如果为 NSX Cloud 配置了由容器使用的 Microsoft Azure VNet,您便能够将 NSX-T Data Center 网络虚拟化功能与这些容器的场和 VDI 桌面分配结合使用。您可以使用 NSX Cloud 的微分段功能限制场 RDSH 实例和 VDI 桌面之间的访问,即使那些虚拟机位于同一租户子网中。

有关与当前 Horizon Cloud Service 版本的当前容器清单的集成所支持的特定版本 NSX-T Data Center,请参阅文档主题 Horizon Cloud - 环境、操作系统和兼容性

注: 如果您已经将现有容器从 1101 之前的清单版本更新到更高清单版本,那么在更新后,更新容器之前在该容器中存在的那些场和 VDI 桌面分配将无法进行编辑,从而无法用于 NSX Cloud 管理。

Horizon Cloud 集成受 NSX Cloud 管理组件(NSX Manager 和 Cloud Service Manager (CSM))支持,可以在内部部署,从 NSX-T Data Center 版本 3.1.1 开始也可以在 Microsoft Azure 中本地部署。有关 NSX Cloud 架构和组件的概述,请参阅 VMware NSX-T Data Center 文档中的 NSX Cloud 架构和组件

注: 从 NSX Cloud 3.1.1 开始,支持将隔离模式和非隔离模式用于 Microsoft Azure 中的 Horizon Cloud 容器。早期版本仅支持非隔离模式。

将 NSX Cloud 与 Microsoft Azure 环境结合使用的一个要求是,必须在 Microsoft Azure VNet 和内部部署 NSX-T Data Center 设备之间建立连接。由于 Microsoft Azure 不允许在 VNet 配对之后或连接 VPN 网关后修改 VNet 的 CIDR 块,因此在将 VNet 连接到 VPN 网关之前,勿必要检查所有要使用的值。有关将 NSX Cloud 连接到公有云的高级步骤的工作流,请参阅 NSX-T Data Center 文档中的版本 3.1 主题将 Horizon Cloud Service 与 NSX Cloud 集成

下表简要说明了对容器的 RDSH 虚拟机和 VDI 桌面虚拟机使用 NSX Cloud 功能的端到端步骤。“详细信息”列中的一些链接用于打开相关的 NSX-T Data Center 版本 3.1 文档主题。

简要步骤 详细信息
Horizon Cloud 与 NSX Cloud 集成以与 Horizon Cloud 容器配合使用 请参阅 NSX-T Data Center 文档主题:将 Horizon Cloud Service 与 NSX Cloud 集成
重要说明: 如果要在容器中创建 App Volumes 分配,您必须在部署 NSX PCG 之后并在使用该容器创建第一个 App Volumes 分配之前,在 NSX 防火墙规则中为容器租户子网手动打开端口 445/TCP。如 适用于 Horizon Cloud on Microsoft Azure 的 App Volumes 应用程序 - 概述和必备条件中所述,为了能够使用 App Volumes 功能(可用于 Horizon Cloud 容器),必须为容器租户子网上的 TCP 协议流量配置端口 445。
创建虚拟机,并使用从“从商城导入虚拟机”向导将其导入 Horizon Cloud 请参阅从 Microsoft Azure 应用商店自动创建基础虚拟机并按容器将其与 Horizon Cloud 配对。要简化安装所需 NSX 代理的过程,最佳做法是选择用于公共 IP 地址的选项。
注: 在导入虚拟机时,请选择用于优化虚拟机和(对于 Windows 10 或 11)用于移除 Windows 应用商店应用程序的选项。使用这些选项有助于防止在随后封装映像时出现 sysprep 问题。
连接到导入的虚拟机并安装所需的 NSX Tools。 在 Horizon Cloud 导入的映像虚拟机中安装 NSX Tools
发布映像。 按容器将 Horizon Cloud 中已配置的映像虚拟机转换为可分配的映像
使用该映像以及用于为场或 VDI 桌面分配启用 NSX Cloud 管理的设置创建场和 VDI 桌面分配。

在创建 RDSH 虚拟机和 VDI 桌面虚拟机后,它们将显示在 NSX Cloud 清单中。

在 NSX Manager 中启用分布式防火墙规则,以允许与 RDSH 虚拟机和 VDI 桌面虚拟机进行通信 由于默认情况下 NSX Cloud 将阻止这些通信,因此您必须在 NSX Manager 中启用一些分布式防火墙规则,以便允许与从容器置备的 NSX 管理的虚拟机进行通信。请参阅容器置备的虚拟机 NSX Manager 中所需的防火墙规则

