在向导的这个步骤中,需要指定对配置了一个或多个网关的基于容器管理器的容器进行部署所需的信息。Unified Access Gateway 为此类型的容器提供了网关环境。

重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。
外部网关配置
外部网关配置允许位于企业网络外部的最终用户访问桌面和应用程序。当容器使用此外部网关配置时,容器包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。在这种情况下,每个实例都具有三个网卡:一个网卡位于管理子网上,一个网卡位于桌面子网上,还有一个网卡位于 DMZ 子网上。在部署向导中,您可选择将负载均衡类型指定为“专用”或“公共”,具体取决于您希望该负载均衡器使用专用 IP 地址还是公共 IP 地址。如果在向导中关闭此公共 IP 选项开关,向导将显示一个字段,您必须在该字段中指定 IP 地址。在此类配置中,从 Horizon Client 到网关的 PCoIP 连接将使用此 IP 地址。

对于外部网关配置,您还可以选择将该配置部署到单独的 VNet,与容器的 VNet 分离。这些 VNet 必须彼此对等。通过这种类型的配置,您将能够将容器部署到 Microsoft Azure 中较为复杂的网络拓扑,例如中心辐射型网络拓扑

注: 如果启用此选项开关,让外部网关使用向导第一步中自已的订阅,则必须将外部网关部署到其自已的 VNet(即与该订阅相关联的 VNet)中。如果已启用该选项开关,您可以在该订阅中选择性地为外部网关的资源选择现有的资源组。您必须提前准备了该资源组,以便在该向导步骤中选择该资源组。
内部网关配置
通过内部网关配置,企业网络内部的最终用户可以与其桌面和应用程序建立受信任的 HTML Access (Blast) 连接。如果没有为容器配置此内部网关配置,则在企业网络内部的最终用户使用浏览器与其桌面和应用程序建立 HTML Access (Blast) 连接时,他们会看到标准浏览器不受信证书错误。当容器使用此内部网关配置时,容器会包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。在这种情况下,每个实例都具有两个网卡:一个网卡位于管理子网上,另一个网卡位于桌面子网上。默认情况下,此网关的负载均衡类型为“专用”。

以下屏幕截图是此步骤在最初显示时的示例。只有在第一个向导步骤中选择将不同的订阅用于外部网关配置时,才会显示某些控件。


Horizon Cloud on Microsoft Azure:最初显示的容器部署向导的第 3 步。

前提条件

确认您满足第一代租户 - 运行第一代容器部署向导的必备条件中所述的必备条件。

确定要用于 Unified Access Gateway 实例的虚拟机型号。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。如果预计您的环境将扩展到每个容器 2,000 个会话,请选择 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服务限制中所述,A4_v2 虚拟机型号仅足够满足概念证明 (PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。

重要说明: 明智地选择虚拟机型号。在当前服务版本中,部署网关配置后,不能轻易更改已部署实例使用的虚拟机型号。在部署后更改虚拟机型号的过程涉及删除网关配置并重新部署。
重要说明: 要完成此步骤,您必须拥有最终用户将用来访问该服务的所需完全限定域名 (FQDN),并且还须拥有一个基于该 FQDN 的已签名 SSL 证书(采用 PEM 格式)。该证书必须由受信任的 CA 签名。单个 PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。有关详细信息,请参阅 第一代租户 - 将证书文件转换为第一代 Horizon Cloud 容器部署所需要的 PEM 格式

确认证书链中的所有证书都在有效期内。如果证书链中有证书已过期,之后的容器载入过程可能会出现意外故障。

该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。

如果选择外部网关配置,Horizon Cloud 要求为外部网关配置指定的 FQDN 可公开解析。如果在向导中关闭用于在防火墙或 NAT 设置中指定 IP 地址的启用公共 IP? 选项开关,则由您来负责将此 FQDN 分配给防火墙或 NAT 设置中指定的 IP 地址。此 FQDN 用于与网关建立 PCoIP 连接。

