该页面列出了在计划将第一代 Horizon Cloud on Microsoft Azure 部署迁移到下一代控制平面之前必须满足的必备条件。

请参阅Horizon Cloud on Microsoft Azure 部署的自助迁移工作流中的迁移工作流。

准备迁移

在计划迁移之前,请完成以下各项:

确定用于将部署迁移到的下一代环境的 VMware Cloud services organization
请在 确定 VMware Cloud Services 组织中了解有关此项的更多信息。
获取下一代 Unified Access Gateway 部署的 FQDN
调度向导 UI 会要求您在向导中指定此 FQDN。
注: 下一代 Unified Access Gateway 部署的 FQDN 必须不同于已用于要迁移的第一代部署的 FQDN。为了在极少数情况下出现迁移后问题时支持回滚到第一代部署,第一代部署的网关的 FQDN 及其 SSL 证书必须保持为第一代部署配置的状态。只有在您完成迁移后,才能更新下一代网关部署的 FQDN 和 SSL 证书(如果您此时希望更新)。
根据 FQDN 获取 PEM 或 PFX 格式的 SSL 证书
此 SSL 证书允许客户端信任与下一代环境中的 Unified Access Gateway 部署的连接。证书中的公用名或 FQDN 必须与计划在调度向导中输入的 FQDN 相匹配。
重要说明: 在启动调度向导之前,请确保证书的公用名或 FQDN 与您计划在向导中输入的 FQDN 完全匹配。如果不匹配,系统将阻止调度迁移,并且您必须取消调度向导。
注: 下一代 Unified Access Gateway 部署的 FQDN 必须不同于已用于要迁移的第一代部署的 FQDN。由于 SSL 证书基于 FQDN,因此,您需要在下一代环境的网关部署中使用 SSL 证书。
如果第一代外部 Unified Access Gateway 部署的负载均衡器使用的是专用 IP,请获取要路由到下一代部署的负载均衡器的公共 IP 地址
如果待迁移的第一代外部网关配置对其负载均衡器使用专用 IP,并将公共 IP 路由到该专用 IP,则在开始调度迁移时,系统会检测此配置。

如果在外部网关配置的 Azure 负载均衡器前面配置了防火墙或 NAT,以在允许访问外部网关配置的 Unified Access Gateway 设备之前控制基于 Internet 的流量,则在第一代部署中使用此方案。

当系统确定准备迁移状态时,会在扫描过程中检测第一代配置。

当系统检测到该配置时,“调度迁移”向导 UI 会显示手动公共 IP 字段。在该字段中,您需要输入要用于下一代 Unified Access Gateway 部署的公共 IP 地址。

注: 此公共 IP 必须与已用于待迁移容器网关的公用 IP 不同,以支持回滚到第一代部署状态(如果需要回滚)。

因此,如果您具有此配置,请获取要使用的新公共 IP 地址,该地址与当前用于第一代容器的外部网关的地址不同。

满足下一代 IT 要求
更新第一代容器的 Microsoft Azure 环境,以满足下一代 Horizon Edge 部署的 IT 要求。请参阅 满足 Azure 环境中的下一代 IT 要求。有关 Horizon Edge 部署要求的更多信息,请参阅 《使用 Horizon Cloud - next-gen文档中的 Microsoft Azure 部署、Horizon Edge - 准备部署
确认您的防火墙允许使用所需的端口和协议连接到 Horizon Cloud - next-gen 所需的端点,并根据需要进行更新。
防火墙必须允许使用所需的端口和协议连接到 Horizon Cloud - next-gen 所需的端点。请参阅 《使用 Horizon Cloud - next-gen文档:
准备要用于下一代租户的身份提供程序
该身份提供程序必须满足 Horizon Cloud Service - next-gen 要求。请参阅 部署 Microsoft Azure Edge 的要求检查表身份提供程序要求一节。另请参阅 Horizon Cloud Service next-gen 文档中的 设置身份提供程序

有关在下一代环境中配置身份提供程序的视频说明,请从有关调度迁移的此 Tech Zone 视频的第 3 分钟开始观看。

将 Active Directory (AD) 用户和组与所选的身份提供程序同步
选择要迁移的容器之前,请确认已授权从待迁移的容器访问桌面和应用程序的所有 AD 用户和 AD 组均已与所选身份提供程序同步。

在系统的预验证检查期间,系统会从第一代容器的桌面和应用程序分配中获取一组 AD 用户和组,并检查在下一代环境中注册的这些 AD 用户和组的身份提供程序。如果系统在注册的身份提供程序中找不到这些 AD 用户或组之一,则预验证步骤将失败。从 UI 获取的故障报告将报告缺少的 AD 用户或组。

使用Active Directory内置用户或内置组

如果将第一代 Horizon Cloud on Microsoft Azure 部署配置为使用 Azure Active Directory (Azure AD),您必须在迁移之前更新指定了内置用户或内置组的位置,并更改为非内置组和用户。

系统会扫描第一代容器以确定它们是否符合迁移条件,然后收集有关每个分配中指定的用户和组的信息,并尝试在下一代环境配置的身份提供程序中创建等效配置。如果您在下一代环境中将 Microsoft Azure AD 作为身份提供程序,Microsoft Azure AD Connect 会将Active Directory域同步到 Microsoft Azure AD。

但是,如 Microsoft 文档中所述,处理将 Active Directory 组同步到 Azure AD 的 Microsoft Azure AD Connect 同步会从其目录同步中排除内置安全组。因此,如果系统尝试在该身份提供程序中创建等效的第一代配置,并且您以前在该配置中使用内置组和内置用户,则系统在 Azure AD 中找不到等效的实体,因为永远不会同步这些内置组和用户。系统将报告无法迁移涉及内置用户和内置组的容器。

在此方案中,请创建与内置组和内置用户具有相同成员资格的常规 Active Directory 组,无论您指定内置组和内置用户接收桌面或远程应用程序的位置,请更新这些设置以使用常规 Active Directory 组。

所需版本的第一代部署和代理

在开始迁移之前,请验证以下内容:

  • Horizon Cloud 容器运行的是容器清单 4136.0。
  • 容器的专用 VDI 桌面将其代理更新为容器清单 4136.0 的匹配代理版本,即 Horizon Agents Installer 版本 23.1。
  • 浮动 VDI 桌面和映像可以具有 22.3.x 之前版本的代理,只要代理版本符合 Horizon Cloud on Microsoft Azure 版本 2210 的 VMware 互操作性列表要求即可。

App Volumes 应用程序分配

如果第一代租户具有 App Volumes 应用程序分配,请验证下一代环境是否具有有效的 App Volumes 许可证订阅。

在系统的预验证检查期间,系统会检查您的下一代环境是否存在有效的 App Volumes 许可证订阅,如果未找到,系统将阻止计划容器的迁移并显示错误。

在下一代控制台中,您可以执行使用 Horizon Universal Console 跟踪 Horizon 许可证中所述的步骤,以验证在下一代环境中是否具有许可证。