本主题介绍了 Horizon Cloud 租户的代理转换过程以及执行转换可获得的好处。了解单容器代理与 Universal Broker 环境之间的区别,以及在代理转换之前、期间以及之后预期会执行的操作。

什么是代理转换过程?

完成代理转换后,您的 Horizon Cloud 租户环境将从使用单容器代理更改为使用 Universal Broker 来代理最终用户分配中的资源。作为新的租户范围内代理,Universal Broker 将管理用户的连接请求,并将其路由到所请求的分配中的最佳可用资源。

代理转换过程会对最终用户分配进行以下更改。

  • VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。多云分配可以包含来自多个容器的 VDI 桌面。
  • 基于会话的桌面和应用程序分配保持不变。基于会话的桌面或应用程序分配只能包含来自单个容器的资源,但该分配现在由 Universal Broker 代理。

如果您的环境当前使用单容器代理并满足 Horizon Cloud - 转换到 Universal Broker 的系统要求中所述的必备条件,那么可以使用转换功能。

为什么要转换到 Universal Broker

在转换为使用 Universal Broker(VMware 最新推出的基于云的代理技术)时,您将获得以下主要好处。

具有来自多个容器的 VDI 桌面的最终用户分配
如果使用单容器代理,那么 VDI 分配中的所有桌面都必须来自同一个容器。桌面代理是按容器完成的。

如果使用 Universal Broker,您可以通过多个容器创建 VDI 桌面分配(也称为多云分配)。最终用户可以访问分配,并接收来自该分配中任意容器的桌面。有关更多信息,请参阅VMware Horizon Service Universal Broker 简介以及其子主题。

您还可以像以前一样继续使用基于会话的桌面和应用程序分配。不同之处在于,将由 Universal Broker(而非单容器代理)来代理这些分配中基于会话的桌面和应用程序。

用于所有远程资源的单个连接 FQDN
如果使用单容器代理,那么最终用户必须分别连接到每个容器的完全限定域名 (FQDN),才能访问该容器中的分配。代理是按容器完成的。

如果使用 Universal Broker,用户只需连接到您在 Universal Broker 配置设定中定义的一个 FQDN 即可访问所有分配。通过单个 FQDN,用户可以从您环境中的任何站点访问所有参与容器(包括 Microsoft Azure 中的 Horizon Cloud 容器以及基于 SDDC 的 VMware 平台上的 Horizon 容器)中的分配。容器之间不需要内部网络连接。


Universal Broker 的单个 FQDN 连接示意图
通过全局容器连接和感知可获得最佳的性能
Universal Broker可与参与多云分配的每个容器保持直接连接,并感知每个容器的可用性状态。因此, Universal Broker 可以管理最终用户的连接请求,并将其直接从这些容器路由到虚拟资源。无需全局服务器负载均衡 (Global Server Load Balancing, GSLB) 或可能会导致性能下降和延迟问题的任何容器间网络通信。
智能代理
Universal Broker 根据对地理站点和容器拓扑的感知能力,可以通过最短网络路径来代理最终用户分配中的资源。

是否存在不进行转换的理由?

此版本的 Universal Broker 存在一些功能限制。如果您的用例需要使用一项不受 Universal Broker 支持的功能,则应该考虑使租户环境保持使用单容器代理,直到 Universal Broker 支持该功能为止。有关当前的 Universal Broker 限制列表,请参阅 Universal Broker - 功能注意事项和已知限制

在代理转换过程中会发生什么?

转换工作流包含多个阶段。有关执行转换的详细分步说明,请参阅 安排并完成从单容器代理到 Universal Broker 的转换

下面是转换前和转换期间所发生过程的高级概述。

  1. 要启动该工作流,必须先安排转换日期和时间。除了此安排任务外,您还可以定义在转换期间设置 Universal Broker 服务时要使用的配置选项。
  2. 在安排的开始时间至少 15 分钟之前,在控制台中完成所有正在进行的操作,并保存您要保留的任何更改。关闭所有配置向导和对话框。另外,请确保 Microsoft Azure 中的所有容器都已联机并处于正常就绪状态。
  3. 当转换即将开始时,系统会提示您从控制台中注销并重新登录。
  4. 在转换的第一个阶段,您可能会遇到以下情况:
    • 您无法访问控制台的任何编辑控件,并且控制台会显示横幅来指示正在进行转换。
    • Microsoft Azure 中的所有容器都已添加到名为 Default-Site 的站点。
    • VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。在默认分配设置中,将连接关联性设置为最近的站点,将范围设置为在站点内
    • 基于会话的桌面和应用程序分配保持不变。转换后,Universal Broker 将代理这些分配中的资源。
    • 所有分配仍可供最终用户使用,并且所有活动用户会话在此期间保持打开状态并完全正常运行。
    注: 此转换阶段通常需要大约 10 分钟,但如果您的租户环境包含大量分配,则可能需要长达一小时。

    转换的这一阶段完成后,系统会提示您从控制台中注销并重新登录。

  5. 在转换的第二阶段,Universal Broker 服务将完成其设置过程并完全启用。您可以在控制台中访问除创建和编辑分配以外的所有其他编辑操作。
    注: 通常需要长达 30 分钟才能完成此转换阶段。但是,根据您的系统和网络状况以及您环境中的分配和专用“用户到桌面”映射的总数,此阶段可能需要几个小时才能完成。

    完成此转换阶段后,设置 > 代理页面将以绿点显示启用状态。

    此时,整个代理转换过程已完成。

代理转换后预期会执行哪些操作?

