本主题介绍了 Horizon Cloud 租户的代理转换过程以及执行转换可获得的好处。了解单容器代理与 Universal Broker 环境之间的区别,以及在代理转换之前、期间以及之后预期会执行的操作。
什么是代理转换过程?
完成代理转换后,您的 Horizon Cloud 租户环境将从使用单容器代理更改为使用 Universal Broker 来代理最终用户分配中的资源。作为新的租户范围内代理,Universal Broker 将管理用户的连接请求,并将其路由到所请求的分配中的最佳可用资源。
代理转换过程会对最终用户分配进行以下更改。
- VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。多云分配可以包含来自多个容器的 VDI 桌面。
- 基于会话的桌面和应用程序分配保持不变。基于会话的桌面或应用程序分配只能包含来自单个容器的资源,但该分配现在由 Universal Broker 代理。
如果您的环境当前使用单容器代理并满足 Horizon Cloud - 转换到 Universal Broker 的系统要求中所述的必备条件,那么可以使用转换功能。
为什么要转换到 Universal Broker?
在转换为使用 Universal Broker(VMware 最新推出的基于云的代理技术)时,您将获得以下主要好处。
- 具有来自多个容器的 VDI 桌面的最终用户分配
-
如果使用单容器代理,那么 VDI 分配中的所有桌面都必须来自同一个容器。桌面代理是按容器完成的。
如果使用 Universal Broker,您可以通过多个容器创建 VDI 桌面分配(也称为多云分配)。最终用户可以访问分配,并接收来自该分配中任意容器的桌面。有关更多信息,请参阅VMware Horizon Service Universal Broker 简介以及其子主题。
您还可以像以前一样继续使用基于会话的桌面和应用程序分配。不同之处在于,将由 Universal Broker(而非单容器代理)来代理这些分配中基于会话的桌面和应用程序。
- 用于所有远程资源的单个连接 FQDN
-
如果使用单容器代理,那么最终用户必须分别连接到每个容器的完全限定域名 (FQDN),才能访问该容器中的分配。代理是按容器完成的。
如果使用 Universal Broker,用户只需连接到您在 Universal Broker 配置设定中定义的一个 FQDN 即可访问所有分配。通过单个 FQDN,用户可以从您环境中的任何站点访问所有参与容器(包括 Microsoft Azure 中的 Horizon Cloud 容器以及基于 SDDC 的 VMware 平台上的 Horizon 容器)中的分配。容器之间不需要内部网络连接。
- 通过全局容器连接和感知可获得最佳的性能
- Universal Broker可与参与多云分配的每个容器保持直接连接,并感知每个容器的可用性状态。因此, Universal Broker 可以管理最终用户的连接请求,并将其直接从这些容器路由到虚拟资源。无需全局服务器负载均衡 (Global Server Load Balancing, GSLB) 或可能会导致性能下降和延迟问题的任何容器间网络通信。
- 智能代理
- Universal Broker 根据对地理站点和容器拓扑的感知能力,可以通过最短网络路径来代理最终用户分配中的资源。
是否存在不进行转换的理由?
此版本的 Universal Broker 存在一些功能限制。如果您的用例需要使用一项不受 Universal Broker 支持的功能,则应该考虑使租户环境保持使用单容器代理,直到 Universal Broker 支持该功能为止。有关当前的 Universal Broker 限制列表,请参阅 Universal Broker - 功能注意事项和已知限制。
在代理转换过程中会发生什么?