此外,如果您的租户环境配置为使用 Universal Broker,则服务必须能够从云控制平面连接到此 FQDN,以验证外部网关配置中配置的双因素身份验证设置是否与为 Universal Broker 配置的身份验证设置相匹配,以及是否与连接到云的容器群中所有其他 Unified Access Gateway 实例的身份验证设置相匹配。

如果为您的租户配置了 Universal Broker,而该功能配置了双因素身份验证,则您必须为外部 Unified Access Gateway 配置双因素身份验证。

过程

  1. 如果要使用外部网关配置,请填写外部网关部分中的字段。
    选项 说明
    是否启用外部网关? 控制容器是否使用外部网关配置。通过外部配置,企业网络外部的最终用户可以访问桌面和应用程序。容器包括一个 Microsoft Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。
    注: 建议保留默认情况下启用的设置。

    关闭此选项开关后,客户端必须通过与其连接器设备集成的 Workspace ONE Access 直接连接到容器管理器或直接连接到容器管理器的负载均衡器,或者也可以通过内部网关配置进行连接。在提到的前两种场景中,如果客户端通过与容器集成的 Workspace ONE Access 进行连接或直接连接到负载均衡器,则需要执行一些部署后步骤。在这些场景中,部署容器后,按照在容器管理器虚拟机上直接配置 SSL 证书中的步骤,将 SSL 证书上载到容器管理器虚拟机。

    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,容器部署程序将在网关的 Unified Access Gateway 实例的配置中指定该 FQDN。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。

    Horizon Cloud 要求为外部网关配置指定的此 FQDN 可以公开解析。如果在向导中关闭用于在防火墙或 NAT 设置中指定 IP 地址的启用公共 IP? 选项开关,则由您来负责将此 FQDN 分配给防火墙或 NAT 设置中指定的 IP 地址。此 FQDN 用于与网关建立 PCoIP 连接。

    重要说明: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。

    在将此外部 Unified Access Gateway 配置设置为对双因素身份验证服务器使用双因素身份验证时,如果该服务器位于部署 Unified Access Gateway 实例的 VNet 拓扑外部,则您将需要指定可解析该身份验证服务器主机名的 DNS 服务器地址。例如,如果双因素身份验证位于内部部署的服务器上,请输入可解析该身份验证服务器名称的 DNS 服务器。

    部署必备条件中所述,用于 Horizon Cloud on Microsoft Azure 部署的 VNet 拓扑必须能够与要在部署 Unified Access Gateway 实例期间提供外部名称解析以及执行日常操作的 DNS 服务器进行通信。

    默认情况下,将使用在部署实例的 VNet 上配置的 DNS 服务器。

    DNS 地址中指定地址时,除了 VNet 配置中的 DNS 服务器信息之外,部署的 Unified Access Gateway 实例还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析网络路由,例如用于与双因素身份验证服务器进行通信的网络路由。

    在将此容器配置为对内部部署的身份验证服务器使用双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该服务器的正确路由。例如,如果内部部署的身份验证服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此 Horizon Cloud on Microsoft Azure 部署的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    继承容器 NTP 服务器 默认情况下,将启用此选项开关,以使 Unified Access Gateway 实例使用为容器管理器实例指定的相同 NTP 服务器。强烈建议将此选项开关保持启用状态。

    最佳做法是对容器管理器实例、Unified Access Gateway 实例和 Active Directory 服务器使用相同的 NTP 服务器。当这些实例使用不同的 NTP 服务器时,可能会导致时间偏移。稍后当网关尝试对其桌面和应用程序的最终用户会话进行身份验证时,此类时间偏移可能会导致失败。

    如果启用了该选项开关,并且您要将外部网关部署到其自己的 VNet 中(而非容器的 VNet),请确保可以从为外部网关部署选择的虚拟网络中访问为容器管理器实例指定的 NTP 服务器。