有关代理转换后对租户环境所做更改的详细列表,请参阅在转换到 Universal Broker 后租户环境中的新增内容

在完成转换后,您就可以开始利用 Universal Broker 环境提供的优势。下面简要列出了后续操作以及指向详细页面的链接。

  • 修改站点和多云 VDI 分配设置,以便充分利用 Universal Broker 功能。例如,您可以将更多容器添加到现有分配,或者调整站点设置以优化 Universal Broker 向用户分配资源的方式。有关详细信息,请参阅在 Universal Broker 环境中创建和管理分配在 Universal Broker环境中使用站点
  • 如果您在 Horizon Cloud 租户与 Workspace ONE Access 之间已有集成,则必须更新该集成以便能够使用 Universal Broker。有关完整说明,请参阅使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成
    注:VMware Workspace ONE Access 产品团队确认,在将 Universal BrokerHorizon Cloud on Microsoft Azure 部署结合使用时,该配置不支持 VMware Workspace ONE Access 产品的虚拟应用程序集合功能。这是因为, Universal Broker 是比旧式单容器代理更先进的代理技术,这意味着 Universal BrokerWorkspace ONE Access 的集成将不再需要对 Horizon Cloud on Microsoft Azure 部署使用旧版单容器虚拟应用程序集合。因此, Universal Broker 根本没有对 Horizon Cloud on Microsoft Azure 部署使用虚拟应用程序集合的概念,从而导致不支持将虚拟应用程序集合用于 Universal BrokerHorizon Cloud on Microsoft Azure 配置。

    如果为 Horizon Cloud on Microsoft Azure 部署配置了 Universal Broker,并且您计划将 Workspace ONE Access 和 Intelligent Hub 服务与这些 Horizon Cloud on Microsoft Azure 部署结合使用,则在控制台清理操作包含的集成过程中,您需要清理这些部署可能具有的任何现有虚拟应用程序集合。完成清理活动后,相同的应用程序将通过使用集成的 Universal Broker 以及 Workspace ONE Access 和 Intelligent Hub 服务的先进功能,继续在 Workspace ONE Access 和 Intelligent Hub 服务中运行。

Horizon Cloud - 转换到 Universal Broker 的系统要求

本文介绍了在您安排并完成租户从使用单容器代理到使用 Universal Broker 的转换之前,您的 Horizon Cloud 租户环境必须满足的要求。它还会指导您完成规划和准备步骤,以支持 Universal Broker 的新连接 FQDN。

为支持转换过程以及转换后由 Universal Broker 代理的多云分配正在执行的操作,请验证您的租户环境是否满足以下要求。

小心: 如果您的租户容器群中同时包含已在使用 Universal BrokerHorizon 容器以及使用单容器代理的 Horizon Cloud 容器,则必须特别注意将已配置的 Universal Broker 设置中的双因素身份验证设置与 Horizon Cloud 容器匹配。
  • 除非您的 Horizon Cloud 容器满足租户环境中最小容器清单和启用 RSA SecurID 选项的条件,否则这些容器仅支持 RADIUS 身份验证。(有关更多信息,请参阅在 Universal Broker 环境中实施双因素身份验证时的最佳做法。)
  • Horizon Cloud 容器不符合在其外部网关上配置 RSA SecurID 的条件时,如果您想要对容器群中的所有容器(Horizon 容器和 Horizon Cloud 容器)使用双因素身份验证,则每个容器必须具有一个外部 Unified Access Gateway 并在该网关上配置 RADIUS 双因素身份验证。

