本文档页面介绍了 Horizon Universal Console 中用于将 Horizon Edge 部署到 Microsoft Azure 订阅的“添加 Horizon Edge”UI 流程。

Horizon Edge 是一个瘦 Edge 云计算基础架构。对于 Microsoft Azure 部署,Azure 订阅为提供程序。在 Microsoft Azure 中部署的 Horizon Edge 将使用 Azure Kubernetes 服务 (AKS) 托管 Horizon Edge 网关,以提供高可用性。

在为环境配置至少一个 Active Directory 域和一个身份提供程序后,控制台中的添加 Horizon Edge UI 流程将变为可用。

前提条件

在控制台中执行这些步骤之前,必须确认您本人或您的 IT 团队已完成下列各项。

重要说明: 在控制台 UI 中选择项目时,系统将尝试确认特定项目是否已完成,如果未满足相应要求,将无法完成相应 UI 步骤。

例如,如果在集群出站类型中选择的 NAT 网关未连接到选定管理子网,则在单击部署时,UI 将显示一条消息并阻止进一步操作。此时,您必须退出向导,完成将 NAT 网关与管理子网连接的要求,然后再从头开始重新启动向导。

  • 查看部署 Microsoft Edge 的要求检查表,并确保满足其中列出的所有要求。
  • 查看 Microsoft Azure 部署、Horizon Edge - 准备部署页面内超链接页面中所述的预备项目,并确保已完成这些项目。
  • 确认您具有 Azure 订阅信息、网络信息、FQDN 及此类项目,以便可在向导字段和列表中指定这些项目。
  • 确认允许必要的出站端口。请参阅使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关
  • 如果计划使用代理服务器路由流量,则必须可以通过 Edge 管理子网访问该代理服务器。
  • 确定是希望此 Horizon Edge 的主提供程序专用于 Horizon Edge 网关和 Unified Access Gateway 实例,还是希望主提供程序同时提供最终用户桌面和应用程序。
    注: 如果希望将主提供程序专用于此 Horizon Edge 的网关设备,则需要 Azure 订阅信息来执行向导中为桌面和应用程序指定辅助提供程序的步骤。

过程

  1. 启动控制台中的添加 Horizon Edge 向导。

    控制台中的添加 Horizon Edge 向导可从不同的入口点访问。至于从控制台中的哪个入口点执行此步骤,通常取决于您的环境是绿地环境,还是已具有适用于 Horizon 8 或 Microsoft Azure 的现有 Horizon Edge 部署。

    尚无 Horizon Edge - 从控制台中的“Horizon Edge”卡启动
    如果环境中没有 Horizon Edge,通常可通过单击 开始部署来启动该向导。

    以下屏幕截图显示了此 Horizon Edge 卡。


    可在其中创建 Horizon Edge 定义的“添加 Horizon Edge”页面

    无 Horizon Edge - 或者,也可从控制台中的“容量”页面启动
    如果环境中尚未部署任何 Horizon Edge,“容量”页面将包含相应文本和 开始菜单。在此场景中,可导航到 资源 > 容量,然后单击 开始 > Horizon Cloud Service,以启动该向导。
    至少一个 Horizon Edge - 从控制台中的“容量”页面启动
    如果环境中至少已部署一个 Horizon Edge,“容量”页面将包含一个列出现有 Horizon Edge 的网格。在此场景中,可导航到 资源 > 容量,然后单击 添加 > Horizon Cloud Service,以启动该向导。
    使用上述三种方法中的任一方法启动向导后,控制台中会显示 添加 Horizon Edge,从而可从向导的步骤 1 开始。
    可在其中输入 Horizon Edge 定义的唯一名称的 Horizon Edge 页面

  2. 常规信息部分中,添加唯一的 Horizon Edge 名称
  3. 主提供程序部分中,选择 Azure 订阅字段中的新添以添加新订阅和唯一的提供程序名称
  4. 订阅 ID 字段中添加 Microsoft Azure 门户中的 Microsoft Azure 订阅 ID。
  5. Azure 云类型字段中,从下拉菜单中选择与 Microsoft Azure 订阅关联的 Microsoft Azure 云类型。
  6. 从下拉菜单的可用区域中选择 Azure 区域
  7. 目录 ID 字段中,添加 Microsoft Azure 门户中的目录 ID。
  8. 服务主体子部分中,添加在 Microsoft Azure 门户中创建的应用程序 ID应用程序密钥
  9. 选中此复选框以将主提供程序专用于 Horizon 网关设备部署:Horizon Edge 网关和 Unified Access Gateway。