转换工作流包含多个阶段。有关执行转换的详细分步说明,请参阅 安排并完成从单容器代理到 Universal Broker 的转换。
下面是转换前和转换期间所发生过程的高级概述。
- 要启动该工作流,必须先安排转换日期和时间。除了此安排任务外,您还可以定义在转换期间设置 Universal Broker 服务时要使用的配置选项。
- 在安排的开始时间至少 15 分钟之前,在控制台中完成所有正在进行的操作,并保存您要保留的任何更改。关闭所有配置向导和对话框。另外,请确保 Microsoft Azure 中的所有容器都已联机并处于正常就绪状态。
- 当转换即将开始时,系统会提示您从控制台中注销并重新登录。
- 在转换的第一个阶段,您可能会遇到以下情况:
- 您无法访问控制台的任何编辑控件,并且控制台会显示横幅来指示正在进行转换。
- Microsoft Azure 中的所有容器都已添加到名为 Default-Site 的站点。
- VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。在默认分配设置中,将连接关联性设置为最近的站点,将范围设置为在站点内。
- 基于会话的桌面和应用程序分配保持不变。转换后,Universal Broker 将代理这些分配中的资源。
- 所有分配仍可供最终用户使用,并且所有活动用户会话在此期间保持打开状态并完全正常运行。
注: 此转换阶段通常需要大约 10 分钟,但如果您的租户环境包含大量分配,则可能需要长达一小时。转换的这一阶段完成后,系统会提示您从控制台中注销并重新登录。
- 在转换的第二阶段,Universal Broker 服务将完成其设置过程并完全启用。您可以在控制台中访问除创建和编辑分配以外的所有其他编辑操作。
注: 通常需要长达 30 分钟才能完成此转换阶段。但是,根据您的系统和网络状况以及您环境中的分配和专用“用户到桌面”映射的总数,此阶段可能需要几个小时才能完成。
完成此转换阶段后,启用状态。
页面将以绿点显示此时,整个代理转换过程已完成。
代理转换后预期会执行哪些操作?
有关代理转换后对租户环境所做更改的详细列表,请参阅在转换到 Universal Broker 后租户环境中的新增内容。
在完成转换后,您就可以开始利用 Universal Broker 环境提供的优势。下面简要列出了后续操作以及指向详细页面的链接。
- 修改站点和多云 VDI 分配设置,以便充分利用 Universal Broker 功能。例如,您可以将更多容器添加到现有分配,或者调整站点设置以优化 Universal Broker 向用户分配资源的方式。有关详细信息,请参阅在 Universal Broker 环境中创建和管理分配和在 Universal Broker环境中使用站点。
- 如果您在 Horizon Cloud 租户与 Workspace ONE Access 之间已有集成,则必须更新该集成以便能够使用 Universal Broker。有关完整说明,请参阅使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成。
注: 经 VMware Workspace ONE Access 产品团队确认,在将 Universal Broker 与 Horizon Cloud on Microsoft Azure 部署结合使用时,该配置不支持 VMware Workspace ONE Access 产品的虚拟应用程序集合功能。这是因为, Universal Broker 是比旧式单容器代理更先进的代理技术,这意味着 Universal Broker 与 Workspace ONE Access 的集成将不再需要对 Horizon Cloud on Microsoft Azure 部署使用旧版单容器虚拟应用程序集合。因此, Universal Broker 根本没有对 Horizon Cloud on Microsoft Azure 部署使用虚拟应用程序集合的概念,从而导致不支持将虚拟应用程序集合用于 Universal Broker 和 Horizon Cloud on Microsoft Azure 配置。
如果为 Horizon Cloud on Microsoft Azure 部署配置了 Universal Broker,并且您计划将 Workspace ONE Access 和 Intelligent Hub 服务与这些 Horizon Cloud on Microsoft Azure 部署结合使用,则在控制台清理操作包含的集成过程中,您需要清理这些部署可能具有的任何现有虚拟应用程序集合。完成清理活动后,相同的应用程序将通过使用集成的 Universal Broker 以及 Workspace ONE Access 和 Intelligent Hub 服务的先进功能,继续在 Workspace ONE Access 和 Intelligent Hub 服务中运行。