Horizon Cloud 容器的要求

确认 Microsoft Azure 中的 Horizon Cloud 容器满足以下要求。

  • 您的租户至少有一个 Horizon Cloud 容器。Horizon Cloud 容器基于 Microsoft Azure 中运行的容器管理器技术。
  • 您租户的所有 Horizon Cloud 容器均运行容器清单 2298.0 或更高版本。以下附加要求也适用于特定用例。
    • 如果您的 Horizon Cloud 租户已经与 Workspace ONE Access 进行了集成,则您的所有容器都必须运行清单 2474.0 或更高版本。完成代理转换后,您必须更新集成以便能够使用 Universal Broker,如使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成中所述。
    • 如果要在代理转换后使用任务取消功能或删除保护功能,则您的所有 Horizon Cloud 容器都必须运行清单 2474.0 或更高版本。如果容器运行的清单版本低于 2474.0,则不支持这些功能。
    重要说明: 确保所有 Horizon Cloud 容器都已联机且处于正常准备就绪状态。 Universal Broker 服务必须能够与这些容器通信并在容器上执行一些配置步骤,才能完成此转换过程。如果其中任何容器脱机或不可用,则无法安排转换。如果安排了转换,但有容器稍后在转换过程中脱机或变得不可用,那么 Universal Broker 设置将失败。
  • 未安排在转换的同时进行容器升级。
  • 通过从容器配置向导的菜单选项中选择一个有效位置来配置容器位置。如果通过手动在文本字段中键入位置来配置容器位置,则转换将失败。
    注: 对于在 2019 年 3 月(服务版本 1.9)之前最初部署的容器,可能会出现这种涉及手动键入位置的问题。从 2019 年 3 月版本开始,必须通过菜单从系统的世界城市名称数据库的值中选择位置。

    要降低由于容器的配置位置而导致转换失败的可能性,请导航到控制台的“容量”页面,然后检查每个 Horizon Cloud 容器的“位置”列的值。如果“位置”列的值看起来可能是手动键入的名称,请使用容器上的编辑操作,转到容器详细信息步骤,然后编辑位置字段以将其值设置为系统的某个城市名称值。

  • 在转换工作流期间,如果您的租户尚未从容器群中的任何 Horizon 容器配置 Universal Broker 设置,则控制台将提示您配置 Universal Broker 设置。当您计划在 Universal Broker 设置中配置双因素身份验证设置时,每个容器必须具有一个外部 Unified Access Gateway 实例,并且必须为该实例配置相应的双因素身份验证类型。(有关背景信息,请参阅在 Universal Broker 环境中实施双因素身份验证时的最佳做法。)

    这些要求取决于您的 Horizon Cloud 容器是否满足在其外部网关上配置 RSA SecurID 类型的条件:

    • 如果您的 Horizon Cloud 容器满足租户环境中最低容器清单和启用 RSA SecurID 选项的条件,则需要将所有容器中的所有外部 Unified Access Gateway 实例配置为使用相同的身份验证服务。这包括处于受管状态的所有租户 Horizon 容器。最终的结果是让所有实例都使用一致的身份验证类型:全部使用 RADIUS,或全部使用 RSA SecurID。
    • Horizon Cloud 容器不符合在其外部网关上配置 RSA SecurID 的条件时,如果您想要对容器群中的所有容器(Horizon 容器和 Horizon Cloud 容器)使用双因素身份验证,则必须将所有容器中的所有外部 Unified Access Gateway 实例配置为使用相同的 RADIUS 身份验证服务。这包括处于受管状态的所有租户 Horizon 容器。
注: 如果容器仅包含内部 Unified Access Gateway 实例,那么 Universal Broker 将覆盖在“代理”页面的 网络范围选项卡上定义的网络策略,并将所有用户路由到该 Unified Access Gateway 实例,而不管其 IP 地址如何。

可支持 Universal Broker 的 DNS、端口和协议要求

验证以下要求。

可支持 Universal Broker 的 FQDN 要求

如果使用单容器代理,那么最终用户需分别连接到每个容器的完全限定域名 (FQDN),才能访问该容器中的分配。

在转换到 Universal Broker 后,用户可以通过连接到 Universal Broker 云服务的一个 FQDN 来访问您环境中任何站点上任何容器中的任何分配。Universal Broker 会将每个用户请求路由到最适合处理该请求的容器的单个 FQDN。

您可以在 Universal Broker 配置设置中指定 Universal Broker FQDN,如安排并完成从单容器代理到 Universal Broker 的转换中所述。您可以通过将有效子域添加到 VMware 提供的标准域之前来创建 FQDN,也可以配置完全自定义的 FQDN。

注: 如果您选择配置自定义 FQDN,请记住该 FQDN 代表您的公司或组织。确保您是自定义 FQDN 中指定的域名的所有者,可以提供用于验证该域的证书,并具有使用自定义 FQDN 的适当授权。 Universal Broker 的自定义 FQDN 必须是唯一的,并且与容器内所有 Unified Access Gateway 实例的 FQDN 不同。

规划和准备代理转换

由于代理转换涉及对网络和分配工作流的关键更改,因此请确保采取必要的措施来使环境和用户为新工作流做好准备。请参阅以下规划指南,以根据您的转换用例执行适当的准备和变更管理步骤。

