在运行容器部署向导之前,请确认您的环境满足这些必备条件。您必须具有以下项目,才能在容器部署向导中提供请求的值并继续执行该向导。

重要事项: 在启动容器部署向导并开始部署您的容器之前,除了满足下面的要求以外,您还必须了解以下要点:
  • 从 2020 年 7 月服务版本开始,在全新环境中,部署新容器时至少需要使用一个网关配置。如果您的客户帐户是在 2020 年 7 月版本之前创建的,但您尚未部署第一个容器,则在部署第一个容器时至少需要使用一个网关配置。
  • 要成功部署容器,要求您或您的 IT 团队在 Microsoft Azure 环境中设置的任何 Microsoft Azure 策略均不会阻止、拒绝或限制容器组件的创建。此外,您还必须确认 Microsoft Azure 策略内置策略定义也不会阻止、拒绝或限制容器组件的创建。例如,您和您的 IT 团队必须确认任何 Microsoft Azure 策略均不会阻止、拒绝或限制在 Azure 存储帐户上创建组件。有关 Azure 策略的信息,请参阅 Azure 策略文档
  • 容器部署程序要求 Azure 存储帐户允许其使用 Azure StorageV1StorageV2 帐户类型。确保您的 Microsoft Azure 策略不会限制或拒绝创建需要使用 Azure StorageV1StorageV2 帐户类型的内容。
  • 作为容器和网关部署过程的一部分,除非您在部署向导中指定自定义资源标记,否则 Horizon Cloud 将在您的 Microsoft Azure 订阅中创建没有标记的资源组 (RG),包括为协调那些部署过程的临时 jump box 创建的初始资源组。从 2020 年 10 月 8 日的云平面更新开始,部署向导提供了一个功能,您可以通过此功能指定所需的自定义资源标记以应用于部署程序创建的资源组。如果不指定自定义资源标记,并且 Microsoft Azure 订阅具有任何类型的资源标记要求,则在尝试将容器部署到该订阅中时,或者在容器更新或将网关配置添加到容器时,容器部署将失败。如果您不打算使用部署向导的自定义资源标记功能,则必须确认您的 Microsoft Azure 策略允许在目标订阅中创建容器的未标记资源组。有关部署程序创建的 RG 列表,请参阅管理指南的为 Microsoft Azure 中部署的容器创建的资源组主题。
  • 部署连接到云的容器时,所有这些容器都必须能够查看同一组 Active Directory 域。

