Horizon Cloud 容器初次部署到无网关或只有一种类型网关的 Microsoft Azure 后,您以后可以使用“编辑容器”工作流将网关配置添加到该容器。您可以从容器的详细信息页面中启动该工作流。

提示: 此控制台是动态的。它只会基于容器的当前配置以及整体环境的配置,在用户界面中提供那些有意义且适用的工作流、选项开关和字段。

Microsoft Azure 中的 Horizon Cloud 容器简介中所述,容器可以具有外部网关配置和/或内部网关配置。您可以使用此工作流添加容器尚不具有的类型。在编辑容器以添加网关配置的同时,您还可以为该网关指定双因素身份验证设置。

重要事项: 使用下述步骤修改容器时,请记住以下几点:
  • 请记住,在最初设置外部网关配置后,不能更改外部网关的负载均衡器的 IP 设置。添加外部网关配置时,您可以选择将专用 IP 地址(而不是公共 IP 地址)用于该网关的负载均衡器。默认情况下会使用公共 IP 地址。
  • 从系统更改容器配置开始一直到完成期间,以下限制适用:
    • 您无法在容器上执行管理任务。
    • 没有与由容器提供服务的桌面或远程应用程序建立连接会话的最终用户以及尝试连接的最终用户无法完成该操作。
    • 拥有由容器提供服务的连接会话的最终用户将断开连接这些活动会话。将不会丢失任何数据。在配置更改完成后,这些用户可以重新连接。

前提条件

注: 如果容器启用了高可用性,并且其中一个容器管理器虚拟机处于脱机状态,则系统会阻止向该容器添加网关。单击 保存并退出后,将显示该消息。您必须先通过 Microsoft Azure 门户使该脱机的容器管理器虚拟机恢复联机,然后才能添加网关。

将网关配置添加到 Microsoft Azure 中的现有容器时,要完成“编辑容器”向导中的字段,您必须提供Unified Access Gateway 配置的必备条件中所述的信息。如果您在添加网关的同时还要指定双因素身份验证设置,则必须提供在使用双因素身份验证配置部署时的必备条件中所述的信息。如果您要添加外部网关配置并希望它使用自身的订阅,则还需要该订阅信息,并确保将用于该网关的 VNet 满足 VNet 要求。有关这些 VNet 要求,请参阅在 Microsoft Azure 中配置必需的虚拟网络

重要事项: 证书链中的所有证书都必须在有效期内。 Unified Access Gateway 虚拟机要求证书链中的所有证书(包括中间证书)都必须在有效期内。如果证书链中有证书已过期,之后将证书上载到 Unified Access Gateway 配置时可能会出现意外故障。

过程

  1. 在控制台中,导航到设置 > 容量,然后单击容器的名称以打开其详细信息页面。
  2. 在容器的详细信息页面中,单击编辑
  3. 在“订阅”步骤中,如果要添加外部网关配置并希望它使用不同于容器的订阅,请启用对外部网关使用不同的订阅并输入订阅信息。
  4. 单击下一步,直到进入网关设置步骤。
    此步骤有一部分是适用于外部网关配置,还有一部分是适用于内部网关配置。用户界面中会反映容器的当前配置以及它已具有的网关设置。
  5. 要添加外部网关,请开启启用外部 UAG? 选项开关,然后完成外部 UAG 部分中的字段。
    选项 说明
    是否启用外部网关? 控制容器是否使用外部网关配置。通过外部配置,企业网络外部的最终用户可以访问桌面和应用程序。容器包括一个 Microsoft Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。
    注: 建议保留默认情况下启用的设置。

    关闭此选项开关后,客户端必须通过与容器集成的 Workspace ONE Access 进行连接或直接连接到容器管理器的负载均衡器,或者也可以通过内部网关配置进行连接。如果客户端通过与容器集成的 Workspace ONE Access 进行或直接连接,则必须执行一些部署后步骤。在这种情况下,请在部署容器之后,执行直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接中的相应步骤。

    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,您的最终用户将使用它来访问该服务。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。
    重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。在配置此外部 Unified Access Gateway 配置以使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您将需要指定可解析内部部署 RADIUS 服务器名称的 DNS 服务器的地址。