转换用例 规划和准备步骤
您的环境包含一个容器,您希望将该容器的现有 FQDN 用作 Universal Broker FQDN
  1. 转换安排过程的配置阶段,将容器的现有 FQDN 指定为 Universal Broker 服务的自定义 FQDN。
  2. 安排转换日期和时间,尽可能缩短中断最终用户分配工作负载的时间。
  3. 通知最终用户,让他们为即将进行的转换做好准备。提醒他们保存工作,并在转换时间临近时注销活动的连接会话。
  4. 在转换前不久,为容器分配新的 IP 地址和 FQDN。
  5. 转换完成后,通知最终用户他们可以使用容器以前的 FQDN(现在为 Universal Broker FQDN)恢复其连接会话。
您的环境包含多个容器,并且您希望将新的 FQDN 配置为 Universal Broker FQDN
  1. 更新您的运行手册,在其中包含转换之前、期间和之后要遵循的必要过程。
  2. 转换安排过程的配置阶段,为 Universal Broker 服务配置新的 FQDN。
  3. 安排转换日期和时间,尽可能缩短中断最终用户分配工作负载的时间。根据容器部署的规模,留出足够的时间进行用户培训和重新配置客户端软件。
  4. 通知最终用户,让他们为即将进行的转换做好准备。提醒他们保存工作,并在转换时间临近时注销活动的连接会话。
  5. 在转换期间或转换后不久,在用户的客户端系统上重新配置 Horizon Client 以连接到新的 Universal Broker FQDN,而不是各个容器的 FQDN。
  6. 通知最终用户他们现在必须使用新的代理连接 FQDN,并因此可以对您环境中的所有容器进行通用访问。

安排并完成从单容器代理到 Universal Broker 的转换

本主题将指导您安排、准备和完成到 Universal Broker 的转换。请参阅以下过程,以了解如何设置 Universal Broker 服务,定义转换的开始日期和时间,以及顺利浏览该过程的各个阶段以便成功转换。

当准备好进行代理转换时,Horizon Universal Console 顶部将显示带有安排按钮的通知横幅。

注: 如果横幅显示了会阻止您安排转换的错误情况,则您可能不满足一个或多个必备转换条件。单击横幅中的 查看错误,然后单击 代理页面中 所需转换链接旁边的错误图标以查看错误情况的详细信息。必须执行必要的步骤来清除该错误情况,然后才能安排转换。

前提条件

确认您的租户环境满足 Horizon Cloud - 转换到 Universal Broker 的系统要求中列出的所有必备条件。

过程

  1. 单击代理转换的通知横幅中的安排

    可安排代理转换的通知横幅。
    该操作会将您重定向到“代理”页面。该页面会向您的租户指示当前已启用单容器代理,并提供一个用于安排代理转换的链接。

    转换前的“代理”页面。
  2. 代理页面中,单击安排链接。
    此时将显示 Universal Broker的配置向导。您必须完成此向导的步骤,才能为 Microsoft Azure 中的容器设置 Universal Broker,并安排到 Universal Broker 的转换。

    Universal Broker 配置向导
  3. 在向导的 FQDN 页面中,配置代理连接 FQDN 的设置。这些设置定义了最终用户访问由 Universal Broker 分配的资源时将使用的专用连接地址。
    注: 修改子域或 FQDN 设置时,可能需要一些时间才能使更改在所有 DNS 服务器中生效。
    1. 对于“类型”,请选择 VMware 提供自定义的完全限定域名 (FQDN)。
    2. 为选定的 FQDN 类型指定其他设置。
      • 如果选择了 VMware 提供类型,请指定如下设置。
        设置 描述
        Sub Domain 在网络配置中输入代表贵公司或组织的有效子域的唯一 DNS 名称。此子域将作为 VMware 提供的域的前缀,以构成代理 FQDN。
        注: 某些字符串被系统禁止使用或保留。此类字符串包括常规单词(如 book)、公司自有的公认术语(如 gmail),以及协议、代码和开放源码术语(如 phpsql)。此外,系统也不允许使用诸如 mail0mail1mail2 这一类模式的字符串。

        但是,当您在此字段中键入不允许的名称时,系统不会当时就验证输入的内容。只有当您到达该向导最后的“摘要”步骤时,系统才会验证您在此处键入的名称,如果您输入的名称与其中任意一个不允许使用的名称匹配,则会显示错误。如果发生这种情况,请在此处输入另外一个更加独特的名称。

        Brokering FQDN 此只读字段显示已配置的 FQDN。FQDN 采用 https://<your sub-domain>vmwarehorizon.com 格式。

        向您的最终用户提供此 FQDN,以允许他们使用 Horizon Client 连接到 Universal Broker 服务。

        Universal Broker管理此 FQDN 的 DNS 和 SSL 验证。
      • 如果选择了自定义类型,请指定如下设置。
        设置 描述
        Brokering FQDN 输入最终用户访问 Universal Broker 服务时将使用的自定义 FQDN。您的自定义 FQDN 可用作自动生成的 VMware 提供的 FQDN 的别名,后者用于完成与服务的连接。

        您必须是自定义 FQDN 中指定的域名的所有者,并提供可验证该域的证书。

        注: 您的自定义 FQDN(也称为连接 URL)代表您的公司或组织。请确保您具有使用此自定义 FQDN 的相应授权。
        注: 您的自定义 FQDN 必须是唯一的,并且与容器内所有 Unified Access Gateway 实例的 FQDN 不同。
        重要说明: 您必须在 DNS 服务器上创建一个 CNAME 记录,以将自定义 FQDN 映射到表示 Universal Broker服务内部连接地址的 VMware 提供的 FQDN。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com
        Certificate

