防火墙端口
App Layering 设备与您的虚拟机管理程序、Provisioning Services 和 App Layering 代理进行通信。本文详细介绍了设备用于与其他 App Layering 相关服务进行内部通信的端口,以及与服务器(如 NTP 服务器)进行外部通信。在安装 App Layering 设备之前,请务必在防火墙中打开必要的端口。
在 App Layering 安装过程中,您将打开设备用于与托管设备的虚拟服务器上的服务交互的端口。如果 App Layering 设备与运行 App Layering 代理或其中一个 App Layering 连接器的计算机之间存在防火墙,则必须在用于此目的的防火墙中手动打开端口。如果在安装过程中更改了默认设置的任何端口,请确保打开正确的端口。
App Layering 设备使用 TCP/IP 协议,而 IPv4 是必需的。有三个主要类别的沟通:
- 访问和管理设备。
- 与其他 App Layering 代理服务交谈。
- 直接与不需要代理的虚拟机管理程序交谈。
注意:
App Layering 设备必须连接到网络文件共享。
管理员用户
默认情况下,App Layering 使用防火墙中的以下端口供管理员用户与 App Layering 设备虚拟机上的管理控制台进行交互。
App Layering 设备
下面列出的各种虚拟机管理程序和 Provisioning Services 的连接器服务都在 App Layering 设备上运行。
| App Layering 目标 | 活动 | 协议 | 端口 |
|---|---|---|---|
| 设备 | 管理控制台 | TCP | 80, 443 |
| 旧版 Azure 连接器服务 | 通信 | TCP | 3000 (HTTP)、3500 (HTTPS) |
| BITS 服务器 | 磁盘上载 | TCP | 3015 (HTTP)、3515 (HTTPS) |
| Citrix Provisioning 连接器服务 | 通信 | TCP | 3009 (HTTP)、3509 (HTTPS) |
| Google 连接器服务 - Google Cloud | 通信 | TCP | 3016(HTTP)、3516(HTTPS) |
| Hyper-V 连接器服务 | 通信 | TCP | 3012 (HTTP)、3512 (HTTPS) |
内部连接
默认情况下,App Layering 服务使用防火墙中的以下端口进行设备与其每个目标之间的内部连接。
在表中,使用以下简写:
- 设备 -App Layering 虚拟设备。
- 代理 -是指应用 App Layering 代理。
- 管理员用户 -被分配了 App Layering 管理员角色的管理控制台用户。
-
合成机 - 用于使用 App Layering 合成引擎创建和更新层的虚拟机,包括:
- 使用启用了 卸载合成 的连接器创建层、向层添加版本或发布分层映像时创建的虚拟机。
- 运行
ImportOsLayer.ps1脚本以将操作系统映像作为新操作系统层导入的虚拟机。
| App Layering 源 | App Layering 目标 | 活动 | 协议 | 端口 |
|---|---|---|---|---|
| 代理 | 设备 | 初始注册 | TCP | 443 |
| 设备 | 代理 | 通信 | TCP | 8016 |
| 代理 | 设备 | 记录来自代理的传递 | TCP | 8787 |
| 设备 | vCenter、ESXI 主机 | 通过 ESXI 主机与数据存储进行通信 | TCP | 443 |
| 设备 | Active Directory | LDAP | TCP | 389, 636 |
| 设备 | 合成机 | 通信 | TCP | 443 |
| 合成机 | 设备 | 通信 | TCP | 443 |
| 合成机 | 设备 | 通过 iSCSI 访问层磁盘 | TCP | 3260 |
| 管理员用户 | 设备 | 旧版 Azure 连接器通信 | TCP | 3000 (HTTP)、3500 (HTTPS) |
| 设备 | Azure | 通信 | TCP | 443 |
| 管理员用户 | 设备 | Citrix Provisioning 连接器通信 | TCP | 3009 (HTTP)、3509 (HTTPS) |
| Citrix Provisioning 服务器上的代理 | 设备 | 磁盘下载 | TCP | 3009 (HTTP)、3509 (HTTPS) |
| 管理员用户 | 设备 | Hyper-V 连接器通信 | TCP | 3012 (HTTP)、3512 (HTTPS) |
| Hyper-V 服务器上的代理 | 设备 | 磁盘下载 | TCP | 3012 (HTTP)、3512 (HTTPS) |
| Hyper-V 服务器上的代理 | 设备 | 磁盘上载 | TCP | 3015 (HTTP)、3515 (HTTPS) |
| 设备 | vSphere | 通信 | TCP | 443 |
| 设备 | XenServer | 通信 | TCP | 5900 |
| 设备 | Prism | 磁盘上载 | TCP | 2222 |
| 设备 | Prism | 通信 | TCP | 9440 |
外部连接
默认情况下,使用防火墙中的以下端口在 App Layering 设备和下面列出的目标之间进行外部连接。
注意:
这些 URL 只能由设备使用为其定义的凭据访问。尝试浏览这些网站会导致错误消息。
| App Layering 目标 | 活动 | 协议 | 端口 |
|---|---|---|---|
<https://applayeringwebapi.azurewebsites.net> |
API 访问 | TCP | 443 |
<http://alcdn.citrix.com/> |
下载升级介质 | TCP | 80 |
操作系统映像,XenServer 要求
| 目标 | 活动 | 协议 | 端口 |
|---|---|---|---|
| XenServer | 通信 | TCP | 5900 |
关键端口
基本设备管理和访问(始终需要)
- HTTP-端口 80
- HTTPS-端口 443
- SSH - 端口 22
服务器
- Active Directory 服务器-端口 389-LDAP 协议
- Active Directory 服务器-端口 636-LDAPS 协议
- Active Directory 服务器-端口 53-DNS 协议
- Windows 文件服务器,SMB-端口 445-SMB 协议
- 网络时间服务器-端口 123-NTP 协议
- Unix 文件服务器-端口 2049-NFS 协议
- DHCP 服务器,DHCP-端口 67-UDP 协议
- App Layering 装置-端口 68-DHCP 协议
App Layering 代理
代理使用以下端口与自身和装置进行通信。
-
装置到代理服务器:
- 装置/SOAP 中的命令-端口 8016
-
代理服务器到装置:
- 注册-端口 443 HTTPS
- 日志导出-端口 8787
- Citrix Provisioning 磁盘下载-端口 3009 HTTP、3509 HTTPS
- Hyper-V 磁盘下载-端口 3012 HTTP,3512 HTTPS
- Hyper-V 磁盘上载-端口 3015 HTTP,3515 HTTPS
连接到虚拟机管理程序和 Provisioning Services
设备上的连接器允许设备使用以下端口直接与受支持的虚拟机管理程序和 Provisioning Services 进行通信。
- XenServer-端口 5900
- Citrix Provisioning-端口 8016(App Layering 代理)
- Google Cloud - 端口 443
- Microsoft Azure 管理 - 端口 443
- Microsoft Hyper-V-端口 8016(App Layering 代理)
- Nutanix AHV - 端口 2222、9440
- VMware vSphere-端口 443(虚拟中心和用于磁盘传输的 ESX 主机)