在运行第一代容器部署向导之前,请确认您的环境满足这些必备条件。您必须具有以下项目,才能在容器部署向导中提供请求的值并继续执行该向导。
重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如
知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。
重要说明: 在启动容器部署向导并开始部署您的容器之前,除了满足下面的要求以外,您还必须了解以下要点:
- 要成功部署容器,要求您或您的 IT 团队在 Microsoft Azure 环境中设置的任何 Microsoft Azure 策略均不会阻止、拒绝或限制容器组件的创建。此外,您还必须确认 Microsoft Azure 策略内置策略定义也不会阻止、拒绝或限制容器组件的创建。作为必须允许使用的两个项目示例,您和 IT 团队必须确认不会有任何 Microsoft Azure 策略阻止、拒绝或限制在 Azure 存储帐户上创建相应组件,并且必须确认 Microsoft Azure 策略允许 Microsoft.MarketplaceOrdering/* resourceType。容器部署过程要求接受 Azure 应用商店内由 VMware vmware-inc publisherID 提供的产品。有关 Azure 策略的信息,请参阅 Azure 策略文档。有关服务如何使用 Microsoft.MarketplaceOrdering/* 资源类型的信息,请参阅当 IT 或安全组织针对 Azure 应用商店产品使用或商城产品订购设有限制时。
- 容器部署程序要求您的 Azure 存储帐户允许部署程序在订阅的容器资源组中创建 Azure StorageV2 帐户类型。此存储帐户将用于容器的 App Volumes 功能。在容器部署过程中,请确保您的 Microsoft Azure 策略不会限制或拒绝创建需要使用 Azure StorageV2 帐户类型的内容。
- 部署连接到云的容器时,所有这些容器都必须能够查看同一组 Active Directory 域。
所有部署的必备条件
- 添加其他容器时,您可以使用先前用于之前容器的相同订阅,也可以根据您组织的要求,使用其他订阅。如果计划使用不同的订阅,您必须执行部署指南中所述的步骤以获取订阅 ID、目录 ID、应用程序 ID 和应用程序密钥。您必须确保使用的订阅满足该指南中所述的要求,尤其是服务主体在订阅的相关级别授予了相应的角色权限。您可以从 Horizon Cloud 文档页面中导航到在线入门文档。
- 当您的租户配置为在 Microsoft Azure 中为您的容器使用 Universal Broker 时,如果运行容器部署向导来添加新容器,就必须指定一个站点。您可以选择现有站点,也可以指定一个新站点。
- 确认在要部署容器的区域中具有 VNet,并且该 VNet 满足在 Microsoft Azure 中配置必需的虚拟网络中所述的要求。
重要说明: 并非所有 Microsoft Azure 区域都支持启用了 GPU 的虚拟机。如果您想要将容器用于支持 GPU 的桌面或远程应用程序,请确保为该容器选择的 Microsoft Azure 区域可提供您希望使用且在此 Horizon Cloud 版本中支持的那些 NV 系列、NVv4 系列和 NCv2 系列虚拟机类型。有关详细信息,请参阅 Microsoft 文档,其地址为 https://azure.microsoft.com/zh-cn/regions/services/。
- 确认已将 VNet 配置为指向可解析外部地址的 DNS。容器部署程序必须能够访问 Horizon Cloud 控制平面中的外部地址,以安全地将容器软件下载到您的 Microsoft Azure 环境中。
- 确认已满足容器部署程序的 DNS、端口和协议要求,如第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称和第一代租户 - Horizon Cloud 容器 - 端口和协议要求中所述。
- 如果您需要使用代理进行出站 Internet 访问,请确认您具备配置代理的网络连接信息及代理所需的身份验证凭据(如果有)。容器部署过程需要进行出站 Internet 访问。