        单击浏览并上载用于验证代理 FQDN 的证书(采用受密码保护的 PFX 格式)。证书必须满足以下所有条件:

        • 证书的有效期必须至少为 90 天
        • 该证书必须由受信任的 CA 签名
        • 证书的公用名 (Common Name, SN) 或其任何主体备用名称 (Subject Alternative Name, SAN) 必须与 FQDN 匹配
        • 证书的内容必须符合标准的 X.509 格式

        PFX 文件必须包含整个证书链和私钥:域证书、中间证书、根 CA 证书和私钥。

        Universal Broker服务可使用此证书与客户端建立可信连接会话。

        Password 输入 PFX 证书文件的密码。
        VMware Provided FQDN 此只读字段将显示为代理服务自动生成的 VMware 提供的 FQDN。FQDN 采用 https://<auto-generated string>.vmwarehorizon.com 格式。

        VMware 提供的 FQDN 对最终用户是不可见的,它表示 Universal Broker 服务的内部连接地址。您的自定义 FQDN 可用作 VMware 提供的 FQDN 的别名。

        重要说明: 您必须通过在 DNS 服务器上创建一个 CNAME 记录以将自定义 FQDN 映射到 VMware 提供的 FQDN,设置一个别名关联。例如,该记录可能会将 vdi.examplecompany.com 映射到 <auto-generated string>.vmwarehorizon.com

        已填写自定义 FQDN 设置的 Universal Broker 配置向导。

    3. 配置 FQDN 设置完成后,单击下一步以继续执行向导的下一步。
  4. (可选)在向导的身份验证页面中,配置双因素身份验证。
    默认情况下, Universal Broker 仅通过用户的 Active Directory 用户名和密码对用户进行身份验证。您可以通过指定其他身份验证方法来实施双因素身份验证。有关更多信息,请参阅 在 Universal Broker 环境中实施双因素身份验证时的最佳做法
    重要说明: 要对 Universal Broker 使用双因素身份验证,您必须先在每个参与容器内的每个外部 Unified Access Gateway 实例上配置相应的身份验证服务。每个参与容器内及之间的外部 Unified Access Gateway 实例配置必须相同。

    例如,如果要使用 RADIUS 身份验证,则必须在所有参与的 Horizon 容器和 Microsoft Azure 中的容器内的每个外部 Unified Access Gateway 实例上均配置 RADIUS 服务。

    请勿删除参与容器内的任何 Unified Access Gateway 实例。由于Universal Broker依赖 Unified Access Gateway 处理 Horizon Client 和虚拟资源之间的协议流量,因此,如果您删除参与容器上的 Unified Access Gateway 实例,用户将无法访问该容器中置备的资源。

    设置 描述
    Two-Factor Authentication

    要使用双因素身份验证,请启用此选项开关。

    启用此选项开关后,将向您显示用于配置双因素身份验证的其他选项。

    Maintain User Name 启用此选项开关可在执行 Universal Broker 身份验证期间保留用户的 Active Directory 用户名。启用时:
    • 用户在 Universal Broker 中用于执行其他身份验证方法的用户名凭据必须与用于执行 Active Directory 身份验证的用户名凭据相同。
    • 用户无法更改客户端登录屏幕中的用户名。

    如果关闭此选项开关,将允许用户在登录屏幕中键入不同的用户名。

    Type

    除 Active Directory 用户名和密码之外,还需指定 Universal Broker 应该用于最终用户的身份验证方法。用户界面将显示以下两个选项:RADIUSRSA SecurID

    此设置适用于租户范围。最终用户客户端中的行为将取决于租户容器群的构成以及在容器的网关上配置了哪种双因素身份验证类型,如下所示:

    仅具有 Horizon 容器
    您在此处选择的类型是在客户端中使用的类型。
    仅具有 Horizon Cloud 容器
    • 选择与在容器外部网关上配置的类型匹配的类型。
    同时具有 Horizon 容器和 Horizon Cloud on Microsoft Azure 部署
    在混合容器群中,如果在此处选择 RADIUS,则用户的 RADIUS 身份验证请求将通过这两种容器类型的 Unified Access Gateway 实例尝试发送。

    在混合容器群中,如果在此处选择 RSA SecurID,那么客户端行为将取决于您的 Horizon Cloud on Microsoft Azure 部署是否在其外部网关上配置了 RSA SecurID。

    • 如果您的 Horizon Cloud on Microsoft Azure 部署未在其网关上配置 RSA SecurID 类型,并且在此处选择了 RSA SecurID,则用户的 RSA 身份验证请求将仅通过 Horizon 容器的 Unified Access Gateway 实例尝试发送。Active Directory 用户名和密码身份验证请求则将通过 Horizon 容器或 Horizon Cloud 容器的 Unified Access Gateway 实例尝试发送。
    • 如果 Horizon Cloud on Microsoft Azure 部署在其网关上配置了 RSA SecurID 类型,则用户的 RSA 身份验证请求将通过这两种容器类型的 Unified Access Gateway 实例尝试发送。
    Show Hint Text 启用此选项开关可配置在客户端登录屏幕中显示的有助于提示用户输入其凭据以执行其他身份验证方法的文本字符串。
    Custom Hint Text

