在为您启用下一代环境后,您可以为位于第一代 Horizon Cloud 控制平面中的 Horizon Cloud on Microsoft Azure 部署启动自助迁移以迁移到 Horizon Cloud Service - next-gen。
开始位置
选择下面的链接之一以进行阅读,具体取决于您自己或与 Horizon 迁移团队一起完成的迁移工作量。
- 如果我没有从 Horizon 迁移团队收到电子邮件,该怎么办?
- 在 迁移排除项和特殊情况场景中查看当前的资格条件。启用资格条件取决于特定因素。这些因素随时间而发生变化,从而进行渐进式部署。
在下列情况下 | 接下来做什么 | |
---|---|---|
☐ | 您已从 Horizon 迁移团队收到有关迁移到下一代的电子邮件,但...
|
|
☐ | 在您完成最初载入到下一代的过程并看到“迁移”UI 后,但...
|
|
☐ | 在配置身份提供程序并配对后,但...
|
|
☐ | 在计划维护时段之后,但在到达该日期之前。 |
|
☐ | 就在迁移维护时间之前直至维护时段结束。 | 查看:了解有关维护时段期间发生的情况的信息。 |
☐ | 就在维护时段之后。 | 执行:执行迁移后活动 |
☐ | 在执行迁移后活动之后。 |
|
浏览器体验
下一代 Horizon Universal Console 与 Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari 的最新版本 (N) 以及 N-1 和 N-2 版本兼容。在这些浏览器版本中支持使用下一代 Horizon Universal Console 执行的迁移活动。
对于在第一代 Horizon Universal Console 中执行的迁移活动(例如,获取配对密钥),请使用与第一代 Horizon Universal Console 兼容的浏览器版本,如《第一代部署指南》中所述。
第 1 阶段 - 最初载入到 Horizon Cloud Service - next-gen 环境
在该阶段,您完成最初载入到下一代环境的步骤。这些步骤与在下一代环境中进行全新的绿场部署时的步骤几乎相同。
执行 VMware Horizon Cloud Service - next-gen 部署和载入页面中所述的载入步骤,一直执行到选择您的 Horizon Cloud 区域的步骤。
组织选择
在 UI 流程要求您选择现有组织或创建新组织的载入工作流步骤中,按照确定要使用的 Cloud Services 组织中所述的指导指定您确定的组织。
云区域选择
在选择组织后,将显示区域选择 UI。
如果要确保控制平面元数据中的与地理区域用于第一代租户的地理区域保持相同,请选择与第一代租户区域对应的相同地理区域。
以下屏幕截图显示了选择美国的区域选择步骤。
您可以将选择的下一代区域与用于第一代租户的区域进行匹配。这样做提供了一种方法,以确定您使用的第一代控制平面区域。要将您选择的下一代区域与用于第一代租户的区域进行匹配,请登录到第一代 Horizon Universal Console,在完成在 Horizon Cloud 环境中进行身份验证中所述的身份验证流程后,检查浏览器地址字段中显示的区域 DNS 名称。
第一代区域名称 | 匹配下一代区域选择 |
---|---|
cloud.horizon.vmware.com |
美国 |
cloud-eu-central-1.horizon.vmware.com |
爱尔兰 |
cloud-ap-southeast-2.horizon.vmware.com |
澳大利亚 |
cloud-us-2.horizon.vmware.com |
美国 |
cloud-eu-2.horizon.vmware.com |
爱尔兰 |
cloud-ap-2.horizon.vmware.com |
澳大利亚 |
cloud-jp.horizon.vmware.com |
日本 |
cloud-uk.horizon.vmware.com |
英国 |
cloud-de.horizon.vmware.com |
德国 |
在选择区域后
在前面的步骤中进行保存后,控制台通常会显示迁移屏幕。
后续步骤
请按照屏幕上的指导进行操作。满足介绍的迁移必备条件,并完成配对过程。
第 2 阶段 - 配对环境以启用下一代环境和第一代环境之间的迁移
要允许将 Horizon Cloud on Microsoft Azure 部署迁移到下一代环境,您必须将第一代环境与 Horizon Cloud - next-gen 环境配对。
关于此配对代码
配对代码为系统提供了一种方法,以便将 Horizon Cloud - next-gen 环境与第一代环境关联以迁移第一代部署。
您从第一代环境获取配对代码,复制该配对代码,然后将其粘贴到 Horizon Cloud - next-gen 环境的迁移面板中。
配对步骤
每次使用控制台生成配对代码时,配对代码的有效期为 30 分钟。如果您在 30 分钟后未完成步骤 9,只需重复步骤 5,以便生成新的配对代码以在步骤 9 中复制并粘贴该代码。
如果您选择同时查看两个控制台,最佳做法是在隐私模式或隐身模式下使用浏览器窗口,以避免由于浏览器缓存图像或其他缓存页面内容而可能导致的 UI 问题。
- 使用以下方法之一获取配对代码。
- 如果您的控制台显示了迁移横幅,您可以单击横幅的让我们开始吧来启动下一代迁移向导,然后在开始步骤中选择是,即可显示以下屏幕截图中所示的配对代码。
注: 仅当 VMware 在第一代环境中启用了横幅和向导时,第一代控制台才会显示它们。
