此检查表旨在帮助您了解第一代 Horizon Cloud on Microsoft Azure 部署所需的元素。遵循此检查表可确保成功运行容器部署程序并完成首日任务。
自 2022 年 8 月起,Horizon Cloud Service - next-gen 公开发布,并提供了自己的使用 Horizon 控制平面下一代。
您具有下一代环境还是第一代环境的一个特征是,在您登录到环境并看到 Horizon Universal Console 标签后在浏览器 URL 字段中显示的模式。对于下一代环境,控制台的 URL 地址包含类似于 /hcsadmin/ 的部分。第一代控制台的 URL 具有不同的部分 (/horizonadmin/)。
检查表受众
该检查表主要适用于服务更新日期 2023 年 11 月 2 日之前从未在其租户环境中进行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客户帐户。您可能会听到此类租户环境被称为干净的环境或绿地环境。
此处介绍的集合主要用于生产部署。试验部署或概念证明部署通常可以使用其中一部分进行处理,如简化的概念证明部署中所示。
下面列出的某些部分必须在运行“新建容器”部署向导之前完成配置。
某些项目可以推迟到部署完成并运行之后再配置。
有些项目被列为可选项,因为它们与您为 Horizon Cloud on Microsoft Azure 部署所选的选项有关。
例如,您可以在不选择 Unified Access Gateway 配置的情况下运行“新建容器”向导,并在容器部署后再添加网关配置。在这种情况下,要到容器部署后,您才需要满足 Unified Access Gateway 要求。
需在运行“新建容器”向导之前完成下项 | 可在部署容器后完成以下项 |
---|---|
|
|
一些关键注意事项
在进行试验或概念验证性 Horizon Cloud on Microsoft Azure 部署时,您可以是将用于部署的 Microsoft Azure 订阅的所有者,也可以代表拥有该订阅的组织进行概念验证。
订阅所有者必须确保容器订阅中所有生效的 Microsoft Azure 策略都不会阻止、拒绝或限制创建容器组件。
之所以要确保这一点,是因为在容器部署过程中,容器部署程序会使用 API 调用在“新建容器”向导中指定的订阅内创建资源。如果该订阅中有生效的 Microsoft Azure 策略会阻止、拒绝或限制创建容器组件,则部署将失败,此时需要向 VMware 技术支持团队提交支持请求。
例如,容器部署程序要求容器订阅中所有生效的 Microsoft Azure 策略均不得阻止、拒绝或限制在 Azure 存储帐户上创建组件。
在运行“新建容器”向导之前,需向订阅所有者确认 Microsoft Azure 策略内置策略定义不会阻止、拒绝或限制创建容器组件。
Horizon Cloud 控制平面要求
☐ | VMware 已配置为登录到 Horizon Cloud 控制平面的 VMware Customer Connect 帐户。 有关此帐户与 Horizon Cloud 租户帐户之间关系的概述,您可以参阅 Horizon Service 部署和容器载入页面。 |
Microsoft Azure 订阅要求
☐ | 受支持的 Microsoft Azure 环境(Azure 商业、Azure 中国或 Azure 政府)中的有效 Microsoft Azure 订阅。如果要将外部 Unified Access Gateway 使用其自身订阅部署在单独的 VNet 中,则在同一 Microsoft Azure 环境中需要获取其他有效的 Microsoft Azure 订阅。
注:
Horizon Cloud 支持大部分 Microsoft Azure 区域。有关当前不受支持的 Microsoft Azure 区域列表,请参阅
VMware 知识库文章“Horizon Cloud Service on Microsoft Azure 中的 Microsoft Azure 区域 (77121)”。
|
☐ | 该 Microsoft Azure 订阅中的有效 Microsoft Azure 管理特权,以允许您使用 Microsoft Azure 门户并执行容器部署准备步骤。 |
☐ | 已在容器的订阅中创建 Horizon Cloud 应用程序注册和客户端密码。请参阅第一代租户 - 在容器的订阅中创建 Horizon Cloud 应用程序注册。 如果您本人或您的组织将使用该功能在与容器订阅不同的订阅中部署外部网关配置,则该网关订阅也需要一个 Horizon Cloud 应用程序注册和一个客户端密码。 |
☐ | 按照标准 Microsoft Azure 行为,在订阅中创建 Horizon Cloud 应用程序注册时,会自动创建一个服务主体。 为此服务主体分配允许 Horizon Cloud 在容器订阅中进行 API 调用的角色。 通常,会在容器订阅级别分配 此外,该角色也可以是在容器订阅级别分配的自定义角色。 在单独订阅的现有资源组中部署外部网关配置时,可以为该网关订阅的服务主体分配自定义角色或 当您本人或您的组织希望 Horizon Cloud 应用程序注册使用自定义角色时,请参阅当您的组织希望使用自定义角色时页面,该页面介绍了自定义角色必须能够执行的操作。