    输入要在客户端登录屏幕中显示的文本字符串。指定的提示将以 Enter your DisplayHint user name and password 形式显示给最终用户,其中 DisplayHint 是您在此文本框中输入的文本字符串。

    注: Universal Broker 在自定义提示文本中不允许使用以下字符: & < > ' "

    如果在提示文本中包含任何不允许的字符,则用户与 Universal Broker FQDN 的连接将失败。

    此提示有助于指导用户输入正确的凭据。例如,输入 Company user name and domain password below for 短语将向最终用户显示如下提示:Enter your Company user name and domain password below for user name and password

    Skip Two-Factor Authentication

    启用此选项开关可使连接到 Universal Broker 服务的内部网络用户绕过双因素身份验证。确保已按 定义 Universal Broker 内部网络范围中所述指定属于内部网络的公共 IP 范围。

    • 启用此选项开关后,内部用户只能输入其 Active Directory 凭据来对 Universal Broker 服务进行身份验证。外部用户则必须同时输入其 Active Directory 凭据以及用于额外身份验证服务的凭据。
    • 关闭此选项开关后,内部和外部用户都必须同时输入其 Active Directory 凭据以及用于额外身份验证服务的凭据。
    Public IP Ranges

    启用跳过双因素身份验证后,此字段可见。

    如果已在“代理”页面的“网络范围”选项卡上指定一个或多个公共 IP 范围,则此字段为只读字段,并且将列出这些 IP 范围。

    如果“代理”页面的“网络范围”选项卡尚未指定公共 IP 范围,则可以使用此字段指定表示内部网络的公共 IP 范围,从而跳过针对来自这些范围的流量的双因素身份验证提示。Universal Broker 会将从位于这些范围之一的 IP 地址进行连接的任何用户都视为内部用户。

    有关指定这些范围的目的的更多详细信息,请参阅为 Universal Broker 定义内部网络范围

    双因素身份验证配置完成后,单击 下一步进入向导的下一页。
  5. 在配置向导的设置页面中,为 Horizon Client 配置持续时间设置。
    这些超时设置将应用于 Horizon Client 与由 Universal Broker分配的桌面之间的连接会话。这些设置不会应用于所分配桌面的客户机操作系统的用户登录会话。当 Universal Broker 检测到这些设置指定的超时条件时,将关闭用户的 Horizon Client 连接会话。
    设置 描述
    Client Heartbeat Interval 控制 Horizon Client 检测信号之间的间隔(以分钟为单位)以及用户到 Universal Broker 的连接状态。这些检测信号向 Universal Broker 报告在 Horizon Client 连接会话期间经过的空闲时间量。

    当未与运行 Horizon Client 的端点设备发生交互时,将测量空闲时间。在分配给用户的桌面的基础客户机操作系统上进行的登录会话的不活动状态不会影响此空闲时间。

    在大型桌面部署中,增加客户端检测信号间隔可能会降低网络流量并提高性能。

    Client Idle User Horizon ClientUniversal Broker 之间进行连接会话期间允许的最大空闲时间(以分钟为单位)。

    达到最大时间后,用户的身份验证将到期,并且 Universal Broker 将关闭所有活动的 Horizon Client 会话。要重新打开连接会话,用户必须在 Universal Broker登录屏幕上重新输入其身份验证凭据。

    注: 为避免意外断开用户与分配的桌面的连接,请将 客户端空闲用户超时设置为至少是 客户端检测信号间隔两倍的值。
    Client Broker Session 在用户的身份验证到期之前,Horizon Client 连接会话允许的最大时间(以分钟为单位)。当用户执行 Universal Broker 身份验证时,计时即开始。会话超时发生时,用户可以在分配的桌面中继续工作。但是,如果他们执行需要与 Universal Broker进行通信的操作(如更改设置),则 Horizon Client 会提示他们重新输入其 Universal Broker凭据。
    注: 客户端代理会话超时必须大于或等于 客户端检测信号间隔值和 客户端空闲用户超时之和。
    Client Credential Cache 控制是否将用户登录凭据存储在客户端系统缓存中。输入 1 将在缓存中存储用户凭据。如果您不希望在缓存中存储用户凭据,请输入 0
    配置完持续时间设置后,单击 下一步以继续到向导的下一页。
  6. 在向导的安排页面中,使用控件指定用于执行转换的日期开始时间