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    重要说明: 在当前服务版本中,在订阅中部署网关配置后,不能轻易更改已部署实例使用的虚拟机型号。要在部署后更改虚拟机型号,需要删除网关配置并重新部署。如果预计您的环境将扩展到每个容器 2,000 个会话,请选择 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服务限制中所述, A4_v2 虚拟机型号仅足够满足概念证明 (PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。
    Blast Extreme TCP 端口 选择要在 Unified Access Gateway 配置内的 Blast Extreme TCP 设置中使用的 TCP 端口。该设置与通过 Unified Access Gateway 上的 Blast 安全网关传输由客户端发送的数据流量的 Blast Extreme 相关。端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。由于这些原因,向导将 8443 作为默认值。另一个选项 443 在实例中的效率较低,性能较差,并且会导致 CPU 拥堵,从而导致最终用户客户端中出现明显的流量延迟。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站)的情况下,才会使用选项 443。
    注: 用于 Blast Extreme 的 UDP 端口不受此设置影响,始终为 UDP 8443。
    密码套件 尽管几乎在所有情况下都不需要更改默认设置,但 Unified Access Gateway 提供此功能是为了可以选择指定用于加密客户端与 Unified Access Gateway 设备之间通信的加密算法。

    必须从屏幕上的列表中选择至少一个密码套件。屏幕上的列表显示了允许 Horizon Cloud on Microsoft Azure 部署使用的密码套件。

    指定此网关的 Microsoft 负载均衡器的设置。

    选项 说明
    启用公共 IP 地址? 控制此网关的负载均衡类型是配置为“专用”还是“公共”。如果打开了此开关,则会为已部署的 Microsoft Azure 负载均衡器资源配置一个公共 IP 地址。如果关闭了此开关,则会为 Microsoft Azure 负载均衡器资源配置一个专用 IP 地址。
    重要说明: 在此版本中,您之后再无法将外部网关的负载均衡类型从“公共”更改为“专用”,或者从“专用”更改为“公共”。执行此更改的唯一方法是从已部署的容器中完全删除该网关配置,然后编辑该容器以使用相反设置重新添加该网关配置。

    如果关闭此选项开关,则会显示 Horizon FQDN 的公共 IP 字段。

    Horizon FQDN 的公共 IP 如果选择不为部署的 Microsoft Azure 负载均衡器配置公共 IP,则必须提供要为其分配在 FQDN 字段中指定的 FQDN 的 IP 地址。最终用户的 Horizon Client 将使用此 FQDN 与网关建立 PCoIP 连接。部署程序将在 Unified Access Gateway 配置设置中配置此 IP 地址。

    指定外部网关的网络设置。

    选项 说明
    使用其他虚拟网络 此选项开关可控制是否要将外部网关部署到其自已的 VNet,与容器的 VNet 分离。

    以下各行内容描述了不同的情况。

    注: 如果在向导的第一步中指定对外部网关使用不同的订阅,则默认情况下将启用此选项开关。在这种情况下,您必须为网关选择一个 VNet。

    当打开此选项开关,同时打开继承容器 NTP 服务器选项开关时,请确保可以从为外部网关部署选择的虚拟网络中访问为容器管理器实例指定的 NTP 服务器。

    使用其他虚拟网络 - 已关闭 关闭此选项开关后,外部网关将部署到容器的 VNet 中。在这种情况下,您必须指定 DMZ 子网。
    • DMZ 子网 - 如果在“容器设置”向导步骤中启用了使用现有子网,则 DMZ 子网将列出在为虚拟网络选择的 VNet 上可用的子网。选择要作为容器的 DMZ 子网的现有子网。
      重要说明: 选择一个空子网,即,没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。
    • DMZ 子网 (CIDR) - 如果在前面的向导步骤中已关闭使用现有子网,请输入要配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器的 DMZ(隔离区)网络的子网(采用 CIDR 表示法)。
    使用其他虚拟网络 - 已启用 启用此选项开关后,外部网关将部署到其自己的 VNet 中。在这种情况下,您必须选择要使用的 VNet,然后指定所需的三个子网。启用使用现有子网选项开关可从预先在指定 VNet 上创建的子网中进行选择。否则,以 CIDR 表示法指定子网。
    重要说明: 选择空子网,即没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。