如果使用 NSX-T Data Center 2.4,那么除了启用防火墙规则外,还必须添加转发策略,从而通过 Microsoft Azure 云的网络(底层)来路由与 NSX 管理的虚拟机相关的流量。请参阅在容器置备的虚拟机 NSX Manager 中添加所需的转发策略
将 NSX Cloud 功能与 NSX Cloud 清单中的 RDSH 虚拟机和 VDI 桌面虚拟机一起使用。 请参阅《NSX-T Data Center 管理指南》中的此 NSX Cloud 主题及其子主题。

Horizon Cloud 工作流和 NSX Cloud

使用配置了 NSX 代理的最佳配置映像虚拟机在您的 Horizon Cloud 容器中创建 RDSH 场或 VDI 桌面分配时,您可以决定是否在该场或 VDI 桌面分配中启用 NSX Cloud 管理。为场或 VDI 桌面分配启用 NSX Cloud 管理时,该场或 VDI 桌面分配中的所有虚拟机 (VM) 都会被标记为在 NSX Cloud 中使用。您可以在创建场或 VDI 桌面分配时指定 NSX Cloud 管理,而在创建场或分配后则无法更改此状态。用于创建场和 VDI 桌面分配的 Horizon Cloud 工作流包含一个选项开关,以允许将 NSX Cloud 与场的 RDSH 实例或 VDI 桌面分配的虚拟桌面一起使用。有关这些工作流的详细信息,请参阅:

如果在创建场或 VDI 桌面分配时将由 NSX Cloud 托管选项开关设置为,则会为生成的场 RDSH 虚拟机或 VDI 桌面虚拟机提供一个名为 nsx.network=default 的自定义标记。NSX Cloud PCG 可管理具有该标记的所有虚拟机。NSX Cloud 会自动发现您配置的 Microsoft Azure VNet 中具有此标记的虚拟机,并将这些虚拟机包含在您的公有云清单中。之后,您便可以使用 NSX-T Data Center 的 CSM 组件管理并保护这些虚拟机。有关详细信息,请参阅《NSX-T Data Center 管理指南》中的此 NSX Cloud 主题及其子主题。

结合使用 NSX Cloud 管理功能与 Horizon Cloud 中的容器时,存在以下限制:

  • 无法编辑启用了 NSX Cloud 管理的场或 VDI 桌面分配的名称。
  • 要对浮动 VDI 桌面分配同时使用磁盘加密和 NSX Cloud 管理功能,您必须安装最新版本的 NSX 代理。以前的 NSX 代理版本不支持该功能组合。

Horizon Cloud 导入的映像虚拟机中安装 NSX Tools

如果要创建启用了 NSX Cloud 管理的场或 VDI 桌面分配,必须在用于该场或分配的已发布映像中安装 NSX Tools。必须先将 NSX Tools 安装到映像虚拟机中,然后才能进行发布。在创建了虚拟机并且“导入的虚拟机”页面显示该虚拟机的 Horizon Agent 软件为活动状态后,可以安装 NSX Tools。

本页此处的步骤遵循了 NSX Cloud 方法,如“在单个映像虚拟机中下载和安装 NSX Tools”所述。此方法涉及从 NSX Cloud 环境的 Cloud Service Manager (CSM) 中标识的下载位置下载 PowerShell 安装脚本文件。在映像虚拟机中,您需要运行该安装脚本来下载 NSX Tools 安装二进制文件并运行此安装。此方法的许多详细信息位于《NSX-T Data Center 管理指南》的在 Windows 虚拟机上安装 NSX Tools 主题中。

前提条件

确认“导入的虚拟机”页面指示虚拟机的代理相关状态为活动。要获取该状态,请对虚拟机执行“导入的虚拟机”页面的重置代理配对操作。该操作位于更多下拉列表中。

注: 使用 Microsoft 远程桌面客户端作为 RDP 软件连接到该虚拟机时,请确保它是最新的版本。例如,Windows 7 操作系统中的默认 RDP 软件版本不够高。其版本必须为 8 或更高版本。
根据虚拟机的创建方式,确认您至少具备以下凭据之一(用户名和密码)以登录到虚拟机的客户机 Windows 操作系统。
虚拟机的创建方式 用于登录的凭据

