请完成以下任务来准备 Horizon 容器组件,以将容器载入到 Horizon Cloud 控制平面。确保满足以下部分中所述的要求,以便成功完成载入。

此检查表主要用于在 2021 年 10 月服务发行日期之前从未将容器载入到其租户环境的清空、绿场 Horizon Cloud 客户帐户。

以下部分列出了成功载入 Horizon 容器以将订阅许可证用于该容器时所需的一些要求。有些要求是初始载入后执行的关键任务所需的要求,需执行这些任务才能将 Horizon Cloud 控制平面服务与容器结合使用。

Horizon Cloud 控制平面要求

用于登录到 Horizon Cloud 控制平面的有效 My VMware 帐户。
有效的 Horizon 通用许可证。有关此许可证的更多信息,请参阅“Horizon 通用许可证”页面

Horizon 容器和 Horizon Cloud Connector 要求

Horizon 容器最低运行 7.10 或更高版本。要将最新的云服务和功能与连接到云的容器结合使用,必须运行 Horizon 容器软件可用的最新版本。
Horizon Cloud Connector 虚拟设备最低版本为 1.9 或更高版本。要将最新的云服务和功能与连接到云的容器结合使用,必须运行最新版本,即 Horizon Cloud Connector 版本 2.0
  • 静态 IP
  • DNS 正向和反向查找记录
Horizon Cloud Connector 虚拟设备的资源要求。资源要求取决于已部署的 Horizon 容器的架构:全内置 SDDC 架构或联合架构。下面的列表反映了每个设计的新部署当前支持的版本。
全内置 SDDC 架构
在全内置 SDDC 架构中,会在 VMware SDDC 中部署设备的 OVA 格式。
版本 1.9:
  • “完整功能”配置文件中处于活动状态的服务:8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • “基本功能”配置文件的服务处于活动状态:4 个 vCPU、6 GB 内存 (RAM)、40 GB 数据存储
版本 1.10
8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
版本 2.0
  • 主节点:8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
  • 每个额外的工作节点:8 个 vCPU、8 GB 内存 (RAM)、40 GB 数据存储
联合架构
在联合架构中,云原生格式的设备会部署在特定的云原生基础架构中。这些列表是当前支持的云原生格式和可用的文件下载。可用的云原生格式依 Horizon Cloud Connector 的每个特定版本而异。

用于部署设备的底层计算机实例必须满足或超过以下资源要求。

版本 1.9
Azure 云 - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储
版本 1.10
  • Azure 云 - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储
  • Google 云 - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储
版本 2.0
对于这些部署,仅支持使用主节点。
  • AWS EC2 - 8 个 vCPU、16 GB 内存 (RAM)、40 GB 数据存储Amazon 实例 c5.2xlarge 是提供最少 8 个 vCPU 的支持验证实例。
  • Google 云 - 8 个 vCPU、32 GB 内存 (RAM)、40 GB 数据存储Google 云实例 n2-standard-8 是提供最少 8 个 vCPU 的支持验证实例。
在将 Horizon Cloud Connector 与容器的连接服务器配对时,在容器载入过程中获得授权的 Active Directory 用户。此 Active Directory 用户必须在 root 访问组上具有容器预定义的管理员角色,如容器的 Horizon Console 中全局管理员视图 > 角色权限 > 管理员中所示。换言之,为容器载入过程指定的 Active Directory 用户需是该容器的超级用户,如适用于您容器软件版本的 Horizon 文档《Horizon 管理指南》《Horizon Console 管理指南》中所述。

Active Directory 要求

受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
将连接到云的容器载入到云控制平面时,同一 Horizon Cloud 租户中的所有这些容器都必须能够查看同一组 Active Directory 域。此查看要求不仅适用于您随后在部署第一个容器之后载入到容器群的其他 Horizon 容器,而且还适用于使用同一云租户部署到 Microsoft Azure 中的 Horizon Cloud 容器。

域绑定帐户。

  • 具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
  • 帐户必须具有以下权限:
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
  • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户

辅助域绑定帐户 - 不能使用与上述帐户相同的帐户。

  • 具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
  • 帐户必须具有以下权限:
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
  • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户

