以下是通过运行容器部署程序将基于容器管理器的容器部署到 Microsoft Azure 订阅中,从而得到首个连接到云的容器的相关步骤简要列表。此容器类型基于 VMware Horizon Cloud 容器管理器技术(与基于 Horizon Connection Server 软件组件的 Horizon 容器不同)。在完全部署首个连接到云的容器并且已完成向容器的预期 Active Directory 域注册 Horizon Cloud 的步骤之后,您可以使用 Horizon Cloud 提供的所有功能,尤其是在为此容器中的最终用户置备单会话 VDI 桌面、多会话桌面、基于 RDSH 的会话桌面或者远程应用程序时。当您的客户帐户配置为在 Microsoft Azure 中的容器中使用 App Volumes 功能时,您还可以从这些 App Volumes 功能中置备应用程序,并授权最终用户使用这些应用程序。

重要事项: 下面这个工作流不适用于 Azure VMware 解决方案 (AVS) 上的 Horizon 容器。AVS 上的 Horizon 容器相当于 VMware SDDC 上的 Horizon 容器,因为 AVS 是一个 vSphere 集群(如 Microsoft 文档 教程:在 Azure 中部署 Azure VMware 私有云解决方案中所述),而根据 VMware SDDC(软件定义的数据中心)的定义, vSphere 集群就是 VMware SDDC。以下 Tech Zone 文章详细说明了 AVS 上的 Horizon 容器: Azure VMware 解决方案上的 Horizon 配置Azure VMware 解决方案上的 Horizon 架构

有关对 Microsoft Azure 中的容器的整体介绍,请参阅Microsoft Azure 中的 Horizon Cloud 容器简介

重要事项: 管理控制台是动态的,反映了在当前服务级别提供的功能。不过,如果您有连接到云的容器尚未更新到最新容器软件级别,则控制台不会显示那些依赖于最新容器软件级别的功能。此外,在特定版本中, Horizon Cloud 可能包括单独许可的功能或仅适用于特定租户帐户配置的功能。只有在您的许可证或租户帐户配置授权使用此类功能时,控制台才会动态反映与此类功能相关的元素。有关示例,请参阅 Horizon Cloud 中用于管理任务的基于云的控制台导览

如果您在管理控制台中看不到所需的功能,请与您的 VMware 客户代表联系,以验证您的许可证和租户帐户配置是否授权使用该功能。

在部署首个连接到云的容器并使用 Horizon Universal Console中的容器部署向导将容器部署到 Microsoft Azure 中时,请执行以下步骤。

  1. 满足必备条件。请参阅新容器部署的 VMware Horizon Cloud Service on Microsoft Azure 要求检查表
  2. Horizon Cloud 之外执行一些预备任务。请参阅将 Horizon Cloud 容器部署到 Microsoft Azure 的准备工作
  3. 确认您满足部署容器的 DNS、端口和协议要求。请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求以及使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
  4. 部署容器
  5. 在部署的容器中注册您的 Active Directory 域,包括提供服务帐户的名称。确保这些服务帐户满足 Horizon Cloud 执行操作所需的服务帐户中所述的要求
  6. 将适当的角色分配给组织中的人员,以便其在管理控制台中进行身份验证和执行操作。Horizon Cloud 中使用两种类型的角色。请参阅关于为要使用基于云的控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践
  7. 在极少数的非典型情况下,当您的租户环境中已有 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0 时,您必须向包含域加入帐户作为成员的 Active Directory 组授予 Horizon Cloud 超级管理员角色。请参阅将角色分配给 Active Directory 组,以控制在这些组中的成员对 Horizon Cloud 租户环境进行身份验证后,为他们激活 Horizon Universal Console中的哪些区域
  8. 选择您希望在将容器置备的资源代理到最终用户时,租户的容器使用的代理类型。请参阅Universal Broker 和单容器代理简介主题及其相关主题和子主题。
    注意: 最佳做法是先完成此代理选择步骤,然后再将其他容器部署到 Microsoft Azure。
  9. 在 DNS 服务器中创建所需的 CNAME 记录。有关这些 CNAME 用途的信息,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息。如果为您的租户配置了 Universal Broker,另请参阅配置 Universal Broker 设置中的 CNAME 记录要求。
    注: 如果您具有外部网关配置,并对该配置的 Azure 负载均衡器使用专用 IP 地址,则必须具有防火墙或 NAT 来管理到该专用 IP 地址的 Internet 流量,并且该防火墙或 NAT 必须提供公共 IP 地址并进行相应配置,以使在部署外部网关配置时指定的 FQDN 可公开解析。 Horizon Cloud 控制平面必须能够与为外部网关指定的 FQDN 进行通信。
  10. 与以上步骤相关的是,如果您在上一步中选择单容器代理配置,并且计划将 Workspace ONE Access 与容器结合使用,请执行以下步骤:
    • 在您的 DNS 服务器中,将完全限定域名 (FQDN) 映射到容器管理器的 Microsoft Azure 负载均衡器 IP 地址。
    • 获取基于该映射的 FQDN 的 SSL 证书