注: 必须将角色直接分配给
Horizon Cloud 应用程序注册的服务主体。不支持对此服务主体使用基于组的角色分配。
|
☐ | 已在每个 Microsoft Azure 订阅中注册所需的资源提供程序。请参阅注册资源提供程序。 |
☐ | 用于标识订阅的订阅 ID、目录 ID、应用程序 ID 和密钥,您将在部署向导中指定这些值。 |
☐ | 订阅必须允许使用 Azure StorageV2 帐户类型。确保订阅的 Microsoft Azure 策略不会限制或拒绝创建需要使用 Azure StorageV2 帐户类型的内容。 |
☐ | 订阅必须允许创建没有标记的资源组,除非您在容器部署向导中指定自定义资源标记。容器部署过程中会在容器的订阅中创建没有标记的资源组,除非您在向导中指定自定义资源标记。 如果您不打算使用部署向导的自定义资源标记功能,则必须确认您的 Microsoft Azure 策略允许在目标订阅中创建容器的未标记资源组。如果未在向导中指定自定义资源标记,并且 Microsoft Azure 订阅具有某种类型的资源标记要求,则在尝试将容器部署到该订阅中时,或者在容器更新或将网关配置添加到容器时,容器部署将失败。有关由部署程序创建的资源组的名称,请参阅容器部署程序创建的资源组。 |
☐ | 可选。如果贵组织可能会规定,对于位于单独 VNet 和不同于容器订阅的单独订阅中的外部 Unified Access Gateway,必须使用由组织指定的特定预创建资源组,并且贵组织要求使用由组织指定的特定预创建资源组,则您将需要使用该功能将外部 Unified Access Gateway 部署到您自己指定的资源组中。如果不使用该功能,容器部署程序会自动使用其自己的命名约定创建资源组。 要使用该功能,需要在运行容器部署程序之前在该订阅中创建相应的资源组。此外,为使容器部署程序能够在标准容器更新中将 Unified Access Gateway 配置部署到该资源组、管理该配置并更新 Unified Access Gateway 软件,您还必须确保具有必要的权限。有关自定义角色必须包含的权限的详细信息,请参阅当您的组织希望使用自定义角色时。 |
Microsoft Azure 容量要求
如果下表指 Microsoft Azure 容量,则无需手动安装。只要订阅中具有指定的容量,容器部署程序便会自动实例化所述的虚拟机。
对于涉及虚拟机系列的容量,Microsoft Azure 门户还使用“配额”一词。
☐ | 为将核心 Horizon Cloud 容器项目部署到该订阅中所需的 Microsoft Azure 容量。(此列表不包括可选 Unified Access Gateway 配置以及预期的桌面和应用程序工作负载所需的容量。)
|
☐ | 可选。指定对容器使用 Unified Access Gateway 时所需的容量。
注:
A4_v2 虚拟机型号仅足够满足概念证明 (Proof-of-Concept, PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
如果订阅的区域不提供 |
网络要求
☐ | 在目标 Microsoft Azure 区域中创建的 Microsoft Azure 虚拟网络 (VNet),该网络具有适用的地址空间,可覆盖所需子网。请参阅第一代 Horizon Cloud - 在 Microsoft Azure 中配置必需的虚拟网络。 将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,请通过适用地址空间在与容器的 VNet 相同的 Microsoft Azure 区域中创建该 Unified Access Gateway VNet 以覆盖所需子网,并将两个 VNet 对等互连。 |
☐ | 在容器的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
提示: 在部署容器后,您可以编辑该容器以添加与场和桌面分配中的虚拟机一起使用的租户子网。其他租户子网可以位于部署容器的同一个 VNet 中,也可以位于对等互连 VNet 中。有关详细信息,请参阅
使用多个租户子网概述。
|
☐ | 将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,在 Unified Access Gateway 的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
|
☐ | 一个或多个可从 Horizon Cloud 容器和 Unified Access Gateway 实例使用和访问的 NTP 服务器。 |
