仅当您具有第一代 Horizon Cloud 环境,并且要将 Horizon 容器载入到该环境时,才应使用此页面。

注意: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。

自 2022 年 8 月起,Horizon Cloud Service - next-gen 公开发布,并提供了自己的使用 Horizon 控制平面下一代

您具有下一代环境还是第一代环境的一个特征是,在您登录到环境并看到 Horizon Universal Console 标签后在浏览器 URL 字段中显示的模式。对于下一代环境,控制台的 URL 地址包含类似于 /hcsadmin/ 的部分。第一代控制台的 URL 具有不同的部分 (/horizonadmin/)。

重要说明: 如果您是 Horizon Plus 订阅者,请勿使用此页面载入您的容器。如果您是 Horizon Plus 订阅者,要使用通过 Horizon Plus 订阅许可的这些功能,您必须将这些 Horizon 部署载入到下一代控制平面。此页面的内容仅适用于第一代控制平面。

对于 Horizon Plus 订阅者,请参阅此关于 Horizon Plus 的页面,了解载入到下一代控制平面并开始部署 Horizon Edge 的初始步骤。

简介

请完成以下任务来准备 Horizon 8 容器组件,以将容器载入到第一代 Horizon Cloud 控制平面。确保满足以下部分中所述的要求,以便成功完成载入。

注: 截止撰写本文时,第一代 Horizon Cloud 支持 Horizon 7 版本 7.13 和 Horizon 8 版本 1 及更高版本。名称“ Horizon 8 容器”和“ Horizon 容器”在第一代文档中可互换使用,这表明它们都是 Horizon Connection Server 类型容器支持的版本。

检查表受众

此检查表主要适用于在 2023 年 5 月服务版本发行日期之前从未将容器载入到其租户环境的干净、绿地 Horizon Cloud 客户帐户。

以下部分列出了成功载入 Horizon 容器以将订阅许可证用于该容器时所需的一些要求。有些要求是初始载入后执行的关键任务所需的要求,需执行这些任务才能将 Horizon Cloud 控制平面服务与容器结合使用。

有关参考信息,请参阅Horizon将 Horizon 容器载入到 Horizon Cloud 控制平面,其中介绍了将 容器连接到云的简要工作流。

Horizon Cloud 控制平面要求

用于登录到 Horizon Cloud 控制平面的有效 VMware Customer Connect 帐户。(My VMwareVMware Customer Connect 以前的名称。)
有效的 Horizon 通用许可证。有关此许可证的更多信息,请参阅“Horizon 通用许可证”页面

Horizon 容器和 Horizon Cloud Connector 要求

正如 VMware 互操作性列表所示,为了实现 Horizon Cloud Connector 版本与 Horizon 版本之间的互操作性,Horizon 容器运行的版本不得低于 7.13.0。其次,要将最新的云服务和功能与连接到云的容器结合使用,必须运行 Horizon 容器软件的最新可用版本。
重要说明: 不支持将 Horizon Connection Server 副本实例连接到云平面的用例。如果已将 Horizon Connection Server 实例连接到云平面,然后复制该 Horizon Connection Server 实例并尝试将该副本实例连接到云平面,则会出现意外结果。
截止撰写本文时,对于新部署,强烈建议使用 Horizon Cloud Connector 版本 2.2.x 或更高版本。不应将低于最新版本 2.2.x 的版本用于新部署,因为它们不包含最新的修复和改进。

要将最新的云服务和功能与连接到云的容器结合使用并获得最新的安全修复,必须运行最新的 Horizon Cloud Connector 版本。

Horizon Cloud Connector 设备部署过程使用以下项:

  • 静态 IP
  • DNS 正向和反向查找记录
Horizon Cloud Connector 虚拟设备的资源要求。资源要求取决于已部署的 Horizon 容器的架构:全内置 SDDC 架构或联合架构。下面的列表反映了每个设计的新部署当前支持的版本。
全内置 SDDC 架构
在全 SDDC 架构中,设备的 OVA 格式部署在 VMware SDDC 中。
版本 2.2.x
  • 主节点:4 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • 每个额外的工作节点:4 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
版本 2.3.x
  • 主节点:4 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • 每个额外的工作节点:4 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
版本 2.4.x
  • 主节点:4 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • 每个额外的工作节点:4 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
联合架构
在联合架构中,云原生格式的设备会部署在特定的云原生基础架构中。这些列表是当前支持的云原生格式和可用的文件下载。可用的云原生格式依 Horizon Cloud Connector 的每个特定版本而异。

