在向导的这个步骤中,需要指定对配置了网关的容器进行部署所需的信息。Unified Access Gateway 为部署到 Microsoft Azure 的容器提供网关环境。在部署新容器时,您可以选择使用外部或内部网关配置,或者在同一容器上同时使用这两种类型的配置。默认情况下,当显示此向导步骤时,选择的是外部网关配置。

外部网关配置
外部网关配置允许位于企业网络外部的最终用户访问桌面和应用程序。当容器使用此外部网关配置时,容器包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。在这种情况下,每个实例都具有三个网卡:一个网卡位于管理子网上,一个网卡位于桌面子网上,还有一个网卡位于 DMZ 子网上。在部署向导中,您可选择将负载均衡类型指定为“专用”或“公共”,具体取决于您希望该负载均衡器使用专用 IP 地址还是公共 IP 地址。如果在向导中关闭此“公共 IP”选项开关,则指定的 IP 地址必须已在 DNS 服务器中映射到最终用户的 Horizon Client 将用于与网关建立 PCoIP 连接的 FQDN。

对于外部网关配置,您还可以选择将该配置部署到单独的 VNet,与容器的 VNet 分离。这些 VNet 必须彼此对等。通过这种类型的配置,您将能够将容器部署到 Microsoft Azure 中较为复杂的网络拓扑,例如中心辐射型网络拓扑

注: 如果启用此选项开关,让外部网关使用向导第一步中自已的订阅,则必须将外部网关部署到其自已的 VNet(即与该订阅相关联的 VNet)中。如果已启用该选项开关,您可以在该订阅中选择性地为外部网关的资源选择现有的资源组。您必须提前准备了该资源组,以便在该向导步骤中选择该资源组。
内部网关配置
通过内部网关配置,企业网络内部的最终用户可以与其桌面和应用程序建立受信任的 HTML Access (Blast) 连接。如果没有为容器配置此内部网关配置,则在企业网络内部的最终用户使用浏览器与其桌面和应用程序建立 HTML Access (Blast) 连接时,他们会看到标准浏览器不受信证书错误。当容器使用此内部网关配置时,容器会包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。在这种情况下,每个实例都具有两个网卡:一个网卡位于管理子网上,另一个网卡位于桌面子网上。默认情况下,此网关的负载均衡类型为“专用”。

以下屏幕截图是此步骤在最初显示时的示例。只有在第一个向导步骤中选择将不同的订阅用于外部网关配置时,才会显示某些控件。


Horizon Cloud on Microsoft Azure:最初显示的容器部署向导的第 3 步。

前提条件

确认您满足运行容器部署向导的必备条件中所述的必备条件。

重要事项: 要完成此步骤,您必须拥有最终用户将用来访问该服务的所需完全限定域名 (FQDN),并且还须拥有一个基于该 FQDN 的已签名 SSL 证书(采用 PEM 格式)。该证书必须由受信任的 CA 签名。单个 PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。有关详细信息,请参阅 将证书文件转换为容器部署所需的 PEM 格式

确认证书链中的所有证书都在有效期内。如果证书链中有证书已过期,之后的容器载入过程可能会出现意外故障。

该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。

过程

  1. 如果要使用外部网关配置,请填写外部网关部分中的字段。
    选项 说明
    是否启用外部网关? 控制容器是否使用外部网关配置。通过外部配置,企业网络外部的最终用户可以访问桌面和应用程序。容器包括一个 Microsoft Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。
    注: 建议保留默认情况下启用的设置。

    关闭此选项开关后,客户端必须通过与容器集成的 Workspace ONE Access 进行连接或直接连接到容器管理器的负载均衡器,或者也可以通过内部网关配置进行连接。如果客户端通过与容器集成的 Workspace ONE Access 进行或直接连接,则必须执行一些部署后步骤。在这种情况下,请在部署容器之后,执行直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接中的相应步骤。

    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,您的最终用户将使用它来访问该服务。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。
    重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。在配置此外部 Unified Access Gateway 配置以使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您将需要指定可解析内部部署 RADIUS 服务器名称的 DNS 服务器的地址。

    部署必备条件中所述,必须在您的订阅内部设置 DNS 服务器,并将其配置为提供外部名称解析。默认情况下,Unified Access Gateway 实例将使用该 DNS 服务器。如果您在此字段中指定地址,则部署的 Unified Access Gateway 实例除了使用您在订阅的虚拟网络中配置的必备 DNS 服务器以外,还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析诸如指向 RADIUS 服务器以进行双因素身份验证的网络路由。

    在将此容器配置为使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该 RADIUS 服务器的正确路由。例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。

    指定此网关的 Microsoft 负载均衡器的设置。

    选项 说明
    启用公共 IP 地址? 控制此网关的负载均衡类型是配置为“专用”还是“公共”。如果打开了此开关,则会为已部署的 Microsoft Azure 负载均衡器资源配置一个公共 IP 地址。如果关闭了此开关,则会为 Microsoft Azure 负载均衡器资源配置一个专用 IP 地址。
    重要事项: 在此版本中,您之后再无法将外部网关的负载均衡类型从“公共”更改为“专用”,或者从“专用”更改为“公共”。执行此更改的唯一方法是从已部署的容器中完全删除该网关配置,然后编辑该容器以使用相反设置重新添加该网关配置。

    如果关闭此选项开关,则会显示 Horizon FQDN 的公共 IP 字段。

    Horizon FQDN 的公共 IP 如果选择不为已部署的 Microsoft Azure 负载均衡器配置公共 IP,则提供的 IP 地址必须在 DNS 中映射到最终用户的 Horizon Client 将用于与网关建立 PCoIP 连接的 FQDN。部署程序将在 Unified Access Gateway 配置设置中配置此 IP 地址。

