此检查表旨在帮助您了解第一代 Horizon Cloud on Microsoft Azure 部署所需的元素。遵循此检查表可确保成功运行容器部署程序并完成首日任务。

注意: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。

自 2022 年 8 月起,Horizon Cloud Service - next-gen 公开发布,并提供了自己的使用 Horizon 控制平面下一代

您具有下一代环境还是第一代环境的一个特征是,在您登录到环境并看到 Horizon Universal Console 标签后在浏览器 URL 字段中显示的模式。对于下一代环境,控制台的 URL 地址包含类似于 /hcsadmin/ 的部分。第一代控制台的 URL 具有不同的部分 (/horizonadmin/)。

检查表受众

该检查表主要适用于服务更新日期 2023 年 11 月 2 日之前从未在其租户环境中进行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客户帐户。您可能会听到此类租户环境被称为干净的环境或绿地环境。

此处介绍的集合主要用于生产部署。试验部署或概念证明部署通常可以使用其中一部分进行处理,如简化的概念证明部署中所示。

下面列出的某些部分必须在运行“新建容器”部署向导之前完成配置。

某些项目可以推迟到部署完成并运行之后再配置。

有些项目被列为可选项,因为它们与您为 Horizon Cloud on Microsoft Azure 部署所选的选项有关。

例如,您可以在不选择 Unified Access Gateway 配置的情况下运行“新建容器”向导,并在容器部署后再添加网关配置。在这种情况下,要到容器部署后,您才需要满足 Unified Access Gateway 要求。

需在运行“新建容器”向导之前完成下项 可在部署容器后完成以下项
  • 控制平面租户帐户
  • Microsoft Azure 订阅项
  • 网络连接
  • 端口和协议
  • 可选 Unified Access Gateway
  • Active Directory
  • 可选 Unified Access Gateway(在部署后添加)
  • Universal Broker
  • DNS 记录
  • 最佳配置映像、桌面、场容量
  • Microsoft Windows 操作系统许可证

一些关键注意事项

在进行试验或概念验证性 Horizon Cloud on Microsoft Azure 部署时,您可以是将用于部署的 Microsoft Azure 订阅的所有者,也可以代表拥有该订阅的组织进行概念验证。

订阅所有者必须确保容器订阅中所有生效的 Microsoft Azure 策略都不会阻止、拒绝或限制创建容器组件。

之所以要确保这一点,是因为在容器部署过程中,容器部署程序会使用 API 调用在“新建容器”向导中指定的订阅内创建资源。如果该订阅中有生效的 Microsoft Azure 策略会阻止、拒绝或限制创建容器组件,则部署将失败,此时需要向 VMware 技术支持团队提交支持请求。

例如,容器部署程序要求容器订阅中所有生效的 Microsoft Azure 策略均不得阻止、拒绝或限制在 Azure 存储帐户上创建组件。

在运行“新建容器”向导之前,需向订阅所有者确认 Microsoft Azure 策略内置策略定义不会阻止、拒绝或限制创建容器组件。

Horizon Cloud 控制平面要求

VMware 已配置为登录到 Horizon Cloud 控制平面的 VMware Customer Connect 帐户。

有关此帐户与 Horizon Cloud 租户帐户之间关系的概述,您可以参阅 Horizon Service 部署和容器载入页面。

Microsoft Azure 订阅要求

受支持的 Microsoft Azure 环境(Azure 商业、Azure 中国或 Azure 政府)中的有效 Microsoft Azure 订阅。如果要将外部 Unified Access Gateway 使用其自身订阅部署在单独的 VNet 中,则在同一 Microsoft Azure 环境中需要获取其他有效的 Microsoft Azure 订阅。
注: Horizon Cloud 支持大部分 Microsoft Azure 区域。有关当前不受支持的 Microsoft Azure 区域列表,请参阅 VMware 知识库文章“Horizon Cloud Service on Microsoft Azure 中的 Microsoft Azure 区域 (77121)”
该 Microsoft Azure 订阅中的有效 Microsoft Azure 管理特权,以允许您使用 Microsoft Azure 门户并执行容器部署准备步骤
已在容器的订阅中创建 Horizon Cloud 应用程序注册和客户端密码。请参阅第一代租户 - 在容器的订阅中创建 Horizon Cloud 应用程序注册

