对于 Horizon Cloud Service on Microsoft Azure 部署,该服务使用 API 调用来将资源部署到 Microsoft Azure 订阅并管理这些资源。要使 Horizon Cloud 能够在 Microsoft Azure 订阅中使用其 API 调用,您需要创建一个服务主体,这在 Microsoft Entra ID 中称为应用程序注册。
最多可为提供程序创建四个唯一服务主体。要支持总共 5,000 个虚拟机,请添加四个服务主体。当您具有多个服务主体时,它们可共享订阅 ID 和目录 ID,但每个服务主体具有自己的应用程序 ID。
重要说明: 对每个服务主体使用相同的角色。
您可以创建一个服务主体以访问和使用 Horizon Cloud 的 Microsoft Azure 订阅容量。将在 Horizon Cloud 中使用 Microsoft Azure 订阅 ID、目录 ID 以及应用程序 ID 和密钥。
注: 在 Microsoft Azure 门户中执行本节中的任务。您可以在 Microsoft 文档
使用门户创建可以访问资源的 Azure AD 应用程序和服务主体中找到配置详细信息。虽然 Microsoft 建议对服务主体使用基于证书的身份验证,但 VMware 要求对服务主体进行基于密钥/密码的身份验证。
Horizon Cloud 服务主体在订阅中必须具有分配的角色。通常,Horizon Cloud 会在订阅中使用内置的 Contributor 角色。
之所以使用 Contributor 角色,因为此角色涵盖了 Horizon Cloud 必须在订阅中执行的所有 API 调用。角色分配必须是直接分配。不支持使用基于组的角色分配(在这种情况中,角色被分配给一个组,而服务主体是该组的成员)。
如果贵组织希望避免在订阅中使用
Contributor 角色,则
Horizon Cloud 支持使用自定义角色。如果使用自定义角色,该角色需提供
Horizon Cloud 所需使用的特定 API 调用。有关更多信息,请参阅
要为 Horizon Cloud 应用注册使用自定义角色。
注: 在删除已加入 Microsoft Entra ID 的池或虚拟机时,服务主体应具有从 Microsoft Entra ID 中删除设备条目的权限。
权限相关内容如下:
范围:https://graph.microsoft.com/
权限:Device.ReadWrite.All Read and write devices
管理员同意:Yes
可以通过导航到以下位置来授予权限:
以下步骤提供了要用于 Horizon Cloud 环境的设置:
过程
- ♦ 最多可为订阅配置四个服务主体和客户端密钥。
- 将客户端密钥的过期时间设置为首选时长,例如 24 Months。
- 保存客户端密钥的副本以供将来查阅。
- 为每个服务主体分配适当的角色,以允许服务主体管理订阅中的资源。