- 单击在控制台中显示的您的帐户名称,然后选择配对代码。
- 如果您的控制台显示了迁移横幅,您可以单击横幅的让我们开始吧来启动下一代迁移向导,然后在开始步骤中选择是,即可显示以下屏幕截图中所示的配对代码。
- 复制配对代码。以下屏幕截图显示的代码出于隐私考虑进行了编辑。
该配对代码的有效期为 30 分钟。
如果代码过期,控制台将执行刷新操作以生成新代码。
- 转到 Horizon Cloud - next-gen 环境中的迁移页面。
- 从迁移 - 开始向导中,您可以单击开始启动下一代控制台以显示迁移页面。
- 或者,您可以打开浏览器窗口,登录到 VMware Cloud Services,然后从服务页面中导航到 Workspace ONE 服务,在一组 Workspace ONE 云服务中找到 Horizon Cloud Service 卡,然后从中单击打开下一代控制台的操作。然后,使用左侧导航菜单中的迁移条目导航到迁移页面。
以下屏幕截图显示了控制台的迁移页面。
- 单击配对租户链接。
- 在显示的“配对租户”窗口中,将复制的配对代码粘贴到配对代码字段中。
以下屏幕截图展示了此步骤。为了保护隐私,在此处编辑了粘贴的代码。
- 单击配对。
在系统成功配对租户时,下一代 UI 将指示配对成功。
后续步骤
您的第一代租户和下一代租户现已配对,请按照屏幕上的指导进行操作并连接身份提供程序。
第 3 阶段 - 在下一代环境中配置所需的身份提供程序设置
在迁移工作流的这一阶段,必须输入外部身份提供程序的设置。这些设置注册身份提供程序以用于下一代环境。
简介
在最终用户尝试访问其授权资源时,下一代环境从设计上依靠外部身份提供程序提供所需的身份验证。
下一代架构使用外部身份提供程序时,可以与第三方产品和解决方案集成以提供多因素身份验证和 SSO 功能。
在注册身份提供程序之前,请确认要迁移容器的 AD 域已连接到您的身份提供程序,即您将为此下一代环境指定的身份提供程序。
视频说明
以下 Tech Zone 视频说明了如何在下一代环境中配置一种受支持的身份提供程序类型:
- 有关使用 Microsoft Entra ID 的演示,请前进到 Tech Zone:计划容器迁移的第 3 分钟,以查看将 Microsoft Entra ID 配置为身份提供程序的步骤。
- 有关使用 Workspace ONE Access 的演示,请参阅练习:连接 Workspace ONE Access 作为 Horizon Cloud 的用户身份提供程序
准备
确保设置了您的身份提供程序,并将其连接到您的 AD 域,如 Horizon Cloud - next-gen 用户指南中的设置身份提供程序页面中所述。
下一代租户控制台 UI 要求输入辅助域加入帐户。这与第一代租户控制台不同,在第一代租户控制台中,辅助域加入帐户是可选的。在 UI 中开始执行域注册步骤之前,请确保您知道辅助域加入帐户的名称。
创建身份提供程序连接
在下一代租户的控制台中,通过单击“迁移”页面中的连接导航到控制台的“身份提供程序”UI 选项卡。
完成控制台的身份提供程序流程,以将下一代租户连接到身份提供程序。
有关该“身份提供程序”UI 的具体指导,请参阅 Horizon Cloud - next-gen 指南中的连接身份提供程序页面。
以下屏幕截图显示已完成状态,其中,已成功连接身份提供程序(出于隐私考虑,对某些值进行了编辑)。
后续步骤
在下一代控制台中,导航到迁移页面。
现在,身份提供程序已连接,控制台会提供开始按钮,您可以单击该按钮以开始计划自动迁移。
第 4 阶段 - 计划容器的迁移维护时段
在该阶段,您选择要迁移的容器,指定系统构建 Horizon Edge 所需的详细信息,并预留一个您希望执行迁移维护时段的日历时间段。
该日历时间段是维护时段。
在维护时段期间,您和其他管理员无法访问第一代租户的 Horizon Universal Console,并且最终用户无法访问由迁移容器置备的桌面和应用程序。
在开始执行这些步骤之前
在 控制台中启动此工作流之前,请确保以下各项已就位。
☐ | 满足所有必备条件 |
☐ | 您已确定要使用的 Horizon Edge 网关部署类型(单个虚拟机或 AKS):确定您的部署类型并满足其要求。 |
☐ | 除了主要必备条件外,您还满足所选 Horizon Edge 网关部署类型的必备条件: |
☐ | 您已完成第 3 阶段 - 在下一代环境中配置所需的身份提供程序设置中的步骤。 |
☐ | 确保与标记和资源组创建相关的 Azure 策略已解除(已关闭)并保持关闭状态,直到看到 Horizon Edge 网关和Unified Access Gateway 实例成功部署在容器订阅中为止。完成调度向导后,部署活动即开始。在成功部署后,将在下一代 Horizon Universal Console 中显示通知消息。 |
调度向导的 UI 要求您为以下项目选择或输入值。
在启动向导之前,请确保您已具备此信息和项目。必备条件页面中介绍了这些项目。
☐ | 新Unified Access Gateway项:
重要说明: 确保证书的公用名称或 FQDN 与您计划在向导中输入的 FQDN 完全匹配。向导使用键入的 FQDN 验证证书中的数据。如果不匹配,系统将阻止调度迁移,并且您必须取消调度向导。
|
☐ 如果使用 AKS 部署类型 |
对于 AKS 类型,向导会要求:
注: 如果必须创建新的 VNet 和管理子网以用于 AKS 类型以临时解决 AKS 限制的 IP 地址,请确保您知道其名称,以便可以在向导 UI 中标识并选择它们。
|
☐ 如果使用单个虚拟机部署类型 |
对于单个虚拟机类型,向导不要求提供输入。 |
