本文档页面介绍了 Horizon Universal Console 中用于将 Horizon Edge 部署到 Microsoft Azure 订阅的“添加 Horizon Edge”UI 流程。

简介

Horizon Edge 是一个瘦 Edge 云计算基础架构。对于 Microsoft Azure 部署,Azure 订阅是提供商。

在为环境配置至少一个 Active Directory 域和一个身份提供程序后,控制台中的添加 Horizon Edge UI 流程将变为可用。

部署类型

在 Microsoft Azure 中部署的 Horizon Edge 使用 Edge 网关(虚拟机)格式或 Edge 网关 (AKS) 格式。

您可以根据所需的质量来决定要使用的类型。

部署类型 重要特性 详细信息
AKS
  • 支持超过 5K (5000) 个会话
  • Azure Kubernetes 服务具有必须满足的 Microsoft 相关要求
  • SSO 登录体验和监控数据收集是通过复制的服务来处理的,这些服务支持在发生故障时提供这些功能并具有完全故障切换功能。

AKS 是 Microsoft Azure 数据中心内适用于企业云原生应用程序的 Microsoft Azure 标准。

AKS 类型提供了集群架构的 Edge 网关,该网关提供了支持 SSO 登录体验和监控数据收集的复制服务。
虚拟机
  • 最多支持 5K (5000) 个会话
  • Microsoft Azure 订阅中涉及的必备条件少于 AKS 类型的必备条件
  • 如果部署的虚拟机在将来的某个时间不可用,则导致的行为是:
    • 最终用户必须在没有单点登录 (SSO) 的情况下登录。
    • 在虚拟机不可用期间,不会记录桌面的监控数据。

尽管虚拟机类型由于必备条件少于 AKS 类型而更易于部署,但如果部署的虚拟机变得不可用:

  • 最终用户将看到没有 SSO 登录体验的登录流程。例如,他们必须使用Active Directory凭据登录。
  • 在虚拟机不可用期间,不会记录发送到 Edge 网关虚拟机的桌面监控数据。

必备条件

在控制台中执行这些步骤之前,必须确认您本人或您的 IT 团队已完成下列各项。

重要说明: 在控制台 UI 中选择项目时,系统将尝试确认特定项目是否已完成,如果未满足相应要求,将无法完成相应 UI 步骤。

例如,在部署 AKS 部署类型时,如果在集群出站类型中选择的 NAT 网关未连接到选定的管理子网,在单击部署时,UI 将显示一条消息并禁止执行进一步的操作。此时,您必须退出向导,完成将 NAT 网关与管理子网连接的要求,然后再从头开始重新启动向导。

  • 查看部署 Microsoft Edge 的要求检查表,并确保满足其中列出的所有要求。
  • 查看 Microsoft Azure 部署、Horizon Edge - 准备部署页面内超链接页面中所述的预备项目,并确保已完成这些项目。
  • 确认您具有 Azure 订阅信息、网络信息、FQDN 及此类项目,以便可在向导字段和列表中指定这些项目。
  • 确认允许必要的出站端口。请参阅使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关
  • 如果计划使用代理服务器路由流量,则必须可以通过 Edge 管理子网访问该代理服务器。
  • 确定是希望此 Horizon Edge 的主提供程序专用于 Horizon Edge 网关和 Unified Access Gateway 实例,还是希望主提供程序同时提供最终用户桌面和应用程序。
    注: 如果希望将主提供程序专用于此 Horizon Edge 的网关设备,则需要 Azure 订阅信息来执行向导中为桌面和应用程序指定辅助提供程序的步骤。

启动部署向导

控制台中的添加 Horizon Edge 向导可从不同的入口点访问。至于从控制台中的哪个入口点执行此步骤,通常取决于您的环境是绿地环境,还是已具有适用于 Horizon 8 或 Microsoft Azure 的现有 Horizon Edge 部署。

尚无 Horizon Edge - 从控制台中的“Horizon Edge”卡启动
如果环境中没有 Horizon Edge,通常可通过单击 开始部署来启动该向导。