☐ | 配置 VNet(虚拟网络)DNS 服务器,使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。 |
☐ | 用于容器和网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 DNS 要求和端口和协议要求。 |
☐ | 可选。代理服务器信息(如果 VNet 上的出站 Internet 访问需要该信息),在 Horizon Cloud 环境中执行部署和日常操作期间将使用该信息。 |
☐ | 可选。配置的 Microsoft Azure VPN/Express Route,当希望在 VNet 和内部部署企业网络之间建立网络连接时使用。 |
端口和协议要求
☐ | 在 Horizon Cloud 环境中载入容器和执行日常操作需要特定的端口和协议。请参阅端口和协议。 |
Unified Access Gateway 要求
您可以在不选择 Unified Access Gateway 配置的情况下运行“新建容器”向导,并在容器部署后再添加网关配置。在这种情况下,要到容器部署后,您才需要满足 Unified Access Gateway 要求。根据定义,外部 Unified Access Gateway 允许位于外部网络的客户端启动虚拟桌面和应用程序,而内部 Unified Access Gateway 则允许位于内部网络的客户端建立受信任的 HTML Access (Blast) 连接。为支持最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,容器必须配置外部 Unified Access Gateway。
如果您在“新建容器”向导中选择了 Unified Access Gateway 选项,则向导会要求您指定以下特定项目。
☐ | Unified Access Gateway 配置的 FQDN。 |
☐ | 与 FQDN 匹配的一个或多个采用 PEM 格式的 Unified Access Gateway 证书。
注: 如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在
Unified Access Gateway 网关配置中配置提供的证书期间,
Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,容器部署将在其
连接阶段失败。这些名称高度依赖于用于获取证书的 CA,因此不在 VMware 的控制中。
|
☐ | 可选,除非您希望最终用户使用双因素身份验证。在这种情况下,必须将 Unified Access Gateway 配置为使用支持用于 Horizon Cloud on Microsoft Azure 部署的身份验证系统类型之一来进行双因素身份验证。 配置应包括:
注: 部署容器并在
Universal Broker 设置中配置了双因素身份验证后,如果您还希望内部最终用户跳过使用该双因素身份验证,则需要进行一些额外配置。当容器具有内部
Unified Access Gateway 配置时,该配置会将此类内部最终用户的连接请求路由到虚拟桌面和应用程序。如果您希望
Universal Broker 跳过针对内部最终用户的双因素身份验证步骤,则在部署容器并配置
Universal Broker 后,请输入与内部最终用户流量对应的输出 NAT 地址范围。通过设置这些范围,
Universal Broker 可识别来自内部最终用户的客户端流量并将其与来自外部最终用户的流量区分开,从而跳过针对内部最终用户的双因素身份验证。有关详细信息,请参阅文档主题
为 Universal Broker 定义内部网络范围
|
容器部署工作流
在启动容器部署向导之前,需要满足上述各项要求。在确保满足上述要求后,执行第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 简要步骤中的容器部署步骤 1 至 4 以部署容器。
在成功部署容器后,请确保您满足以下部分中所述的各项要求,以便您可以完成此简要工作流中的其余重要任务。
Active Directory 要求
控制台的 Active Directory 注册工作流需要满足以下各项要求。要充分了解该工作流,请参阅在 Horizon Cloud 环境中执行第一个 Active Directory 域注册。
☐ | 以下受支持的 Active Directory 配置之一:
|
☐ | 受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
|
☐ | 部署连接到云的容器时,同一 Horizon Cloud 客户帐户中所有这些容器都必须能够查看同一组 Active Directory 域。此要求不仅适用于在部署第一个容器之后部署到 Microsoft Azure 的其他容器,还适用于通过使用 Horizon Cloud Connector 云连接到同一客户帐户的任何 Horizon 容器。 |
☐ |
|
☐ |
|
☐ |
