如果为 NSX Cloud 配置了由容器使用的 Microsoft Azure VNet,您便能够将 NSX-T Data Center 网络虚拟化功能与这些容器的场和 VDI 桌面分配结合使用。您可以使用 NSX Cloud 的微分段功能限制场 RDSH 实例和 VDI 桌面之间的访问,即使那些虚拟机位于同一租户子网中。
有关与当前 Horizon Cloud Service 版本的当前容器清单的集成所支持的特定版本 NSX-T Data Center,请参阅文档主题 Horizon Cloud - 环境、操作系统和兼容性。
Horizon Cloud 集成受 NSX Cloud 管理组件(NSX Manager 和 Cloud Service Manager (CSM))支持,可以在内部部署,从 NSX-T Data Center 版本 3.1.1 开始也可以在 Microsoft Azure 中本地部署。有关 NSX Cloud 架构和组件的概述,请参阅 VMware NSX-T Data Center 文档中的 NSX Cloud 架构和组件。
将 NSX Cloud 与 Microsoft Azure 环境结合使用的一个要求是,必须在 Microsoft Azure VNet 和内部部署 NSX-T Data Center 设备之间建立连接。由于 Microsoft Azure 不允许在 VNet 配对之后或连接 VPN 网关后修改 VNet 的 CIDR 块,因此在将 VNet 连接到 VPN 网关之前,勿必要检查所有要使用的值。有关将 NSX Cloud 连接到公有云的高级步骤的工作流,请参阅 NSX-T Data Center 文档中的版本 3.1 主题将 Horizon Cloud Service 与 NSX Cloud 集成。
下表简要说明了对容器的 RDSH 虚拟机和 VDI 桌面虚拟机使用 NSX Cloud 功能的端到端步骤。“详细信息”列中的一些链接用于打开相关的 NSX-T Data Center 版本 3.1 文档主题。
简要步骤 | 详细信息 |
---|---|
将 Horizon Cloud 与 NSX Cloud 集成以与 Horizon Cloud 容器配合使用 | 请参阅 NSX-T Data Center 文档主题:将 Horizon Cloud Service 与 NSX Cloud 集成。
重要说明: 如果要在容器中创建
App Volumes 分配,您必须在部署 NSX PCG 之后并在使用该容器创建第一个
App Volumes 分配之前,在 NSX 防火墙规则中为容器租户子网手动打开端口 445/TCP。如
适用于 Horizon Cloud on Microsoft Azure 的 App Volumes 应用程序 - 概述和必备条件中所述,为了能够使用
App Volumes 功能(可用于
Horizon Cloud 容器),必须为容器租户子网上的 TCP 协议流量配置端口 445。
|
创建虚拟机,并使用从“从商城导入虚拟机”向导将其导入 Horizon Cloud。 | 请参阅从 Microsoft Azure 应用商店自动创建基础虚拟机并按容器将其与 Horizon Cloud 配对。要简化安装所需 NSX 代理的过程,最佳做法是选择用于公共 IP 地址的选项。
注: 在导入虚拟机时,请选择用于优化虚拟机和(对于 Windows 10 或 11)用于移除 Windows 应用商店应用程序的选项。使用这些选项有助于防止在随后封装映像时出现 sysprep 问题。
|
连接到导入的虚拟机并安装所需的 NSX Tools。 | 在 Horizon Cloud 导入的映像虚拟机中安装 NSX Tools |
发布映像。 | 按容器将 Horizon Cloud 中已配置的映像虚拟机转换为可分配的映像 |
使用该映像以及用于为场或 VDI 桌面分配启用 NSX Cloud 管理的设置创建场和 VDI 桌面分配。 在创建 RDSH 虚拟机和 VDI 桌面虚拟机后,它们将显示在 NSX Cloud 清单中。 |
|
在 NSX Manager 中启用分布式防火墙规则,以允许与 RDSH 虚拟机和 VDI 桌面虚拟机进行通信 | 由于默认情况下 NSX Cloud 将阻止这些通信,因此您必须在 NSX Manager 中启用一些分布式防火墙规则,以便允许与从容器置备的 NSX 管理的虚拟机进行通信。请参阅容器置备的虚拟机 NSX Manager 中所需的防火墙规则。 如果使用 NSX-T Data Center 2.4,那么除了启用防火墙规则外,还必须添加转发策略,从而通过 Microsoft Azure 云的网络(底层)来路由与 NSX 管理的虚拟机相关的流量。请参阅在容器置备的虚拟机 NSX Manager 中添加所需的转发策略。 |
将 NSX Cloud 功能与 NSX Cloud 清单中的 RDSH 虚拟机和 VDI 桌面虚拟机一起使用。 | 请参阅《NSX-T Data Center 管理指南》中的此 NSX Cloud 主题及其子主题。 |
Horizon Cloud 工作流和 NSX Cloud
使用配置了 NSX 代理的最佳配置映像虚拟机在您的 Horizon Cloud 容器中创建 RDSH 场或 VDI 桌面分配时,您可以决定是否在该场或 VDI 桌面分配中启用 NSX Cloud 管理。为场或 VDI 桌面分配启用 NSX Cloud 管理时,该场或 VDI 桌面分配中的所有虚拟机 (VM) 都会被标记为在 NSX Cloud 中使用。您可以在创建场或 VDI 桌面分配时指定 NSX Cloud 管理,而在创建场或分配后则无法更改此状态。用于创建场和 VDI 桌面分配的 Horizon Cloud 工作流包含一个选项开关,以允许将 NSX Cloud 与场的 RDSH 实例或 VDI 桌面分配的虚拟桌面一起使用。有关这些工作流的详细信息,请参阅:
- 第一代 Horizon Cloud 容器 - 创建和管理场
- 创建由 Microsoft Azure 中的单个容器置备的专用 VDI 桌面分配
- 创建由 Microsoft Azure 中的单个容器置备的浮动 VDI 桌面分配
如果在创建场或 VDI 桌面分配时将由 NSX Cloud 托管选项开关设置为是,则会为生成的场 RDSH 虚拟机或 VDI 桌面虚拟机提供一个名为 nsx.network=default
的自定义标记。NSX Cloud PCG 可管理具有该标记的所有虚拟机。NSX Cloud 会自动发现您配置的 Microsoft Azure VNet 中具有此标记的虚拟机,并将这些虚拟机包含在您的公有云清单中。之后,您便可以使用 NSX-T Data Center 的 CSM 组件管理并保护这些虚拟机。有关详细信息,请参阅《NSX-T Data Center 管理指南》中的此 NSX Cloud 主题及其子主题。
结合使用 NSX Cloud 管理功能与 Horizon Cloud 中的容器时,存在以下限制:
- 无法编辑启用了 NSX Cloud 管理的场或 VDI 桌面分配的名称。
- 要对浮动 VDI 桌面分配同时使用磁盘加密和 NSX Cloud 管理功能,您必须安装最新版本的 NSX 代理。以前的 NSX 代理版本不支持该功能组合。
在 Horizon Cloud 导入的映像虚拟机中安装 NSX Tools
如果要创建启用了 NSX Cloud 管理的场或 VDI 桌面分配,必须在用于该场或分配的已发布映像中安装 NSX Tools。必须先将 NSX Tools 安装到映像虚拟机中,然后才能进行发布。在创建了虚拟机并且“导入的虚拟机”页面显示该虚拟机的 Horizon Agent 软件为活动状态后,可以安装 NSX Tools。
本页此处的步骤遵循了 NSX Cloud 方法,如“在单个映像虚拟机中下载和安装 NSX Tools”所述。此方法涉及从 NSX Cloud 环境的 Cloud Service Manager (CSM) 中标识的下载位置下载 PowerShell 安装脚本文件。在映像虚拟机中,您需要运行该安装脚本来下载 NSX Tools 安装二进制文件并运行此安装。此方法的许多详细信息位于《NSX-T Data Center 管理指南》的在 Windows 虚拟机上安装 NSX Tools 主题中。
前提条件
确认“导入的虚拟机”页面指示虚拟机的代理相关状态为活动。要获取该状态,请对虚拟机执行“导入的虚拟机”页面的重置代理配对操作。该操作位于更多下拉列表中。
虚拟机的创建方式 | 用于登录的凭据 |
---|---|
“导入的虚拟机”页面中的“导入虚拟机”向导。 |
从 2019 年 12 月版服务发行日期开始,“导入虚拟机”向导提供了是否在创建流程结束时将该向导创建的虚拟机加入指定 Active Directory 域的选项。
|
在手动构建虚拟机时,通常无需将虚拟机加入 Active Directory 域。要登录到此虚拟机,请使用以下凭据之一:
|
如果要通过下载并安装到虚拟机来安装 NSX Tools,请确认您具有用于登录到 NSX Cloud 环境 CSM 门户的凭据。您需要使用 CSM 来识别用于下载可安装 NSX Tools 的 PowerShell 安装脚本的位置。CSM 是 NSX Cloud 的一个组件,为您的公有云清单提供了一个单一管理端点。有关更多详细信息,请参阅 NSX-T Data Center 文档中有关 CSM 的信息。
过程
下一步做什么
安装 NSX Tools 并且 nsx_bootstrap
任务显示为 Ready
后,如果不需要再进行任何其他自定义设置,便可以发布此映像。请参阅按容器将 Horizon Cloud 中已配置的映像虚拟机转换为可分配的映像。
容器置备的虚拟机 NSX Manager 中所需的防火墙规则
将 NSX Cloud 功能与 Microsoft Azure 中的容器结合使用时,您必须在 NSX Manager 中启用一些分布式防火墙规则,这样才能与容器置备的 NSX 管理虚拟机进行通信。如果未启用这些规则,最终用户将无法启动并登录到其桌面或远程应用程序。
在 NSX Manager 中,启用这些规则以允许所指示的流量。在该表中,“桌面池”一词指的是 RDSH 场或 VDI 桌面分配。
流量类型 | 源 | 目标 | Service/Protocol/Port |
---|---|---|---|
Horizon HTML Access (Blast) 流量 | 容器的 Unified Access Gateway 虚拟机 | 桌面池 |
|
桌面池到容器管理器的流量 | 桌面池 | 容器的管理器虚拟机 |
|
桌面池到 Active Directory 域服务器的流量 | 桌面池 | 容器的管理器虚拟机 |
|
在容器置备的虚拟机 NSX Manager 中添加所需的转发策略
将 NSX-T Data Center 2.4 与 Microsoft Azure 中的容器结合使用时,除了启用防火墙规则外,还必须添加转发策略,以便通过 Microsoft Azure 云的底层网络来路由与容器中 NSX 管理的虚拟机相关的流量。NSX-T Data Center 2.4 中引入了转发策略。
您可以在 NSX Data Center 2.4 环境中执行以下步骤。
过程
- 登录到环境的 NSX Manager。
- 导航到 。
- 在“转发策略”页面上,展开表示以下 VNet 的部分:已部署了 NSX 公有云网关 (PCG) 以供容器使用的 VNet。
- 在展开的部分中,复制此部分中列出的最后一条规则(名为
CloudDefaultRoute
),方法是右键单击,然后选择复制规则。 - 将新副本的操作设置为路由到底层。
- 单击发布。