Horizon Cloud 容器初次部署到无网关或只有一种类型网关的 Microsoft Azure 后,您以后可以使用“编辑容器”工作流将网关配置添加到该容器。您可以从容器的详细信息页面中启动该工作流。

提示: 此控制台是动态的。它只会基于容器的当前配置以及整体环境的配置,在用户界面中提供那些有意义且适用的工作流、选项开关和字段。

Horizon Cloud on Microsoft Azure 部署中所述,容器可以具有外部网关配置和/或内部网关配置。您可以使用此工作流添加容器尚不具有的类型。在编辑容器以添加网关配置的同时,您还可以为该网关指定双因素身份验证设置。

重要说明: 使用下述步骤修改容器时,请记住以下几点:
  • 请记住,在最初设置外部网关配置后,不能更改外部网关的负载均衡器的 IP 设置。添加外部网关配置时,您可以选择将专用 IP 地址(而不是公共 IP 地址)用于该网关的负载均衡器。默认情况下会使用公共 IP 地址。
  • 如果将租户配置为使用 Universal Broker,并且代理设置启用了双因素身份验证,则必须在容器群中所有容器的外部网关上设置相同的双因素身份验证类型。
  • 从系统更改容器配置开始一直到完成期间,以下限制适用:
    • 您无法在容器上执行管理任务。
    • 没有与由容器提供服务的桌面或远程应用程序建立连接会话的最终用户以及尝试连接的最终用户无法完成该操作。
    • 拥有由容器提供服务的连接会话的最终用户将断开连接这些活动会话。将不会丢失任何数据。在配置更改完成后,这些用户可以重新连接。

前提条件

注: 如果容器启用了高可用性,并且其中一个容器管理器虚拟机处于脱机状态,则系统会阻止向该容器添加网关。单击 保存并退出后,将显示该消息。您必须先通过 Microsoft Azure 门户使该脱机的容器管理器虚拟机恢复联机,然后才能添加网关。

将网关配置添加到 Microsoft Azure 中的现有容器时,要完成“编辑容器”向导中的字段,您必须提供Unified Access Gateway 配置的必备条件中所述的信息。如果您在添加网关的同时还要指定双因素身份验证设置,则必须提供在使用双因素身份验证配置部署时的必备条件中所述的信息。如果您要添加外部网关配置并希望它使用自身的订阅,则还需要该订阅信息,并确保将用于该网关的 VNet 满足 VNet 要求。有关这些 VNet 要求,请参阅在 Microsoft Azure 中配置必需的虚拟网络

重要说明: 证书链中的所有证书都必须在有效期内。 Unified Access Gateway 虚拟机要求证书链中的所有证书(包括中间证书)都必须在有效期内。如果证书链中有证书已过期,之后将证书上载到 Unified Access Gateway 配置时可能会出现意外故障。

过程

  1. 在控制台中,导航到设置 > 容量,然后单击容器的名称以打开其详细信息页面。
  2. 在容器的详细信息页面中,单击编辑
  3. 在“订阅”步骤中,如果要添加外部网关配置并希望它使用不同于容器的订阅,请启用对外部网关使用不同的订阅并输入订阅信息。
  4. 单击下一步,直到进入网关设置步骤。
    此步骤有一部分是适用于外部网关配置,还有一部分是适用于内部网关配置。用户界面中会反映容器的当前配置以及它已具有的网关设置。
  5. 要添加外部网关,请开启启用外部 UAG? 选项开关,然后完成外部 UAG 部分中的字段。
    选项 说明
    是否启用外部网关? 控制容器是否使用外部网关配置。通过外部配置,企业网络外部的最终用户可以访问桌面和应用程序。容器包括一个 Microsoft Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。
    注: 建议保留默认情况下启用的设置。

    关闭此选项开关后,客户端必须通过与其连接器设备集成的 Workspace ONE Access 直接连接到容器管理器或直接连接到容器管理器的负载均衡器,或者也可以通过内部网关配置进行连接。在提到的前两种场景中,如果客户端通过与容器集成的 Workspace ONE Access 进行连接或直接连接到负载均衡器,则需要执行一些部署后步骤。在这些场景中,部署容器后,按照在容器管理器虚拟机上直接配置 SSL 证书中的步骤,将 SSL 证书上载到容器管理器虚拟机。

    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,容器部署程序将在网关的 Unified Access Gateway 实例的配置中指定该 FQDN。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。