域加入帐户
  • 可由系统用来执行 Sysprep 操作并将计算机加入域的 Active Directory 域加入帐户,通常是一个新帐户(域加入用户帐户
  • 将帐户密码设置为永不过期
  • 此帐户需要以下 Active Directory 权限:列出内容、读取所有属性、读取权限、重置密码、创建计算机对象、删除计算机对象。
  • 此外,此帐户还需要对计划用于场和 VDI 桌面分配(使用 Horizon Universal Console创建)的目标组织单位 (OU) 的 OU 后代对象具有名为“写入全部属性”的 Active Directory 权限。
  • 有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
注:
  • 不支持在域加入帐户的登录名中使用空格。如果域加入帐户的登录名中包含空格,则依赖于该帐户的系统操作将会出现意外结果。
  • 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
  • 对于低于 1600.0 的清单版本,此帐户需要系统超级管理员角色的权限。如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则域加入帐户必须位于所述的 Horizon Cloud 管理员组中。系统会将此域加入帐户用于 Microsoft Azure 中您所有租户的 Horizon Cloud 容器。当租户中的现有容器的清单版本低于 1600.0 时,域加入帐户必须满足此要求。有关详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户
辅助域加入帐户(可选,不能使用与上述帐户相同的帐户)
  • 可由系统用来执行 Sysprep 操作并将计算机加入域的 Active Directory 域加入帐户,通常是一个新帐户(域加入用户帐户
  • 将帐户密码设置为永不过期
  • 此帐户需要以下 Active Directory 权限:列出内容、读取所有属性、读取权限、重置密码、创建计算机对象、删除计算机对象。
  • 此外,此帐户还需要对计划用于场和 VDI 桌面分配(使用 Horizon Universal Console创建)的目标组织单位 (OU) 的 OU 后代对象具有名为“写入全部属性”的 Active Directory 权限。
  • 有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
注:
  • 不支持在域加入帐户的登录名中使用空格。如果域加入帐户的登录名中包含空格,则依赖于该帐户的系统操作将会出现意外结果。
  • 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
  • 对于低于 1600.0 的清单版本,此帐户需要系统超级管理员角色的权限。如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则域加入帐户必须位于所述的 Horizon Cloud 管理员组中。系统会将此域加入帐户用于 Microsoft Azure 中您所有租户的 Horizon Cloud 容器。当租户中的现有容器的清单版本低于 1600.0 时,域加入帐户必须满足此要求。有关详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户
Active Directory 组
  • Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户和域加入帐户。此组在 Horizon Cloud 中被授予超级管理员角色。
  • Horizon Cloud 用户 — 用户的 Active Directory 安全组,这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。
注: 如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则域加入帐户以及任何辅助域加入帐户还必须位于 Horizon Cloud 管理员组中,或者位于在 Horizon Cloud 中被授予 超级管理员角色的 Active Directory 组中。

DNS、端口和协议要求

将 Horizon 容器载入到 Horizon Cloud、执行容器的日常操作、将 Horizon Cloud Connector 与该容器配对以及将 Horizon Cloud ConnectorHorizon Cloud 控制平面配对都需要使用特定的端口和协议。请参阅使用 Horizon Cloud Connector 和 Horizon 容器时的 DNS、端口和协议要求

Universal Broker

在使用控制台为租户配置 Universal Broker 时,请确保满足下表中适用于您所需选项的各项要求。有关完整详细信息,请参阅配置 Universal Broker

来自与容器配对的 Horizon Cloud Connector 的出站通信必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是 Universal Broker 配置和日常操作所必需的。请参见 Horizon 容器 - Universal Broker 的端口和协议要求
根据要提供的最终用户连接类型:
  • 如果最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,则必须为容器配置外部 Unified Access Gateway
  • 如果始终通过内部网络进行所有最终用户连接,则无需在容器上配置 Unified Access Gateway,除非您希望 Universal Broker 对这些内部最终用户连接强制执行双因素身份验证。
可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书。如果要使用 VMware 提供的代理 FQDN,则不需要自定义 FQDN。
可选。当您希望 Universal Broker 强制执行双因素身份验证时,容器必须配置外部 Unified Access Gateway 才能在身份验证服务器中进行双因素身份验证。Universal Broker 会将身份验证请求传递到 Unified Access Gateway,后者会与身份验证服务器通信,然后将响应传回到 Universal Broker。该外部 Unified Access Gateway 配置需要以下项目:
  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由

Microsoft Windows 操作系统的许可

Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。

以下一种或多种类型的许可:Microsoft Windows 7、Microsoft Windows 10
以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器
Microsoft RDS 用户 CAL 和/或设备 CAL