架構元素 說明此公用負載平衡器和 Unified Access Gateway 執行個體在閘道本身的 VNet 中所在的位置。 當您的網繭具有此組態時,來自網際網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到負載平衡器。部署後,外部閘道的負載平衡器會位於名為
vmw-hcs-ID-uag的資源群組中,其中的 ID 為網繭詳細資料頁面之 部署工具識別碼欄位中顯示的值。如 《管理指南》所述,您可以從主控台的 [容量] 頁面進入網繭的詳細資料頁面。 - 當網繭上沒有 Unified Access Gateway 組態時
-
備註: 對於已將租用戶設定為使用單一網繭代理的生產環境,進行內部使用者連線的最佳做法是在網繭上使用內部 Unified Access Gateway 閘道組態。在單一網繭代理案例中,系統將透過該閘道組態進行那些連線。在您擁有單一網繭代理和 Workspace ONE Access 與網繭整合的組態中,您通常會讓使用者透過 Workspace ONE Access 進行連線。在此案例中,您必須設定 Workspace ONE Access,以及直接指向網繭的 Workspace ONE Access Connector。您的使用者會使用 Workspace ONE Access 連線至其網繭佈建的資源。 在此組態中,您需要在主控台中使用網繭摘要頁面上傳 SSL 憑證至網繭管理員虛擬機器,如《VMware Horizon Cloud Service 管理指南》中所述。然後,您即可完成將 Workspace ONE Access 與網繭整合的步驟。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向 (MMR)、USB 重新導向,以及通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 4172 | TCP UDP |
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 或 443,這取決於部署中的設定 | TCP | 透過 Unified Access Gateway 上 Blast 安全閘道,而用於來自 Horizon Client 之資料流量的 Blast Extreme。對於 Horizon Cloud Pod,應使用部署精靈中的 Blast Extreme TCP 連接埠功能表,來選取此連接埠。請確定您的網路允許用戶端對您指定給外部閘道的任一項目,進行輸出存取。用戶端會使用此 URL,以便透過位於 Unified Access Gateway 執行個體前面的負載平衡器,與這些執行個體之間建立 Horizon Blast 工作階段。 從 2021 年 10 月服務版本起,對於閘道組態的新部署,部署工具可讓您選取 8443 或 443 用於 Blast Extreme TCP 連接埠,以供部署工具將其設定在對應的 Unified Access Gateway 組態中。之前,依預設,部署工具會設定 443,且不提供任何選擇。如果您的閘道組態是在 2021 年 10 月服務版本之前部署的,則該組態通常會在其 Unified Access Gateway 管理設定的 [Blast 外部 URL] 欄位中設定 443 連接埠。
備註: 連接埠 8443 是優先選擇,因為對於
Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。連接埠 443 的效率和效能都較低。使用連接埠 443,會導致執行個體中出現 CPU 壅塞。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出而不允許 8443) 時,才會在您的部署中使用連接埠 443。
|
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | UDP | 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 | UDP | 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向 (MMR)、USB 重新導向,以及通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 或 443,這取決於部署中的設定 | TCP | 透過 Unified Access Gateway 上 Blast 安全閘道,而用於來自 Horizon HTML Access 用戶端 (Web 用戶端) 之資料流量的 Blast Extreme。對於 Horizon Cloud Pod,應使用部署精靈中的 Blast Extreme TCP 連接埠功能表,來選取此連接埠。請確定您的網路允許用戶端對您指定給外部閘道的任一項目,進行輸出存取。Horizon HTML Access 用戶端會在瀏覽器中使用此 URL,以便透過位於 Unified Access Gateway 執行個體前面的負載平衡器,與這些執行個體之間建立 Horizon Blast 工作階段。 從 2021 年 10 月服務版本起,對於閘道組態的新部署,部署工具可讓您選取 8443 或 443 用於 Blast Extreme TCP 連接埠,以供部署工具將其設定在對應的 Unified Access Gateway 組態中。之前,依預設,部署工具會設定 443,且不提供任何選擇。如果您的閘道組態是在 2021 年 10 月服務版本之前部署的,則該組態通常會在其 Unified Access Gateway 管理設定的 [Blast 外部 URL] 欄位中設定 443 連接埠。
備註: 連接埠 8443 是優先選擇,因為對於
Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。連接埠 443 的效率和效能都較低。使用連接埠 443,會導致執行個體中出現 CPU 壅塞。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出而不允許 8443) 時,才會在您的部署中使用連接埠 443。
