本文介绍您的 Horizon Cloud 租户环境为支持使用 Universal Broker 而必须满足的详细系统要求。根据您是为 Horizon 容器(基于 Horizon Connection Server 技术)还是为 Microsoft Azure 中的 Horizon Cloud 容器配置 Universal Broker,这些要求可能会略有不同。

注: 有关 Universal Broker 的任何支持限制的最新信息,请参阅 Horizon Cloud - 已知限制

通过 Horizon Cloud Connector 连接到 Horizon Cloud 的 Horizon 容器的要求

要支持使用 Universal Broker 作为通过 Horizon Cloud Connector 连接到云服务的 Horizon 容器,您的系统环境必须满足以下要求。

关键组件的软件版本:
  • 每个容器都必须运行不低于 7.11 的 Horizon Connection Server 版本,并具有有效许可证,且在该连接服务器上安装了相应版本的 Universal Broker 插件(如Horizon 容器 - 在连接服务器上安装 Universal Broker 插件中所述)。

    每个容器和连接服务器必须根据特定连接服务器版本的产品文档(VMware Horizon 文档VMware Horizon 7 文档)进行有效安装。

  • 每个容器都必须使用不低于 1.6 的 Horizon Cloud Connector 版本通过云连接到 Horizon Cloud。请注意,1.6 是一个非常旧的 Horizon Cloud Connector 版本,不支持载入新容器。该版本是 Universal Broker 变为可用的第一个版本,因此,这里提到该版本是为了确保全面性。使用 Horizon Cloud Connector 版本 NN-1N-2 时支持载入新容器,其中 N 是截至本文编写时可用的最新 Horizon Cloud Connector 版本。
  • 连接器版本 1.8 或 1.9 的特别注意事项:Universal Broker 依赖于在连接器中运行的云代理客户端服务 (CBCS) 与容器进行通信。如果 Horizon 容器使用 Horizon Cloud Connector 1.8 或 1.9,则在使用“完整功能”配置文件部署 Horizon Cloud Connector 时,或者在使用“基本功能”配置文件进行部署,然后为连接器手动激活云代理客户端服务 (CBCS) 时,将支持 Universal Broker。有关在此设置中手动激活 CBCS 的步骤,请参见在版本 1.8 或 1.9 中手动激活服务
  • 在本机 Amazon EC2 部署中使用 Horizon Cloud Connector 连接到云的 Horizon 容器的特别注意事项:要将 Universal Broker 用于该容器,您必须在该设备中手动启用云代理客户端服务 (CBCS),因为该服务在本机 Amazon EC2 部署中默认处于非活动状态。有关如何在此设置中手动启用 CBCS 的详细信息,请参阅在本机 Amazon EC2 中手动激活 Horizon Cloud Connector 的服务
针对一些特定最终用户方案的要求:
您想要对 Universal Broker 使用双因素身份验证
  • 如果您希望 Universal Broker 对任何最终用户使用双因素身份验证,则必须将 Horizon 容器上的任何安全服务器替换为外部 Unified Access Gateway 设备(版本 3.8 或更高版本)。
  • 您还必须为该外部 Unified Access Gateway 配置 Universal Broker 支持的相应双因素身份验证服务。请遵循在 Universal Broker 环境中实施双因素身份验证时的最佳做法中所述的指导并满足相关条件。
您只有内部用户,希望对他们使用直接连接
如果您计划始终让所有用户从内部网络进行访问,则可以使用 Universal Broker 进行所谓的直接连接。在直接连接中,此类最终用户的会话将直接在用户的 Horizon Client 或 Web 客户端与虚拟桌面和远程应用程序(VDI 和 RDSH)之间建立。在这种情况下,只要您还使用控制台的 代理 > 网络范围功能指定 IP 地址,以便 Universal Broker 知道最终用户流量来自内部网络,就不需要 Unified Access Gateway 实例。如果未指定这些 IP 地址,而您具有的都是内部最终用户,则容器必须具有内部 Unified Access Gateway 设备(版本 3.8 或更高版本)才能连接会话。无论采用哪种方式,都不需要使用安全服务器,您可以移除容器可能具有的任何安全服务器。
您同时具有内部和外部用户,并且想要在 Universal Broker 中配置双因素身份验证
如果使用 代理 > 网络范围功能指定 IP 地址, Universal Broker 可以确定连接的用户何时位于内部网络上,并将其视为该用户的直接连接。否则,如果您没有在 代理 > 网络范围中指定 IP 地址, Universal Broker 会将所有最终用户连接视为外部连接,并将连接发送到外部 Unified Access Gateway 设备。
根据上述方案,当涉及 Unified Access Gateway 时:
  • 将每个 Unified Access Gateway 实例配置为代理服务器,用于处理向与其配对的连接服务器发出的连接请求。确保每个 Unified Access Gateway 实例仅与一个容器配对。
  • 如果某个容器仅包含内部 Unified Access Gateway 实例(没有外部实例),Universal Broker 将覆盖在代理 > 网络范围中指定的 IP 范围,并将所有用户路由到该内部 Unified Access Gateway 实例,而不考虑其 IP 地址。如果在代理 > 网络范围中没有指定任何 IP 范围,则虚拟桌面和远程应用程序启动依赖于该内部 Unified Access Gateway
Unified Access Gateway 产品文档位于 https://docs.vmware.com/cn/Unified-Access-Gateway/index.html
DNS 名称、端口、协议:
  • 每个容器都必须配置了所需的端口和协议,如Horizon 容器 - Universal Broker 的 DNS、端口和协议要求中所述。
  • 为了在需要使用 Unified Access Gateway 的方案中相应地支持 Universal Broker 路由最终用户流量,当您的容器配置有 Unified Access Gateway 时,您必须确保在内部和外部 DNS 服务器中正确映射所有 DNS 名称。如果容器同时配置了内部和外部 Unified Access Gateway,则内部和外部配置可以指定不同的 FQDN,或者也可以为其配置相同的 FQDN 并为容器的负载均衡器配置拆分的 DNS 区域。
桌面池:
要启动最终用户会话,桌面池必须在参与容器上配置,且必须基于运行 Windows 操作系统的虚拟机。此外,池配置设置必须满足 Horizon 容器 - 准备现有桌面池以供在多云分配中使用中所述的 Universal Broker要求。

