3.12. 防火墙端口和协议

3.12.1. 客户机和 Oracle VDI 之间的防火墙
3.12.2. Oracle VDI 与用户目录之间的防火墙
3.12.3. Oracle VDI 与桌面提供者之间的防火墙
3.12.4. Oracle VDI 中心中主机之间的防火墙

防火墙可用于保护网络的各个不同部分,且必须进行配置以允许 Oracle VDI 所需的连接。

3.12.1. 客户机和 Oracle VDI 之间的防火墙

客户机必须能够连接到 Oracle VDI 中心中的任何主机。

下表列出了您可能需要打开以允许这些连接的端口。

目标

端口

协议

用途

客户机

Oracle VDI Web 服务器

1800

TCP

到 Oracle VDI Manager 的 HTTP 连接。

这些连接将重定向至端口 1801。

客户机

Oracle VDI Web 服务器

1801

TCP

到 Oracle VDI Manager 的 HTTPS 连接。

客户机

Oracle VDI Web 服务器

1802

TCP

到 VDI 客户机 Web 服务 API 的 HTTPS 连接。

客户机

Oracle VDI 主机

3389

TCP

到 Oracle VDI RDP 代理程序的 RDP 连接。

Sun Ray Client

Oracle VDI 主机

各种各样

各种各样

有关详细信息,请参见Sun Ray 软件 5.2 安装和管理指南的第 2 章。

3.12.2. Oracle VDI 与用户目录之间的防火墙

Oracle VDI 中心中的所有主机都需要能够连接到任何配置的用户目录。

下表列出了您可能需要打开以允许这些连接的端口。

目标

端口

协议

用途

Oracle VDI 主机

Windows Server

53

UDP

Active Directory 上的 DNS 查找。

Oracle VDI 主机

Windows Server

88

TCP 或 UDP

在 Active Directory 中验证用户。

Oracle VDI 主机

LDAP 目录

389

TCP

在 LDAP 目录中验证用户。

Oracle VDI 主机

Windows Server

464

TCP 或 UDP

使用户可以在自己的密码过期后更改密码。

Oracle VDI 主机

LDAP 目录服务器

636

TCP

使用到 LDAP 目录的安全连接验证用户。

Oracle VDI 主机

Windows Server

3268

TCP

在 Active Directory 中验证用户。

Active Directory 类型目录所需的端口

每个 Oracle VDI 主机都必须能够通过以下端口连接到 Active Directory:

  • 端口 53,用于在 Active Directory 上进行 DNS 查找

  • 端口 88 和 464,用于到密钥分发中心 (Key Distribution Center, KDC) 的 Kerberos 验证

  • 端口 389,用于到域控制器的 LDAP 连接

  • 端口 3268,用于到全局目录服务器的安全 LDAP 连接

Oracle VDI 会执行多种 DNS 查找来发现 LDAP 信息。要使用这些查找,必须正确配置 DNS 以便从 Active Directory 返回所需信息。

端口 88 和 464 是用于到密钥分发中心 (Key Distribution Center, KDC) 的 Kerberos 验证的标准端口。这些端口可以配置。到这些端口的连接使用 TCP 或 UDP 协议,具体取决于包大小以及您的 Kerberos 配置。仅在进行密码更改操作时才需要使用端口 464。

LDAP 类型目录所需的端口

用于到 LDAP 目录的连接的标准端口包括:用于标准连接(简单验证)的端口 389 和用于安全连接(安全验证)的端口 636。这些端口可以配置。

3.12.3. Oracle VDI 与桌面提供者之间的防火墙

为运行桌面,Oracle VDI 中心中的所有主机必须能够连接到任何配置的桌面提供者主机,及其相关的存储主机。

用于连接的端口取决于桌面提供者类型以及存储是否受 Oracle VDI 管理。

下表列出了您可能需要打开以允许这些连接的端口。

目标

端口

协议

用途

Oracle VDI 主机

存储主机

22

TCP

使用 SSH 进行存储管理。

仅为 Oracle VDI 和 Hyper-V 桌面提供者所需。

Oracle VDI 主机

Oracle VM VirtualBox 主机

22

TCP

用于通过 SSH 运行一些 Oracle VM VirtualBox 命令。

仅为 Oracle VDI 桌面提供者所需。

Oracle VDI 主机

桌面提供者主机

443

TCP

用于置备和管理虚拟桌面的到 Web 服务的 HTTPS 连接,或用于 Windows 远程管理 (Windows Remote Management, WinRM) 的 HTTPS 连接。

仅为 Oracle VDI、Microsoft Hyper-V、VMware vCenter 和 Microsoft 远程桌面桌面提供者所需。

Oracle VDI 主机

存储主机

3260

TCP

因管理原因复制虚拟磁盘(例如将桌面导入或复制到存储主机以进行克隆)时进行的 iSCSI 连接。

仅为 Oracle VDI 和 Hyper-V 桌面提供者所需。

Oracle VM VirtualBox 主机或 Microsoft Hyper-V 主机

存储主机

3260

TCP

用于将虚拟机连接到其虚拟磁盘的 iSCSI 连接

仅为 Oracle VDI 和 Hyper-V 桌面提供者所需。

Oracle VDI 主机

桌面提供者主机

3389

TCP

到虚拟桌面的 Microsoft RDP 连接。

Oracle VDI 主机

Oracle VM VirtualBox 主机

49152-65534

TCP

到虚拟桌面的 Oracle VM VirtualBox RDP (VRDP) 连接。

选择 VRDP 作为桌面协议时,仅为 Oracle VDI 桌面提供者所需。

端口 22、443、3389 和 49152-65534 都可配置。

在 Oracle VM VirtualBox 主机上,端口 18083 还用于到 Oracle VM VirtualBox Web 服务的 HTTP 连接。该端口绑定到本地主机。

3.12.4. Oracle VDI 中心中主机之间的防火墙

网络可能包含在 Oracle VDI 中心中主机之间的防火墙,例如,如果您拥有多个办公地点,而每个办公地点都包含 Oracle VDI 主机。Oracle VDI 主机必须能够连接到 Oracle VDI 中心的其他任何主机成员。

下表列出了您可能需要打开以允许这些连接的端口。

目标

端口

协议

用途

Oracle VDI 主机

另一个 Oracle VDI 主机

3307

TCP

到 Oracle VDI 嵌入式 MySQL Server 数据库的连接。

Oracle VDI 主机

远程 MySQL 数据库主机

可配置

可配置

到远程 MySQL 数据库的连接。

仅在配置 Oracle VDI 中心期间选择了远程 MySQL 数据库时需要。

Oracle VDI 主机

另一个 Oracle VDI 主机

11172

TCP

用于到 Cacao 的 JMX-MP 连接器。

cacaoadm 命令使用

Oracle VDI 主机

另一个 Oracle VDI 主机

11173

TCP

用于到 Cacao 的命令流连接器。

vdavda-center 命令使用。

Oracle VDI 主机

另一个 Oracle VDI 主机

11174

TCP

用于到 Cacao 的 JMX RMI 连接器。

由 Oracle VDI Manager 使用以在 Oracle VDI 中心代理之间进行通信。

Sun Ray Software

Sun Ray Software

各种各样

各种各样

有关详细信息,请参见Sun Ray 软件 5.2 安装和管理指南的第 2 章。

在 Oracle VDI 主机上,端口 3303 还用于在 vda client命令和 Oracle VDI 主机之间建立连接。该端口绑定至本地主机,并且可配置。