|
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向 (MMR)、USB 重新導向,以及通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指南》中的〈瞭解什麼是 URL 內容重新導向〉主題。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 4172 | TCP UDP |
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 或 443,這取決於部署中的設定 | TCP | 透過 Unified Access Gateway 上 Blast 安全閘道,而用於來自 Horizon Client 之資料流量的 Blast Extreme。對於 Horizon Cloud Pod,應使用部署精靈中的 Blast Extreme TCP 連接埠功能表,來選取此連接埠。請確定您的網路允許用戶端對您指定給外部閘道的任一項目,進行輸出存取。用戶端會使用此 URL,以便透過位於 Unified Access Gateway 執行個體前面的負載平衡器,與這些執行個體之間建立 Horizon Blast 工作階段。 從 2021 年 10 月服務版本起,對於閘道組態的新部署,部署工具可讓您選取 8443 或 443 用於 Blast Extreme TCP 連接埠,以供部署工具將其設定在對應的 Unified Access Gateway 組態中。之前,依預設,部署工具會設定 443,且不提供任何選擇。如果您的閘道組態是在 2021 年 10 月服務版本之前部署的,則該組態通常會在其 Unified Access Gateway 管理設定的 [Blast 外部 URL] 欄位中設定 443 連接埠。
備註: 連接埠 8443 是優先選擇,因為對於
Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。連接埠 443 的效率和效能都較低。使用連接埠 443,會導致執行個體中出現 CPU 壅塞。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出而不允許 8443) 時,才會在您的部署中使用連接埠 443。
|
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | UDP | 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。 |
| Horizon Client | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 | UDP | 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向 (MMR)、USB 重新導向,以及通道 RDP 流量。 依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用連接埠 80 (HTTP 存取)。 |
| 瀏覽器 | 這些 Unified Access Gateway 執行個體適用的 Microsoft Azure 負載平衡器 | 8443 或 443,這取決於部署中的設定 | TCP | 透過 Unified Access Gateway 上 Blast 安全閘道,而用於來自 Horizon HTML Access 用戶端 (Web 用戶端) 之資料流量的 Blast Extreme。對於 Horizon Cloud Pod,應使用部署精靈中的 Blast Extreme TCP 連接埠功能表,來選取此連接埠。請確定您的網路允許用戶端對您指定給外部閘道的任一項目,進行輸出存取。Horizon HTML Access 用戶端會在瀏覽器中使用此 URL,以便透過位於 Unified Access Gateway 執行個體前面的負載平衡器,與這些執行個體之間建立 Horizon Blast 工作階段。 從 2021 年 10 月服務版本起,對於閘道組態的新部署,部署工具可讓您選取 8443 或 443 用於 Blast Extreme TCP 連接埠,以供部署工具將其設定在對應的 Unified Access Gateway 組態中。之前,依預設,部署工具會設定 443,且不提供任何選擇。如果您的閘道組態是在 2021 年 10 月服務版本之前部署的,則該組態通常會在其 Unified Access Gateway 管理設定的 [Blast 外部 URL] 欄位中設定 443 連接埠。
備註: 連接埠 8443 是優先選擇,因為對於
Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。連接埠 443 的效率和效能都較低。使用連接埠 443,會導致執行個體中出現 CPU 壅塞。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出而不允許 8443) 時,才會在您的部署中使用連接埠 443。
|
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Horizon Client | 網繭的 Microsoft Azure 負載平衡器 | 443 | TCP | 登入驗證流量。來自用戶端的流量會透過網繭負載平衡器到達網繭管理員虛擬機器。 |
| Horizon Client | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 4172 | TCP UDP |
PCoIP |