    Universal Broker 配置向导,“安排”页面。

    您安排的开始时间比当前本地时间至少要早一小时,比当前日期至多早 3 个月。开始时间必须出现在小时的顶部。
    设置开始时间时,必须留出足够的转换时间,以防转换中断。
    完成后,单击 下一步以继续执行 Universal Broker 配置向导的下一步。
    注: 如果控制台显示了消息来说明您指定的开始时间不可用,请返回到 日期开始时间设置以指定其他转换时间。
  7. 摘要页面中查看您的设置,然后单击完成以保存 Universal Broker 配置和安排设置。
    将显示一条消息,确认您已成功安排转换。

    安排转换后的通知横标和“代理”页面。

    安排转换后:
    • “代理”页面显示即将进行的转换的详细信息。如果距离开始时间超过一小时,则可以通过单击安排链接来重新安排转换。
    • 如果要取消已安排的转换或重新安排某个不到一小时就会开始的转换,则必须联系 VMware 技术支持团队。请注意,VMware 技术支持团队无法取消或重新安排那些不到 15 分钟就会开始的转换。
    • 在到达开始时间之前,控制台将继续显示有关即将进行的转换的通知横幅。单击横幅中的查看详细信息会重定向到“代理”页面。
    • 有关即将进行的转换的通知和提醒消息将发送到为您的租户注册的主电子邮件帐户。
  8. 确保至少在安排的转换开始时间前 15 分钟完成以下准备任务。转换期间,您无法访问控制台的任何编辑操作。
    • 在控制台中完成所有正在进行的操作,并保存您要保留的任何更改。
    • 关闭所有配置向导和对话框。
    重要说明: 确保 Microsoft Azure 中的所有 Horizon Cloud 容器在转换过程中都已联机且处于正常就绪状态。 Universal Broker 服务必须能够与容器通信并在容器上执行一些配置步骤,才能完成转换的代理启用阶段。只要任一容器处于脱机状态或不可用,则转换将失败。
    重要说明: 如果混合环境包含 Microsoft Azure 中的 Horizon Cloud 容器和基于 SDDC 的 VMware 平台上的 Horizon 容器,则在转换过程中,Horizon 容器将无法使用 Universal Broker 服务。此外,在此期间,也无法将 Horizon 容器的状态从受监控更改为受管。
  9. 转换开始前不久,按照屏幕提示中的说明从控制台中注销,然后重新登录。

    安排的代理转换之前的注销提示。

  10. 允许不中断地执行转换的第一个阶段。
    在转换的这一阶段:
    • 您无法访问控制台的任何编辑控件,并且控制台会显示横幅来指示正在进行转换。
      执行代理转换时的控制台横幅。

    • Microsoft Azure 中的所有容器都已添加到名为 Default-Site 的站点。
    • VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。在默认分配设置中,将连接关联性设置为最近的站点,将范围设置为在站点内
    • 基于会话的桌面和应用程序分配保持不变。转换后,Universal Broker 将代理这些分配中的资源。
    • 所有分配仍可供最终用户使用,并且所有活动用户会话在此期间保持打开状态并完全正常运行。
    注: 此转换阶段通常大约需要 10 分钟,如果您的租户环境包含大量分配,则可能需要更长的时间。可以通过单击通知横幅中的 查看状态来监控进度。如果该阶段未在一小时内完成,则转换将超时并标记为失败。
    此转换阶段完成后,将显示以下消息。
    完成代理转换后出现的确认消息。

    注: 如果在此转换阶段出现故障,VMware 技术支持团队会收到自动通知,然后调查并修复故障原因。您可以在 代理页面中以及在发送到为租户注册的主电子邮件帐户的通知消息中查看更多信息。在 VMware 技术支持团队修复失败原因后,您可以使用 代理页面中的链接来重新安排转换。
  11. 重新登录到控制台后,允许 Universal Broker 服务完成其设置过程并完全启用。
    由于 DNS 记录将传播到所有全局区域中的 DNS 服务器,因此配置设置通常最多需要 30 分钟才能在 Universal Broker 服务中完全生效。但是,根据您的系统和网络状况以及您环境中的分配和专用“用户到桌面”映射的总数,此过程可能需要几个小时才能完成。如果此过程未在四个小时内完成,则转换将超时并标记为失败。

    在此转换阶段,您可以访问控制台中除创建和编辑分配以外的所有其他编辑操作。此外,Universal Broker 服务在此期间不可用于所代理的分配。

    成功完成设置后,控制台中的铃铛图标下会显示一条通知消息,并且设置 > 代理页面会显示已启用状态(以绿点表示)。

    您的分配现在由 Universal Broker 代理,并且转换已完成。


    启用了 Universal Broker 的“代理”页面。
    重要说明: 如果 Universal Broker 设置失败,则 设置 > 代理页面将显示 错误状态(以红色警示图标表示)。要修复配置故障并设置 Universal Broker 服务,请按照 VMware 知识库文章 (KB) 2006985 中所述联系 VMware 技术支持团队。

下一步做什么

在转换到 Universal Broker 后租户环境中的新增内容

本文描述了在成功完成从单容器代理到 Universal Broker 的转换后,您在 Horizon Cloud 租户环境中预期会看到的更改。这些更改包括一些新功能行为和一些功能限制。