    在这种情况下,网关的 VNet 和容器 的 VNet 将彼此对等。此时,最佳做法是提前创建子网,而不是在此处使用 CIDR 条目。请参阅在使用外部 Unified Access Gateway 配置(使用其自身的 VNet 或订阅,不同于容器的 VNet 或订阅)部署时的必备条件

    • 管理子网 - 指定要用作网关管理子网的子网。需要一个至少为 /27 的 CIDR。此子网必须将 Microsoft.SQL 服务配置为服务端点。
    • 后端子网 - 指定要用作网关后端子网的子网。需要一个至少为 /27 的 CIDR。
    • 前端子网 - 指定要用作前端子网的子网,会将该子网配置为将 Unified Access Gateway 实例连接到网关的 Microsoft Azure 公共负载均衡器。
  2. (可选) 外部网关部分中,(可选)为外部网关配置双因素身份验证。
  3. (可选) 部署部分中,使用选项开关选择一个现有资源组(可选),在该资源组中,您希望部署程序为外部网关配置部署资源。
    如果您在向导的第一步中指定将不同的订阅用于外部网关,将显示该选项开关。如果启用该选项开关,则会显示一个字段,您可以在其中搜索和选择资源组。
  4. 内部网关部分中,如果要使用内部网关配置,请打开是否启用内部网关? 选项开关,并填写所显示的字段。
    选项 说明
    是否启用内部网关? 控制容器是否使用内部网关配置。利用此内部配置,企业网络内部的用户可通过 HTML Access (Blast) 连接对桌面和应用程序进行受信任的访问。容器包括一个 Azure 负载均衡器资源和若干个 Unified Access Gateway 实例来提供此访问权限。默认情况下,此网关的负载均衡类型为“专用”。已为负载均衡器配置了专用 IP 地址。
    FQDN 输入所需的完全限定域名 (Fully Qualified Domain Name, FQDN),例如 ourOrg.example.com,您的最终用户将使用它来访问该服务。您必须拥有该域名,并具有可验证该 FQDN 且格式为 PEM 的证书。
    重要说明: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
    DNS 地址 (可选)输入 Unified Access Gateway 可用于名称解析的其他 DNS 服务器的地址(以逗号分隔)。

    在将此内部 Unified Access Gateway 配置设置为对双因素身份验证服务器使用双因素身份验证时,如果该服务器位于部署 Unified Access Gateway 实例的 VNet 拓扑外部,则您将需要指定可解析该身份验证服务器主机名的 DNS 服务器地址。例如,如果双因素身份验证位于内部部署的服务器上,请输入可解析该身份验证服务器名称的 DNS 服务器。

    部署必备条件中所述,用于 Horizon Cloud on Microsoft Azure 部署的 VNet 拓扑必须能够与要在部署 Unified Access Gateway 实例期间提供外部名称解析以及执行日常操作的 DNS 服务器进行通信。

    默认情况下,将使用在部署实例的 VNet 上配置的 DNS 服务器。

    DNS 地址中指定地址时,除了 VNet 配置中的 DNS 服务器信息之外,部署的 Unified Access Gateway 实例还会使用这些地址。

    路由 (可选)指定您希望部署的 Unified Access Gateway 实例用来为最终用户访问解析网络路由的其他网关的自定义路由。指定的路由用于允许 Unified Access Gateway 解析网络路由,例如用于与双因素身份验证服务器进行通信的网络路由。

    在将此容器配置为对内部部署的身份验证服务器使用双因素身份验证时,您必须输入 Unified Access Gateway 实例可用来访问该服务器的正确路由。例如,如果内部部署的身份验证服务器使用 10.10.60.20 作为其 IP 地址,则您将需要输入 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    继承容器 NTP 服务器 默认情况下,将启用此选项开关,以使 Unified Access Gateway 实例使用为容器管理器实例指定的相同 NTP 服务器。强烈建议将此选项开关保持启用状态。

    最佳做法是对容器管理器实例、Unified Access Gateway 实例和 Active Directory 服务器使用相同的 NTP 服务器。当这些实例使用不同的 NTP 服务器时,可能会导致时间偏移。稍后当网关尝试对其桌面和应用程序的最终用户会话进行身份验证时,此类时间偏移可能会导致失败。