Microsoft Azure 中 Horizon Cloud 容器的要求

要使用 Universal Broker,Microsoft Azure 中的每个参与 Horizon Cloud 容器:

  • 必须是在 Microsoft Azure 中部署的新容器(使用 2020 年 7 月版本的清单 (2298.0) 或更高版本)
    注: 仅当部署的 所有 Horizon Cloud 容器都使用清单 2298.0 或更高版本时, Universal Broker 才可用。如果部署的任何 Horizon Cloud 容器使用的清单版本低于 2298.0,则 Horizon Cloud 容器将无法使用 Universal Broker 代理选项。
  • 如果您希望最终用户从 Internet 进行连接或希望使用双因素身份验证,则必须在容器上配置外部 Unified Access Gateway
    注: 确保每个 Unified Access Gateway 实例仅与一个容器配对。
    注: 如果容器仅包含内部 Unified Access Gateway 实例,那么 Universal Broker 将覆盖在“代理”页面的 网络范围选项卡上定义的网络策略,并将所有用户路由到该 Unified Access Gateway 实例,而不管其 IP 地址如何。

    为了支持特定用例,容器必须满足其他一些要求:

    • 要将内部和外部网络流量从 Universal Broker 路由到各自的内部和外部 DNS 服务器,必须同时为每个容器配置内部和外部 Unified Access Gateway 实例。可以使用不同的 FQDN 配置内部和外部 Unified Access Gateway 实例,也可以使用配置了拆分 DNS 区域的相同 FQDN 和容器负载均衡器进行配置。
    • 要对 Universal Broker 使用双因素身份验证,该容器必须至少有一个外部 Unified Access Gateway 实例配置了相应的双因素身份验证服务。您必须将所有参与容器中的所有外部 Unified Access Gateway 实例配置为使用相同的双因素身份验证服务。请遵循在 Universal Broker 环境中实施双因素身份验证时的最佳做法中所述的指导并满足相关条件。
    有关将网关配置添加到现有 Horizon Cloud 容器的信息,请参阅将网关配置添加到已部署的 Horizon Cloud 容器
  • 进行了相应配置,以使 Universal Broker区域实例所需的 DNS 名称可以解析且可以访问。请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求中的“容器部署和操作 DNS 要求”表。
  • 配置了所需的端口和协议,如使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求的 “Universal Broker 所需的端口和协议”部分中所述
  • 处于正常状态。在“容量”页面上,正常的容器会在“状态”列下方显示一个绿色圆点,表示容器处于联机状态并准备就绪。

客户端要求

对于与 Universal Broker 相关的客户端要求,请参阅 Horizon Cloud - 可用环境、操作系统支持、VMware 生态系统内的紧密集成以及兼容性信息主题中提供的 Horizon Client 信息。