当第一代 Horizon Cloud 租户的容器群中至少有一个容器且 Active Directory 域注册步骤完成后,“容量”页面将显示用于将更多容器添加到容器群的菜单选项。此特定工作流适用于 Horizon Cloud 容器。此类容器基于 Horizon Cloud 容器管理器技术,此技术完全在 Microsoft Azure 订阅中运行,因此不需要 VMware SDDC。

注:知识库文章 92424 中所述,只有在第一代控制平面终止提供 (EOA) 后出现已批准例外情况时,“ 新建”操作才可用。

有关如何将容器添加到由各类容器组成的容器群的概述,请参阅第一代租户 - 关于第一代 Horizon Universal Console 的“容器”页面和向 Horizon Cloud 容器群添加容器

重要说明: 此处的工作流不适用于 Azure VMware 解决方案 (AVS) 上的 Horizon 容器。此特定工作流适用于 Horizon Cloud 容器。 Horizon Cloud 容器基于 Horizon Cloud 容器管理器技术,而 Horizon 容器则基于 连接服务器技术。
小心: 这些步骤中所述的 IP 地址均为示例。您应当使用符合贵组织需要的地址范围。对于每个提到 IP 地址范围的步骤,请替换为适用于贵组织的 IP 地址范围。

该向导包括多个步骤。在某个步骤中指定信息后,单击下一步可转到下一步骤。

前提条件

在启动容器部署向导之前,请确认您具有所需的项目。根据所需的容器配置选项,您需要在向导中提供的项目会有所不同。请参阅第一代租户 - 运行第一代容器部署向导的必备条件中的列表。

除了要为其他容器进行的配置所需的项目之外,还必须先完全部署第一个已连接到云的容器,并完成 Active Directory 域绑定和域加入步骤,然后才能部署其他容器。您客户帐户记录中所有已连接到云的容器均共享相同的 Active Directory 信息,并且每个已连接到云的容器必须能够查看所有云配置 Active Directory 域。有关更多信息,请参阅第一代租户 - 为 Horizon Cloud 控制平面租户执行第一个必需的 Active Directory 域注册

如果为您的租户配置了 Universal Broker,并且代理设置启用了双因素身份验证,那么您必须具有包含双因素身份验证设置并使用相同双因素身份验证类型的外部 Unified Access Gateway

过程

  1. 在控制台中启动容器部署向导,方法是导航到设置 > 容量,单击新建 > Microsoft Azure
    此时会打开向导并显示第一步。
    向导的“订阅”步骤的屏幕截图。

  2. 在向导的第一个步骤中,选择以前输入的订阅名称或输入新的订阅信息以指定要用于此容器的订阅。
    如果您选择现有订阅,该步骤将填充以前在系统中为该订阅输入的信息。
    重要说明: 如果输入新信息,则必须确保您输入的订阅信息满足 必备条件中所述的订阅要求,特别是服务主体必须拥有所需的角色权限。
    选项 说明
    申请订阅 选择以前输入的订阅的名称,或选择新添输入新订阅信息。
    订阅名称 在提供新订阅信息时,输入一个友好名称,以便将该订阅与以前输入的其他订阅区分开来。