☐ 如果容器的外部网关使用专用 IP 地址 |
如果将第一代容器的外部网关部署配置为使用专用 IP 地址,请将新的公用 IP 地址用于下一代 Unified Access Gateway 部署,如迁移第一代 Horizon Cloud 容器的必备条件中所述。 向导会要求提供该信息。 |
一些站点相关要点 - Universal Broker 环境
在您使用具有多个 Horizon Cloud 容器的第一代 Universal Broker 环境时,请记住以下几点。
如第一代管理指南页面使用 Universal Broker 环境中的站点中所述,第一代租户使用 Universal Broker 时,可以配置站点和主站点。
- 系统会在第一个容器迁移期间迁移第一代租户中存在的站点配置。一个站点相关信息示例是用户到主站点的映射。
- 在最终完成第一个容器的迁移,然后对第一代环境中的站点相关信息进行更改时,在迁移下一个容器之前,这些更改在下一代环境中将不可见。
- 下一代环境中的任何现有站点到用户映射和站点到组映射都将作为迁移容器时的数据来源。如果用户或组的用户或组主站点映射在于下一代环境和第一代环境中都存在,则迁移过程将忽略第一代站点映射。此信息包含在迁移报告中。
- 在迁移每个容器后,如果您具有任何主站点映射,请在下一代环境中检查主站点映射,并根据您的组织需求进行更新。
“计划迁移”工作流 UI
单击“迁移”页面上的开始以查看计划迁移工作流。
控制台显示与该下一代租户配对的第一代租户的容器群中的第一代 Horizon Cloud on Microsoft Azure 部署集。
系统自动验证第一代部署是否与自助迁移兼容。该条件包括验证容器管理器实例是否运行相应的清单版本,映像、VDI 桌面和场虚拟机是否具有相应的 Horizon Agent 版本,以及第一代部署中使用的功能是否也与自助迁移的当前功能兼容。
对于每个第一代部署,控制台指示部署是否满足系统的自动迁移条件。如果满足条件,UI 将指示准备迁移。
如果部署不满足条件,您可以单击状态列以显示描述问题的窗口。在解决这些问题后,您可以使用重新扫描操作为第一代部署重新运行系统检查。有关部署必须满足的条件示例,请参阅迁移排除项和特殊情况场景。
选择第一代容器
在 UI 指示要迁移的容器已准备好进行迁移时,请选择该容器,然后单击下一步。
如果第一代环境中的多个容器具有仅内部网关和外部网关的组合,请先迁移具有外部网关的容器。
在选择一个容器后,单击下一步以继续。
Horizon Edge - 添加新项,选择现有
在单击下一步时,系统分析下一代环境中为 Horizon Edge 提供的资源以表示迁移后的容器。
向导将显示按钮:
- 新添
- 选择现有项
灰显按钮表示该按钮无法用于此迁移,必须使用系统选择的按钮。横幅将显示原因。
如果两者均未灰显,并且默认选择了其中一个,这意味着系统建议使用预先选择的建议,您可以替代系统的建议并选择另一个建议进行此迁移。
以下几节简要说明了计划迁移流程中的新添和选择现有项的用途。
按钮 - 选择现有
在选择选择现有项时,向导显示环境的现有 Horizon Edge 的列表。选择要用于该迁移的 Horizon Edge,然后单击下一步。继续执行步骤 3 - 计划迁移时间段。
在使用现有的 Horizon Edge 时,系统使用与第一代容器关联的相同数量的 Unified Access Gateway 实例扩展现有的 Unified Access Gateway 部署。该扩展的最大限制是八 (8) 个 Unified Access Gateway 实例。在选定的 Horizon Edge 中达到该限制时,将不会增加 Unified Access Gateway 部署。
此外,还介绍了以下用例:
- 第一代容器具有与选定 Horizon Edge 相同的订阅、相同的 Microsoft Azure 区域和不同的应用程序 ID(服务主体):系统将第一代容器的应用程序 ID 添加到选定 Horizon Edge 的提供程序以扩展该提供程序。
- 第一代容器具有与选定 Horizon Edge 不同的订阅、相同的 Microsoft Azure 区域和不同的应用程序 ID(服务主体):系统将辅助提供程序添加到选定的 Horizon Edge 中。
按钮 - 添加新项
在选择新添时,系统为该第一代容器迁移创建新的 Horizon Edge。
在这种情况下,向导要求您完成显示的选项和字段以配置新的 Horizon Edge。
UI 字段 | 描述 |
---|---|
Horizon Edge 名称 | 指定在下一代租户中唯一地标识该 Horizon Edge 的名称。名称必须以字母 [a-Z] 开头,并且仅包含字母、短划线 (-) 和数字。 |
部署类型 | 单击与您决定用于 Horizon Edge 网关的部署类型对应的选项。 默认为单个虚拟机。
|
请参阅下面与您选择的部署类型对应的小节。
单个虚拟机部署类型
对于单个虚拟机部署,在向导中没有额外的相关字段。此类型的部署会将容器的管理子网用于 Horizon Edge 网关。
继续Unified Access Gateway信息。
Azure Kubernetes 服务部署类型
填写这些字段。这些都是必填字段。在启用下一步按钮之前,UI 验证是否在这些字段中都输入了内容。
UI 字段 | 描述 |
---|---|
集群出站类型 | 共有两个选项 - NAT 网关或用户定义的路由。 选择与您或 IT 团队为满足该要求而决定在 Azure 中设置的类型匹配的选项,如AKS 类型 - 配置 NAT 网关或路由表并关联到管理子网一节中所述。 |