有关更多详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 |
☐ |
有关更多详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 |
☐ | Active Directory 组
Horizon Cloud 支持对管理员登录和最终用户授权使用 Active Directory 安全组。支持嵌套组。组成员身份可通过请求 tokenGroups 计算属性进行评估,这意味着 Horizon Cloud 没有嵌套深度限制,但支持在 Active Directory 中设置任何内容。 当系统询问 Active Directory 组上下文以及 Horizon Cloud + Universal Broker + Workspace ONE Access Cloud 的组合方面是否存在其他注意事项或其他限制时,其答案是“否”、“无”。 如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则域加入帐户以及任何辅助域加入帐户还必须位于 Horizon Cloud 管理员组中,或者位于在 Horizon Cloud 中被授予超级管理员角色的 Active Directory 组中。 |
☐ | 虚拟桌面和基于会话的 RDS 桌面以及/或者已发布的应用程序的一个或多个 Active Directory 组织单位 (Organizational Unit, OU)。 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 |
如果要使用为 LDAPS 配置的 Active Directory,则必须请求在 Horizon Cloud 租户中启用 LDAPS 支持的功能。有关更多详细信息,请参阅使用为 LDAPS 配置的 Active Directory 环境。
Universal Broker 配置
对于 Universal Broker 配置,请确保满足下表中适用于您所需选项的各项要求。有关完整详细信息,请参阅配置 Universal Broker。
☐ | 用于容器的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是 Universal Broker 配置和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称和 第一代租户 - Horizon Cloud 容器 - 端口和协议要求。 |
☐ | 根据要提供的最终用户连接类型:
|
☐ | 可选。如果您希望 Universal Broker 强制实施双因素身份验证,则容器必须将外部 Unified Access Gateway 配置为使用支持用于 Horizon Cloud on Microsoft Azure 部署的身份验证系统类型之一来进行双因素身份验证。 Universal Broker 会将身份验证请求传递到 Unified Access Gateway,后者会与身份验证服务器通信,然后将响应传回到 Universal Broker。 该外部 Unified Access Gateway 配置需要以下项目:
|
☐ | 可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书。如果要使用 VMware 提供的代理 FQDN,则不需要自定义 FQDN。 |
DNS 记录要求
将容器部署到 Microsoft Azure 云中后,请务必根据您的业务情况以及您想要利用的功能,在 DNS 服务器中设置相应记录以将完全限定域名 (FQDN) 映射到与容器相关的 IP 地址。有关 DNS 记录映射的背景信息,请参阅 Microsoft 云服务文档页面为 Azure 云服务配置自定义域名。
- 为租户的 Universal Broker 配置自定义 FQDN 时
-
☐ 创建一个公共 DNS 记录,以将自定义 FQDN 映射到 Universal Broker 配置中 VMware 提供的代理 FQDN。请参阅配置 Universal Broker。 - 容器具有外部 Unified Access Gateway 时
-
☐ 为外部最终用户访问创建一个公共 DNS 记录,此记录与外部网关配置上的 FQDN 相匹配。此 DNS 记录会将该 FQDN 指向容器外部 Unified Access Gateway 配置中的 Microsoft Azure 外部负载均衡器。 有关 DNS 记录映射的背景信息,请参阅 Microsoft 文档页面为 Azure 云服务配置自定义域名。
- 容器具有内部 Unified Access Gateway 时
-
☐ 为内部最终用户访问创建一个内部 DNS 记录,此记录与内部网关配置上的 FQDN 相匹配。此 DNS 记录会将该 FQDN 指向容器内部 Unified Access Gateway 配置中的 Microsoft Azure 内部负载均衡器。
Horizon Cloud 最佳配置映像、桌面和场