    该名称必须以字母开头,并且仅包含字母、短划线和数字。

    环境 选择与您的订阅关联的云环境,例如:
    • Azure - 商业,适用于标准全局 Microsoft Azure 云区域
    • Azure - 中国,适用于 Microsoft Azure 中国云
    • Azure - 美国政府,适用于 Microsoft Azure 美国政府云
    订阅 ID 输入您的云容量订阅 ID(使用 UUID 格式)。此订阅 ID 对于您选择的环境必须是有效的。对于 Microsoft Azure,您可以从 Microsoft Azure 门户的“订阅”区域获取此 UUID。
    目录 ID 输入您的 Microsoft Azure AD 目录 ID(使用 UUID 格式)。对于 Microsoft Azure,可以从您在 Microsoft Azure 门户内的 Microsoft Azure Active Directory 属性中获取此 UUID。
    应用程序 ID 输入与您在 Microsoft Azure 门户中创建的服务主体相关联的应用程序 ID(使用 UUID 格式)。必须先在 Microsoft Azure Active Directory 中创建应用程序注册及其关联的服务主体。
    应用程序密钥 输入您在 Microsoft Azure 门户中创建的服务主体身份验证密钥的密钥值。必须先创建此密钥。
    对外部网关使用不同的订阅 如果要将外部 Unified Access Gateway 配置部署到其自已的订阅中,与容器的订阅分离,请启用此选项开关。通过对外部网关使用单独的订阅,贵组织将可以根据各个团队的专业领域,灵活地为其分配这些订阅的控制权。这样,可以对组织中的哪些人员可以访问组织订阅的资源组中的容器资产,以及哪些人员可以访问网关资产,实施更加精细的访问控制。

    打开此选项开关后,将显示用于输入网关订阅信息的字段。如在容器订阅中一样,在这些字段中指定相应的信息。

  3. 单击下一步以继续执行下一个步骤。
    当您单击 下一步时,如果添加了新订阅,系统会验证所有指定的值是否有效,以及这些值之间的相互关系是否正确,例如:

    如果您看到关于检查值的错误消息,说明这些值中至少有一个无效,要么是您的订阅中不存在这些值,要么是这些值与其他值的关系无效。例如,如果您指定的目录 ID 位于您订阅中,但您指定的应用程序 ID 值位于其他目录中,则将显示此错误消息。

    如果显示该错误消息,可能多个值无效。如果看到该错误消息,请验证您收集的订阅相关信息和服务主体配置。

  4. 在此向导步骤中,指定详细信息,例如容器的名称以及网络连接信息。
    选项 说明
    站点 当您的租户环境配置为对 Microsoft Azure 中的容器使用 Universal Broker 并且要部署其他容器时,该向导将显示站点。您可以将该容器与一个站点相关联。可以选择现有站点,或者使用默认站点,也可以指定新站点的名称。“容量”页面的站点选项卡列出了已在您的环境中配置的站点。
    容器名称 输入此容器的友好名称。该名称用于在管理控制台中将此容器与其他容器区分开来。
    注: 在您 Horizon Cloud 客户帐户的现有容器中,该名称必须是唯一的。该名称不能与“容量”页面中所列的任一容器的名称重复。
    位置 选择一个现有城市名称,或单击添加以指定一个新城市。

    系统会根据城市名称对容器进行分组,并在控制台“仪表板”页面的“Horizon 全局占用空间”地图上描绘这些容器。

    单击添加后,开始键入城市的名称。系统会自动显示其后端地理位置查找表中与您输入的字符相匹配的世界城市名称,您可以从该列表中选择一个城市。

    注: 您必须从系统的自动完成列表中选择一个城市。目前,由于存在一个已知问题,未将位置名称本地化。
    Microsoft Azure 区域 选择要将此容器部署到的 Microsoft Azure 地理区域。可用的区域取决于之前选择的 Microsoft Azure 环境。

    请考虑根据区域与您打算通过此容器为其提供服务的最终用户的临近程度来选择区域。越临近的区域延迟时间越短。

    重要说明: 并非所有 Microsoft Azure 区域都支持启用了 GPU 的虚拟机。如果您想要将容器用于支持 GPU 的桌面或远程应用程序,请确保为该容器选择的 Microsoft Azure 区域可提供您希望使用且在此 Horizon Cloud 版本中支持的那些 NV 系列、NVv4 系列和 NCv2 系列虚拟机类型。有关详细信息,请参阅 Microsoft 文档,其地址为 https://azure.microsoft.com/zh-cn/regions/services/
    描述 可选:输入此容器的描述。
    Azure 资源标记