    您将根据已在 DNS 中映射到容器管理器的 Microsoft Azure 负载均衡器 IP 地址的 FQDN,将 SSL 证书上载到容器,以便与容器管理器虚拟机之间建立受信任的连接。在单容器代理配置中将 Workspace ONE Access 与容器集成时使用的 Workspace ONE Access Connector 必须建立这样的受信任连接。Workspace ONE Access Connector 必须使用已映射到容器管理器的 Microsoft Azure 负载均衡器 IP 地址的 FQDN 连接到容器。

    注意: 当您的环境配置了单容器代理,并且将 Workspace ONE Access 与容器集成时,必须将 SSL 证书上载到容器,并将 Workspace ONE Access Connector 配置为指向容器,而不是指向容器的 Unified Gateway Access 配置。

    但是,请记住,在您基于 DNS 映射的 FQDN 上载 SSL 证书后,如果尝试通过直接在浏览器中键入该 FQDN 来进行连接,而不通过正确配置的 Workspace ONE Access 进行连接,这种纯 FQDN 用法将显示为不受信任的连接。其原因是,仅将该 FQDN 加载到浏览器时将使用 HTML Access (Blast) 进行连接,而这正是 HTML Access (Blast) 的行为方式。因此,当您将该 FQDN 加载到浏览器时,会显示典型的证书不受信任错误。

    在该类型的配置中没有 Workspace ONE Access 的情况下,要令使用 HTML Access (Blast) 进行的连接(基本上是使用浏览器进行的连接)避免显示证书不受信任错误,您必须在容器上配置网关,并让这些连接使用该网关配置中的负载均衡器和 Unified Access Gateway 实例。如果您不希望在 Internet 上公开 FQDN,您可以部署内部 Unified Access Gateway 配置。该内部 Unified Access Gateway 配置会使用企业网络内部的最终用户可以连接到的 Microsoft Azure 内部负载均衡器。