您的 Microsoft Azure 订阅必须满足以下要求,具体取决于您要在部署的容器中置备的最佳配置映像、VDI 桌面和 RDS 场的类型。
此外,对于客户机操作系统 Windows 10 和 Windows 11,请注意以下有关使用 Microsoft Azure 虚拟机型号第 1 代虚拟机和第 2 代虚拟机的支持列表。
Azure 虚拟机型号 | Windows 10 | Windows 11 |
---|---|---|
第 1 代虚拟机 | 支持 | 不支持 |
第 2 代虚拟机 | 不支持 | 支持 |
☐ | 最佳配置映像的基础 — 一个或多个受支持的 Microsoft Azure 虚拟机配置。
当使用控制台的“从应用商店导入虚拟机”自动向导来创建基础虚拟机时,默认情况下,系统将自动使用上述某个虚拟机大小。系统的默认选择基于其内部设置和特定操作系统 (OS)。 系统会将如下所示的型号用于单容器映像和多容器映像。 |
☐ | 为 VDI 桌面分配中的桌面虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud 桌面操作不兼容的这些配置除外。 对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。 |
☐ | 为场中的 RDSH 虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud RDS 场操作不兼容的这些配置除外。 在将运行 Microsoft Windows 10 企业版多会话或 Windows 11 企业版多会话的虚拟机与 Horizon Cloud 结合使用时,该要求也适用于该虚拟机。正如 Microsoft Azure 虚拟桌面文档的 Microsoft Windows 企业版多会话常见问题解答中所述,Microsoft Windows 企业版多会话是一种允许多个并发交互会话的远程桌面会话主机 (RDSH) 类型,以前仅 Microsoft Windows Server 操作系统能够提供该功能。适用于 RDS 服务器的 Horizon Cloud 工作流也适用于 Microsoft Windows 企业版多会话。 对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。 |
映像管理服务 (IMS) 要求
从 2021 年 7 月版本开始,如果您的 Horizon Cloud 容器均运行清单版本 2632 或更高版本,并且已为租户启用 Universal Broker,则可以在这些容器中使用 Horizon 映像管理服务功能。要使用该服务提供的多容器映像功能,还需要满足其他要求。有关使用这些功能所需满足的系统要求的完整详细信息,请参阅 Horizon 映像管理服务系统要求中的“Microsoft Azure”部分。下表中列出了使用多容器映像时,还需满足的有关容器订阅和该订阅的 Horizon Cloud 应用程序注册及服务主体的要求。
☐ | 参与多容器映像的容器使用的订阅必须位于单个 Microsoft Azure Active Directory (AAD) 租户中。 |
☐ | 参与多容器映像的容器使用的 Horizon Cloud 应用程序注册服务主体必须满足以下任一要求:
由于容器可能位于不同的订阅中,因此这个读取访问权限要求可使每个参与容器的订阅都能够查看其他参与容器的订阅。该服务需要具有这种查看能力才能使用 Azure 共享映像库功能创建多容器映像。 |
☐ | 参与容器的服务主体使用的任何自定义角色必须包含以下与 Azure 共享映像库使用有关的权限。
|
Microsoft Windows 操作系统的许可
这些内容与导入的虚拟机、最佳配置映像、支持 RDSH 的场虚拟机和虚拟桌面虚拟机中的 Microsoft Windows 操作系统有关。有关 Horizon Cloud 支持的 Microsoft Windows 操作系统列表,请参阅 VMware 知识库文章 78170 和 VMware 知识库文章 70965。
Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。
☐ | 以下一种或多种类型的许可:Microsoft Windows 7 企业版、Microsoft Windows 10、Microsoft Windows 11(单会话,VDI 客户端类型) |
☐ | Microsoft Windows 10 企业版多会话或 Microsoft Windows 11 企业版多会话的许可 |
☐ | 以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019 |
☐ | Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器 |
☐ | Microsoft RDS 用户 CAL 和/或设备 CAL |
参考架构
请使用下面的架构图作为参考。