    可选:创建要应用于 Azure 资源组的自定义标记。Azure 资源标记只应用于资源组,不会由组中的资源继承。

    要创建第一个标记,请在“名称”和“值”字段中输入相关信息。要创建其他标记,请单击 +,然后在现有“名称”和“值”字段下面显示的对应字段中输入相关信息。

    • 您最多可以创建 10 个标记。
    • 标记名称仅限于 512 个字符,标记值仅限于 256 个字符。对于存储帐户,标记名称仅限于 128 个字符,标记值仅限于 256 个字符。
    • 标记名称不能包含以下字符:

      < > % & \ ? /

    • 标记名称中不能包含以下不区分大小写的字符串:

      “azure”、“windows”、“microsoft”

    • 标记名称和标记值只能包含 ASCII 字符。不允许使用标准 128 个字符的 ASCII 集(也称为高 ASCII 或扩展 ASCII 字符)以外的空格和字符。
    虚拟网络 在列表中选择一个虚拟网络。

    此处仅显示在 Microsoft Azure 区域字段中选择的区域中存在的虚拟网络 (VNet)。您必须已创建要在您的 Microsoft Azure 订阅上的该区域中使用的 VNet。

    使用现有的子网 如果已提前创建了可满足容器子网要求的子网,请启用此选项开关。如果该选项开关设置为,用于指定子网的向导字段将更改为下拉选择菜单。
    重要说明: 向导不支持将现有子网作为某个所需的子网,也不支持为其他所需的子网输入 CIDR 地址。如果该选项开关设置为 ,您必须从现有子网中进行选择以用于容器的全部所需子网。
    管理子网

    管理子网 (CIDR)

    如果已启用使用现有子网,则此菜单将列出在为虚拟网络选择的 VNet 上可用的子网。选择要作为容器的管理子网的现有子网。
    重要说明:
    • 选择一个已将 Microsoft.SQL 服务配置为其服务端点的子网。此服务端点支持通过管理子网在容器管理器虚拟机与容器的 Azure Postgres 数据库之间进行必要的通信。

      选择一个空子网,即,没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。

    如果关闭了使用现有子网,请为部署程序输入一个子网地址范围(采用 CIDR 表示法),以创建要与容器和 Unified Access Gateway 实例相连的子网,例如,192.168.8.0/27。对于管理子网,需要的 CIDR 至少为 /27。

    小心: 在未选择使用现有子网的向导选项时,子网不能在 Microsoft Azure 环境中已存在。如果该子网已存在,在尝试执行下一个向导步骤时将出现错误。
    虚拟机子网 - 主

    虚拟机子网 (CIDR) - 主

    此字段与容器置备的那些虚拟机所用的子网相关联,以提供您的最终用户桌面和应用程序。此类虚拟机包括最佳配置映像虚拟机、场的支持 RDSH 的虚拟机和 VDI 桌面虚拟机。

    如果已启用使用现有子网,则此菜单将列出在为虚拟网络选择的 VNet 上可用的子网。选择要用于这些虚拟机的现有子网。

    重要说明: 选择一个空子网,即,没有附加其他资源的子网。如果子网不是空的,可能会在部署过程或容器操作期间出现意外结果。

    如果关闭了使用现有子网,请为部署程序输入一个子网地址范围(采用 CIDR 表示法),以在部署容器时创建此子网,例如 192.168.12.0/22。对于桌面子网,需要的 CIDR 至少为 /27,建议使用的 CIDR 为 /22。

    重要说明: 确保您输入的范围足够大,能够容纳您希望此容器置备的预计虚拟机数量,以便为您的最终用户提供场的支持 RDSH 的虚拟机以及 VDI 桌面虚拟机。容器部署完成后,将无法扩展此桌面子网。
    小心: 在未选择使用现有子网的向导选项时,子网不能在 Microsoft Azure 环境中已存在。如果该子网已存在,在尝试执行下一个向导步骤时将出现错误。
    NTP 服务器 输入要用于时间同步的 NTP 服务器列表(以逗号分隔)。