用户分配的受管身份 | 选择您或 IT 团队为满足该要求而在 Azure 中设置的用户分配的受管身份,如 AKS 类型 - 创建用户分配的受管身份一节中所述。 |
虚拟网络和管理子网 | 如果同时看到这两个字段,请根据您准备处理前文的内容进行选择。 在系统检查确定 VNet 与 AKS 限制的 IP 范围重叠时,将显示这些字段,如确定容器的 VNet 或连接的网络是否包含 AKS 限制的 IP 地址中所述。 选择该 VNet 中的新 VNet 和管理子网。 |
服务 CIDR | 输入您或 IT 团队为满足 AKS 服务 CIDR 要求而确定的 CIDR,如 AKS 类型 - 保留所需的虚拟 IP 范围一节中所述。 |
容器 CIDR | 输入您或 IT 团队为满足 AKS 容器 CIDR 要求而确定的 CIDR,如 AKS 类型 - 保留所需的虚拟 IP 范围一节中所述。 |
Unified Access Gateway 信息
UI 字段 | 描述 |
---|---|
Unified Access Gateway FQDN | 键入您或 IT 团队决定用于该部署的 Unified Access Gateway 的 FQDN。虚拟桌面和应用程序中的 Horizon Agent 将连接到该 FQDN。 |
证书类型 | 共有两个选项 - PEM 或 PFX。选择与您或 IT 团队为该部署获取的证书匹配的类型,它与 Unified Access Gateway FQDN 相匹配。 对于 PFX,将显示一个额外的密码字段以在其中输入 PFX 证书的密码。 |
证书 | 单击该按钮以上载证书。 |
手动公用 IP | 当系统检测到第一代容器的外部网关部署配置为使用专用 IP 地址时,将显示此字段。 输入要用于下一代部署的公用 IP 地址,如迁移第一代 Horizon Cloud 容器的必备条件中所述。
注: 此公用 IP 必须与已在要迁移的第一代部署中使用的公用 IP 不同,以便在需要回滚时,支持回滚到第一代部署状态。
作为预构建活动的一部分,系统将使用专用 IP 地址部署下一代 Unified Access Gateway 部署的负载均衡器。在部署负载均衡器且已知其专用 IP 地址后,必须确保设置路由,以便此公用 IP 将流量定向到已部署的负载均衡器的专用 IP。 |
在填写所有字段后,单击下一步按钮以转到下一步。
步骤 3 - 计划迁移时间段
在该步骤中,您为迁移的维护时段选择一个时间段。
在选定的时间段内:
- 不要对第一代容器、其资源和设置等进行任何更改。
- 不要对下一代环境的部署进行任何更改。
- 系统将禁止访问 Horizon Universal Console。
- 最终用户无法访问由进行迁移的容器置备的桌面和应用程序。
- 在选定的时间段内避免访问下一代环境,以避免中断该过程。
UI 显示一个日历视图,以描述系统为迁移活动提供的那些时间段。
- 该日历视图准确反映了可以在哪些日期和时间段内迁移选定的第一代容器。
- 一般来说,可供选择的第一天至少是将来的第 7 天。
- 您可以根据需要滚动查看该日历视图,以找到满足您的团队和组织需求的日期和时间段。
- 每个时间段为 6 小时制。
以下屏幕截图说明用于选择迁移维护时段的 UI 日历。
将鼠标悬停在其中一个时间块上会显示一个弹出窗口,其中显示了该时段的浏览器本地时间和 UTC 时间。
以下屏幕截图说明一个选定的块。系统将在该时间开始执行其活动。
在选择了其中的一个时间段时,您可以单击保存以保存所选内容。
系统接下来执行的操作
在保存选择的时间段后,系统将显示一条消息,以确认您选择的时间段并描述后续步骤。
在确认消息中单击确定后,系统将:
- 执行其预构建活动。
- 在使用 新添时(迁移到新的 Horizon Edge)
- 在这种情况下,系统部署该 Horizon Edge 及其关联的资源(Horizon Edge 网关和 Unified Access Gateway 实例以及关联的负载均衡器)。
- 在使用 选择现有项时(迁移到现有的 Horizon Edge)
-
在使用现有的 Horizon Edge 时,系统使用与第一代容器关联的相同数量的 Unified Access Gateway 实例扩展现有的 Unified Access Gateway 部署。该扩展的最大限制是八 (8) 个 Unified Access Gateway 实例。在选定的 Horizon Edge 中达到该限制时,将不会增加 Unified Access Gateway 部署。
另外,对于以下用例:
- 第一代容器具有相同的订阅、相同的 Microsoft Azure 区域、不同的服务主体应用程序 ID:系统将第一代容器的应用程序 ID 添加到选定 Horizon Edge 的提供程序以扩展该提供程序。
- 第一代容器具有不同的订阅、相同的 Microsoft Azure 区域、不同的服务主体应用程序 ID:系统将辅助提供程序添加到选定的 Horizon Edge 中。
- 将发布的映像和 App Volumes 应用程序从第一代容器复制到 Horizon Edge。
部署的 Horizon Edge 具有用于 Horizon Edge 网关实例的负载均衡器以及用于 Unified Access Gateway 实例的负载均衡器。
在新添用例中,在部署新的 Horizon Edge 后,您和 IT 团队可以获取这些负载均衡器的 IP 地址,并更新 DNS 以添加记录,从而将 Unified Access Gateway FQDN 负载均衡器 IP 地址映射到该“计划迁移”向导中指定的 Unified Access Gateway FQDN。有关更多详细信息,请参阅下一代文档中的在部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录。
