请完成以下任务来准备 Horizon 容器组件,以便与 Horizon Cloud 进行连接。确保按照下面所述完成每个步骤,以便成功完成部署。

本文档主题涵盖以下部分:

此检查表主要用于在 2020 年 10 月服务版本日期之前从未部署容器或通过云连接到其租户环境的 Horizon Cloud 客户帐户。此类环境可能被称为“清空”环境或绿场环境。

下面列出的一些要求是成功将 Horizon 容器载入到 Horizon Cloud 所需的一些要求。一些要求是在载入 Horizon 容器后执行的关键任务所需的要求,以获得能够为最终用户提供多云分配的生产租户环境。

Horizon Cloud 控制平面要求

用于登录到 Horizon Cloud 控制平面的有效 My VMware 帐户。
有效的 Horizon 通用许可证。有关更多信息,请参阅“Horizon 通用许可证”页面

Active Directory 要求

受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
部署连接到云的容器时,同一 Horizon Cloud 客户帐户中所有这些容器都必须能够查看同一组 Active Directory 域。此要求不仅适用于在部署第一个容器之后使用 Horizon Cloud Connector 进行云连接的其他 Horizon 容器,还适用于使用同一客户帐户部署到 Microsoft Azure 的容器。您可以在针对新容器部署的 VMware Horizon Cloud Service on Microsoft Azure 要求检查表 - 针对从 2020 年 10 月服务版本开始部署的容器进行了相应更新中查看 Microsoft Azure 容器的检查表。
域绑定帐户
  • 具有以下权限的 Active Directory 域绑定帐户(具有读取访问权限的标准用户):
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
    注:
    • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
    • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
辅助域绑定帐户 — 不能使用与上述帐户相同的帐户
  • 具有以下权限的 Active Directory 域绑定帐户(具有读取访问权限的标准用户):
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
    注:
    • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
    • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
域加入帐户
  • 可由系统用来执行 Sysprep 操作并将计算机加入域的 Active Directory 域加入帐户,通常是一个新帐户(域加入用户帐户
  • Horizon Cloud 管理员组的成员
  • 将帐户密码设置为永不过期
  • 此帐户需要以下 Active Directory 权限:列出内容、读取所有属性、读取权限、重置密码、创建计算机对象、删除计算机对象。
  • 此外,此帐户还需要对计划用于场和 VDI 桌面分配(使用 Horizon Cloud 管理控制台创建)的目标组织单位 (OU) 的 OU 后代对象具有名为“写入全部属性”的 Active Directory 权限。
  • 有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
注: 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除 防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
辅助域加入帐户(可选,不能使用与上述帐户相同的帐户)
  • 可由系统用来执行 Sysprep 操作并将计算机加入域的 Active Directory 域加入帐户,通常是一个新帐户(域加入用户帐户
  • Horizon Cloud 管理员组的成员
  • 将帐户密码设置为永不过期
  • 此帐户需要以下 Active Directory 权限:列出内容、读取所有属性、读取权限、重置密码、创建计算机对象、删除计算机对象。
  • 此外,此帐户还需要对计划用于场和 VDI 桌面分配(使用 Horizon Cloud 管理控制台创建)的目标组织单位 (OU) 的 OU 后代对象具有名为“写入全部属性”的 Active Directory 权限。
  • 有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
注: 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除 防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
Active Directory 组
  • Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户和域加入帐户。该组将添加到 Horizon Cloud 中的超级管理员角色。
  • Horizon Cloud 用户 — 用户的 Active Directory 安全组,这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。

Horizon 容器和 Horizon Cloud Connector 要求

Horizon 容器最低运行 7.10 或更高版本。要将最新的云服务和功能与连接到云的容器结合使用,必须运行 Horizon 容器软件可用的最新版本。
Horizon Cloud Connector 虚拟设备最低版本为 1.6 或更高版本。要将最新的云服务和功能与连接到云的容器结合使用,必须运行最新版本,即 Horizon Cloud Connector 版本 1.8。
  • 静态 IP
  • DNS 正向和反向查找记录
Horizon Cloud Connector 虚拟设备的资源要求:
  • 对于版本 1.6:8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • 对于版本 1.7:8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • 对于版本 1.8:
    • “完整功能”配置文件:8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
    • “基本功能”配置文件:4 个 vCPU、6 GB 内存 (RAM)、40 GB 数据存储
重要事项: 除了为 Horizon 管理组件(如连接服务器虚拟机、Unified Access Gateway 虚拟机和其他组件)预留容量之外,您还应计划为 Horizon Cloud Connector 组件预留容量。 Horizon Cloud Connector 是部署到 Horizon 容器环境中的基础架构组件,用于将 Horizon 容器连接到 Horizon Cloud,以便实现将 Horizon 订阅许可证和云托管服务与该容器结合使用的用例。
在将 Horizon Cloud Connector 与容器的连接服务器配对时,在容器载入过程中使用的 Active Directory 用户。此 Active Directory 用户必须在 root 访问组上具有容器预定义的管理员角色,如容器的 Horizon Console 中全局管理员视图 > 角色权限 > 管理员中所示。换言之,为容器载入过程指定的 Active Directory 用户需是该容器的超级用户,如适用于您容器软件版本的 Horizon 文档《Horizon Console 管理指南》中所述。

DNS、端口和协议要求

将 Horizon 容器载入到 Horizon Cloud、执行容器的日常操作、将 Horizon Cloud Connector 与该容器配对以及运行 Horizon Cloud 租户环境都需要使用特定的端口和协议。请参阅使用 Horizon Cloud Connector 和 Horizon 容器时的 DNS、端口和协议要求

Universal Broker 要求

载入第一个容器操作完成后,您可以将 Universal Broker 的使用设置为 Horizon Cloud 环境的代理方法。当您选择为环境配置 Universal Broker 时,需要具备以下各项。有关其他详细信息,请参见配置 Universal BrokerUniversal Broker 的系统要求

要对连接到云的 Horizon 容器使用 Universal Broker,必须为该容器配置 Unified Access Gateway
Universal Broker 具有特定的 DNS、端口和协议要求,可以与部署在本地或 VMware Cloud on AWS 中的参与的 Horizon 容器配合使用。请参见 Horizon 容器 - Universal Broker 的端口和协议要求
可选:如果您希望 Universal Broker 对容器使用双因素身份验证,请将容器的网关配置为针对 RADIUS 身份验证服务器进行双因素身份验证。
  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由
可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书(可选)

Microsoft Windows 操作系统的许可

Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。

以下一种或多种类型的许可:Microsoft Windows 7、Microsoft Windows 10
以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器
Microsoft RDS 用户 CAL 和/或设备 CAL