如果您本人或您的组织将使用该功能在与容器订阅不同的订阅中部署外部网关配置,则该网关订阅也需要一个 Horizon Cloud 应用程序注册和一个客户端密码。

按照标准 Microsoft Azure 行为,在订阅中创建 Horizon Cloud 应用程序注册时,会自动创建一个服务主体。

为此服务主体分配允许 Horizon Cloud 在容器订阅中进行 API 调用的角色。

通常,会在容器订阅级别分配 Contributor 角色。

此外,该角色也可以是在容器订阅级别分配的自定义角色。

在单独订阅的现有资源组中部署外部网关配置时,可以为该网关订阅的服务主体分配自定义角色或 Contributor 角色。

当您本人或您的组织希望 Horizon Cloud 应用程序注册使用自定义角色时,请参阅当您的组织希望使用自定义角色时页面,该页面介绍了自定义角色必须能够执行的操作。

注: 必须将角色直接分配给 Horizon Cloud 应用程序注册的服务主体。不支持对此服务主体使用基于组的角色分配。
已在每个 Microsoft Azure 订阅中注册所需的资源提供程序。请参阅注册资源提供程序
用于标识订阅的订阅 ID、目录 ID、应用程序 ID 和密钥,您将在部署向导中指定这些值。
订阅必须允许使用 Azure StorageV2 帐户类型。确保订阅的 Microsoft Azure 策略不会限制或拒绝创建需要使用 Azure StorageV2 帐户类型的内容。
订阅必须允许创建没有标记的资源组,除非您在容器部署向导中指定自定义资源标记。容器部署过程中会在容器的订阅中创建没有标记的资源组,除非您在向导中指定自定义资源标记。

如果您不打算使用部署向导的自定义资源标记功能,则必须确认您的 Microsoft Azure 策略允许在目标订阅中创建容器的未标记资源组。如果未在向导中指定自定义资源标记,并且 Microsoft Azure 订阅具有某种类型的资源标记要求,则在尝试将容器部署到该订阅中时,或者在容器更新或将网关配置添加到容器时,容器部署将失败。有关由部署程序创建的资源组的名称,请参阅容器部署程序创建的资源组

可选。如果贵组织可能会规定,对于位于单独 VNet 和不同于容器订阅的单独订阅中的外部 Unified Access Gateway,必须使用由组织指定的特定预创建资源组,并且贵组织要求使用由组织指定的特定预创建资源组,则您将需要使用该功能将外部 Unified Access Gateway 部署到您自己指定的资源组中。如果不使用该功能,容器部署程序会自动使用其自己的命名约定创建资源组。

要使用该功能,需要在运行容器部署程序之前在该订阅中创建相应的资源组。此外,为使容器部署程序能够在标准容器更新中将 Unified Access Gateway 配置部署到该资源组、管理该配置并更新 Unified Access Gateway 软件,您还必须确保具有必要的权限。有关自定义角色必须包含的权限的详细信息,请参阅当您的组织希望使用自定义角色时

Microsoft Azure 容量要求

如果下表指 Microsoft Azure 容量,则无需手动安装。只要订阅中具有指定的容量,容器部署程序便会自动实例化所述的虚拟机。

对于涉及虚拟机系列的容量,Microsoft Azure 门户还使用“配额”一词。

为将核心 Horizon Cloud 容器项目部署到该订阅中所需的 Microsoft Azure 容量。(此列表不包括可选 Unified Access Gateway 配置以及预期的桌面和应用程序工作负载所需的容量。)
容器
  • 容器管理器 — 2 个 Standard_D4_v3(如果区域中没有 Standard_D4_v3,则使用 2 个 Standard_D3_v2)
  • Microsoft Azure Database for PostgreSQL 服务 — 第 5 代、内存优化、2 个 vCore、10 GB 存储空间
  • 在容器可供使用后,您在 Microsoft Azure 云中的容量还必须容纳您在该容器中创建的导入的虚拟机、最佳配置映像、虚拟桌面、RDSH 场以及 App Volumes 应用程序捕获虚拟机。请参阅下面的 Horizon Cloud 基础映像、桌面和场部分。
  • 在特殊情况中,当您提交支持请求并且 VMware 技术支持团队确定响应该请求的方法是临时部署与支持相关的 jump box 虚拟机时,您的容量必须能够容纳当时的 Standard_F2 型号虚拟机部署。
可选。指定对容器使用 Unified Access Gateway 时所需的容量。
注: A4_v2 虚拟机型号仅足够满足概念证明 (Proof-of-Concept, PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
外部 Unified Access Gateway(与容器位于同一 VNet 中)
2 个 Standard_A4_v2 或 2 个 Standard_F8s_v2
外部 Unified Access Gateway(位于其自身的 VNet 中)
  • 外部网关连接器 — 1 个 Standard_A1_v2
  • 外部 Unified Access Gateway — 2 x Standard_A4_v2 或 2 x Standard_F8s_v2。
内部 Unified Access Gateway
2 个 Standard_A4_v2 或 2 个 Standard_F8s_v2