在确认消息中单击确定时,将返回到控制台的“迁移”页面。
后续步骤
在系统的预构建阶段,您的大部分时间都在等待系统完成其预构建活动(请参阅迁移流程图)。
在预构建阶段,您可以使用控制台的迁移页面中的迁移状态和报告列以检查发生的情况。
尽管可以在完成维护操作后配置这些 DNS 条目,但如果没有将指定的 FQDN 映射到分配给这些资源的基础 IP 地址的 DNS 条目,迁移的环境就无法完全正常运行。请参阅第 6 阶段 - 为自助迁移第 5 阶段创建的基础架构配置 DNS 记录。
“迁移”页面功能
现已计划迁移一个容器,控制台的“迁移”页面显示该状态,并提供重新计划(重新计划)和取消(取消)计划的迁移时间的操作。
在选择其中的一个操作时,请按照屏幕上的提示进行操作。
以下屏幕截图显示选定的容器以及“重新计划”和“取消”操作的可用性。该屏幕截图中的“完成”操作不可用,因为尚未迁移该容器。
第 5 阶段 - 预构建 - 维护时段之前的自动操作
在该阶段,系统在指定的迁移时段之前自动执行预构建迁移活动。这种提前加载的活动旨在最大限度减少迁移维护时段所需的时间。
简介
正如预期要求中所述,使用预构建缩短了在维护时段期间执行迁移所需的时间。
对于所有迁移,系统在预构建阶段部署所需的资源。
在迁移使用新的 Horizon Edge 时,系统还会在预构建开始时为该 Horizon Edge 部署资源。
请注意以下几点:
- 尽管下一代控制台不会禁止您使用这些资源在下一代环境中创建池,但 VMware 强烈建议您在完成整个迁移之前避免使用这些新资源创建池或执行其他创建工作流。
如果在迁移维护时段之前在下一代环境中使用这些资源,并随后取消迁移或使用 UI 的回滚操作,则系统无法将下一代环境恢复为原来的起始状态。在该场景中,您可能需要在环境中执行额外的手动操作,以使其达到系统能够让您重新启动迁移过程的状态。
- 在预构建过程中,系统首先会暂时复制第一代容器的 base-vms 资源组中的每个第一代发布的映像,并对这些映像副本执行代理更新和其他活动,然后再在将下一代环境中发布它们。这些临时虚拟机使用命名约定 MIGXXXXXXXXXXXX。
当系统使用这些临时虚拟机时,在将这些虚拟机发布到下一代环境之前,您将看到在第一代控制台的导入的虚拟机页面上列出的 MIGXXXXXXXXXXXX 映像。
请务必避免在这些临时虚拟机上执行任何操作,因为这样做可能会导致迁移预构建阶段失败。例如,请勿关闭临时虚拟机的电源。
该预构建不会影响现有的容器或用户会话。
在预构建期间
在预构建期间:
- 如果迁移使用新的 Horizon Edge 而不是现有的 Horizon Edge,系统将使用您在第 4 阶段的计划迁移 UI 中提供的输入部署下一代 Horizon Edge。
- 系统获取在容器级别和第一代控制平面中存储的第一代配置数据,转换该数据以与下一代控制平面设计相匹配,并相应地存储转换的数据。
- 在该迁移是第一次迁移到下一代环境时,系统获取第一代租户的 Active Directory (AD) 域配置,并在下一代环境中创建等效的域配置。
在下一代环境中,系统会在预构建初次计划迁移的活动期间注册第一代租户的所有已注册域。在从同一第一代租户进行的后续容器迁移中,系统将重新验证第一代租户配置是否同步,并跳过注册已存在于下一代环境中的域。
注: 在下一代 AD 域配置中,下一代环境要求为域绑定帐户和域加入帐户提供辅助帐户。如果第一代租户的 AD 域配置缺少辅助域绑定帐户或辅助域加入帐户,系统将自动重用主帐户信息作为下一代 AD 域配置中的配套辅助帐户。最佳做法是,您应该在 AD 域中为这些辅助域绑定帐户和域加入帐户获取服务帐户,并在执行预构建活动后,编辑 AD 域配置以添加这些辅助帐户。
- 系统将第一代部署的已发布映像和 App Volumes 相关文件复制到 Horizon Edge,并配置这些副本以用于 Horizon Edge。
- 对于以下每个第一代项目,系统在 Horizon Edge 中创建一个测试池。
- RDSH 桌面场
- RDSH 应用程序服务器场
- 单容器代理租户中的浮动桌面分配(池)。(多云分配没有测试池。)
每个测试池包含一个计算机,并从第一代池中镜像该池的配置设置。
在维护时段期间完全迁移池之前,您可以使用这些测试池预验证该池的计算机行为是否符合您的预期要求。注: 由于系统重新构建浮动和 RDSH 池,如果您在环境中许可了第三方解决方案,而许可证与虚拟机身份绑定在一起,则会消耗更多此类许可证。
预构建活动到此结束。系统将在计划的维护时段开始时开始执行下一批活动。为了做好回滚准备,第一代部署的已发布映像和 App Volumes 相关文件将保留在原处,直到您以后确认完成了端到端迁移。
后续步骤
在您的订阅中构建资源后,请执行以下几节中所述的活动。
在迁移到新的 Horizon Edge 时,配置所需的 DNS 条目
在您看到新的 Horizon Edge 的 Unified Access Gateway 和 Horizon Edge 网关实例已启动并正在运行时,您应该为 DNS 配置一些记录,以将您在迁移 UI 中指定的 FQDN 映射到相关的 IP 地址。请参阅第 6 阶段 - 为自助迁移第 5 阶段创建的基础架构配置 DNS 记录。
通常,这些实例在计划的迁移维护时段后的 48 小时内启动并运行。
使用测试池预验证池行为
在 Horizon Universal Console 中导航到 以找到测试池。