用于部署设备的底层计算机实例必须满足或超过以下资源要求。

版本 2.2.x
对于这些部署,仅支持使用主节点。
  • Azure VMware Solution (AVS) - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储。Azure 云实例 Standard_D8_v3 是提供最少 8 个 vCPU 的支持验证实例。
  • Google Cloud VMware Engine (GCVE) - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储。Google 云实例 n2-standard-8 是提供最少 8 个 vCPU 的支持验证实例。
  • VMware Cloud on AWS - 8 个 vCPU、16 GB 内存 (RAM)、40 GB 数据存储。Amazon 实例 c5.2xlarge 是提供最少 8 个 vCPU 的支持验证实例。
版本 2.3.x
对于这些部署,仅支持使用主节点。
  • Azure VMware Solution (AVS) - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储。Azure 云实例 Standard_D8_v3 是提供最少 8 个 vCPU 的支持验证实例。
  • Google Cloud VMware Engine (GCVE) - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储。Google 云实例 n2-standard-8 是提供最少 8 个 vCPU 的支持验证实例。
  • VMware Cloud on AWS - 8 个 vCPU、16 GB 内存 (RAM)、40 GB 数据存储。Amazon 实例 c5.2xlarge 是提供最少 8 个 vCPU 的支持验证实例。
版本 2.4.x
对于这些部署,仅支持使用主节点。
  • Azure VMware Solution (AVS) - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储。Azure 云实例 Standard_D8_v3 是提供最少 8 个 vCPU 的支持验证实例。
  • Google Cloud VMware Engine (GCVE) - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储。Google 云实例 n2-standard-8 是提供最少 8 个 vCPU 的支持验证实例。
  • VMware Cloud on AWS - 8 个 vCPU、16 GB 内存 (RAM)、40 GB 数据存储。Amazon 实例 c5.2xlarge 是提供最少 8 个 vCPU 的支持验证实例。
在将 Horizon Cloud Connector 与容器的连接服务器配对时,在容器载入过程中获得授权的 Active Directory 用户。此 Active Directory 用户必须在 root 访问组上具有容器预定义的管理员角色,如容器的 Horizon Console 中全局管理员视图 > 角色权限 > 管理员中所示。换言之,为容器载入过程指定的 Active Directory 用户需是该容器的超级用户,如适用于您容器软件版本的 VMware Horizon 7VMware Horizon 8 文档《Horizon 管理指南》《Horizon Console 管理指南》中所述。

Active Directory 域 - 对于 Horizon 8 容器是可选的,除非您需要许可范围以外的完整控制台和云平面服务

提示: 如第一代管理指南页面 Active Directory 域注册中所述,您可以忽略 Active Directory 域注册,并且连接到云的 Horizon 容器部署将继续获得许可。请记住,在至少配置了一个域之前,除了控制台的 “入门”页面中提供的几项功能外,控制台的大多数功能将保持锁定状态且不可用。

使用控制台注册连接到云的 Horizon 容器的 Active Directory 域时,请确保满足以下要求。

注: 如果租户的第一个容器是 Horizon Connection Server 类型的容器,则在使用控制台注册 Active Directory 域时,您可以选择跳过而不输入域加入帐户信息,这样此类容器的云平面服务将正常工作。

但是,如果您选择跳过而不输入域加入帐户信息,稍后再将 Horizon Cloud 容器部署添加到此同一租户,并计划利用该容器为先前注册的 Active Directory 域中的最终用户置备资源,则必须记得在部署该容器后配置域加入信息。部署 Horizon Cloud 容器后,控制台不会自动通知“未配置域加入信息”这一情况,并且从该容器为最终用户置备资源时需要使用域加入信息。有关此类容器的域加入要求,请参阅 Horizon Cloud 容器检查表。

受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
将连接到云的容器载入到云控制平面时,同一 Horizon Cloud 租户中的所有这些容器都必须能够查看同一组 Active Directory 域。此查看要求不仅适用于您随后在部署第一个容器之后载入到容器群的其他 Horizon 容器,而且还适用于使用同一云租户部署到 Microsoft Azure 中的 Horizon Cloud 容器。

域绑定帐户。

  • 具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
  • 帐户必须具有以下权限:
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
  • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户

辅助域绑定帐户 - 不能使用与上述帐户相同的帐户。

  • 具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
  • 帐户必须具有以下权限:
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
  • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户

Active Directory 组
  • Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户和域加入帐户。此组在 Horizon Cloud 中被授予超级管理员角色。
  • Horizon Cloud 用户 — 用户的 Active Directory 安全组,这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。

DNS、端口和协议要求

将 Horizon 容器载入到 Horizon Cloud、执行容器的日常操作、将 Horizon Cloud Connector 与该容器配对以及将 Horizon Cloud ConnectorHorizon Cloud 控制平面配对都需要使用特定的端口和协议。请参阅使用 Horizon Cloud Connector 和 Horizon 容器时的 DNS、端口和协议要求

Universal Broker

在使用控制台为租户配置 Universal Broker 时,请确保满足下表中适用于您所需选项的各项要求。有关完整详细信息,请参阅配置 Universal Broker

来自与容器配对的 Horizon Cloud Connector 的出站通信必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是 Universal Broker 配置和日常操作所必需的。请参见 Horizon 容器 - Universal Broker 的端口和协议要求
根据要提供的最终用户连接类型:
  • 如果最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,则必须为容器配置外部 Unified Access Gateway
  • 如果始终通过内部网络进行所有最终用户连接,则无需在容器上配置 Unified Access Gateway,除非您希望 Universal Broker 对这些内部最终用户连接强制执行双因素身份验证。
可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书。如果要使用 VMware 提供的代理 FQDN,则不需要自定义 FQDN。
可选。当您希望 Universal Broker 强制执行双因素身份验证时,容器必须配置外部 Unified Access Gateway 才能在身份验证服务器中进行双因素身份验证。Universal Broker 会将身份验证请求传递到 Unified Access Gateway,后者会与身份验证服务器通信,然后将响应传回到 Universal Broker。该外部 Unified Access Gateway 配置需要以下项目:
  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由

Microsoft Windows 操作系统的许可

Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。

以下一种或多种类型的许可:Microsoft Windows 7、Microsoft Windows 10
以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器
Microsoft RDS 用户 CAL 和/或设备 CAL