防火墙可用于保护网络的各个不同部分,且必须进行配置以允许 Oracle VDI 所需的连接。
客户机必须能够连接到 Oracle VDI 中心中的任何主机。
下表列出了您可能需要打开以允许这些连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
客户机 | Oracle VDI Web 服务器 | 1800 | TCP | 到 Oracle VDI Manager 的 HTTP 连接。 这些连接将重定向至端口 1801。 |
客户机 | Oracle VDI Web 服务器 | 1801 | TCP | 到 Oracle VDI Manager 的 HTTPS 连接。 |
客户机 | Oracle VDI Web 服务器 | 1802 | TCP | 到 VDI 客户机 Web 服务 API 的 HTTPS 连接。 |
客户机 | Oracle VDI 主机 | 3389 | TCP | 到 Oracle VDI RDP 代理程序的 RDP 连接。 |
Sun Ray Client | Oracle VDI 主机 | 各种各样 | 各种各样 | 有关详细信息,请参见Sun Ray 软件 5.2 安装和管理指南的第 2 章。 |
Oracle VDI 中心中的所有主机都需要能够连接到任何配置的用户目录。
下表列出了您可能需要打开以允许这些连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
Oracle VDI 主机 | Windows Server | 53 | UDP | Active Directory 上的 DNS 查找。 |
Oracle VDI 主机 | Windows Server | 88 | TCP 或 UDP | 在 Active Directory 中验证用户。 |
Oracle VDI 主机 | LDAP 目录 | 389 | TCP | 在 LDAP 目录中验证用户。 |
Oracle VDI 主机 | Windows Server | 464 | TCP 或 UDP | 使用户可以在自己的密码过期后更改密码。 |
Oracle VDI 主机 | LDAP 目录服务器 | 636 | TCP | 使用到 LDAP 目录的安全连接验证用户。 |
Oracle VDI 主机 | Windows Server | 3268 | TCP | 在 Active Directory 中验证用户。 |
每个 Oracle VDI 主机都必须能够通过以下端口连接到 Active Directory:
端口 53,用于在 Active Directory 上进行 DNS 查找
端口 88 和 464,用于到密钥分发中心 (Key Distribution Center, KDC) 的 Kerberos 验证
端口 389,用于到域控制器的 LDAP 连接
端口 3268,用于到全局目录服务器的安全 LDAP 连接
Oracle VDI 会执行多种 DNS 查找来发现 LDAP 信息。要使用这些查找,必须正确配置 DNS 以便从 Active Directory 返回所需信息。
端口 88 和 464 是用于到密钥分发中心 (Key Distribution Center, KDC) 的 Kerberos 验证的标准端口。这些端口可以配置。到这些端口的连接使用 TCP 或 UDP 协议,具体取决于包大小以及您的 Kerberos 配置。仅在进行密码更改操作时才需要使用端口 464。
用于到 LDAP 目录的连接的标准端口包括:用于标准连接(简单验证)的端口 389 和用于安全连接(安全验证)的端口 636。这些端口可以配置。
为运行桌面,Oracle VDI 中心中的所有主机必须能够连接到任何配置的桌面提供者主机,及其相关的存储主机。
用于连接的端口取决于桌面提供者类型以及存储是否受 Oracle VDI 管理。
下表列出了您可能需要打开以允许这些连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
Oracle VDI 主机 | 存储主机 | 22 | TCP | 使用 SSH 进行存储管理。 仅为 Oracle VDI 和 Hyper-V 桌面提供者所需。 |
Oracle VDI 主机 | Oracle VM VirtualBox 主机 | 22 | TCP | 用于通过 SSH 运行一些 Oracle VM VirtualBox 命令。 仅为 Oracle VDI 桌面提供者所需。 |
Oracle VDI 主机 | 桌面提供者主机 | 443 | TCP | 用于置备和管理虚拟桌面的到 Web 服务的 HTTPS 连接,或用于 Windows 远程管理 (Windows Remote Management, WinRM) 的 HTTPS 连接。 仅为 Oracle VDI、Microsoft Hyper-V、VMware vCenter 和 Microsoft 远程桌面桌面提供者所需。 |
Oracle VDI 主机 | 存储主机 | 3260 | TCP | 因管理原因复制虚拟磁盘(例如将桌面导入或复制到存储主机以进行克隆)时进行的 iSCSI 连接。 仅为 Oracle VDI 和 Hyper-V 桌面提供者所需。 |
Oracle VM VirtualBox 主机或 Microsoft Hyper-V 主机 | 存储主机 | 3260 | TCP | 用于将虚拟机连接到其虚拟磁盘的 iSCSI 连接 仅为 Oracle VDI 和 Hyper-V 桌面提供者所需。 |
Oracle VDI 主机 | 桌面提供者主机 | 3389 | TCP | 到虚拟桌面的 Microsoft RDP 连接。 |
Oracle VDI 主机 | Oracle VM VirtualBox 主机 | 49152-65534 | TCP | 到虚拟桌面的 Oracle VM VirtualBox RDP (VRDP) 连接。 选择 VRDP 作为桌面协议时,仅为 Oracle VDI 桌面提供者所需。 |
端口 22、443、3389 和 49152-65534 都可配置。
在 Oracle VM VirtualBox 主机上,端口 18083 还用于到 Oracle VM VirtualBox Web 服务的 HTTP 连接。该端口绑定到本地主机。
网络可能包含在 Oracle VDI 中心中主机之间的防火墙,例如,如果您拥有多个办公地点,而每个办公地点都包含 Oracle VDI 主机。Oracle VDI 主机必须能够连接到 Oracle VDI 中心的其他任何主机成员。
下表列出了您可能需要打开以允许这些连接的端口。
源 | 目标 | 端口 | 协议 | 用途 |
---|---|---|---|---|
Oracle VDI 主机 | 另一个 Oracle VDI 主机 | 3307 | TCP | 到 Oracle VDI 嵌入式 MySQL Server 数据库的连接。 |
Oracle VDI 主机 | 远程 MySQL 数据库主机 | 可配置 | 可配置 | 到远程 MySQL 数据库的连接。 仅在配置 Oracle VDI 中心期间选择了远程 MySQL 数据库时需要。 |
Oracle VDI 主机 | 另一个 Oracle VDI 主机 | 11172 | TCP | 用于到 Cacao 的 JMX-MP 连接器。 由 cacaoadm 命令使用 |
Oracle VDI 主机 | 另一个 Oracle VDI 主机 | 11173 | TCP | 用于到 Cacao 的命令流连接器。 由 vda 和 vda-center 命令使用。 |
Oracle VDI 主机 | 另一个 Oracle VDI 主机 | 11174 | TCP | 用于到 Cacao 的 JMX RMI 连接器。 由 Oracle VDI Manager 使用以在 Oracle VDI 中心代理之间进行通信。 |
Sun Ray Software | Sun Ray Software | 各种各样 | 各种各样 | 有关详细信息,请参见Sun Ray 软件 5.2 安装和管理指南的第 2 章。 |
在 Oracle VDI 主机上,端口 3303 还用于在 vda client命令和 Oracle VDI 主机之间建立连接。该端口绑定至本地主机,并且可配置。