每个测试池具有单个计算机,您可以使用该计算机预验证该池的下一代体验。
AD 域 - 辅助域绑定和域加入帐户
如上一部分中所述,如果第一代租户的 AD 域配置缺少辅助域绑定帐户或辅助域加入帐户,系统将自动重新使用主帐户信息作为下一代 AD 域配置中的配套辅助帐户。
最佳做法是,您应该在 AD 域中为辅助域绑定帐户和域加入帐户获取服务帐户,并在执行预构建活动后,编辑 AD 域配置以添加这些辅助帐户。在下一代控制台中,您可以在集成页面( )上编辑域。
第 6 阶段 - 为自助迁移第 5 阶段创建的基础架构配置 DNS 记录
在该阶段,您或 IT 团队使用将“计划迁移”UI 中指定的 FQDN 映射到相应 IP 地址的记录更新 DNS。
与绿场 Horizon Edge 部署相同,您负责创建 DNS 记录。自助迁移无法代表您执行该更新。
尽管以后可以创建将 IP 地址映射到其 FQDN 的 DNS 记录,但最佳做法是在将 IP 地址分配给实例后立即创建这些记录。
尽早实施映射的原因是,缺少将选定 FQDN 映射到实例的基础 IP 地址的记录将导致下一代环境在迁移后的验证步骤中无法完全正常运行。
有关需要将哪些 IP 地址映射到 FQDN 的详细信息,请参阅下一代文档中的在部署 Horizon Edge 网关和 Unified Access Gateway 后配置所需的 DNS 记录页面。
在 Horizon Universal Console 中,FQDN 和相关的负载均衡器 IP 显示在 Horizon Edge 的详细信息页面中。您可以从控制台的“容量”页面( )中深入查看 Horizon Edge 的详细信息。
后续步骤
在到达计划的迁移维护时段的开始时间时,系统开始执行其余的迁移活动。
在本迁移文档中,继续阅读第 7 阶段 - 迁移维护时段。
第 7 阶段 - 迁移维护时段
在计划的迁移时段开始时,系统自动开始执行最终的自动迁移步骤。在此期间,禁止管理员和最终用户访问第一代租户中的管理控制台和最终用户授权资源。
在进行迁移时,控制台的“迁移”页面显示进行迁移的容器的状态。
受限制的活动
在该维护时段期间:
- 不要对第一代容器、其资源和设置等进行任何更改。
- 不要对下一代部署进行任何更改。
- 系统将禁止访问第一代 Horizon Universal Console。
- 最终用户无法访问由进行迁移的容器置备的桌面和应用程序。
- 在选定的时间段内避免访问下一代环境。
自助迁移需要实施上述限制,因为系统在此期间正在将资源从第一代部署转移到下一代环境。
系统的自动操作
在此维护时段内发生的活动操作包括:
- 缩小第一代部署的浮动桌面池和场,直到它们不再使用任何容量。
- 相应地,在下一代环境中扩展浮动桌面池和场,以与它们在第一代部署中的容量相匹配。
- 将第一代部署的专用桌面池中的桌面虚拟机与下一代环境配对。
注: 专用桌面的迁移操作可能会根据需要自动启动桌面虚拟机,即使时间超出专用桌面池的电源管理计划范围。作为迁移的一部分,桌面虚拟机中的 Horizon Agent 必须与第一代部署取消配对并与下一代环境配对,这可能需要启动这些虚拟机。
如果系统检测到任何故障,则会自动尝试恢复到该点所做的更改。有关恢复过程的详细信息,请参阅回滚迁移页面。
在成功完成这些操作并到达维护时段结束时间时,您将会在控制台的“迁移”页面上看到容器的正在迁移状态发生变化。
有关专用桌面虚拟机的特别说明
在维护时段结束时,除非完成迁移,否则会出现以下情况:
- 专用桌面虚拟机的监控数据不会发布到 Workspace ONE Intelligence。
- 下一代控制台将阻止您为任何专用桌面池或专用桌面虚拟机更新或重新安装代理。
在完成迁移之前阻止代理更新和代理重新安装的原因是,对专用桌面中的代理进行更改可能会导致回滚时出现问题。如果您尝试将迁移从下一代环境回滚到第一代部署状态,并且在下一代环境中对代理进行了更改,则专用桌面可能在回滚到的第一代部署中无法正常工作。
要完成迁移,请参阅完成迁移。
执行迁移后活动以确认迁移成功
当系统在迁移维护时段完成其操作时,所有资源现在位于下一代环境中,并且最终用户能够访问其桌面和应用程序。
此时,系统撤消为维护时段设置的限制。
- 您和其他管理员可以访问第一代 Horizon Universal Console。
- 最终用户可以访问其桌面和应用程序,它们现在是由下一代环境置备的。
在完成迁移之前,请避免执行以下活动
虽然允许在完成迁移之前进行某些活动,但执行此类操作可能会导致出现问题。
建议的活动和需要了解的事项
为了确保下一代环境从您的组织的业务角度正常运行,您和 VDI 管理员应完成以下几节中所述的活动。
以下几节还介绍了迁移的部署的特性。查看这些特性,以了解您在迁移后的下一代环境中看到的情况。
下载并查看迁移报告
在迁移后,下载并查看迁移报告。
可以从控制台的“迁移”页面上的报告列中获取迁移报告。
该迁移报告提供有关迁移的资源以及迁移过程中进行更改的位置的详细信息。
典型的更改包括资源的名称更改。如果将第一代部署中的资源迁移到已在使用相同名称的下一代环境,迁移可能会更改资源的名称。在这些情况下,自助迁移自动重命名这些第一代资源以避免名称冲突。
确认最终用户体验
确认最终用户可以根据其授权启动浮动桌面、专用桌面和远程应用程序。
《使用 Horizon Cloud Service - next-gen》指南介绍了在下一代部署中启动桌面和应用程序的最终用户体验:
- 浏览器:使用 Horizon HTML Access 启动桌面,使用 Horizon HTML Access 启动应用程序。