    如果未选中此复选框,提供程序还将提供桌面和应用程序。

  10. (可选)您最多可以为 10 个 Azure 资源标记添加名称和值对。
  11. 您最多还可以添加四个其他服务主体
  12. 您最多还可以添加三个唯一的辅助提供程序,每个提供程序具有五个唯一的服务主体,Horizon Edge 的最大总容量为 20,000 个虚拟机。
    辅助提供程序必须与主提供程序位于同一 Azure 区域中。
  13. 网络部分中,为主提供程序辅助提供程序选择租户(桌面)子网。
    您可以在后续阶段选择子网。但是,在至少选择一个子网之前,您无法将任何资源部署到提供程序。
  14. 站点部分中,从站点字段的下拉菜单中选择新添,然后添加站点名称
  15. 连接部分中,从 Microsoft Azure 专用链路Internet 中选择要为 Horizon Edge 建立的网络连接类型。
    有关此要求的更多信息,请参阅 Microsoft Azure 订阅要求
  16. Horizon Edge 网关部分中,从 NAT 网关用户定义的路由中选择集群出站类型
    默认选择 NAT 网关。如果选择 NAT 网关,则必须将一个 NAT 网关关联到管理子网。如果选择 用户定义的路由,则必须将一个路由表附加到管理子网,并使默认路由指向 NVA。有关更多信息,请参阅 网络要求。此外,所需的端口和 URL 必须可访问,否则 AKS Edge 部署可能会失败。有关更多信息,请参阅 使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关
    AKS 会向管理子网上的路由表中添加一些条目,以用于 Kubernetes 容器的内部路由。请勿移除这些条目。
    创建 Horizon Edge 后,将无法编辑 集群出站类型
  17. Edge 网关部分中,选择具有所需角色的用户分配的受管身份
    有关 用户分配的受管身份的详细信息,请参阅 部署 Microsoft Azure Edge 的要求检查表
  18. 虚拟网络子部分中,为站点选择虚拟网络。
    可用的虚拟网络取决于之前选择的 Microsoft Azure 区域。要创建新的虚拟网络,请转到 Microsoft Azure 门户。
  19. 选择要用于 Horizon Edge 网关Unified Access Gateway 实例的管理子网
    确保所选的“管理”子网配置了 NAT 网关,因为使用 AKS 集群的 Horizon Edge 需要 NAT 网关进行出站连接。
    小心: 确保所选的“管理”子网未被其他 AKS 集群使用。请参阅 网络要求
  20. 服务 CIDR 文本框中,输入此 CIDR 的 IP 地址范围。
    提供的最小范围为 /27。确保此 CIDR 范围未被“管理”子网虚拟网络上的任何网络元素使用或未连接到“管理”子网虚拟网络。确保此 CIDR 范围不会与其他重要 IP 地址冲突,例如 DNS 服务器 IP、AD 服务器 IP 或 Unified Access Gateway IP 地址。
  21. 容器 CIDR 文本框中,输入此 CIDR 的 IP 地址范围。
    提供的最小范围为 /21。确保此 CIDR 范围未被“管理”子网虚拟网络上的任何网络元素使用或未连接到“管理”子网虚拟网络。确保此 CIDR 范围不会与其他重要 IP 地址冲突,例如 DNS 服务器 IP、AD 服务器 IP 或 Unified Access Gateway IP 地址。
  22. 要通过代理服务器路由出站请求,请启用使用出站代理
    1. 输入代理服务器的名称和 IP 地址。
    2. 输入 HTTP/TCP 代理在其上侦听 HTTP/HTTPS 流量的端口号。
    3. 要添加用于 SSL/TLS 安全通信的证书,请选择启用 SSL
      Horizon Cloud Service 仅支持 SSL 身份验证。不支持用户名和密码身份验证。
    4. 上载代理证书。
      Horizon Cloud Service 仅支持 PEM 格式的证书。证书必须支持主体备用名称 (SAN),而不是已弃用的公用名。
  23. 单击部署以激活 Horizon Edge 创建过程。
  24. Unified Access Gateway 部分中,选择访问类型
    有三个选项可供选择:
    • 内部 - 如果要仅通过内联网(企业内部网络)访问虚拟机。将通过桌面网络中的前端部署第 4 层负载均衡器。
    • 外部 - 如果要通过 Internet 访问虚拟机。将使用公共 IP 部署第 4 层负载均衡器。
    • 内部和外部 - 允许内部和外部访问。
    注: 对于所有三个选项,仍需对 *.horizon.vmware.com 的出站 Internet 访问。请参阅 Unified Access Gateway 要求。当 Unified Access Gateway 访问类型允许通过企业网络进行内部访问时,可以将用户定义的路由或 NAT 网关应用于 管理子网以允许出站流量。当使用 DMZ 网络对 Unified Access Gateway 访问类型进行外部配置时,必须在 DMZ 网络上配置对 *.horizon.vmware.com 的外部访问。
  25. 选择用于为 UAG 启用自动公共 IP 的选项开关,或者如果您希望使用手动公共 IP,请关闭此选项开关。
    默认情况下会打开此选项开关。如果部署了手动自定义 IP,则必须负责从 UAG 专用 IP 到给定公用 IP 的路由。
  26. 对于证书类型字段,在下拉菜单的 PEMPFX 中进行选择。
  27. 证书字段中,上载证书以使客户端信任与 Microsoft Azure 中的 Unified Access Gateway 进行的连接。
  28. 从可用虚拟机型号菜单中选择虚拟机型号
  29. UAG 虚拟机字段中添加值。
  30. 单击保存
  31. 已完成“入门”图块上,单击继续以导航到 Horizon Universal Console 主页页面。

下一步做什么

完成此过程后,您必须创建与 Unified Access GatewayHorizon Edge 网关以及实例上的 FQDN 匹配的 DNS 记录。请参阅 部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录
注: 完成 Horizon Cloud 部署并将桌面或应用程序授权给最终用户后,请注意以下 Unified Access Gateway 行为对使用 Horizon HTML Access (Web Client) 的最终用户有何影响及有何好处。

对于 Unified Access Gateway 2203.1 或更高版本,在 Unified Access Gateway 实例进入维护模式或进入不正常状态而变得不可访问时,使用 Horizon HTML Access 的最终用户正在进行的会话将重新连接到正常运行的 Unified Access Gateway 实例。重新连接可能需要几分钟时间。