    部署必备条件中所述,必须在您的订阅内部设置 DNS 服务器,并将其配置为提供外部名称解析。默认情况下,Unified Access Gateway 实例将使用该 DNS 服务器。如果您在此字段中指定地址,则部署的 Unified Access Gateway 实例除了使用您在订阅的虚拟网络中配置的必备 DNS 服务器以外,还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析诸如指向 RADIUS 服务器以进行双因素身份验证的网络路由。

    在将此容器配置为使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该 RADIUS 服务器的正确路由。例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。

    指定此网关的 Microsoft 负载均衡器的设置。

    选项 说明
    启用公共 IP 地址? 控制此网关的负载均衡类型是配置为“专用”还是“公共”。如果打开了此开关,则会为已部署的 Microsoft Azure 负载均衡器资源配置一个公共 IP 地址。如果关闭了此开关,则会为 Microsoft Azure 负载均衡器资源配置一个专用 IP 地址。
    重要事项: 在此版本中,您之后再无法将外部网关的负载均衡类型从“公共”更改为“专用”,或者从“专用”更改为“公共”。执行此更改的唯一方法是从已部署的容器中完全删除该网关配置,然后编辑该容器以使用相反设置重新添加该网关配置。

    如果关闭此选项开关,则会显示 Horizon FQDN 的公共 IP 字段。

    Horizon FQDN 的公共 IP 如果选择不为已部署的 Microsoft Azure 负载均衡器配置公共 IP,则提供的 IP 地址必须在 DNS 中映射到最终用户的 Horizon Client 将用于与网关建立 PCoIP 连接的 FQDN。部署程序将在 Unified Access Gateway 配置设置中配置此 IP 地址。

    指定外部网关的网络设置。

    选项 说明
    使用其他虚拟网络 此选项开关可控制是否要将外部网关部署到其自已的 VNet,与容器的 VNet 分离。

    以下各行内容描述了不同的情况。

    注: 如果在向导的第一步中指定对外部网关使用不同的订阅,则默认情况下将启用此选项开关。在这种情况下,您必须为网关选择一个 VNet。
    使用其他虚拟网络 - 已关闭 关闭此选项开关后,外部网关将部署到容器的 VNet 中。在这种情况下,您必须指定 DMZ 子网。
    • DMZ 子网 - 如果在“容器设置”向导步骤中启用了使用现有子网,则 DMZ 子网将列出在为虚拟网络选择的 VNet 上可用的子网。选择要作为容器的 DMZ 子网的现有子网。
      重要事项: 选择一个空子网,即,没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。
    • DMZ 子网 (CIDR) - 如果在前面的向导步骤中已关闭使用现有子网,请输入要配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器的 DMZ(隔离区)网络的子网(采用 CIDR 表示法)。
    使用其他虚拟网络 - 已启用 启用此选项开关后,外部网关将部署到其自己的 VNet 中。在这种情况下,您必须选择要使用的 VNet,然后指定所需的三个子网。启用使用现有子网选项开关可从预先在指定 VNet 上创建的子网中进行选择。否则,以 CIDR 表示法指定子网。
    重要事项: 选择空子网,即没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。

    在这种情况下,网关的 VNet 和容器 的 VNet 将彼此对等。此时,最佳做法是提前创建子网,而不是在此处使用 CIDR 条目。请参阅在使用外部 Unified Access Gateway 配置(使用其自身的 VNet 或订阅,不同于容器的 VNet 或订阅)部署时的必备条件

    • 管理子网 - 指定要用作网关管理子网的子网。需要一个至少为 /27 的 CIDR。此子网必须将 Microsoft.SQL 服务配置为服务端点。
    • 后端子网 - 指定要用作网关后端子网的子网。需要一个至少为 /27 的 CIDR。
    • 前端子网 - 指定要用作前端子网的子网,会将该子网配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器。
  6. (可选) 部署部分中,使用选项开关选择一个现有资源组(可选),在该资源组中,您希望部署程序为外部网关配置部署资源。
    如果您在向导的第一步中指定将不同的订阅用于外部网关,将显示该选项开关。如果启用该选项开关,则会显示一个字段,您可以在其中搜索和选择资源组。
  7. 要添加内部网关,请开启启用内部 UAG? 选项开关,然后完成内部 UAG 部分中的字段。
    选项 说明
    是否启用内部网关? 控制容器是否使用内部网关配置。利用此内部配置,企业网络内部的用户可通过 HTML Access (Blast) 连接对桌面和应用程序进行受信任的访问。容器包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。默认情况下,此网关的负载均衡类型为“专用”。已为负载均衡器配置了专用 IP 地址。
    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,您的最终用户将使用它来访问该服务。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。

