此检查表旨在让您知晓 Horizon Cloud on Microsoft Azure 部署所需的元素。

重要说明: Horizon Cloud on Microsoft Azure 部署是指本机 Microsoft Azure 基础架构。

检查表受众

此检查表适用于从未在其租户环境中进行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客户帐户。您可能会听到此类租户环境被称为干净的环境或绿地环境。

在部署 Horizon Cloud 之前,必须执行下面的一些项目。您可以将某些项目延迟到部署完成并且运行之后。

Microsoft Azure 订阅要求

支持的 Microsoft Azure 环境(Azure 商业、Azure 政府)中的有效 Microsoft Azure 订阅。如果要在自己的专用提供程序(Microsoft Azure 订阅)中部署 Horizon Edge 设备(包括 Horizon Edge 网关Unified Access Gateway 实例),请获取另一个有效的 Microsoft Azure 订阅来部署池。
注:

Horizon Cloud 支持大多数 Microsoft Azure 区域。

每个 Microsoft Azure 订阅中的有效 Microsoft Azure 管理特权,以允许您使用 Microsoft Azure 门户并执行 Horizon Cloud 部署准备步骤
在每个 Microsoft Azure 订阅中创建一个或多个服务主体,记下订阅 ID、目录 ID 和应用程序 ID,并为订阅中的每个服务主体分配相应的角色。
注: 创建多个服务主体时,它们将共享订阅 ID 和目录 ID,但每个服务主体都有自己的应用程序 ID。
创建 Microsoft Azure 用户管理的身份。

使用 AKS 集群的 Horizon Edge 需要用户管理的身份在管理 VNet 的资源组范围内具有网络参与者角色,并在 Microsoft Azure 订阅范围内具有受管身份操作员角色。请参阅有关管理用户分配的受管身份的 Microsoft 文档

如果您的管理子网具有路由表,并且该路由表的资源组与 VNet 的资源组不同,则还必须为路由表的资源组分配网络参与者角色。

注册 Microsoft Azure 订阅所需的资源提供程序。请参阅确认所需的资源提供程序已在 Microsoft Azure 订阅中注册
创建一个自定义角色,以便提供对订阅中 Azure 计算库的读取权限,并将该自定义角色分配给为给定 Horizon Edge 配置的所有服务主体。
订阅必须允许创建没有标记的资源组。

Microsoft Azure 容量要求

如果下表指 Microsoft Azure 容量,则无需手动安装。只要订阅中具有指定的容量,部署程序便会自动实例化所述的虚拟机。

为将核心 Horizon Edge 资源部署到该订阅中所需的 Microsoft Azure 容量。
  • Horizon Edge 网关 – 升级期间为 4 节点 AKS 集群和额外节点提供足够的配额。
    • Horizon Cloud 部署使用 Azure Kubernetes 服务 (AKS) 群集,该群集需要使用四个具有某个受支持虚拟机大小的节点来提供容量。

      下面列出了 Microsoft Azure Edge 部署支持的虚拟机 SKU 大小(按优先级降序排列)。如果您的 Microsoft Azure 订阅具有至少一个以下虚拟机 SKU 大小的容量,则接受 Edge 部署。否则,将拒绝 Edge 部署。

      • Standard_D2s_v3 - 2 vCPU、8GB 内存
      • Standard_D2ds_v5 - 2 vCPU、8GB 内存
      • Standard_D2a_v4 - 2 vCPU、8GB 内存

      在 AKS 集群的正常操作过程中,需要四个虚拟机节点。在升级过程中,需要使用一个额外的节点。

    • 运行命令以检查 Microsoft Azure 虚拟机型号的可用性并检查区域 CPU 输出。请参阅检查 Microsoft Azure 虚拟机型号的可用性
  • Unified Access Gateway 实例 - 至少为以下支持大小的 2 倍。默认的建议大小为 Standard_F8s_v2。
    • Standard_A4_v2
    • Standard_D8s_v4
    • Standard_D16s_v4
    • Standard_D8s_v5
    • Standard_D16s_v5
    • Standard_F8s_v2
    • Standard_F16s_v2
    注: A4_v2 虚拟机型号仅足够满足概念证明 (Proof-of-Concept, PoC)、试运行项目或较小环境(即 Horizon Edge 上的活动会话数不超过 1,000 个)的需求。
Horizon Edge 实例可供使用后,您在 Microsoft Azure 云中的容量还必须容纳您在该 Horizon Edge 实例中创建的导入的虚拟机、映像、池虚拟机以及 App Volumes 应用程序捕获虚拟机。请参阅Image Management System Requirements部分。

网络要求

以下网络要求包括为 Horizon Cloud 部署提供高可用性所需的详细信息。这些要求还包括支持配置使用 AKS 集群的 Horizon Edge 网关。配置使用 AKS 集群的 Horizon Edge 网关可提供更易于扩展的解决方案。