    虚拟机模型 选择要用于 Unified Access Gateway 实例的模型。您必须确保为此容器指定的 Microsoft Azure 订阅可以为所选模型的两个虚拟机提供容量。
    重要说明: 在当前服务版本中,在订阅中部署网关配置后,不能轻易更改已部署实例使用的虚拟机型号。要在部署后更改虚拟机型号,需要删除网关配置并重新部署。如果预计您的环境将扩展到每个容器 2,000 个会话,请选择 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服务限制中所述, A4_v2 虚拟机型号仅足够满足概念证明 (PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
    证书 上载 PEM 格式的证书,Unified Access Gateway 将使用该证书允许客户端信任与在 Microsoft Azure 中运行的 Unified Access Gateway 实例的连接。证书必须基于您输入的 FQDN,并由受信任的 CA 签名。PEM 文件必须包含整个证书链和私钥:SSL 证书中间证书、根 CA 证书和私钥。
    Blast Extreme TCP 端口 选择要在 Unified Access Gateway 配置内的 Blast Extreme TCP 设置中使用的 TCP 端口。该设置与通过 Unified Access Gateway 上的 Blast 安全网关传输由客户端发送的数据流量的 Blast Extreme 相关。端口 8443 是首选端口,因为它对于 Unified Access Gateway 实例的效率更高,性能更佳,且占用资源更少。由于这些原因,向导将 8443 作为默认值。另一个选项 443 在实例中的效率较低,性能较差,并且会导致 CPU 拥堵,从而导致最终用户客户端中出现明显的流量延迟。仅当贵组织设置了客户端限制(例如,贵组织仅允许 443 出站)的情况下,才会使用选项 443。
    注: 用于 Blast Extreme 的 UDP 端口不受此设置影响,始终为 UDP 8443。
    密码套件 尽管几乎在所有情况下默认设置已足够满足需求,但 Unified Access Gateway 提供此功能是为了指定用于加密客户端与 Unified Access Gateway 设备之间通信的加密算法。

    必须从屏幕上的列表中选择至少一个密码套件。屏幕上的列表显示了允许 Horizon Cloud on Microsoft Azure 部署使用的密码套件。

  5. (可选) 内部网关部分中,(可选)为内部 Unified Access Gateway 配置双因素身份验证。
  6. (可选) Azure 资源标记部分中,可以选择性地将自定义标记添加到包含为容器配置的所有内部和外部 Unified Access Gateway 实例的资源组。
    选项 说明
    继承容器标记

    打开此选项开关可将容器的资源标记添加到包含所有已配置 Unified Access Gateway 实例的资源组中。每个资源组都会收到您在“容器设置”向导步骤中定义的资源标记。

    关闭此选项开关可为 Unified Access Gateway 实例定义新的资源标记。

    Azure 资源标记

    关闭继承容器标记选项开关后,将会显示此设置。使用此设置可将新的资源标记添加到到包含已配置 Unified Access Gateway 实例的资源组中。

    要创建第一个标记,请在“名称”和“值”字段中输入相关信息。要创建其他标记,请单击 +,然后在现有“名称”和“值”字段下面显示的对应字段中输入相关信息。

    • 您最多可以创建 10 个标记。
    • 标记名称仅限于 512 个字符,标记值仅限于 256 个字符。对于存储帐户,标记名称仅限于 128 个字符,标记值仅限于 256 个字符。
    • 标记名称不能包含以下字符:< > % & \ ? /
    • 标记名称中不能包含以下不区分大小写的字符串:azurewindowsmicrosoft
    • 标记名称和标记值只能包含 ASCII 字符。不允许使用标准 128 个字符的 ASCII 集(也称为高 ASCII 或扩展 ASCII 字符)以外的空格和字符。

结果

在提供与所选的选项关联的所需信息后,您可以单击 验证并继续以继续执行向导的最后一步。 完成第一代租户 - Microsoft Azure 上的 Horizon Cloud 容器 - 使用第一代 Horizon Universal Console 的“容量”页面将更多容器添加到您的容器群中中的最后几个步骤。