重要说明: 当前不支持在将容器部署到 Microsoft Azure 中后编辑或更新容器的代理设置。此外,对于部署时未配置代理设置的已部署容器,当前不支持向其添加代理配置。
- 确认您了解希望容器管理器实例和 Unified Access Gateway 实例在进行时间同步时使用的至少一个 NTP 服务器的信息。NTP 服务器可能是公共 NTP 服务器,也可能是您为该用途设置的自己的 NTP 服务器。您指定的 NTP 服务器必须可以从计划在其中部署容器管理器实例和 Unified Access Gateway 实例的虚拟网络进行访问。在打算通过域名而不是数字 IP 地址使用 NTP 服务器时,还要确保为虚拟网络配置的 DNS 可以解析 NTP 服务器的名称。
注: 最佳做法是对容器管理器实例、 Unified Access Gateway 实例和 Active Directory 服务器使用相同的 NTP 服务器。当这些实例使用不同的 NTP 服务器时,可能会导致时间偏移。稍后当网关尝试对其桌面和应用程序的最终用户会话进行身份验证时,此类时间偏移可能会导致失败。
- 如果您不希望部署程序自动创建所需的子网,请确认提前创建了所需的子网并位于 VNet 上。有关提前创建所需子网的步骤,请参阅第一租户 - 部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网和第一代租户 - 对 Microsoft Azure 中的 Horizon Cloud 容器使用现有子网时。
小心: 在 VNet 上手动为容器部署提前创建的子网必须是空的。不要重用已有项目正在使用其中 IP 地址的现有子网。如果某个 IP 地址已在子网中使用,则极有可能发生容器部署失败等问题和其他下游 IP 冲突问题。不要将任何资源放在这些子网上或以其他方式使用任何 IP 地址。此警告通知包括从 Horizon Cloud 部署的容器 — 请不要重用已在其上部署容器的子网。重要说明: 在部署完第一个容器之后部署其他容器时,请不要重用现有容器已在使用的现有子网。请勿尝试共享已被容器使用的子网。选择已被其他容器使用的子网将会中断该现有容器以及使用其子网部署的容器的操作。
最佳做法是针对每个容器使用单独的 VNet。此建议源于 Horizon Cloud 使用之前和使用期间需要了解的事项中所述的指导,应注意您部署到单个 Microsoft Azure 订阅中的容器数。为了避免达到单个订阅内的 Microsoft Azure 限制,当每个订阅有一个容器时,就可以避免触及这些限制。由于 Microsoft Azure 要求每个订阅具有自己的 VNet,因此,如果您遵循每个订阅一个容器这一最佳做法,则会自动遵循每个容器使用单独的 VNet 的最佳做法。
- 如果要让部署程序创建所需的子网,请确认您知道要在向导中为管理子网、桌面子网和 DMZ 子网输入的地址范围。当您希望使用外部 Unified Access Gateway 配置时,需要 DMZ 子网。此外,还需确认这些范围没有发生重叠。您使用 CIDR 表示法(无类别域间路由表示法)输入这些地址范围。如果输入的子网范围重叠,向导将显示一个错误。对于管理子网范围,所需的 CIDR 至少为 /27。对于 DMZ 子网范围,所需的 CIDR 至少为 /28。如果要将管理和 DMZ 子网范围保持在同一位置,您可以指定与管理子网类似的 DMZ 子网范围并指定一个 IP。例如,如果管理子网为 192.168.8.0/27,则匹配的 DMZ 子网将为 192.168.8.32/27。
重要说明: 必须定义您在向导的字段中输入的 CIDR,以便每个前缀和位掩码组合生成的 IP 地址范围将前缀作为起始 IP 地址。Microsoft Azure 要求 CIDR 前缀是 IP 范围的起始地址。例如,正确的 CIDR 192.168.182.48/28 将生成以下 IP 范围:192.168.182.48 到 192.168.182.63,其中,前缀与起始 IP 地址 (192.168.182.48) 相同。但是,错误的 CIDR 192.168.182.60/28 将生成以下 IP 范围:192.168.182.48 到 192.168.182.63,其中,起始 IP 地址与前缀 192.168.182.60 不同。请确保 CIDR 生成的 IP 地址范围中的起始 IP 地址与 CIDR 前缀相匹配。