在目标 Microsoft Azure 区域中创建的 Microsoft Azure 虚拟网络 (VNet),该网络具有适用的地址空间,可覆盖所需子网。请参阅配置网络要求

以下是最低的子网要求。对于较大的环境,可能需要使用更大的子网。

  • 管理子网 — 最小为 /26

    为管理子网配置 NAT 网关,因为使用 AKS 集群的 Horizon Edge 需要使用 NAT 网关进行出站连接。

  • 桌面(租户)子网 - 主 — 最小为 /27,但可以根据桌面和 RDS 服务器的数量相应地调整大小。您可以根据需要添加更多子网。
  • DMZ 子网 — Unified Access Gateway 实例集群最小为 /27(内部 Unified Access Gateway 访问类型不需要)。
作为先决条件,必须在 VNet 上手动创建子网。请参阅配置网络要求。最佳做法是,不要将其他资源连接到子网。

选择使用专用提供程序来部署 Horizon Gateway 设备(Horizon Edge 网关Unified Access Gateway)时,您必须在提供程序中创建后端子网,以便从中部署桌面。

如果在创建 Edge 时选择“NAT 网关”作为集群出站类型值,请在管理子网上配置一个 NAT 网关,以便为 Horizon Edge 网关启用出站连接。如果在创建 Edge 时选择“用户定义的路由”作为集群出站类型值,请在管理子网上配置一个路由表,并使其默认路由 0.0.0.0/0 指向类型为 VirtualApplianceVirtualNetworkGateway 的下一跃点。
收集以下 CIDR IP 地址范围,需要使用这些范围来在部署期间配置 Horizon Edge 网关
注: 确保这些范围不会与环境中使用的其他范围冲突。
  • 服务 CIDR — 最小为 /27
  • 容器 CIDR — 最小为 /21

要成功部署 AKS 集群,您必须满足以下 Microsoft Azure 要求。在使用 Horizon Universal Console 部署 Horizon Edge 时,请确保管理子网 VNet 的服务 CIDR、容器 CIDR 和地址空间不会与以下 IP 范围冲突:

  • 169.254.0.0/16
  • 172.30.0.0/16
  • 172.31.0.0/16
  • 192.0.2.0/24
配置 VNet(虚拟网络)DNS 服务器,使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。请参阅部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录

对于内部端点,AD 服务器就是一个示例。

对于外部端点,用于网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。

用于 Horizon Edge 部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅使相应的目标 URL 可访问以在 Microsoft Azure 环境中的 Horizon Cloud Service - next-gen 上部署 Horizon Edge 网关
可选。配置的 Microsoft Azure VPN/Express Route,当希望在 VNet 和内部部署企业网络之间建立网络连接时使用。
对于使用 AKS 集群的 Horizon Edge,如果用于 Horizon Edge 部署的 VNet 具有自定义 DNS 服务器,则必须将 Microsoft Azure DNS IP 地址 168.63.129.16 添加为上游 DNS 服务器。

端口和协议要求

Horizon Cloud 环境中部署和执行日常操作需要特定的端口和协议。请参阅在 Microsoft Azure 中部署 Horizon Cloud 的端口和协议要求

Unified Access Gateway 要求

将由 Unified Access Gateway 虚拟机组成的集群与池相关联,从而使客户端能够与该池中的虚拟机建立受信任的 HTML Access 连接。

您可以使用 Horizon Universal Console 来为 Horizon Cloud 配置 Unified Access Gateway。该类型的配置需要以下项目。

所有配置类型都需要对 *.horizon.vmware.com 进行出站 Internet 访问。

Unified Access Gateway 访问类型允许通过企业网络进行内部访问时,可以将用户定义的路由或 NAT 网关应用于管理子网以允许出站流量。

当使用 DMZ 网络对 Unified Access Gateway 访问类型进行外部配置时,必须在 DMZ 网络上配置对 *.horizon.vmware.com 的外部访问。

Unified Access Gateway 配置需要 FQDN。
与 FQDN 匹配的一个或多个采用 PEM 格式的 Unified Access Gateway 证书。
注: 如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 配置中配置提供的证书期间, Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,部署将失败。这些名称高度依赖于用于获取证书的 CA,这不在 VMware 的控制内。

身份提供程序要求

当 Microsoft Entra ID 是您的身份提供程序时,具有全局管理员特权的用户必须执行以下操作。
  • 批准请求的权限。
  • 表明整个组织同意。
如果 Workspace ONE Access 是您的身份提供程序,具有管理员特权的用户必须执行以下操作。
  • 批准请求的权限。
  • 表明整个组织同意。

