2.5. ファイアウォールのポートとプロトコル

2.5.1. クライアントと Oracle VDI 間のファイアウォール
2.5.2. Oracle VDI とユーザーディレクトリ間のファイアウォール
2.5.3. Oracle VDI とデスクトッププロバイダ間のファイアウォール
2.5.4. Oracle VDI Center 内のホスト間のファイアウォール

ファイアウォールを使用して、ネットワークのさまざまな部分を保護でき、Oracle VDI が必要とする接続を許可するには、ファイアウォールを構成する必要があります。

2.5.1. クライアントと Oracle VDI 間のファイアウォール

クライアントは、Oracle VDI Center 内の任意のホストに接続できる必要があります。

次の表に、これらの接続を許可するために開く必要がある可能性があるポートを示します。

発信元

送信先

ポート

プロトコル

目的

クライアント

Oracle VDI Web サーバー

1800

TCP

Oracle VDI Manager.への HTTP 接続。

これらの接続はポート 1801 にリダイレクトされます。

クライアント

Oracle VDI Web サーバー

1801

TCP

Oracle VDI Manager.への HTTPS 接続。

クライアント

Oracle VDI Web サーバー

1802

TCP

VDI クライアントの Web サービス API に対する HTTPS 接続。

クライアント

Oracle VDI ホスト

3389

TCP

Oracle VDI RDP ブローカに対する RDP 接続。

Sun Ray クライアント

Oracle VDI ホスト

複数

複数

詳細については、『Sun Ray Software 5.3 管理ガイド』の「ポートおよびプロトコル」を参照してください。

2.5.2. Oracle VDI とユーザーディレクトリ間のファイアウォール

Oracle VDI Center 内のすべてのホストは、構成されたすべてのユーザーディレクトリと接続できる必要があります。

次の表に、これらの接続を許可するために開く必要がある可能性があるポートを示します。

発信元

送信先

ポート

プロトコル

目的

Oracle VDI ホスト

Windows サーバー

53

UDP

Active Directory での DNS 検索。

Oracle VDI ホスト

Windows サーバー

88

TCP または UDP

Active Directory でユーザーを認証します。

Oracle VDI ホスト

LDAP ディレクトリ

389

TCP

LDAP ディレクトリでユーザーを認証します。

Oracle VDI ホスト

Windows サーバー

464

TCP または UDP

パスワードが期限切れになった場合に、ユーザーが自分のパスワードを変更できるようにします。

Oracle VDI ホスト

LDAP ディレクトリサーバー

636

TCP

LDAP ディレクトリへのセキュアな接続を使用して、ユーザーを認証します。

Oracle VDI ホスト

Windows サーバー

3268

TCP

Active Directory でユーザーを認証します。

Active Directory タイプのディレクトリに必要なポート

各 Oracle VDI ホストは、次のポートで Active Directory に接続できる必要があります:

  • Active Directory での DNS 検索の場合は、ポート 53

  • 鍵配布センター (KDC) に対する Kerberos 認証の場合は、ポート 88 および 464

  • ドメインコントローラに対するセキュアな LDAP 接続の場合は、ポート 389

  • グローバルカタログサーバーに対するセキュアな LDAP 接続の場合は、ポート 3268

Oracle VDI は複数の DNS 検索を実行して LDAP 情報を検出します。これらの検索が機能するには、必要な情報が Active Directory から返されるように、DNS が適切に構成されていることが不可欠です。

ポート 88 および 464 は、鍵配布センター (KDC) に対する Kerberos 認証に使用されます。これらのポートは構成可能です。これらのポートへの接続には、パケットサイズと Kerberos の構成に応じて、TCP または UDP プロトコルのいずれかを使用できます。ポート 464 はパスワードの変更操作の場合のみに必要です。

LDAP タイプのディレクトリに必要なポート

LDAP ディレクトリへの接続に使用される標準ポートには、標準接続 (簡単な認証) の場合はポート 389、セキュアな接続 (セキュア認証) の場合はポート 636 を使用します。これらのポートは構成可能です。

2.5.3. Oracle VDI とデスクトッププロバイダ間のファイアウォール

デスクトップを実行するには、Oracle VDI Center 内のすべてのホストが、構成済みのデスクトッププロバイダのすべてのホスト、および関連するストレージホストに接続できる必要があります。

接続に使用されるポートは、デスクトッププロバイダタイプと、Oracle VDI がストレージを管理するかどうかによって異なります。

次の表に、これらの接続を許可するために開く必要がある可能性があるポートを示します。

発信元

送信先

ポート

プロトコル

目的

Oracle VDI ホスト

ストレージホスト

22

TCP

SSH を使用したストレージ管理。

Oracle VM VirtualBox と Hyper-V デスクトッププロバイダのみに必要です。

Oracle VDI ホスト

VirtualBox ホスト

22

TCP

一部の SSH を使用した Oracle VM VirtualBox コマンドを実行する場合に使用します。

Oracle VM VirtualBox デスクトッププロバイダのみに必要です。

Oracle VDI ホスト

仮想ホスト

443

TCP

仮想デスクトップのプロビジョニングおよび管理を行うための Web サービスに対する HTTPS 接続、または、Windows リモート管理 (WinRM) 用の HTTPS 接続。