  11. 如果您希望具有上一步中所述的一个或两个用例,请使用管理控制台中的容器摘要页面将 SSL 证书直接上载到容器。请参阅在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书
    提示: 如果您只想支持以下访问用例:通过与容器的 Unified Access Gateway 实例连接的负载均衡器连接到这些实例,则无需将 SSL 证书直接上载到容器。不过,仍然建议您执行以上步骤和此处的步骤,因为这样做可以确保在向用户提供该 FQDN 以在其 Horizon Clients 中输入该 FQDN 时,这些客户端可以具有受信任的连接。通过执行以上步骤和此处的步骤,您还可以更加快速地将单容器代理环境中的容器与 Workspace ONE Access 相集成,因为您已映射 FQDN,并且已将 SSL 证书上载到容器。
  12. 可选:如果您的 Horizon Cloud 租户帐户尚未载入到 VMware Cloud Services 交互平台,请考虑立即载入。将租户载入到 VMware Cloud Services 交互平台是为 Microsoft Azure 中部署的容器激活 Horizon 基础架构监控功能的先决条件。请参阅使用基于云的控制台将 Horizon Cloud 租户载入 VMware Cloud Services 交互平台
  13. 可选:激活 Horizon 基础架构监控。执行此激活操作的先决条件是必须已将 Horizon Cloud 租户载入 VMware Cloud Services 交互平台。请参阅 Horizon 基础架构监控功能与 Horizon Cloud 环境中的容器
  14. 创建最佳配置映像。创建最佳配置映像的过程包含多个步骤。有关创建可在 Horizon Cloud 租户中使用的最佳配置映像的各种方法的简要概述,请参阅为 Microsoft Azure 中的 Horizon Cloud 容器创建桌面映像。在创建最佳配置映像时,首先要导入基础虚拟机,随后可根据业务需求和最终用户需求自定义该基础虚拟机。
  15. 根据此映像将最后用于的最终用户分配类型,视情况执行以下一个或多个步骤。
  16. 将该映像转换为可分配的映像,这一操作又称为封装或发布映像。请参阅将已配置的虚拟机转换为可分配的映像
  17. 要从已发布的多会话映像置备会话桌面和远程应用程序,请执行以下操作:
    1. 创建一个桌面场以提供会话桌面,然后创建分配以授权最终用户使用这些桌面。请参阅创建场创建 RDSH 会话桌面分配
    2. 创建一个应用程序场以提供远程应用程序,将应用程序添加到您的应用程序清单中,然后创建分配以授权最终用户使用这些远程应用程序。请参阅创建场从 RDSH 场导入新的远程应用程序创建远程应用程序分配
  18. 要从已发布的单会话 VDI 桌面映像置备单会话 VDI 桌面,请创建专用或浮动 VDI 桌面分配。请参阅有关 Microsoft Azure 中 Horizon Cloud 环境的容器的桌面分配及其关于创建这些桌面分配的部分。
  19. 要为最终用户置备 App Volumes 应用程序,请将 App Volumes 应用程序添加到应用程序清单,然后创建应用程序分配,以便授权最终用户使用这些应用程序。然后,创建一个桌面分配,授权这些最终用户访问可在其中使用这些应用程序的基本桌面。应用程序分配会授权在用户授权桌面的 Windows 操作系统内使用用户的授权 App Volumes 应用程序。请参阅 App Volumes 应用程序 - 概述和必备条件
  20. 如果所部署的容器对容器网关进行 RADIUS 双因素身份验证,则必须完成以下任务:
    • 如果已使用 RADIUS 设置配置了外部网关,并且在容器使用的同一 VNet 中,或者在对等 VNet 拓扑中(如果将外部网关部署到其自己单独的 VNet 中)无法访问 RADIUS 服务器,请确认将 RADIUS 服务器配置为允许与外部网关负载均衡器的 IP 地址建立客户端连接。在外部网关配置中,Unified Access Gateway 实例尝试使用该负载均衡器地址来与 RADIUS 服务器联系。要允许连接,请确保该外部网关资源组中的负载均衡器资源 IP 地址在 RADIUS 服务器配置中指定为客户端。
    • 如果配置了内部网关或者外部网关,并且在容器使用的同一 VNet 中可以访问 RADIUS 服务器,请将该 RADIUS 服务器配置为允许使用相应网卡提供的连接,这些网卡是在 Microsoft Azure 内的网关资源组中创建的且必须与该 RADIUS 服务器进行通信。网络管理员可以决定 RADIUS 服务器对容器的 Azure 虚拟网络和子网的网络可见性。您的 RADIUS 服务器必须允许与这些网关网卡(与网络管理员已为该 RADIUS 服务器提供网络可见性的子网相对应)的 IP 地址建立客户端连接。Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器经过更新后变为活动网卡。当执行日常容器操作时以及在每次容器更新后,要支持网关与 RADIUS 服务器之间的连接,请确保在 RADIUS 服务器配置中将这四个网卡的 IP 地址指定为客户端。

    有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新 RADIUS 系统

完成上述工作流步骤后,您的最终用户可以使用 Horizon Client 或 Horizon HTML Access (Web Client) 启动其授权的桌面和远程应用程序:

  • 在使用 Universal Broker 配置的环境中,在其客户端中使用 Universal Broker 代理 FQDN。
  • 在配置了单容器代理的环境中,使用其客户端中的 FQDN,也就是您在 DNS 中使用 CNAME 记录映射的 FQDN。

您可以在上述每个步骤中所链接到的主题中找到有关如何完成每个工作流步骤的深入详细信息。