| Horizon Client | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 22443 | TCP UDP |
Blast Extreme |
| Horizon Client | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 32111 | TCP | USB 重新導向 |
| Horizon Client | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 9427 | TCP | 用戶端磁碟機重新導向 (CDR) 和多媒體重新導向 (MMR) |
| 瀏覽器 | 桌面或伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 443 | TCP | HTML Access |
來自在基礎虛擬機器、VDI 桌面虛擬機器和伺服器陣列 RDSH 虛擬機器中安裝之代理程式流量的連接埠和通訊協定需求
下列連接埠必須允許在安裝於基礎虛擬機器、桌面虛擬機器、伺服器陣列 RDSH 虛擬機器以及網繭管理員虛擬機器中的代理程式相關軟體之間傳輸流量。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 基礎已匯入的虛擬機器、最佳配置映像、桌面虛擬機器、伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 網繭管理員虛擬機器 | 4001 | TCP | Java Message Service (JMS、非 SSL),由虛擬機器中的代理程式用來與網繭進行通訊,以作為憑證指紋驗證的一部分,並進行交換以保護與網繭的 SSL 連線。在虛擬機器與網繭管理員之間交涉並交換金鑰後,代理程式會使用連接埠 4002 來建立安全的 SSL 連線。例如,對於 [已匯入的虛擬機器] 頁面上的重設代理程式配對動作,需要透過連接埠 4001 進行通訊,才能在基礎匯入的虛擬機器與網繭之間進行代理程式配對工作流程。
備註: 穩定狀態作業同時需要連接埠 4001 和 4002。代理程式有時可能需要使用網繭重設金鑰,因此連接埠 4001 必須保持開啟狀態。
|
| 基礎已匯入的虛擬機器、最佳配置映像、桌面虛擬機器、伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | 網繭管理員虛擬機器 | 4002 | TCP | Java Message Service (JMS、SSL),用來讓這些虛擬機器中的代理程式使用安全的 SSL 連線與網繭進行通訊。 |
| 桌面虛擬機器、伺服器陣列 RDSH 虛擬機器中的 Horizon Agent | VMware Cloud Services 主機名稱 scapi.vmware.com | 443 | TCP | 用於 VMware 服務使用量資料計劃。從租用戶子網路輸出後,會將來自 Horizon Agent 的流量傳送至 VMware Cloud Services 主機名稱 scapi.vmware.com。 |
| 桌面或伺服器陣列 RDSH 虛擬機器中的 FlexEngine 代理程式 (VMware Dynamic Environment Manager 的代理程式) | 您設定以供桌面或伺服器陣列 RDSH 虛擬機器中的執行中 FlexEngine 代理程式使用的檔案共用 | 445 | TCP | FlexEngine 代理程式會存取 SMB 檔案共用 (如果您使用 VMware Dynamic Environment Manager 功能)。 |
App Volumes 功能所需的連接埠和通訊協定
如 Horizon Cloud on Microsoft Azure 的 App Volumes 應用程式 - 概觀和先決條件中所述,若要支援使用可支援用於 Horizon Cloud Pod 的 App Volumes 功能,您必須在網繭的租用戶子網路上設定 TCP 通訊協定流量所需的連接埠 445。連接埠 445 是一個標準 SMB 連接埠,用來存取 Microsoft Windows 上的 SMB 檔案共用。AppStack 會儲存在 SMB 檔案內,位於與網繭管理員虛擬機器相同的網繭資源群組中。
此外,如第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱中所述,當 Azure 雲端佈建該 SMB 檔案共用時,Azure 雲端會指派模式為 *.file.core.windows.net 的完整網域名稱 (FQDN),其中 * 是 SMB 檔案共用的儲存區帳戶名稱 (由 Azure 產生)。此 FQDN 必須可讓您的 DNS 伺服器解析,App Volumes 才能存取並掛接這些檔案共用並擷取 AppStack。您必須確定 DNS 伺服器始終都會針對在網繭管理員執行個體中執行的 App Volumes Manager 程序以及在 VDI 桌面中執行的 App Volumes Agent,解析該 FQDN。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| 基礎已匯入的虛擬機器、最佳配置映像、桌面虛擬機器、伺服器陣列 RDSH 虛擬機器中的 App Volumes Agent | 網繭管理員的資源群組中的 SMB 檔案共用 | 445 | TCP | 在網繭的租用戶子網路上,用來存取 SMB 檔案共用中儲存的 App Volumes AppStack。 |
與 Workspace ONE Assist for Horizon 的整合 - DNS、連接埠和通訊協定需求
Workspace ONE Assist for Horizon 是 Workspace ONE UEM 產品系列中的一款產品。自 Horizon Cloud 2021 年 8 月版本起,符合特定需求時,您可以將該產品與從 Horizon Cloud 租用戶網繭中佈建的 VDI 桌面整合使用。如需有關需求的完整詳細資料,請參閱 VMware Workspace ONE Assist 說明文件區域中的《VMware Workspace ONE Assist for Horizon 指南》。