    在此处输入的 NTP 服务器可能是公共 NTP 服务器,也可能是您为提供时间同步而设置的自己的 NTP 服务器。您在此处指定的 NTP 服务器必须可从您在虚拟网络字段中选择以供容器使用的虚拟网络进行访问。在该字段中,您可以按数字 IP 地址或域名指定每个 NTP 服务器。在该字段中提供域名而不是数字 IP 地址时,您必须确保为虚拟网络配置的 DNS 可以解析指定的名称。

    time.windows.comus.pool.ntp.orgtime.google.com 是公共 NTP 服务器域名的示例。

    使用代理 如果您需要使用代理进行出站 Internet 连接,请启用此选项开关,并完成所显示的相关字段。

    容器部署程序需要具备对 Internet 的出站访问权限,才能安全地将软件下载到 Microsoft Azure 云环境并连接回 Horizon Cloud 云控制平面。要允许容器使用代理配置,您必须在启用此选项开关后提供以下信息。

    • 代理(必填项):键入代理服务器的主机名或 IP 地址。
    • 端口(必填项):键入在代理服务器配置中指定的端口号。

    如果代理服务器配置需要使用用户名和密码进行身份验证,请同时提供这些凭据。

    已填写与代理相关的必填字段
  5. 单击下一步以继续执行下一个步骤。

    以下屏幕截图是下一步骤在最初显示时的示例。只有在第一个向导步骤中选择将不同的订阅用于外部 Unified Access Gateway 网关配置时,才会显示某些控件。


    向导的“网关设置”步骤在首次显示时的屏幕截图。

  6. 指定所需网关配置的信息并选择性地指定该网关上的双因素身份验证配置。如果为您的租户配置了 Universal Broker,而该功能已在 Universal Broker 设置中配置了双因素身份验证设置,则您必须选择外部 Unified Access Gateway 并在网关上指定相同的双因素身份验证类型。
    注: 在此步骤中,您可以选择是让网关资源组继承为容器指定的自定义标记,还是为其指定不同的自定义标记。这两种网关类型将使用指定的同一组标记。
  7. 单击验证并继续
    单击 验证并继续时,系统会验证所指定值的有效性和适合性,例如:
    • 子网是否有效,并且不与您订阅中选定区域内的其他网络重叠。
    • 您订阅的配额中是否有足够的虚拟机 (VM) 和内核来构建容器。
    • 证书格式是否为正确的 PEM。

    如果您看到有关网络重叠的错误消息,请验证您的现有子网是否使用了您订阅中已有的相同值。

    如果所有验证均没问题,会显示摘要页面。

  8. 查看摘要信息,然后单击提交
    系统开始将容器部署到您的 Microsoft Azure 环境中。

结果

部署容器可能需要长达一小时的时间。在容器部署成功之前,会显示该容器的部署进度图标。您可能需要在浏览器中刷新该屏幕,以便随时查看最新更新进度。

重要说明: 在 Microsoft Azure 中国云中部署其他容器时,部署过程可能需要超过一个小时的时间才能完成。该过程受地理网络问题的影响,从云控制平面下载二进制文件时,这些问题可能导致下载速度缓慢。

下一步做什么

如果为容器网关配置指定了双因素身份验证,则必须完成以下任务。
  • 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请将该双因素身份验证服务器配置为允许来自外部网关负载均衡器 IP 地址的通信。

    如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

  • 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请将双因素身份验证服务器配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。

    您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。

    Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。

    当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

如果您指定拥有 Unified Access Gateway 配置,请确保根据您指定的配置类型在 DNS 服务器中设置相应的 CNAME 记录。
  • 对于外部 Unified Access Gateway 配置,请将在部署向导中输入的 FQDN 映射到该容器 Microsoft Azure 公共负载均衡器的自动生成的 FQDN。
  • 对于内部 Unified Access Gateway 配置,请将在部署向导中输入的 FQDN 映射到该容器 Microsoft Azure 内部负载均衡器的专用 IP 地址。

有关在容器详细信息页面中查找负载均衡器信息的步骤,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息