以下屏幕截图显示了此 Horizon Edge 卡。


可在其中创建 Horizon Edge 定义的“添加 Horizon Edge”页面

无 Horizon Edge - 或者,也可从控制台中的“容量”页面启动
如果环境中尚未部署任何 Horizon Edge,“容量”页面将包含相应文本和 开始菜单。在该场景中,您可以导航到 资源 > 容量,然后单击 启动 > Microsoft Azure 以启动该向导。
至少一个 Horizon Edge - 从控制台中的“容量”页面启动
如果环境中至少已部署一个 Horizon Edge,“容量”页面将包含一个列出现有 Horizon Edge 的网格。在该场景中,您可以导航到 资源 > 容量,然后单击 添加 > Microsoft Azure 以启动该向导。
使用上述三种方法中的任一方法启动向导后,控制台中会显示 添加 Horizon Edge,从而可从向导的步骤 1 开始。
可在其中输入 Horizon Edge 定义的唯一名称的 Horizon Edge 页面

一般信息

添加唯一的 Horizon Edge 名称,以将该 Horizon Edge 与您在控制台中看到的其他 Horizon Edge 区分开来。您可以添加可选描述。

主提供程序

完成此部分。完成此步骤后,继续执行下一步。

  1. 对于 Azure 订阅,请选择您的环境的现有提供程序之一,或使用新添提供新的提供程序订阅信息。

    添加新的提供商订阅信息时,请提供:

    • 此提供程序的唯一名称,可将其与控制台中显示的其他提供程序区分开来。
    • Microsoft Azure 门户中的 Microsoft Azure 订阅 ID。
    • 选择适用于该 Microsoft Azure 订阅 ID 的 Azure 云类型、Azure 区域和目录 ID。
    • 提供您在 Microsoft Azure 门户中为该用途创建的服务主体的信息(应用程序 ID应用程序密钥)。
  2. 如果要将此提供程序专用于 Horizon Edge 网关和Unified Access Gateway 实例,并使用单独的提供程序提供最终用户授权的资源,请选中显示的复选框。

    如果未选中,此提供程序还将提供最终用户授权的资源。

  3. (可选)您可以通过展开 UI 来指定要用于此 Horizon Edge 部署的 Azure 资源标记以查看此部分。
  4. (可选)在该 UI 步骤中,您最多可以添加 4 个额外的服务主体(应用程序 ID应用程序密钥对)。

辅助提供程序

将辅助提供程序添加到 Horizon Edge 是可选操作。

辅助提供程序必须与主提供程序位于同一 Azure 区域中。

对于每个辅助提供程序,您最多可以添加 5 个唯一的服务主体,最大总 Horizon Edge 容量为 20,000 个虚拟机。

网络

网络部分中,选择要用于主要和辅助提供程序的租户(桌面)子网。

您可以在后续阶段选择子网。但是,在 Horizon Edge 至少具有一个关联的租户子网之前,系统会阻止将任何资源部署到提供程序中。

站点

站点部分中,从您的环境的现有站点中进行选择,或选择新添以添加新的站点信息。对于新站点,请提供唯一名称和可选描述。

连接

完成连接部分。完成此步骤后,继续执行下一步。

  1. 选择要用于该 Horizon Edge 的网络连接类型:Azure 专用链路Internet

    有关该要求的更多信息,请参阅Microsoft Azure 订阅要求

  2. App Volumes 应用程序存储部分中,选择 Azure 专用端点的子网。
    注: 建议在配置专用端点后,最终用户从其虚拟机注销并重新登录。
    选项 说明
    使用 Edge 网关管理子网 创建专用端点资源的 Edge 网关管理子网。

    建议使用此默认选项。
    配置自定义子网 确保您已设置必备条件。有关这些必备条件的信息,请参阅App Volumes 应用程序存储帐户的 Azure 专用端点
    1. 选中确认复选框。
    2. 专用端点 VNet 下拉列表中选择一个虚拟网络。
    3. 子网下拉列表中选择相应的子网。

    在部署 Horizon Edge 并成功创建专用端点后,专用端点的状态为 Configured。如果状态为 Not Configured,则可以再次使用 Horizon EdgeApp Volumes 应用程序存储部分中的配置专用端点选项配置专用端点。有关使用该选项的更多信息,请参阅Horizon Edge 详细信息中的为 App Volumes 应用程序存储帐户配置专用端点一节。

    如果任何现有桌面池和文件共享之间存在连接问题而影响应用程序交付,并且您希望在解决这些问题之前将存储帐户恢复为公用网络访问,则可以使用移除专用端点选项。此选项将移除配置的专用端点,并自动为 Azure 门户中的存储帐户启用公共网络访问。在解决这些问题后,您可以使用配置专用端点选项配置专用端点。