- 如果要让部署程序创建所需的子网,请确认具有这些地址范围的子网在 VNet 上尚未存在。在这种情况下,部署程序本身将使用您在向导中提供的地址范围自动创建子网。如果向导检测到具有这些范围的子网已存在,向导将显示有关重叠地址的错误,而不会继续执行。如果您的 VNet 已对等互连,还需确认您打算在向导中输入的 CIDR 地址空间已包含在 VNet 地址空间中。
Unified Access Gateway 配置的必备条件
如果您计划让容器使用 Unified Access Gateway 配置,则必须提供:
- 最终用户用于访问该服务的完全限定域名 (FQDN)。如果计划在外部和内部网关配置中使用相同的 FQDN,则在部署容器后,必须将入站最终用户客户端流量配置为路由到相应的网关负载均衡器。目标是设置路由,以便将来自 Internet 的客户端流量路由到外部网关的 Microsoft Azure 公共负载均衡器,将来自 Intranet 的客户端流量路由到内部网关的 Microsoft Azure 内部负载均衡器。在这种场景中,内部和外部网关具有相同的 FQDN,因此您可以配置拆分的 DNS(拆分的域名系统),以便将网关地址解析为外部网关或内部网关,具体取决于最终用户客户端的 DNS 查询的源网络。然后,如果客户端位于外部网络,则最终用户客户端中使用的同一 FQDN 可以路由到外部网关;如果客户端位于内部网络,则路由到内部网关。
重要说明: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
- 基于该 FQDN 的签名 SSL 服务器证书(采用 PEM 格式)。Unified Access Gateway 功能需要使用 SSL 进行客户端连接,如 Unified Access Gateway 产品文档中所述。此证书必须由受信任的证书颁发机构 (CA) 签名。单个 PEM 文件必须包含整个证书链和私钥。例如,单个 PEM 文件必须包含 SSL 服务器证书、任何必要的中间 CA 证书、根 CA 证书和私钥。OpenSSL 是一种可用来创建 PEM 文件的工具。
重要说明: 证书链中的所有证书都必须在有效期内。 Unified Access Gateway 虚拟机要求证书链中的所有证书(包括中间证书)都必须在有效期内。如果证书链中有证书已过期,之后将证书上载到 Unified Access Gateway 配置时可能会出现意外故障。
- 如果您要使用外部 Unified Access Gateway 配置进行部署,则必须指定 DMZ(隔离区)子网。您可以通过以下两种方法之一提供该 DMZ 子网:
- 在 VNet 上提前创建 DMZ 子网。在使用该方法时,您还必须提前创建管理和桌面租户子网。请参阅第一租户 - 部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网中的步骤。
- 让部署程序在部署过程中自动创建 DMZ 子网。在使用该方法时,您必须具有要在向导中为 DMZ 子网输入的地址范围,并确认该范围与管理和桌面租户子网的范围没有发生重叠。您使用 CIDR 表示法(无类别域间路由表示法)输入这些地址范围。如果输入的子网范围重叠,向导将显示一个错误。对于 DMZ 子网范围,所需的 CIDR 至少为 /28。如果要将管理和 DMZ 子网范围保持在同一位置,您可以指定与管理子网相同的 DMZ 子网范围并指定一个 IP。例如,如果管理子网为 192.168.8.0/27,则匹配的 DMZ 子网将为 192.168.8.32/27。要确保 IP 地址范围具有的前缀和位掩码组合生成的范围将前缀作为起始 IP 地址,另请参阅所有部署的必备条件中的重要说明。
- 如果您要使用外部 Unified Access Gateway 配置进行部署,并且希望禁止配置的负载均衡器具有公共 IP 地址,则必须指定已在 DNS 设置中映射到 FQDN 的 IP 地址,最终用户将在其 Horizon Client 中使用该 FQDN 进行 PCoIP 连接。
有关 Unified Access Gateway 所需 PEM 文件注意事项的更多信息,请参阅第一代租户 - 将证书文件转换为第一代 Horizon Cloud 容器部署所需要的 PEM 格式。