Horizon Cloud - 转换到 Universal Broker 的系统要求
本文介绍了在您安排并完成租户从使用单容器代理到使用 Universal Broker 的转换之前,您的 Horizon Cloud 租户环境必须满足的要求。它还会指导您完成规划和准备步骤,以支持 Universal Broker 的新连接 FQDN。
为支持转换过程以及转换后由 Universal Broker 代理的多云分配正在执行的操作,请验证您的租户环境是否满足以下要求。
- 除非您的 Horizon Cloud 容器满足租户环境中最小容器清单和启用 RSA SecurID 选项的条件,否则这些容器仅支持 RADIUS 身份验证。(有关更多信息,请参阅在 Universal Broker 环境中实施双因素身份验证时的最佳做法。)
- 当 Horizon Cloud 容器不符合在其外部网关上配置 RSA SecurID 的条件时,如果您想要对容器群中的所有容器(Horizon 容器和 Horizon Cloud 容器)使用双因素身份验证,则每个容器必须具有一个外部 Unified Access Gateway 并在该网关上配置 RADIUS 双因素身份验证。
Horizon Cloud 容器的要求
确认 Microsoft Azure 中的 Horizon Cloud 容器满足以下要求。
- 您的租户至少有一个 Horizon Cloud 容器。Horizon Cloud 容器基于 Microsoft Azure 中运行的容器管理器技术。
- 您租户的所有 Horizon Cloud 容器均运行容器清单 2298.0 或更高版本。以下附加要求也适用于特定用例。
- 如果您的 Horizon Cloud 租户已经与 Workspace ONE Access 进行了集成,则您的所有容器都必须运行清单 2474.0 或更高版本。完成代理转换后,您必须更新集成以便能够使用 Universal Broker,如使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成中所述。
- 如果要在代理转换后使用任务取消功能或删除保护功能,则您的所有 Horizon Cloud 容器都必须运行清单 2474.0 或更高版本。如果容器运行的清单版本低于 2474.0,则不支持这些功能。
重要说明: 确保所有 Horizon Cloud 容器都已联机且处于正常准备就绪状态。 Universal Broker 服务必须能够与这些容器通信并在容器上执行一些配置步骤,才能完成此转换过程。如果其中任何容器脱机或不可用,则无法安排转换。如果安排了转换,但有容器稍后在转换过程中脱机或变得不可用,那么 Universal Broker 设置将失败。 - 未安排在转换的同时进行容器升级。
- 通过从容器配置向导的菜单选项中选择一个有效位置来配置容器位置。如果通过手动在文本字段中键入位置来配置容器位置,则转换将失败。
注: 对于在 2019 年 3 月(服务版本 1.9)之前最初部署的容器,可能会出现这种涉及手动键入位置的问题。从 2019 年 3 月版本开始,必须通过菜单从系统的世界城市名称数据库的值中选择位置。
要降低由于容器的配置位置而导致转换失败的可能性,请导航到控制台的“容量”页面,然后检查每个 Horizon Cloud 容器的“位置”列的值。如果“位置”列的值看起来可能是手动键入的名称,请使用容器上的编辑操作,转到容器详细信息步骤,然后编辑位置字段以将其值设置为系统的某个城市名称值。
- 在转换工作流期间,如果您的租户尚未从容器群中的任何 Horizon 容器配置 Universal Broker 设置,则控制台将提示您配置 Universal Broker 设置。当您计划在 Universal Broker 设置中配置双因素身份验证设置时,每个容器必须具有一个外部 Unified Access Gateway 实例,并且必须为该实例配置相应的双因素身份验证类型。(有关背景信息,请参阅在 Universal Broker 环境中实施双因素身份验证时的最佳做法。)
这些要求取决于您的 Horizon Cloud 容器是否满足在其外部网关上配置 RSA SecurID 类型的条件:
- 如果您的 Horizon Cloud 容器满足租户环境中最低容器清单和启用 RSA SecurID 选项的条件,则需要将所有容器中的所有外部 Unified Access Gateway 实例配置为使用相同的身份验证服务。这包括处于受管状态的所有租户 Horizon 容器。最终的结果是让所有实例都使用一致的身份验证类型:全部使用 RADIUS,或全部使用 RSA SecurID。
- 当 Horizon Cloud 容器不符合在其外部网关上配置 RSA SecurID 的条件时,如果您想要对容器群中的所有容器(Horizon 容器和 Horizon Cloud 容器)使用双因素身份验证,则必须将所有容器中的所有外部 Unified Access Gateway 实例配置为使用相同的 RADIUS 身份验证服务。这包括处于受管状态的所有租户 Horizon 容器。
可支持 Universal Broker 的 DNS、端口和协议要求
验证以下要求。
- 每个容器都进行了配置,从而使区域 Universal Broker 实例所需的 DNS 名称都可解析且可访问。请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求中的“容器部署和操作 DNS 要求”表。
- 每个容器都配置了所需的端口和协议,如清单版本为 2019 年 9 月版或更高版本的 Horizon Cloud 容器的端口和协议要求的“Universal Broker 所需的端口和协议”部分中所述。
可支持 Universal Broker 的 FQDN 要求
如果使用单容器代理,那么最终用户需分别连接到每个容器的完全限定域名 (FQDN),才能访问该容器中的分配。
在转换到 Universal Broker 后,用户可以通过连接到 Universal Broker 云服务的一个 FQDN 来访问您环境中任何站点上任何容器中的任何分配。Universal Broker 会将每个用户请求路由到最适合处理该请求的容器的单个 FQDN。
您可以在 Universal Broker 配置设置中指定 Universal Broker FQDN,如安排并完成从单容器代理到 Universal Broker 的转换中所述。您可以通过将有效子域添加到 VMware 提供的标准域之前来创建 FQDN,也可以配置完全自定义的 FQDN。
规划和准备代理转换
由于代理转换涉及对网络和分配工作流的关键更改,因此请确保采取必要的措施来使环境和用户为新工作流做好准备。请参阅以下规划指南,以根据您的转换用例执行适当的准备和变更管理步骤。
转换用例 | 规划和准备步骤 |
---|---|
您的环境包含一个容器,您希望将该容器的现有 FQDN 用作 Universal Broker FQDN |
|
您的环境包含多个容器,并且您希望将新的 FQDN 配置为 Universal Broker FQDN |
|
安排并完成从单容器代理到 Universal Broker 的转换
本主题将指导您安排、准备和完成到 Universal Broker 的转换。请参阅以下过程,以了解如何设置 Universal Broker 服务,定义转换的开始日期和时间,以及顺利浏览该过程的各个阶段以便成功转换。
当准备好进行代理转换时,Horizon Universal Console 顶部将显示带有安排按钮的通知横幅。
前提条件
过程
下一步做什么
- 如果您在 Horizon Cloud 租户与 Workspace ONE Access 之间已有集成,则必须更新该集成以便能够使用 Universal Broker。有关完整说明,请参阅使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成。
- 修改站点和多云 VDI 分配设置,以便充分利用 Universal Broker 功能。例如,您可以将更多容器添加到现有分配,或者调整站点设置以优化 Universal Broker 代理分配的方式。有关详细信息,请参阅 在 Horizon Cloud 租户环境中创建和管理多云分配以及使用 Universal Broker 环境中的站点。
在转换到 Universal Broker 后租户环境中的新增内容
本文描述了在成功完成从单容器代理到 Universal Broker 的转换后,您在 Horizon Cloud 租户环境中预期会看到的更改。这些更改包括一些新功能行为和一些功能限制。
有关 Universal Broker 环境中某些功能限制的详细信息,请参阅 Universal Broker - 功能注意事项和已知限制。
对最终用户分配的更改