    指定外部网关的网络设置。

    选项 说明
    使用其他虚拟网络 此选项开关可控制是否要将外部网关部署到其自已的 VNet,与容器的 VNet 分离。

    以下各行内容描述了不同的情况。

    注: 如果在向导的第一步中指定对外部网关使用不同的订阅,则默认情况下将启用此选项开关。在这种情况下,您必须为网关选择一个 VNet。
    使用其他虚拟网络 - 已关闭 关闭此选项开关后,外部网关将部署到容器的 VNet 中。在这种情况下,您必须指定 DMZ 子网。
    • DMZ 子网 - 如果在“容器设置”向导步骤中启用了使用现有子网,则 DMZ 子网将列出在为虚拟网络选择的 VNet 上可用的子网。选择要作为容器的 DMZ 子网的现有子网。
      重要事项: 选择一个空子网,即,没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。
    • DMZ 子网 (CIDR) - 如果在前面的向导步骤中已关闭使用现有子网,请输入要配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器的 DMZ(隔离区)网络的子网(采用 CIDR 表示法)。
    使用其他虚拟网络 - 已启用 启用此选项开关后,外部网关将部署到其自己的 VNet 中。在这种情况下,您必须选择要使用的 VNet,然后指定所需的三个子网。启用使用现有子网选项开关可从预先在指定 VNet 上创建的子网中进行选择。否则,以 CIDR 表示法指定子网。
    重要事项: 选择空子网,即没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。

    在这种情况下,网关的 VNet 和容器 的 VNet 将彼此对等。此时,最佳做法是提前创建子网,而不是在此处使用 CIDR 条目。请参阅在使用外部 Unified Access Gateway 配置(使用其自身的 VNet 或订阅,不同于容器的 VNet 或订阅)部署时的必备条件

    • 管理子网 - 指定要用作网关管理子网的子网。需要一个至少为 /27 的 CIDR。此子网必须将 Microsoft.SQL 服务配置为服务端点。
    • 后端子网 - 指定要用作网关后端子网的子网。需要一个至少为 /27 的 CIDR。
    • 前端子网 - 指定要用作前端子网的子网,会将该子网配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器。
  2. (可选) 外部网关部分中,(可选)为外部网关配置双因素身份验证。
  3. (可选) 部署部分中,使用选项开关选择一个现有资源组(可选),在该资源组中,您希望部署程序为外部网关配置部署资源。
    如果您在向导的第一步中指定将不同的订阅用于外部网关,将显示该选项开关。如果启用该选项开关,则会显示一个字段,您可以在其中搜索和选择资源组。
  4. 内部网关部分中,如果要使用内部网关配置,请打开是否启用内部网关? 选项开关,并填写所显示的字段。
    选项 说明
    是否启用内部网关? 控制容器是否使用内部网关配置。利用此内部配置,企业网络内部的用户可通过 HTML Access (Blast) 连接对桌面和应用程序进行受信任的访问。容器包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。默认情况下,此网关的负载均衡类型为“专用”。已为负载均衡器配置了专用 IP 地址。
    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,您的最终用户将使用它来访问该服务。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。

    如果为外部网关指定了 FQDN,则必须在此处输入相同的 FQDN。

    重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。在配置此内部网关配置以使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您将需要指定可解析内部部署 RADIUS 服务器名称的 DNS 服务器地址。

    部署必备条件中所述,必须在您的订阅内部设置 DNS 服务器,并将其配置为提供名称解析。默认情况下,Unified Access Gateway 实例将使用该 DNS 服务器。如果您在此字段中指定地址,则部署的 Unified Access Gateway 实例除了使用您在订阅的虚拟网络中配置的必备 DNS 服务器以外,还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析诸如指向 RADIUS 服务器以进行双因素身份验证的网络路由。

    在将此容器配置为使用通过内部部署 RADIUS 服务器进行的双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该 RADIUS 服务器的正确路由。例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。
  5. (可选) 内部网关部分中,(可选)为内部 Unified Access Gateway 配置双因素身份验证。
  6. (可选) Azure 资源标记部分中,可以选择性地将自定义标记添加到包含为容器配置的所有内部和外部 Unified Access Gateway 实例的资源组。
    选项 说明
    继承容器标记

    打开此选项开关可将容器的资源标记添加到包含所有已配置 Unified Access Gateway 实例的资源组中。每个资源组都会收到您在“容器设置”向导步骤中定义的资源标记。

    关闭此选项开关可为 Unified Access Gateway 实例定义新的资源标记。

    Azure 资源标记

    关闭继承容器标记选项开关后,将会显示此设置。使用此设置可将新的资源标记添加到到包含已配置 Unified Access Gateway 实例的资源组中。

    要创建第一个标记,请在“名称”和“值”字段中输入相关信息。要创建其他标记,请单击 +,然后在现有“名称”和“值”字段下面显示的对应字段中输入相关信息。

    • 您最多可以创建 10 个标记。
    • 标记名称仅限于 512 个字符,标记值仅限于 256 个字符。对于存储帐户,标记名称仅限于 128 个字符,标记值仅限于 256 个字符。
    • 标记名称不能包含以下字符:

      < > % & \ ? /

    • 标记名称中不能包含以下不区分大小写的字符串:

      “azure”、“windows”、“microsoft”

    • 标记名称和标记值只能包含 ASCII 字符。不允许使用标准 128 个字符的 ASCII 集(也称为高 ASCII 或扩展 ASCII 字符)以外的空格和字符。

结果

在提供与所选的选项关联的所需信息后,您可以单击 验证并继续以继续执行向导的最后一步。 完成在“容量”页面中将 Horizon Cloud 容器部署到 Microsoft Azure中的最后几个步骤。