- 本机Horizon Client:使用 VMware Horizon Client 启动桌面。使用 VMware Horizon Client 启动应用程序。
下一代环境的启动地址为 cloud.vmwarehorizon.com。
身份验证流程也不相同,因为最终用户需要在下一代环境中使用配置的身份提供程序登录,而不是第一代部署中使用的 Active Directory 域登录工作流。
确认管理员登录体验
确认登录到下一代控制台的管理员可以看到他们希望从迁移的第一代部署中看到的池和其他资源。
对 Horizon Universal Console 的管理访问是通过 Workspace ONE Admin Hub 进行的。
- 使用 https://console.cloud.vmware.com/ (VMware Cloud Services) 登录,然后导航到我的服务以找到 Workspace ONE 卡。
- 启动该服务以打开 Horizon Cloud Service 卡所在的 Workspace ONE Admin Hub。单击该卡上的管理以启动 Horizon Universal Console。
容器的 VDI 桌面分配和场中的最小虚拟机设置
迁移过程旨在使第一代 VDI 桌面分配和场在下一代环境中的等效实体中具有等效的电源管理设置。
对于第一代 VDI 桌面分配和场,等效的下一代实体是池和池组。在下一代环境中,电源管理设置是在池组级别进行的。在池组的电源管理设置中,最小虚拟机数基于保持电源打开状态的虚拟机数占池组中虚拟机总数的百分比。在第一代环境中,名为最小虚拟机数的设置直接表示 VDI 桌面分配或场中所需的最小虚拟机数。
在迁移后,在您编辑系统通过迁移这些第一代分配和场而创建的池组时,控制台将这些池组的最小虚拟机数设置显示为从第一代最小虚拟机数值转换的百分比。该功能将继续遵循基于转换百分比的最小虚拟机数。
AD 域配置
在下一代 AD 域配置中,下一代环境要求为域绑定帐户和域加入帐户提供辅助帐户。
在预构建活动期间,如果第一代租户的 AD 域配置缺少辅助域绑定帐户或辅助域加入帐户,系统将自动重新使用主帐户信息作为下一代 AD 域配置中的辅助帐户。
如果您存在这种情况,请在迁移后在 AD 域中获取用于辅助域绑定和域加入的服务帐户,然后编辑 AD 域配置以添加这些辅助帐户。在下一代控制台中,导航到
以编辑这些域。站点相关设置 - 多云分配
在您的第一代环境具有多云分配时,请在迁移后执行以下操作。
App Volumes
迁移后:
- App Volumes:批量应用程序授权
- 在下一代架构中,系统管理授权的方式与第一代架构不同。在迁移过程中,系统会解决迁移的第一代部署中的任何批量应用程序授权。此解决过程可确保将批量授权迁移到与下一代环境的授权管理相适应的形式。最终用户仍然可以访问他们在第一代环境中有权访问的同一组 App Volumes 应用程序。
- App Volumes:容器迁移
-
在
Horizon Cloud 容器随时间不断迁移的过程中,系统会将所有
App Volumes 实体从第一代容器迁移到下一代环境。
例如,您将 Notepad++ 应用程序作为第一代容器的 App Volumes 应用程序并在 pod-1 和 pod-2 中使用,该应用程序具有多个版本,其中 npp v7.8.1 在 pod-1 中使用,npp v7.8.2 在 pod-1 和 pod-2 中使用,npp v7.8.3 在 pod-2 中使用。
在 pod-1 的迁移预构建期间,系统会将 App Volumes 应用程序 Notepad++ 以及 npp v7.8.1 和 npp v7.8.2 复制到下一代环境,因为 pod-1 中使用了这两个版本。另一个容器 (pod-2) 此时尚未迁移。
此时,您具有两个环境,并希望对第一代环境和下一代环境中的 App Volumes 实体进行更改。对于这些实体,在迁移期间,系统不会删除已复制到下一代环境的内容。如果第一代环境和下一代环境中的 App Volumes 实体之间发生冲突,优先考虑下一代环境中的实体。
为了说明这一点,在第一代环境中,您在迁移之前删除了 pod-2 中的 npp v7.8.2 包,并添加了新的 npp v7.8.4 包。然后,在计划 pod-2 迁移时,系统将 pod-2 当前使用的包(npp v7.8.3 和 npp v7.8.4)复制到下一代环境。在 pod-1 迁移期间复制到下一代环境中的 npp v7.8.2 软件包仍会保留在下一代环境中,即使该 npp v7.8.2 已从第一代环境中删除也是如此。
第一代应用程序场中的远程应用程序
如此处的第一代文档中所述,远程应用程序由第一代容器中的应用程序场提供。下一代 Horizon Universal Console 具有新术语,其标签反映了这一点。
迁移后:
- 在第一代应用程序场与下一代中生成的池之间保留一对一映射。
- 将使用场的名称为每个迁移的场创建一个池。
- 迁移过程还会使用池的名称为每个池创建一个池组,在迁移时,该名称也是原始场的名称。
- 每个池组根据与该池组的池关联的应用程序显示有关从第一代应用程序分配迁移的用户授权的信息。
- 第一代应用程序分配名称在下一代控制台中不可见。如果第一代应用程序分配中包含来自多个场的远程应用程序,则要在下一代控制台中查看远程应用程序和最终用户授权,您可以查看使用场名称创建的各个池组,也可以使用控制台中的注: 如果您直接在第一代场虚拟机上安装了手动应用程序,即使在迁移过程中迁移了其元数据,也不会将此类应用程序默认安装在下一代环境的池虚拟机上。对于此类应用程序,您必须将它们重新安装在池虚拟机上,具体路径与在第一代场虚拟机中安装此类应用程序的路径完全相同。