Oracle VM VirtualBox、Microsoft Hyper-V、VMware vCenter、および Microsoft リモートデスクトッププロバイダのみに必要です。

Oracle VDI ホスト

ストレージホスト

3260

TCP

管理上の理由で仮想ディスクをコピーする場合の iSCSI 接続で、たとえば、クローニングするためにストレージホストをインポートまたはコピーする場合です。

Oracle VM VirtualBox と Hyper-V デスクトッププロバイダのみに必要です。

VirtualBox または Microsoft Hyper-V ホスト

ストレージホスト

3260

TCP

仮想マシンを仮想ディスクに接続するための iSCSI 接続。

Oracle VM VirtualBox と Hyper-V デスクトッププロバイダのみに必要です。

Oracle VDI ホスト

仮想ホスト

3389

TCP

仮想デスクトップに対する Microsoft RDP 接続。

VirtualBox ホスト

VirtualBox ホスト

7777

TCP

Oracle Linux プラットフォーム上の VirtualBox ホスト用の Oracle Cluster File System バージョン 2 (OCFS2) に必要で、これらのホストは iSCSI または Sun ZFS ストレージを使用します。

Oracle VDI ホスト

VirtualBox ホスト

18083

TCP

仮想デスクトップのプロビジョニングおよび管理を行うための Web サービスに対する HTTPS 接続。

root 以外のユーザーが VirtualBox を実行するように選択されている場合に、Oracle VM VirtualBox デスクトッププロバイダのみに必要です。

Oracle VDI ホスト

VirtualBox ホスト

49152 - 65534

TCP

仮想デスクトップに対する Oracle VM VirtualBox RDP (VRDP) 接続。

デスクトッププロトコルに VRDP が選択されている場合に、Oracle VM VirtualBox デスクトッププロバイダのみに必要です。

ポート 22、443、3389、18083、および 49152 - 65534 を構成可能です。

VirtualBox ホストでは、HTTPS ポートは VirtualBox のインストール時に構成されます。VRDP プロトコルを使用してデスクトップに接続する場合にのみ、VRDP ポートが必要です。詳細については、 VRDP と MS-RDP の間の選択を参照してください。使用されるポートの範囲は構成可能です (詳細については、 VRDP ポート範囲の構成を参照)。

2.5.4. Oracle VDI Center 内のホスト間のファイアウォール

複数のオフィスがあり、それぞれのオフィスに Oracle VDI ホストがある場合など、Oracle VDI Center のホスト間のネットワークにファイアウォールが含まれる場合があります。Oracle VDI ホストは、Oracle VDI Center のほかのすべてのメンバーに接続できる必要があります。

次の表に、これらの接続を許可するために開く必要がある可能性があるポートを示します。

発信元

送信先

ポート

プロトコル

目的

Oracle VDI セカンダリホスト

Oracle VDI プライマリホスト

123

UDP

プライマリホストへの時間情報プロトコル (NTP) 接続。

セカンダリホスト上で NTP が有効になっていない場合のみに必要です。

Oracle VDI ホスト

ほかの Oracle VDI ホスト

3307

TCP

組み込みの MySQL サーバーデータベースへの接続。

Oracle VDI ホスト

リモート MySQL データベースホスト

構成可能

構成可能

リモート MySQL データベースへの接続。

Oracle VDI Center の構成時にリモート MySQL データベースを選択した場合のみに必要です。

Oracle VDI ホスト

ほかの Oracle VDI ホスト

11172

TCP

Cacao に対する JMX-MP 接続に使用されます。

cacaoadm コマンドによって使用されます。

Oracle VDI ホスト

ほかの Oracle VDI ホスト

11173

TCP

Cacao に対するコマンドストリームコネクタに使用されます。

vda および vda-cent r コマンドによって使用されます。

Oracle VDI ホスト

ほかの Oracle VDI ホスト

11174

TCP

Cacao に対する JMX RMI 接続に使用されます。

Oracle VDI Center エージェント間の通信用に、Oracle VDI Manager によって使用されます。

Sun Ray Software

Sun Ray Software

複数

複数

詳細については、『Sun Ray Software 5.3 管理ガイド』の「ポートおよびプロトコル」を参照してください。

Oracle VDI ホストでは、vda client コマンドと Oracle VDI ホスト間の接続用にポート 3303 も使用されます。このポートは localhost にバインドされ、構成可能です。