Horizon Edge 网关

Horizon Edge 网关部分中,选择部署类型(Azure Kubernetes 服务单个虚拟机)。

在选择部署类型后,按照该特定部署类型的说明配置 Horizon Edge 网关设置,如下所示。

完成所选部署类型所显示的 UI 字段后,请按照屏幕上的提示进行操作。

  • Azure Kubernetes 服务 - 该选项适用于 Edge 网关 (AKS)。以下屏幕截图显示了选择 Azure Kubernetes 服务部署类型时显示和提示的信息类型。用于添加 Edge 网关 (AKS) 部署类型的向导的“Horizon Edge 网关”步骤的屏幕截图。
  • 单个虚拟机 - 该选项适用于 Edge 网关(虚拟机)。以下屏幕截图显示了选择单个虚拟机部署类型时显示和提示的信息类型。用于添加 Edge 网关(虚拟机)部署类型的向导的“Horizon Edge 网关”步骤的屏幕截图。
注: 根据选定的部署类型,UI 将显示有关 高可用性的标签。以后无法对其进行编辑。对于“单个虚拟机”部署类型,显示的字符串意味着,如果虚拟机不可用,最终用户将看到没有 SSO 登录体验的登录流程,并且在虚拟机不可用期间不会记录桌面的监控数据。对于 Azure Kubernetes 服务部署类型,显示的字符串表示 SSO 登录体验和监控数据收集是通过复制的服务来处理的,这些服务支持这些功能的完全故障切换。
部署类型 步骤
Azure Kubernetes 服务 (AKS)

对于 Azure Kubernetes 服务选项,

  1. NAT 网关用户定义的路由中选择集群出站类型

    默认选择 NAT 网关。如果选择 NAT 网关,则必须将一个 NAT 网关关联到管理子网。如果选择用户定义的路由,则必须将一个路由表附加到管理子网,并将默认路由配置为类型为虚拟设备的下一跃点。有关更多信息,请参阅网络要求。此外,必须能够访问所需的端口和 URL,否则 AKS Edge 部署可能会失败。有关更多信息,请参阅使相应的目标 URL 可访问以在 Microsoft Azure 环境中部署 Horizon Edge 网关

    AKS 会向管理子网上的路由表中添加一些条目,以用于 Kubernetes 容器的内部路由。请勿移除这些条目。

    创建 Horizon Edge 后,将无法编辑集群出站类型

  2. 选择具有所需角色的分配了受管身份的用户

    有关用户分配的受管身份的详细信息,请参阅部署 Microsoft Azure Edge 的要求检查表

  3. 虚拟网络子部分中,为站点选择虚拟网络。

    可用的虚拟网络取决于之前选择的 Microsoft Azure 区域。要创建新的虚拟网络,请转到 Microsoft Azure 门户。

  4. 选择要用于 Horizon Edge 网关Unified Access Gateway 实例的管理子网

    确保所选的“管理”子网配置了 NAT 网关,因为使用 AKS 集群的 Horizon Edge 需要 NAT 网关进行出站连接。

    小心: 确保所选的“管理”子网未被其他 AKS 集群使用。请参阅 网络要求
  5. 服务 CIDR 文本框中,输入此 CIDR 的 IP 地址范围。

    提供最小为 /27 的范围。确保此 CIDR 范围未被“管理”子网虚拟网络上的任何网络元素使用或未连接到“管理”子网虚拟网络。确保此 CIDR 范围不会与其他重要 IP 地址冲突,例如 DNS 服务器 IP、AD 服务器 IP 或 Unified Access Gateway IP 地址。

  6. 容器 CIDR 文本框中,输入此 CIDR 的 IP 地址范围。

    提供最小为 /21 的范围。确保此 CIDR 范围未被“管理”子网虚拟网络上的任何网络元素使用或未连接到“管理”子网虚拟网络。确保此 CIDR 范围不会与其他重要 IP 地址冲突,例如 DNS 服务器 IP、AD 服务器 IP 或 Unified Access Gateway IP 地址。