。
假设:
- 第一代应用程序分配 Assign-1 中具有来自场 Farm-1 的应用程序 app1 和 app2,用户 User-1 有权访问 app1 和 app2。
- 第一代应用程序分配 Assign-2 中具有来自场 Farm-1 的应用程序 app1 和来自场 Farm-2 的应用程序 app3,用户 User-2 有权访问 app1 和 app3。
- 这意味着,app1 同时被授权给 User-1 和 User-2,app2 仅被授权给 User-1,而 app3 仅被授权给 User-2。
迁移到下一代后:
- 您会看到名为 Farm-1 的池,以及为该池创建的名为 Farm-1 的池组。在该池组中,您会看到应用程序 app1 和 app2(它们是来自第一代场的应用程序)。
- 您还会看到名为 Farm-2 的池,以及为该池创建的名为 Farm-2 的池组。在该池组中,您会看到应用程序 app3。
- 迁移的授权包括:
- 池组 Farm-1 中的 app1 被授权给 User-1 和 User-2
- 池组 Farm-1 中的 app2 被授权给 User-1
- 池组 Farm-2 中的 app3 被授权给 User-2
在迁移后活动之后 - 完成迁移
在确认下一代环境正常运行后,最终的容器迁移操作是完成迁移。
在完成迁移期间,将删除第一代容器仍从您的 Azure 订阅中消耗的 Azure 资源。
在迁移一个容器后,每次登录到 Horizon Universal Console 时,UI 都会提示您完成该容器的迁移。
完成迁移
在迁移第一代 Horizon Cloud on Microsoft Azure 容器的过程中,最后一步是完成迁移。
完成迁移的好处
通过完成迁移:
- 您可以避免额外的 Microsoft Azure 成本,因为完成迁移将删除第一代容器在 Azure 中消耗的剩余资源。
- 在维护时段开始时,系统撤消对专用桌面施加的限制:
- 专用桌面虚拟机的监控数据开始发布到 Workspace ONE Intelligence。
- 您可以在专用池和虚拟机上运行代理更新和代理重新安装操作。
- 您可以安全地对迁移的映像和池进行更新,而不必担心影响回滚到第一代容器。
在完成迁移后,无法将迁移从下一代环境回滚到第一代部署状态。
在完成迁移之前 - 执行建议的迁移后活动
在完成迁移之前,您应该确保完成建议的迁移后活动。在执行迁移后活动以确认迁移成功页面中介绍了这些活动。
最佳做法 - 在迁移后几天内完成迁移
由于以下因素,最佳做法是在完成迁移过程后的几天内完成每个容器的迁移:
- 在完成迁移以删除第一代容器之前,您需要为运行第一代资源(包括容器管理器实例和 Unified Access Gateway 实例)支付 Microsoft Azure 订阅费用。
- 在完成迁移之前,下一代 Horizon Universal Console 将阻止您对专用池组使用代理更新操作,还会阻止您对专用虚拟机使用代理重新安装操作( 或 )。
注意: 当下一代环境中有尚未完成的迁移时,控制台会阻止对所有专用池组和专用虚拟机运行代理更新和代理重新安装操作,而无论这些池组和虚拟机是从第一代环境中迁移的还是在下一代环境中新创建的。在此场景中,控制台会显示一条有关需要完成迁移的指导消息。
在完成迁移之前阻止代理更新和重新安装代理的原因是,在回滚时,对桌面中的代理进行更改可能会导致出现问题。如果您尝试将从下一代环境回滚到第一代部署状态的迁移,并在下一代环境中修改了代理,则桌面在回滚的第一代部署中可能无法正常工作。
- 随着时间的推移,您和 VDI 管理员在下一代环境中进行了更改,将迁移的环境回滚到满足最终用户要求的第一代部署状态的能力将会下降。例如,如果您在下一代环境中扩展专用桌面池,并将最终用户分配给新桌面,然后尝试回滚到第一代容器,第一代环境中的这些新桌面可能会出现问题。
迁移完成步骤
您可以使用下一代控制台的“迁移”页面上的完成操作以完成迁移。
在单击完成后,控制台显示一个批准窗口,以使您批准删除源第一代容器。
要完成迁移过程并向系统确认现在可以删除第一代容器,请单击批准。
在完成迁移后 - 验证 App Volumes 应用程序存储帐户的专用端点状态,并根据需要进行配置
在完成迁移后,强烈建议为 App Volumes 应用程序存储帐户配置 Microsoft Azure 专用端点(如果您看到还没有为 Horizon Edge 配置专用端点)。
尽管迁移的环境无需配置专用端点即可正常工作,但配置专用端点将进一步提高该存储帐户的安全性。截至撰写本文时,在迁移过程部署新的 Horizon Edge 时,该存储帐户的默认配置从所有网络中启用了公用网络访问。(该默认设置与第一代容器的设置不同。)
要验证下一代 Horizon Universal Console 中的状态,请导航到 Horizon Edge 详细信息,并查找“App Volumes 应用程序存储”部分。
如果您看到未配置,请按照下一代《使用》指南中的以下位置所述的指导进行操作。
作为说明,以下屏幕截图描述了显示单个存储帐户的 UI,您可以在其中确定是否配置了专用端点。此处,还没有为该存储帐户配置专用端点。
以下屏幕截图显示用于配置专用端点的菜单位置。在单击配置选项时,请按照屏幕上的指导进行操作。在为 App Volumes 应用程序存储帐户配置专用端点中介绍了这些步骤。
以下屏幕截图说明配置了专用端点时的情况。
容器迁移完成
迁移已完成,迁移成功,恭喜!
有关实施后操作的更多信息,请参阅《使用 VMware Horizon Cloud Service - next-gen》指南。