- Microsoft Azure 中的所有容器都已添加到名为 Default-Site 的站点。
- VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。在默认分配设置中,将连接关联性设置为最近的站点,将范围设置为在站点内。
注: 一个特定用户最多可以从 Universal Broker 代理的专用分配接收一个已分配的桌面,即使该分配包括多个容器中的桌面也是如此。重要说明: 如果用户以前在单容器代理环境中通过专用分配收到了多个已分配桌面,则在转换到 Universal Broker 环境后将无法访问这些桌面。要访问已分配的桌面,用户可以直接连接到容器的 FQDN,而不是使用 Universal Broker FQDN。
- 基于会话的桌面和应用程序分配现在由 Universal Broker 代理。
对具有相同名称的桌面池的更改
如果在代理转换之前容器内的任何桌面池具有相同的名称,那么需要将这些桌面池编辑为具有不同的名称。此更改可确保您可以将不同容器中唯一命名的桌面池添加到由 Universal Broker 代理的单一分配中。
例如,假设您在代理转换之前具有以下场景:
- Pod1 包含一个名为 TestPoolName 的池。
- Pod2 包含一个名为 TestPoolName 的池。
例如,转换后,池名称将进行以下更改:
- 在 Pod1 中,池名称保留 TestPoolName。
- 在 Pod2 中,池将重命名为 TestPoolName1。
对虚拟机名称前缀的更改
在转换前的单容器代理环境中,池的虚拟机名称前缀最多可以包含 11 个可自定义字符。要形成池名称,会在包含 11 个字符的前缀后面附加一个序列号(最多 4 位数字)。
转换为 Universal Broker 后,虚拟机名称前缀最多可以包含 9 个可自定义字符。转换后,先前超过 9 个字符的任何虚拟机名称前缀都会被自动截断。
要在 Universal Broker 环境中形成池名称,请在包含 9 个字符的前缀后面附加以下字符:两个随机字母数字或字母字符,后跟一个序列号(最多 4 位数字)。
如果多个分配使用相同的虚拟机名称前缀,那么在尝试编辑其中一个分配时可能会遇到错误。要解决此错误,请在“编辑”向导中更改该分配的虚拟机名称前缀。
转换后的功能注意事项
以下注意事项适用于转换到 Universal Broker 后的某些功能。
- 不支持自定义分配(也称为 URL 重定向分配)。
- 如果容器运行的清单版本低于清单 2474.0,则不支持任务取消功能。要使用此功能,您必须将容器升级到清单 2474.0 或更高版本。
- 如果 Horizon Cloud on Microsoft Azure 部署在转换前已有与 Workspace ONE Access 的集成,则必须将该集成更新为转换后状态以适应 Universal Broker 的使用。有关完整说明,请参阅使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成。
请注意,在更新该集成时,您需要使用 Horizon Universal Console 清理工作流来清理这些部署可能具有的任何现有虚拟应用程序集合。清理工作流将通过使用集成的 Universal Broker 以及 Workspace ONE Access 和 Intelligent Hub 服务的先进功能,而不是旧版单容器虚拟应用程序集合功能,继续在 Workspace ONE Access 和 Intelligent Hub 服务中运行相同的应用程序。经 VMware Workspace ONE Access 产品团队确认,在将 Universal Broker 与 Horizon Cloud on Microsoft Azure 部署结合使用时,该配置不支持 VMware Workspace ONE Access 产品的虚拟应用程序集合功能。这是因为,Universal Broker 是比旧式单容器代理更先进的代理技术,这意味着 Universal Broker 与 Workspace ONE Access 的集成将不再需要使用旧版单容器虚拟应用程序集合。因此,Universal Broker 根本没有对 Horizon Cloud on Microsoft Azure 部署使用虚拟应用程序集合的概念。
例如,如果容器运行的清单版本低于清单 2474.0,并且在转换前启用了删除保护功能,那么此功能在转换后将无法正常运行。如果随后将容器升级到清单 2474.0 或更高版本,那么删除保护功能可再次正常运行。