“导入的虚拟机”页面中的“导入虚拟机”向导。

从 2019 年 12 月版服务发行日期开始,“导入虚拟机”向导提供了是否在创建流程结束时将该向导创建的虚拟机加入指定 Active Directory 域的选项。

  • 如果创建虚拟机时启用了向导中的域加入选项开关,则既可以使用指定的 Active Directory 域中域帐户的凭据,也可以使用在向导中指定的本地管理员帐户。
  • 如果创建虚拟机时禁用了向导中的域加入选项开关,则必须使用在向导中指定的本地管理员帐户。在这种情况下,由于虚拟机未加入域,只有本地管理员帐户具有登录权限。

手动准备步骤

在手动构建虚拟机时,通常无需将虚拟机加入 Active Directory 域。要登录到此虚拟机,请使用以下凭据之一:

  • 在 Microsoft Azure 门户中创建手动构建的虚拟机时指定的本地管理员帐户的凭据。
  • 如果您是手动将该虚拟机加入 Active Directory 域中,那么为此域中的域帐户的凭据。
重要说明: 从容器清单 1230 及更高版本开始,域帐户可以直接连接到安装了代理软件并且加入了域的映像虚拟机。在低于容器清单版本 1230 的版本中,在已加入域的虚拟机中安装的代理软件会阻止域帐户直接连接到该虚拟机。请注意,此类低于 2298 版本的清单不受支持,必须进行更新,如 知识库文章 86476 中所述。

如果要通过下载并安装到虚拟机来安装 NSX Tools,请确认您具有用于登录到 NSX Cloud 环境 CSM 门户的凭据。您需要使用 CSM 来识别用于下载可安装 NSX Tools 的 PowerShell 安装脚本的位置。CSM 是 NSX Cloud 的一个组件,为您的公有云清单提供了一个单一管理端点。有关更多详细信息,请参阅 NSX-T Data Center 文档中有关 CSM 的信息。

过程

  1. 在 RDP 软件中使用虚拟机的 IP 地址连接到虚拟机的 Windows 操作系统。
    • 如果该虚拟机是通过公共 IP 地址创建的,则可以在 RDP 软件中使用该 IP 地址。
    • 如果该虚拟机具有专用 IP 地址,您必须使用以下两种方法之一在其中执行 RDP:
      • 使用 Microsoft Azure 订阅中具有公共 IP 地址的另一个虚拟机,在映像虚拟机中执行出站 RDP。
      • 通过企业网络在该映像虚拟机中使用 VPN 和 RDP
    注: 要访问运行代理相关软件组件的虚拟机,远程桌面客户端的版本必须为 8 或更高版本。否则,连接会失败。建议使用最新的远程桌面客户端。
  2. 按照此处的必备条件中所述,使用凭据(用户名和密码)登录到 Windows 操作系统。
    如果使用创建虚拟机时在“导入映像”向导中指定的本地管理员帐户凭据,请在用户名中输入 \username
    注: 如果虚拟机是加入域的虚拟机(如 此处的必备条件中所述),并且您希望使用域帐户而不是本地管理员帐户,请在用户名中输入 domain\username,其中 domain 是域名。
  3. 在 Windows 虚拟机上,登录到 CSM 并导航到 > Azure > VNet,然后导航到容器的相应 VNet。
  4. 找到屏幕的 NSX Tools 下载和安装区域,以获取适用于 Windows 的下载位置和安装命令。
    在该区域中,找到所显示的 Windows 安装脚本下载位置。在下载位置下方,还有一个简单的基本安装命令。
    • 所显示的下载位置模式为 http://filepath/nsx_install.ps1,其中 nsx_install.ps1 是 PowerShell 脚本文件,filepath 是从中下载该文件的路径。
    • 所显示的基本安装命令中包含 -dnsSuffix DNS-suffix 部分,其中,DNS-suffix 是一个自动生成的值,此值与您在配置 NSX Cloud 的过程中在 Microsoft Azure VNet 上部署 PCG 时选择的 DNS 设置有关。
    重要说明: 运行该脚本以在 Horizon Cloud 中为映像虚拟机安装 NSX Tools 时,必须指定:
    • 您在 CSM 中看到的为 Microsoft Azure VNet 显示的相同 DNS-suffixDNS-suffix 对于您配置的环境是唯一的。
    • startOnDemand true 选项。此选项可为 Horizon Cloud 发布工作流优化 NSX Tools。
  5. 复制所显示的 DNS-suffix,以便在后续步骤中运行安装脚本时使用。
  6. 使用下载位置将 nsx_install.ps1 文件下载到虚拟机上的某个位置。
  7. 打开 PowerShell 提示符,导航到 nsx_install.ps1 文件的下载位置,然后使用 DNS-suffix 值和选项 -startOnDemand true 运行安装命令以安装 NSX Tools。
    重要说明: 需要使用选项 -startOnDemand true。
    以下代码块是 PowerShell 提示符下的命令示例,其中, DNS-suffix 的示例值为 xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net
    powershell -file 'nsx_install.ps1' -operation install -dnsSuffix xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net -startOnDemand true
    运行完该脚本后,会显示一条消息,指示是否已成功安装 NSX Tools。
  8. 关闭 PowerShell 命令提示符。
  9. 通过打开常规命令提示符并运行以下命令,验证 NSX Tools 的引导状态是否为已准备就绪。 
    schtasks /query /tn nsx_bootstrap
    运行该命令应会显示 nsx_bootstrap 任务为 Ready 状态。下面显示了一个示例。 
    TaskName              Next Run Time       Status
--------------------- ------------------- -----------
nsx_bootstrap         N/A                 Ready
  10. 注销虚拟机的 Windows 操作系统。