在使用外部 Unified Access Gateway 配置(使用其自身的 VNet 或订阅,不同于容器的 VNet 或订阅)部署时的必备条件
注: 如果使用外部网关的 VNet 来部署外部网关,那么将会部署一个网关连接器虚拟机。在
Horizon Cloud 容器的端口和协议要求中,描述网关连接器虚拟机端口和协议的部分也介绍了此网关连接器虚拟机,其中说明此网关连接器虚拟机的名称包含一个类似
vmw-hcs-ID
的部分(其中
ID
是网关的部署程序标识)以及一个
node
部分。
这些必备条件与上述在使用 Unified Access Gateway 配置部署时的必备条件一起,都特定于将外部网关部署在其自身的 VNet 或订阅中的用例。使用其自身的订阅是使用其自身的 VNet 的一种特殊情况,因为单独的订阅必须具有其自身的 VNet,并且 VNet 的作用域是订阅。
- 网关的 VNet 必须与容器的 VNet 对等互连。
- 确认已提前创建所需的子网并且 VNet 上存在这些子网,或者您计划在向导中输入的 CIDR 地址空间已包含在 VNet 的地址空间中。由于 VNet 是对等互连的,因此,如果您在向导中输入的 CIDR 地址空间尚未包含在 VNet 的地址空间中,则部署程序将无法自动扩展 VNet。如果发生这种情况,部署过程将失败。
提示: 最佳做法是提前创建子网。有关提前创建所需子网的步骤,请参阅 第一租户 - 部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网和 第一代租户 - 对 Microsoft Azure 中的 Horizon Cloud 容器使用现有子网时。
- 如果将单独的订阅用于外部网关,请确认您具有订阅信息,如 Horizon Cloud 容器部署向导的订阅相关信息中所述。
- 如果将单独的订阅用于外部网关,并且计划将该网关部署到您创建的指定资源组中,而不是让部署程序自动创建资源组,请确认已在该订阅中创建该资源组。您将在向导中按名称选择资源组。还要确认已为该资源组授予所需的访问权限,以使部署程序可以在其中运行,如 Horizon Cloud 在 Microsoft Azure 订阅中所需的操作中所述。
在使用双因素身份验证配置部署时的必备条件
如果您计划使用双因素身份验证功能,或将其与内部部署的双因素身份验证服务器结合使用,请确认您具有身份验证服务器配置中的以下信息,以便您可以在“添加容器”向导的必填字段中提供这些信息。
根据您拥有的类型,获取下列信息。
- RADIUS
-
如果要同时配置主和辅助 RADIUS 服务器的设置,请分别获取它们各自的信息。
- 身份验证服务器的 IP 地址或 DNS 名称
- 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
- 身份验证端口号,对于 RADIUS,通常为 1812/UDP。
- 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。
- RSA SecurID
-
注: 运行清单 3139.x 或更高版本的 Horizon Cloud on Microsoft Azure 部署支持 RSA SecurID 类型。从 2022 年 3 月中旬开始,“添加容器”和“编辑容器”向导中用于指定 RSA SecurID 类型的 UI 选项将变为可见且可供选择。
- RSA SecurID Authentication Manager 服务器的访问密钥。
- RSA SecurID 通信端口号。按照 RSA SecurID 身份验证 API 的 RSA Authentication Manager 系统设置中所设置,通常为 5555。
- RSA SecurID Authentication Manager 服务器的主机名。
- RSA SecurID Authentication Manager 服务器的 IP 地址。
- 如果 RSA SecurID Authentication Manager 服务器或其负载均衡器服务器具有自签名证书,那么您需要在“添加容器”向导中提供 CA 证书。该证书应采用 PEM 格式(文件类型为
.cer
、.cert
或.pem
)