有关 Universal Broker 环境中某些功能限制的详细信息,请参阅 Universal Broker - 功能注意事项和已知限制

对最终用户分配的更改

  • Microsoft Azure 中的所有容器都已添加到名为 Default-Site 的站点。
  • VDI 桌面分配将转换为由 Universal Broker 代理的多云分配。在默认分配设置中,将连接关联性设置为最近的站点,将范围设置为在站点内
    注: 一个特定用户最多可以从 Universal Broker 代理的专用分配接收一个已分配的桌面,即使该分配包括多个容器中的桌面也是如此。
    重要说明: 如果用户以前在单容器代理环境中通过专用分配收到了多个已分配桌面,则在转换到 Universal Broker 环境后将无法访问这些桌面。要访问已分配的桌面,用户可以直接连接到容器的 FQDN,而不是使用 Universal Broker FQDN。
  • 基于会话的桌面和应用程序分配现在由 Universal Broker 代理。

对具有相同名称的桌面池的更改

如果在代理转换之前容器内的任何桌面池具有相同的名称,那么需要将这些桌面池编辑为具有不同的名称。此更改可确保您可以将不同容器中唯一命名的桌面池添加到由 Universal Broker 代理的单一分配中。

例如,假设您在代理转换之前具有以下场景:

  • Pod1 包含一个名为 TestPoolName 的池。
  • Pod2 包含一个名为 TestPoolName 的池。

例如,转换后,池名称将进行以下更改:

  • 在 Pod1 中,池名称保留 TestPoolName
  • 在 Pod2 中,池将重命名为 TestPoolName1

对虚拟机名称前缀的更改

在转换前的单容器代理环境中,池的虚拟机名称前缀最多可以包含 11 个可自定义字符。要形成池名称,会在包含 11 个字符的前缀后面附加一个序列号(最多 4 位数字)。

转换为 Universal Broker 后,虚拟机名称前缀最多可以包含 9 个可自定义字符。转换后,先前超过 9 个字符的任何虚拟机名称前缀都会被自动截断。

要在 Universal Broker 环境中形成池名称,请在包含 9 个字符的前缀后面附加以下字符:两个随机字母数字或字母字符,后跟一个序列号(最多 4 位数字)。

如果多个分配使用相同的虚拟机名称前缀,那么在尝试编辑其中一个分配时可能会遇到错误。要解决此错误,请在“编辑”向导中更改该分配的虚拟机名称前缀。

注: 如果在配置桌面池时将 最大桌面数选项设置为 0,虚拟机名称前缀和池名称将在转换后在 Horizon Universal Console 中保持不变。要更新控制台以显示新的虚拟机名称前缀和池名称,请使用“编辑”向导更新转换的分配。

转换后的功能注意事项

以下注意事项适用于转换到 Universal Broker 后的某些功能。

  • 不支持自定义分配(也称为 URL 重定向分配)。
  • 如果容器运行的清单版本低于清单 2474.0,则不支持任务取消功能。要使用此功能,您必须将容器升级到清单 2474.0 或更高版本。
  • 如果 Horizon Cloud on Microsoft Azure 部署在转换前已有与 Workspace ONE Access 的集成,则必须将该集成更新为转换后状态以适应 Universal Broker 的使用。有关完整说明,请参阅使用 Universal Broker 的 Horizon Cloud 环境 - 将租户与 Workspace ONE Access 和 Intelligent Hub 服务集成

    请注意,在更新该集成时,您需要使用 Horizon Universal Console 清理工作流来清理这些部署可能具有的任何现有虚拟应用程序集合。清理工作流将通过使用集成的 Universal Broker 以及 Workspace ONE Access 和 Intelligent Hub 服务的先进功能,而不是旧版单容器虚拟应用程序集合功能,继续在 Workspace ONE Access 和 Intelligent Hub 服务中运行相同的应用程序。经 VMware Workspace ONE Access 产品团队确认,在将 Universal BrokerHorizon Cloud on Microsoft Azure 部署结合使用时,该配置不支持 VMware Workspace ONE Access 产品的虚拟应用程序集合功能。这是因为,Universal Broker 是比旧式单容器代理更先进的代理技术,这意味着 Universal BrokerWorkspace ONE Access 的集成将不再需要使用旧版单容器虚拟应用程序集合。因此,Universal Broker 根本没有对 Horizon Cloud on Microsoft Azure 部署使用虚拟应用程序集合的概念。

重要说明: 如果容器运行的清单版本低于清单 2474.0,则不支持针对清单中断的删除保护功能。要使用此功能,您必须将容器升级到清单 2474.0 或更高版本。

例如,如果容器运行的清单版本低于清单 2474.0,并且在转换前启用了删除保护功能,那么此功能在转换后将无法正常运行。如果随后将容器升级到清单 2474.0 或更高版本,那么删除保护功能可再次正常运行。