所有部署的必备条件

  • 添加其他容器时,您可以使用先前用于之前容器的相同订阅,也可以根据您组织的要求,使用其他订阅。如果计划使用不同的订阅,您必须执行部署指南中所述的步骤以获取订阅 ID、目录 ID、应用程序 ID 和应用程序密钥。您必须确保使用的订阅满足该指南中所述的要求,尤其是服务主体在订阅的相关级别授予了相应的角色权限。您可以从 Horizon Cloud 文档页面中导航到在线入门文档。
  • 当您的租户配置为在 Microsoft Azure 中为您的容器使用 Universal Broker 时,如果运行容器部署向导来添加新容器,就必须指定一个站点。您可以选择现有站点,也可以指定一个新站点。
  • 确认在要部署容器的区域中具有 VNet,并且该 VNet 满足在 Microsoft Azure 中配置必需的虚拟网络中所述的要求。
    重要事项: 并非所有 Microsoft Azure 区域都支持启用了 GPU 的虚拟机。如果您想要将容器用于支持 GPU 的桌面或远程应用程序,请确保为该容器选择的 Microsoft Azure 区域可提供您希望使用的那些 NV 系列虚拟机类型,并且 Horizon Cloud 中支持那些虚拟机类型。有关详细信息,请参阅 Microsoft 文档,其地址为 https://azure.microsoft.com/zh-cn/regions/services/
  • 确认已将 VNet 配置为指向可解析外部地址的 DNS。容器部署程序必须能够访问 Horizon Cloud 控制平面中的外部地址,以安全地将容器软件下载到您的 Microsoft Azure 环境中。
  • 确认已满足容器部署程序的 DNS、端口和协议要求,如Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求中所述。
  • 如果您需要使用代理进行出站 Internet 访问,请确认您具备配置代理的网络连接信息及代理所需的身份验证凭据(如果有)。容器部署过程需要进行出站 Internet 访问。
  • 确认您了解希望容器在进行时间同步时使用的至少一个 NTP 服务器的信息。NTP 服务器可能是公共 NTP 服务器,也可能是您为该用途设置的自己的 NTP 服务器。必须能够从您配置的虚拟网络中访问您指定的 NTP 服务器。在打算通过域名而不是数字 IP 地址使用 NTP 服务器时,还要确保为虚拟网络配置的 DNS 可以解析 NTP 服务器的名称。
  • 如果您不希望部署程序自动创建所需的子网,请确认提前创建了所需的子网并位于 VNet 上。有关提前创建所需子网的步骤,请参阅部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网对 Microsoft Azure 中的 Horizon Cloud 容器使用现有子网时
    小心: 在 VNet 上手动为容器部署提前创建的子网必须是空的。不要重用已有项目正在使用其中 IP 地址的现有子网。如果某个 IP 地址已在子网中使用,则极有可能发生容器部署失败等问题和其他下游 IP 冲突问题。不要将任何资源放在这些子网上或以其他方式使用任何 IP 地址。此警告通知包括从 Horizon Cloud 部署的容器 — 请不要重用已在其上部署容器的子网。
    重要事项: 当您在部署第一个容器之后部署其他容器时,无法重用现有容器已在使用的现有子网。
  • 如果要让部署程序创建所需的子网,请确认您知道要在向导中为管理子网、桌面子网和 DMZ 子网输入的地址范围。当您希望使用外部 Unified Access Gateway 配置时,需要 DMZ 子网。此外,还需确认这些范围没有发生重叠。您使用 CIDR 表示法(无类别域间路由表示法)输入这些地址范围。如果输入的子网范围重叠,向导将显示一个错误。对于管理子网范围,所需的 CIDR 至少为 /27。对于 DMZ 子网范围,所需的 CIDR 至少为 /28。如果要将管理和 DMZ 子网范围保持在同一位置,您可以指定与管理子网类似的 DMZ 子网范围并指定一个 IP。例如,如果管理子网为 192.168.8.0/27,则匹配的 DMZ 子网将为 192.168.8.32/27。
    重要事项: 必须定义您在向导的字段中输入的 CIDR,以便每个前缀和位掩码组合生成的 IP 地址范围将前缀作为起始 IP 地址。Microsoft Azure 要求 CIDR 前缀是 IP 范围的起始地址。例如,正确的 CIDR 192.168.182.48/28 将生成以下 IP 范围:192.168.182.48 到 192.168.182.63,其中,前缀与起始 IP 地址 (192.168.182.48) 相同。但是,错误的 CIDR 192.168.182.60/28 将生成以下 IP 范围:192.168.182.48 到 192.168.182.63,其中,起始 IP 地址与前缀 192.168.182.60 不同。请确保 CIDR 生成的 IP 地址范围中的起始 IP 地址与 CIDR 前缀相匹配。
  • 如果要让部署程序创建所需的子网,请确认具有这些地址范围的子网在 VNet 上尚未存在。在这种情况下,部署程序本身将使用您在向导中提供的地址范围自动创建子网。如果向导检测到具有这些范围的子网已存在,向导将显示有关重叠地址的错误,而不会继续执行。如果您的 VNet 已对等互连,还需确认您打算在向导中输入的 CIDR 地址空间已包含在 VNet 地址空间中。

Unified Access Gateway 配置的必备条件

如果您计划让容器使用 Unified Access Gateway 配置,则必须提供:

  • 最终用户用于访问该服务的完全限定域名 (FQDN)。从 2020 年 7 月季度服务版本推出的新容器清单开始,在容器上部署这两个网关配置时,您需要为这两个网关配置指定相同的 FQDN。在使用外部和内部网关配置部署容器后,您必须将入站最终用户客户端流量配置为路由到相应的负载均衡器。目标是设置路由,以便将来自 Internet 的客户端流量路由到外部网关的 Microsoft Azure 公共负载均衡器,将来自 Intranet 的客户端流量路由到内部网关的 Microsoft Azure 内部负载均衡器。由于这两个网关具有相同的 FQDN,因此,您可以配置拆分的 DNS(拆分的域名系统),以便将网关地址解析为外部网关或内部网关,具体取决于最终用户客户端的 DNS 查询的源网络。然后,如果客户端位于外部网络,则最终用户客户端中使用的同一 FQDN 可以路由到外部网关;如果客户端位于内部网络,则路由到内部网关。
    重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
  • 基于该 FQDN 的签名 SSL 服务器证书(采用 PEM 格式)。Unified Access Gateway 功能需要使用 SSL 进行客户端连接,如 Unified Access Gateway 产品文档中所述。此证书必须由受信任的证书颁发机构 (CA) 签名。单个 PEM 文件必须包含整个证书链和私钥。例如,单个 PEM 文件必须包含 SSL 服务器证书、任何必要的中间 CA 证书、根 CA 证书和私钥。OpenSSL 是一种可用来创建 PEM 文件的工具。
    重要事项: 证书链中的所有证书都必须在有效期内。 Unified Access Gateway 虚拟机要求证书链中的所有证书(包括中间证书)都必须在有效期内。如果证书链中有证书已过期,之后将证书上载到 Unified Access Gateway 配置时可能会出现意外故障。
  • 如果您使用外部 Unified Access Gateway 配置进行部署,则必须指定 DMZ(隔离区)子网。您可以通过以下两种方法之一提供该 DMZ 子网:
    • 在 VNet 上提前创建 DMZ 子网。在使用该方法时,您还必须提前创建管理和桌面租户子网。请参阅部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网中的步骤。
    • 让部署程序在部署过程中自动创建 DMZ 子网。在使用该方法时,您必须具有要在向导中为 DMZ 子网输入的地址范围,并确认该范围与管理和桌面租户子网的范围没有发生重叠。您使用 CIDR 表示法(无类别域间路由表示法)输入这些地址范围。如果输入的子网范围重叠,向导将显示一个错误。对于 DMZ 子网范围,所需的 CIDR 至少为 /28。如果要将管理和 DMZ 子网范围保持在同一位置,您可以指定与管理子网相同的 DMZ 子网范围并指定一个 IP。例如,如果管理子网为 192.168.8.0/27,则匹配的 DMZ 子网将为 192.168.8.32/27。要确保 IP 地址范围具有的前缀和位掩码组合生成的范围将前缀作为起始 IP 地址,另请参阅所有部署的必备条件中的重要说明。
  • 如果您要使用外部 Unified Access Gateway 配置进行部署,并且希望禁止配置的负载均衡器具有公共 IP 地址,则必须指定已在 DNS 设置中映射到 FQDN 的 IP 地址,最终用户将在其 Horizon Client 中使用该 FQDN 进行 PCoIP 连接。

有关 Unified Access Gateway 所需 PEM 文件注意事项的更多信息,请参阅将证书文件转换为容器部署所需的 PEM 格式

在使用外部 Unified Access Gateway 配置(使用其自身的 VNet 或订阅,不同于容器的 VNet 或订阅)部署时的必备条件

这些必备条件与上述在使用 Unified Access Gateway 配置部署时的必备条件一起,都特定于将外部网关部署在其自身的 VNet 或订阅中的用例。使用其自身的订阅是使用其自身的 VNet 的一种特殊情况,因为单独的订阅必须具有其自身的 VNet,并且 VNet 的作用域是订阅。

在使用双因素身份验证配置部署时的必备条件

如果您计划使用双因素身份验证功能,或将其与内部部署的双因素身份验证服务器结合使用,请确认您具有用于身份验证服务器配置的以下信息,以便您可以在容器部署向导的相应字段中提供这些信息。如果您同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。

  • 身份验证服务器的 IP 地址或 DNS 名称
  • 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
  • 身份验证端口号,通常为 1812 UDP 端口。
  • 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
    注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。