    Horizon Cloud 要求为外部网关配置指定的此 FQDN 可以公开解析。如果在向导中关闭用于在防火墙或 NAT 设置中指定 IP 地址的启用公共 IP? 选项开关,则由您来负责将此 FQDN 分配给防火墙或 NAT 设置中指定的 IP 地址。此 FQDN 用于与网关建立 PCoIP 连接。

    重要说明: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。

    在将此外部 Unified Access Gateway 配置设置为对双因素身份验证服务器使用双因素身份验证时,如果该服务器位于部署 Unified Access Gateway 实例的 VNet 拓扑外部,则您将需要指定可解析该身份验证服务器主机名的 DNS 服务器地址。例如,如果双因素身份验证位于内部部署的服务器上,请输入可解析该身份验证服务器名称的 DNS 服务器。

    部署必备条件中所述,用于 Horizon Cloud on Microsoft Azure 部署的 VNet 拓扑必须能够与要在部署 Unified Access Gateway 实例期间提供外部名称解析以及执行日常操作的 DNS 服务器进行通信。

    默认情况下,将使用在部署实例的 VNet 上配置的 DNS 服务器。

    DNS 地址中指定地址时,除了 VNet 配置中的 DNS 服务器信息之外,部署的 Unified Access Gateway 实例还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析网络路由,例如用于与双因素身份验证服务器进行通信的网络路由。

    在将此容器配置为对内部部署的身份验证服务器使用双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该服务器的正确路由。例如,如果内部部署的身份验证服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此 Horizon Cloud on Microsoft Azure 部署的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    继承容器 NTP 服务器 默认情况下,将启用此选项开关,以使 Unified Access Gateway 实例使用为容器管理器实例指定的相同 NTP 服务器。强烈建议将此选项开关保持启用状态。

    最佳做法是对容器管理器实例、Unified Access Gateway 实例和 Active Directory 服务器使用相同的 NTP 服务器。当这些实例使用不同的 NTP 服务器时,可能会导致时间偏移。稍后当网关尝试对其桌面和应用程序的最终用户会话进行身份验证时,此类时间偏移可能会导致失败。

    如果启用了该选项开关,并且您要将外部网关部署到其自己的 VNet 中(而非容器的 VNet),请确保可以从为外部网关部署选择的虚拟网络中访问为容器管理器实例指定的 NTP 服务器。

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    重要说明: 在当前服务版本中,在订阅中部署网关配置后,不能轻易更改已部署实例使用的虚拟机型号。要在部署后更改虚拟机型号,需要删除网关配置并重新部署。如果预计您的环境将扩展到每个容器 2,000 个会话,请选择 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服务限制中所述, A4_v2 虚拟机型号仅足够满足概念证明 (PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。
    Blast Extreme TCP 端口 选择要在 Unified Access Gateway 配置内的 Blast Extreme TCP 设置中使用的 TCP 端口。该设置与通过 Unified Access Gateway 上的 Blast 安全网关传输由客户端发送的数据流量的 Blast Extreme 相关。端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。由于这些原因,向导将 8443 作为默认值。另一个选项 443 在实例中的效率较低,性能较差,并且会导致 CPU 拥堵,从而导致最终用户客户端中出现明显的流量延迟。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站)的情况下,才会使用选项 443。
    注: 用于 Blast Extreme 的 UDP 端口不受此设置影响,始终为 UDP 8443。
    密码套件 尽管几乎在所有情况下都不需要更改默认设置,但 Unified Access Gateway 提供此功能是为了可以选择指定用于加密客户端与 Unified Access Gateway 设备之间通信的加密算法。

    必须从屏幕上的列表中选择至少一个密码套件。屏幕上的列表显示了允许 Horizon Cloud on Microsoft Azure 部署使用的密码套件。

    指定此网关的 Microsoft 负载均衡器的设置。

    选项 说明
    启用公共 IP 地址? 控制此网关的负载均衡类型是配置为“专用”还是“公共”。如果打开了此开关,则会为已部署的 Microsoft Azure 负载均衡器资源配置一个公共 IP 地址。如果关闭了此开关,则会为 Microsoft Azure 负载均衡器资源配置一个专用 IP 地址。
    重要说明: 在此版本中,您之后再无法将外部网关的负载均衡类型从“公共”更改为“专用”,或者从“专用”更改为“公共”。执行此更改的唯一方法是从已部署的容器中完全删除该网关配置,然后编辑该容器以使用相反设置重新添加该网关配置。