  7. (可选)调整默认 AKS 集群 DNS 前缀
  8. 要为此 Horizon Edge 中的资源启用单点登录,请切换使用 SSO,然后从 SSO 配置下拉菜单中选择相应的配置。
  9. 要通过代理服务器路由出站请求,请启用使用出站代理
    1. 输入代理服务器的名称和 IP 地址。
    2. 输入 HTTP/TCP 代理在其上侦听 HTTP/HTTPS 流量的端口号。
    3. 要添加用于 SSL/TLS 安全通信的证书,请选择启用 SSL

      Horizon Cloud Service 仅支持 SSL 身份验证。不支持用户名和密码身份验证。

    4. 上载代理证书。

      Horizon Cloud Service 仅支持 PEM 格式的证书。证书必须支持主体备用名称 (SAN),而不是已弃用的公用名。

  10. 单击部署以激活 Horizon Edge 创建过程。
单个虚拟机

对于单个虚拟机选项,

  1. 虚拟网络子部分中,为站点选择虚拟网络。

    可用的虚拟网络取决于之前选择的 Microsoft Azure 区域。要创建新的虚拟网络,请转到 Microsoft Azure 门户。

  2. 选择要用于 Horizon Edge 网关Unified Access Gateway 实例的管理子网
  3. 要为此 Horizon Edge 中的资源启用单点登录,请切换使用 SSO,然后从 SSO 配置下拉菜单中选择相应的配置。
  4. 要通过代理服务器路由出站请求,请启用使用出站代理
    1. (可选)从另一个 Horizon Edge 中选择代理设置
    2. 输入代理服务器的名称和 IP 地址。
    3. 输入 HTTP/TCP 代理在其上侦听 HTTP/HTTPS 流量的端口号。
    4. (可选)如果代理服务器需要凭据,请输入用户名密码
    5. 要添加用于 SSL/TLS 安全通信的证书,请选择启用 SSL
  5. 单击部署以激活 Horizon Edge 创建过程。

Unified Access Gateway

Unified Access Gateway 部分中,填写您的部署所需的字段。

在填写 UI 字段后,继续执行下一步。

  1. 选择访问类型

    有三个选项可供选择:

    • 通过企业网络进行内部访问 - 如果要仅通过内联网(企业内部网络)访问虚拟机。将通过桌面网络中的前端部署第 4 层负载均衡器。
    • 通过 Internet 进行外部访问 - 如果要通过 Internet 访问虚拟机。将使用公用 IP 部署第 4 层负载均衡器。
    • 内部和外部访问 - 允许内部和外部访问。
    注: 对于所有三个选项,仍然需要对 *.horizon.vmware.com 进行出站 Internet 访问。请参阅 Unified Access Gateway 要求。在使用 通过企业网络进行内部访问时,可以将用户定义的路由或 NAT 网关应用于 管理子网以允许出站流量。如果在外部为外部访问配置了 DMZ 网络,必须在 DMZ 网络上配置对 *.horizon.vmware.com 的外部访问。
  2. 选择用于为 UAG 启用自动公用 IP 的切换开关,或者如果您希望使用手动公用 IP,请关闭此选项开关。

    默认情况下会打开此切换开关。如果选择手动自定义 IP,将使用 DMZ 网络上的专用前端 IP 地址部署外部 UAG。然后,您必须负责从该专用 IP 地址到客户提供的公用 IP 地址的路由。

    提供 Unified Access Gateway 部署的 FQDN。

  3. 对于证书类型字段,在下拉菜单的 PEMPFX 中进行选择。
  4. 证书字段中,上载证书以使客户端信任与 Microsoft Azure 中的 Unified Access Gateway 进行的连接。
  5. 从可用虚拟机型号菜单中选择虚拟机型号
  6. UAG 虚拟机字段中添加值。
  7. 单击保存

后续操作

在完成该过程后,必须创建与您为 Unified Access Gateway 实例输入的 FQDN 匹配的 DNS 记录。请参阅部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录

注: 完成 Horizon Cloud 部署并将桌面或应用程序授权给最终用户后,请注意以下 Unified Access Gateway 行为对使用 Horizon HTML Access (Web Client) 的最终用户有何影响及有何好处。

对于 Unified Access Gateway 2203.1 或更高版本,在 Unified Access Gateway 实例进入维护模式或进入不正常状态而变得不可访问时,使用 Horizon HTML Access 的最终用户正在进行的会话将重新连接到正常运行的 Unified Access Gateway 实例。重新连接可能需要几分钟时间。

请注意,刷新 Unified Access Gateway 的 SSL 证书会终止最终用户会话。