下一步做什么

安装 NSX Tools 并且 nsx_bootstrap 任务显示为 Ready 后,如果不需要再进行任何其他自定义设置,便可以发布此映像。请参阅按容器将 Horizon Cloud 中已配置的映像虚拟机转换为可分配的映像

容器置备的虚拟机 NSX Manager 中所需的防火墙规则

将 NSX Cloud 功能与 Microsoft Azure 中的容器结合使用时,您必须在 NSX Manager 中启用一些分布式防火墙规则,这样才能与容器置备的 NSX 管理虚拟机进行通信。如果未启用这些规则,最终用户将无法启动并登录到其桌面或远程应用程序。

在 NSX Manager 中,启用这些规则以允许所指示的流量。在该表中,“桌面池”一词指的是 RDSH 场或 VDI 桌面分配。

流量类型 目标 Service/Protocol/Port
Horizon HTML Access (Blast) 流量 容器的 Unified Access Gateway 虚拟机 桌面池
  • VMware-View-PCoIP/TCP/4172
  • VMware-View5.x-PCoIP/UDP/4172
  • HTTPS/TCP/443
  • Horizon Blast UDP/UDP/22443
  • Horizon Blast TCP/TCP/22443
  • Horizon-USB-RedirectionIn/TCP/32111
  • Horizon-Beat/TCP-8443
  • Horizon-TCP-Side-Channel/TCP/9427
桌面池到容器管理器的流量 桌面池 容器的管理器虚拟机
  • VMware-View5.x-JMS/TCP/4001
  • Desktop-Messaging Server/TCP/3099
  • VMware-View7-JMS/TCP/4002
桌面池到 Active Directory 域服务器的流量 桌面池 容器的管理器虚拟机
  • 任意

在容器置备的虚拟机 NSX Manager 中添加所需的转发策略

将 NSX-T Data Center 2.4 与 Microsoft Azure 中的容器结合使用时,除了启用防火墙规则外,还必须添加转发策略,以便通过 Microsoft Azure 云的底层网络来路由与容器中 NSX 管理的虚拟机相关的流量。NSX-T Data Center 2.4 中引入了转发策略。

您可以在 NSX Data Center 2.4 环境中执行以下步骤。

过程

  1. 登录到环境的 NSX Manager。
  2. 导航到网络 > 转发策略
  3. 在“转发策略”页面上,展开表示以下 VNet 的部分:已部署了 NSX 公有云网关 (PCG) 以供容器使用的 VNet。
  4. 在展开的部分中,复制此部分中列出的最后一条规则(名为 CloudDefaultRoute),方法是右键单击,然后选择复制规则
  5. 将新副本的操作设置为路由到底层
  6. 单击发布