    如果关闭此选项开关,则会显示 Horizon FQDN 的公共 IP 字段。

    Horizon FQDN 的公共 IP 如果选择不为部署的 Microsoft Azure 负载均衡器配置公共 IP,则必须提供要为其分配在 FQDN 字段中指定的 FQDN 的 IP 地址。最终用户的 Horizon Client 将使用此 FQDN 与网关建立 PCoIP 连接。部署程序将在 Unified Access Gateway 配置设置中配置此 IP 地址。

    指定外部网关的网络设置。

    选项 说明
    使用其他虚拟网络 此选项开关可控制是否要将外部网关部署到其自已的 VNet,与容器的 VNet 分离。

    以下各行内容描述了不同的情况。

    注: 如果在向导的第一步中指定对外部网关使用不同的订阅,则默认情况下将启用此选项开关。在这种情况下,您必须为网关选择一个 VNet。

    当打开此选项开关,同时打开继承容器 NTP 服务器选项开关时,请确保可以从为外部网关部署选择的虚拟网络中访问为容器管理器实例指定的 NTP 服务器。

    使用其他虚拟网络 - 已关闭 关闭此选项开关后,外部网关将部署到容器的 VNet 中。在这种情况下,您必须指定 DMZ 子网。
    • DMZ 子网 - 如果在“容器设置”向导步骤中启用了使用现有子网,则 DMZ 子网将列出在为虚拟网络选择的 VNet 上可用的子网。选择要作为容器的 DMZ 子网的现有子网。
      重要说明: 选择一个空子网,即,没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。
    • DMZ 子网 (CIDR) - 如果在前面的向导步骤中已关闭使用现有子网,请输入要配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器的 DMZ(隔离区)网络的子网(采用 CIDR 表示法)。
    使用其他虚拟网络 - 已启用 启用此选项开关后,外部网关将部署到其自己的 VNet 中。在这种情况下,您必须选择要使用的 VNet,然后指定所需的三个子网。启用使用现有子网选项开关可从预先在指定 VNet 上创建的子网中进行选择。否则,以 CIDR 表示法指定子网。
    重要说明: 选择空子网,即没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。

    在这种情况下,网关的 VNet 和容器 的 VNet 将彼此对等。此时,最佳做法是提前创建子网,而不是在此处使用 CIDR 条目。请参阅在使用外部 Unified Access Gateway 配置(使用其自身的 VNet 或订阅,不同于容器的 VNet 或订阅)部署时的必备条件

    • 管理子网 - 指定要用作网关管理子网的子网。需要一个至少为 /27 的 CIDR。此子网必须将 Microsoft.SQL 服务配置为服务端点。
    • 后端子网 - 指定要用作网关后端子网的子网。需要一个至少为 /27 的 CIDR。
    • 前端子网 - 指定要用作前端子网的子网,会将该子网配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器。
  6. (可选) 部署部分中,使用选项开关选择一个现有资源组(可选),在该资源组中,您希望部署程序为外部网关配置部署资源。
    如果您在向导的第一步中指定将不同的订阅用于外部网关,将显示该选项开关。如果启用该选项开关,则会显示一个字段,您可以在其中搜索和选择资源组。
  7. 要添加内部网关,请开启启用内部 UAG? 选项开关,然后完成内部 UAG 部分中的字段。
    选项 说明
    是否启用内部网关? 控制容器是否使用内部网关配置。利用此内部配置,企业网络内部的用户可通过 HTML Access (Blast) 连接对桌面和应用程序进行受信任的访问。容器包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。默认情况下,此网关的负载均衡类型为“专用”。已为负载均衡器配置了专用 IP 地址。
    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,您的最终用户将使用它来访问该服务。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。
    重要说明: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。

    在将此内部 Unified Access Gateway 配置设置为对双因素身份验证服务器使用双因素身份验证时,如果该服务器位于部署 Unified Access Gateway 实例的 VNet 拓扑外部,则您将需要指定可解析该身份验证服务器主机名的 DNS 服务器地址。例如,如果双因素身份验证位于内部部署的服务器上,请输入可解析该身份验证服务器名称的 DNS 服务器。

    部署必备条件中所述,用于 Horizon Cloud on Microsoft Azure 部署的 VNet 拓扑必须能够与要在部署 Unified Access Gateway 实例期间提供外部名称解析以及执行日常操作的 DNS 服务器进行通信。