    如果为外部网关指定了 FQDN,则必须在此处输入相同的 FQDN。

    重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。在配置此内部网关配置以使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您将需要指定可解析内部部署 RADIUS 服务器名称的 DNS 服务器地址。

    部署必备条件中所述,必须在您的订阅内部设置 DNS 服务器,并将其配置为提供名称解析。默认情况下,Unified Access Gateway 实例将使用该 DNS 服务器。如果您在此字段中指定地址,则部署的 Unified Access Gateway 实例除了使用您在订阅的虚拟网络中配置的必备 DNS 服务器以外,还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析诸如指向 RADIUS 服务器以进行双因素身份验证的网络路由。

    在将此容器配置为使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该 RADIUS 服务器的正确路由。例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。
  8. 在要添加任意网关的部分中,如果要选择将最终用户的桌面配置为使用 RADIUS 双因素身份验证,请按照 在 Horizon Cloud 容器的网关上启用双因素身份验证 中的步骤进行操作。
  9. Azure 资源标记部分中,如果要为与网关相关的资源组指定的资源标记,与在容器其他资源组上指定的资源标记不同,请停用继承容器标记选项开关,然后在显示的字段中指定标记。
    有关对 Azure 资源标记字段的说明,请参阅 指定 Horizon Cloud 容器的网关配置。将对容器上两种类型的网关使用同一组标记。
  10. 单击保存并退出
    将显示确认消息,要求您确认启动工作流。
  11. 单击以启动工作流。

结果

在系统部署完该网关的元素之前,容器摘要页面中该配置类型对应的部分将显示挂起状态。此外,在系统完成其部署网关的操作之前,您还无法执行其他与“编辑容器”工作流相关的活动。

在工作流完成后,状态将显示为就绪,并在页面中显示负载均衡器 FQDN。

注: 在 Microsoft Azure 中国为容器运行该工作流时,该过程可能需要超过一个小时的时间才能完成。该过程受地理网络问题的影响,从云控制平面下载二进制文件时,这些问题可能导致下载速度缓慢。

后续步骤

重要事项: 您必须先完成以下任务,然后最终用户才能开始使用新添加的网关。
  • 对于新添加的网关配置,请确保您在 DNS 服务器中配置了 CNAME 记录,以便将该配置中部署的负载均衡器映射到您在部署向导中输入的 FQDN。有关详细信息,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息
  • 如果为所添加的网关指定了 RADIUS 双因素身份验证,则必须执行以下任务:
    • 如果已使用 RADIUS 设置配置了外部网关,并且在容器使用的同一 VNet 中,或者在对等 VNet 拓扑中(如果将外部网关部署到其自己单独的 VNet 中)无法访问 RADIUS 服务器,请确认将 RADIUS 服务器配置为允许与外部网关负载均衡器的 IP 地址建立客户端连接。在外部网关配置中,Unified Access Gateway 实例尝试使用该负载均衡器地址来与 RADIUS 服务器联系。要允许连接,请确保该外部网关资源组中的负载均衡器资源 IP 地址在 RADIUS 服务器配置中指定为客户端。
    • 如果配置了内部网关或者外部网关,并且在容器使用的同一 VNet 中可以访问 RADIUS 服务器,请将该 RADIUS 服务器配置为允许使用相应网卡提供的连接,这些网卡是在 Microsoft Azure 内的网关资源组中创建的且必须与该 RADIUS 服务器进行通信。网络管理员可以决定 RADIUS 服务器对容器的 Azure 虚拟网络和子网的网络可见性。您的 RADIUS 服务器必须允许与这些网关网卡(与网络管理员已为该 RADIUS 服务器提供网络可见性的子网相对应)的 IP 地址建立客户端连接。Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器经过更新后变为活动网卡。当执行日常容器操作时以及在每次容器更新后,要支持网关与 RADIUS 服务器之间的连接,请确保在 RADIUS 服务器配置中将这四个网卡的 IP 地址指定为客户端。

    有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新 RADIUS 系统