Active Directory 要求

控制台的 Active Directory 注册工作流需要满足以下各项要求。

如果您计划使用 LDAPS 连接 Active Directory,请收集 Active Directory 域的 PEM 编码的根和中间 CA 证书。

使用 Horizon Universal Console 设置 Active Directory 域时,系统当时会提示您上载 PEM 编码的根 CA 证书和中间 CA 证书。

以下受支持的 Active Directory 配置之一:
  • 通过 VPN/Express Route 连接的内部部署 Active Directory 服务器
  • 位于 Microsoft Azure 中的 Active Directory 服务器
  • Microsoft Entra ID 域服务
受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别。
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

受支持的 Microsoft Windows Active Directory 域服务 (AD DS) 操作系统版本。

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R
域绑定帐户
具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符: "/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)

将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

  • 如果您熟悉 VMware Horizon 内部部署产品,您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考:创建 Active Directory 域绑定和域加入帐户

辅助域绑定帐户
必须不同于主域绑定帐户。UI 将禁止在这两个字段中重复使用相同的帐户。

具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)

将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

  • 如果您熟悉 VMware Horizon 内部部署产品,您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。
域加入帐户
Active Directory 域加入帐户,系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。( 域加入用户帐户

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

将帐户密码设置为永不过期,以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。

  • 读取所有属性 - 仅限此对象
  • 创建计算机对象 - 该对象和所有后代对象
  • 删除计算机对象 - 该对象和所有后代对象
  • 写入全部属性 - 后代计算机对象
  • 重置密码 - 后代计算机对象

对于计划用于池的目标组织单位 (OU),该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关创建和重用域加入帐户的更多详细信息,请参阅创建 Active Directory 域绑定和域加入帐户

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

可选辅助域加入帐户
Active Directory 域加入帐户,系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。( 域加入用户帐户

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

将帐户密码设置为永不过期,以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。

  • 读取所有属性 - 仅限此对象
  • 创建计算机对象 - 该对象和所有后代对象
  • 删除计算机对象 - 该对象和所有后代对象
  • 写入全部属性 - 后代计算机对象
  • 重置密码 - 后代计算机对象

对于计划用于池的目标组织单位 (OU),该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

虚拟桌面和基于会话的 RDS 桌面以及/或者已发布的应用程序的一个或多个 Active Directory 组织单位 (Organizational Unit, OU)。

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Image Management System Requirements

您的 Microsoft Azure 订阅必须满足以下要求,具体取决于您要在部署的 Horizon Edge 中置备的映像类型。

映像的基础。一个或多个受支持的 Microsoft Azure 虚拟机配置。
  • 支持 Microsoft Azure 第 1 代和第 2 代虚拟机。

确保为要用于基础虚拟机的型号提供足够的配额。以下型号类型为默认类型,同时为推荐类型。

非 GPU:
  • Standard_DS2_v2

已启用 GPU:

  • Standard_NV12s_v3

除了列出的非 GPU已启用 GPU 类型之外,还支持其他型号类型,但这些型号类型未必经过验证。如果选择其中一个型号,请确保订阅中有足够的配额。

池虚拟机要求

您的 Microsoft Azure 订阅必须满足以下要求,具体取决于您要在部署的 Horizon Edge 中置备的池虚拟机的类型。

为池中的虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud 桌面操作不兼容的配置除外。

选择虚拟机型号时,请考虑以下详细信息。

  • 选择启用 GPU 的模型类型还是非 GPU 模型类型,取决于在映像创建期间选择的虚拟机。
  • 要创建多会话池,请选择使用多会话操作系统创建的映像。
  • 对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。
  • 请参阅适用于 Horizon Cloud Service - next-gen 的 Microsoft Azure 虚拟机类型和大小 (89090),了解不同 Microsoft Azure 虚拟机类型和大小与 VMware Horizon Cloud Service - next-gen 之间的兼容性。
  • 池支持 Microsoft Azure 第 1 代和第 2 代虚拟机。

Horizon Client 和 Horizon HTML Access(Web 客户端)要求

要允许最终用户访问 Horizon Cloud 环境中的授权资源,请确保他们使用以下受支持的客户端之一。
Horizon Client
最终用户可以使用以下 Horizon Client 版本:
  • 适用于 Windows 的 Horizon Client 2111 或更高版本
  • 适用于 Mac 的 Horizon Client 2111 或更高版本
  • 适用于 Linux 的 Horizon Client 2206 或更高版本
  • 适用于 Android 的 Horizon Client 2303 或更高版本
  • 适用于 iOS 的 Horizon Client 2303 或更高版本
  • 适用于 Chrome 的 Horizon Client 2306 或更高版本
Horizon HTML Access
最终用户可以连接到 Horizon Cloud 环境中内置的 HTML Access 版本。