    默认情况下,将使用在部署实例的 VNet 上配置的 DNS 服务器。

    DNS 地址中指定地址时,除了 VNet 配置中的 DNS 服务器信息之外,部署的 Unified Access Gateway 实例还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析网络路由,例如用于与双因素身份验证服务器进行通信的网络路由。

    在将此容器配置为对内部部署的身份验证服务器使用双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该服务器的正确路由。例如,如果内部部署的身份验证服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    继承容器 NTP 服务器 默认情况下,将启用此选项开关,以使 Unified Access Gateway 实例使用为容器管理器实例指定的相同 NTP 服务器。强烈建议将此选项开关保持启用状态。

    最佳做法是对容器管理器实例、Unified Access Gateway 实例和 Active Directory 服务器使用相同的 NTP 服务器。当这些实例使用不同的 NTP 服务器时,可能会导致时间偏移。稍后当网关尝试对其桌面和应用程序的最终用户会话进行身份验证时,此类时间偏移可能会导致失败。

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    重要说明: 在当前服务版本中,在订阅中部署网关配置后,不能轻易更改已部署实例使用的虚拟机型号。要在部署后更改虚拟机型号,需要删除网关配置并重新部署。如果预计您的环境将扩展到每个容器 2,000 个会话,请选择 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服务限制中所述, A4_v2 虚拟机型号仅足够满足概念证明 (PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。
    Blast Extreme TCP 端口 选择要在 Unified Access Gateway 配置内的 Blast Extreme TCP 设置中使用的 TCP 端口。该设置与通过 Unified Access Gateway 上的 Blast 安全网关传输由客户端发送的数据流量的 Blast Extreme 相关。端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。由于这些原因,向导将 8443 作为默认值。另一个选项 443 在实例中的效率较低,性能较差,并且会导致 CPU 拥堵,从而导致最终用户客户端中出现明显的流量延迟。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站)的情况下,才会使用选项 443。
    注: 用于 Blast Extreme 的 UDP 端口不受此设置影响,始终为 UDP 8443。
    密码套件 尽管几乎在所有情况下默认设置已足够满足需求,但 Unified Access Gateway 提供此功能是为了指定用于加密客户端与 Unified Access Gateway 设备之间通信的加密算法。

    必须从屏幕上的列表中选择至少一个密码套件。屏幕上的列表显示了允许 Horizon Cloud on Microsoft Azure 部署使用的密码套件。

  8. 在要添加任意网关的部分中,如果要选择将最终用户的桌面配置为使用双因素身份验证,请按照在 Horizon Cloud 容器的网关上启用双因素身份验证中的步骤进行操作。
  9. Azure 资源标记部分中,如果要为与网关相关的资源组指定的资源标记,与在容器其他资源组上指定的资源标记不同,请停用继承容器标记选项开关,然后在显示的字段中指定标记。
    有关对 Azure 资源标记字段的说明,请参阅 第一代租户 - 指定 Horizon Cloud 容器的网关配置。将对容器上两种类型的网关使用同一组标记。
  10. 单击保存并退出
    将显示确认消息,要求您确认启动工作流。
  11. 单击以启动工作流。

结果

在系统部署完该网关的元素之前,容器摘要页面中该配置类型对应的部分将显示挂起状态。此外,在系统完成其部署网关的操作之前,您还无法执行其他与“编辑容器”工作流相关的活动。

在工作流完成后,状态将显示为就绪,并在页面中显示负载均衡器 FQDN。

注: 在 Microsoft Azure 中国为容器运行该工作流时,该过程可能需要超过一个小时的时间才能完成。该过程受地理网络问题的影响,从云控制平面下载二进制文件时,这些问题可能导致下载速度缓慢。

下一步做什么

重要说明: 您必须先完成以下任务,然后最终用户才能开始使用新添加的网关。
  • 对于新添加的网关配置,请确保您在 DNS 服务器中配置了 CNAME 记录,以便将该配置中部署的负载均衡器映射到您在部署向导中输入的 FQDN。有关详细信息,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息
  • 如果为添加的网关指定了双因素身份验证,则必须执行以下任务:
    • 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请将该双因素身份验证服务器配置为允许来自外部网关负载均衡器 IP 地址的通信。

      如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

    • 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请将双因素身份验证服务器配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。

      您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。

      Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。

      当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

    有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新双因素身份验证系统