使用協助功能時,需要在 VDI 桌面虛擬機器以及支援與 Horizon Cloud 租用戶整合的 Workspace ONE Assist 伺服器之間進行輸出通訊。
當需要作用中支援要求、暫時性 Jumpbox 連接埠和通訊協定時
如果您向 VMware 提出支援要求,而支援團隊決定處理該要求的作法是,部署一個暫時性 Jumpbox 虛擬機器,來與 VMware 管理的應用裝置進行 SSH 通訊,則該 Jumpbox 需要使用這裡所述的連接埠和通訊協定。
對於與支援相關的 Jumpbox 部署,會向您求取相關權限。VMware 支援團隊會根據具體的支援情況,通知您相關的通訊需求。
依照設計,這種與支援相關的 Jumpbox 虛擬機器旨在作為來源,來與以下目的地通訊。
- 使用 SSH 來存取網繭的網繭管理員虛擬機器連接埠 22。
- 使用 HTTPS 來存取 Unified Access Gateway 虛擬機器連接埠 9443。
- 在外部閘道部署於其本身 VNet 中的部署,使用 SSH 來存取閘道連接器虛擬機器的連接埠 22。
支援要求和部署中所用應用裝置的性質,會決定必須允許哪些 VMware 管理的特定應用裝置來作為通訊目標。
| 來源 | 目標 | 連接埠 | 通訊協定 | 用途 |
|---|---|---|---|---|
| Jumpbox 虛擬機器 |
|
22 | SSH | 如果「VMware 支援」要求需與所列出的一或多個應用裝置進行這項通訊,以達成您的支援要求,則 Jumpbox 虛擬機器會透過管理子網路,與目標應用裝置上的連接埠 22 進行通訊。 |
| Jumpbox 虛擬機器 | Unified Access Gateway 虛擬機器 | 9443 | HTTPS | 如果「VMware 支援」需要進行此通訊,以達成您的支援要求,則 Jumpbox 虛擬機器會透過管理子網路進行通訊,以在 Unified Access Gateway 組態中進行相關設定。 |
由於這些虛擬機器的 IP 位址是動態指派的,因此以下網路規則允許所述的通訊。在支援請求活動期間,一律會向「VMware 支援」尋求指導和監督,以瞭解支援相關 Jumpbox 部署的需求。
- 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 22、任何來源連接埠,以及通訊協定 TCP)。
- 涉及 Unified Access Gateway 組態時,使用管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 9443、任何來源連接埠,以及通訊協定 TCP)。
True SSO 和憑證管理以及 Horizon Cloud on Microsoft Azure 部署
Horizon Cloud Pod 佈建的桌面虛擬機器不會直接與註冊伺服器通訊。Horizon Cloud on Microsoft Azure 部署的作用中網繭管理員虛擬機器會將憑證要求轉送到註冊伺服器。取得憑證後,桌面虛擬機器中的 Horizon Agent 會使用該憑證,代表桌面使用者來執行「憑證登入」作業。
Horizon Cloud on Microsoft Azure 部署的網繭管理員虛擬機器的「要求-回應」架構會與 Horizon 部署的 Horizon Connection Server 相同。在 Horizon Cloud on Microsoft Azure 部署中,網繭管理員虛擬機器會連線至主要虛擬機器子網路 (也稱為租用戶子網路) 上的桌面虛擬機器,以及連線至 VDI 管理員可能使用 [編輯網繭] 工作流程所新增之任何其他虛擬機器子網路上的桌面虛擬機器。
以下兩類憑證將透過不同元件進行驗證:使用者憑證和通道憑證。True SSO 會新增透過驗證伺服器驗證的使用者憑證。在這種 Horizon Cloud on Microsoft Azure 部署情況下,該驗證伺服器是 Microsoft Active Directory 伺服器。由於 Microsoft 架構會決定可用於此憑證驗證的連接埠號碼,而這些連接埠是 Microsoft 架構本身的一部分,並不是 Horizon Cloud on Microsoft Azure 部署本身所專用的,因此可以使用一系列廣泛的連接埠號碼進行這項驗證。
在 Horizon Cloud on Microsoft Azure 部署中使用 True SSO 時,Horizon Agent 會產生一個 CSR,並經由該網繭管理員虛擬機器與該 Horizon Agent 之間已有的通訊通道,將其傳送至部署的作用中網繭管理員虛擬機器。網繭管理員虛擬機器會經由安全的 SSL 加密 TCP 通道 (連接埠 32111,或是客戶在註冊伺服器安裝中所設定的連接埠),將要求轉送至註冊伺服器。註冊伺服器會產生一項 CMC 要求,附加網繭管理員提供的 CSR 和使用者名稱,使用註冊代理程式憑證來簽署 CMC,然後使用 MS-DCOM (RPC) 通訊協定將其提交給憑證授權機構。
Horizon Agent 會接收憑證,將其序列化以作為登入認證,並將其提交至 Windows 登入程序。LSASS Windows 元件會接收憑證,對其進行驗證 (檢查其是否有效和受信任,以及本機機器是否持有憑證的私密金鑰),然後將其傳送至網域控制站 (DC)。DC 可以選擇檢查使用者憑證中指定的 CRL。
具有豐富視覺效果的網路圖
若想要透過豐富視覺效果的描述,來瞭解這些元件、連接埠和通訊協定之間的關係,請參閱 VMware Digital Workspace Tech Zone 的網路圖和說明,網址為 https://techzone.vmware.com/resource/vmware-horizon-cloud-service-microsoft-azure-network-ports-diagrams。