如果订阅的区域不提供 Standard_F8s_v2 VM 大小,则容器部署程序向导不会在“指定网关”向导步骤中的选择器中显示该选项。

网络要求

在目标 Microsoft Azure 区域中创建的 Microsoft Azure 虚拟网络 (VNet),该网络具有适用的地址空间,可覆盖所需子网。请参阅第一代 Horizon Cloud - 在 Microsoft Azure 中配置必需的虚拟网络

将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,请通过适用地址空间在与容器的 VNet 相同的 Microsoft Azure 区域中创建该 Unified Access Gateway VNet 以覆盖所需子网,并将两个 VNet 对等互连。

在容器的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
  • 管理子网 — 最小为 /27
  • 虚拟机子网 - 主(租户)— 根据桌面和 RDS 服务器的数量,最小为 /27,首选为 /24 - /22
  • DMZ 子网 — 将 Unified Access Gateway 部署在容器的 VNet 中时最小为 /28(可选)
可以在 VNet 中手动创建子网,也可以在部署过程中由 Horizon Cloud 创建子网。如果使用手动创建的子网,则不能附加任何其他资源。
提示: 在部署容器后,您可以编辑该容器以添加与场和桌面分配中的虚拟机一起使用的租户子网。其他租户子网可以位于部署容器的同一个 VNet 中,也可以位于对等互连 VNet 中。有关详细信息,请参阅 使用多个租户子网概述
将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,在 Unified Access Gateway 的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
  • 管理子网 — 最小为 /27
  • 后端子网 — 根据桌面和 RDS 服务器的数量,最小为 /27,首选为 /24 - /22
  • DMZ(前端)子网 — 最小为 /28
可以在 VNet 中手动创建子网,也可以在部署过程中由 Horizon Cloud 创建子网。如果使用手动创建的子网,则不能附加任何其他资源。对于此用例,通常会手动创建子网。在此用例中,后端子网的用途与上表行中所述虚拟机子网(主)的用途相似。
一个或多个可从 Horizon Cloud 容器和 Unified Access Gateway 实例使用和访问的 NTP 服务器。
配置 VNet(虚拟网络)DNS 服务器,使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。
用于容器和网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 DNS 要求端口和协议要求
可选。代理服务器信息(如果 VNet 上的出站 Internet 访问需要该信息),在 Horizon Cloud 环境中执行部署和日常操作期间将使用该信息。
可选。配置的 Microsoft Azure VPN/Express Route,当希望在 VNet 和内部部署企业网络之间建立网络连接时使用。

端口和协议要求

Horizon Cloud 环境中载入容器和执行日常操作需要特定的端口和协议。请参阅端口和协议

Unified Access Gateway 要求

您可以在不选择 Unified Access Gateway 配置的情况下运行“新建容器”向导,并在容器部署后再添加网关配置。在这种情况下,要到容器部署后,您才需要满足 Unified Access Gateway 要求。根据定义,外部 Unified Access Gateway 允许位于外部网络的客户端启动虚拟桌面和应用程序,而内部 Unified Access Gateway 则允许位于内部网络的客户端建立受信任的 HTML Access (Blast) 连接。为支持最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,容器必须配置外部 Unified Access Gateway

如果您在“新建容器”向导中选择了 Unified Access Gateway 选项,则向导会要求您指定以下特定项目。

Unified Access Gateway 配置的 FQDN。
与 FQDN 匹配的一个或多个采用 PEM 格式的 Unified Access Gateway 证书。
注: 如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 网关配置中配置提供的证书期间, Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,容器部署将在其 连接阶段失败。这些名称高度依赖于用于获取证书的 CA,因此不在 VMware 的控制中。
可选,除非您希望最终用户使用双因素身份验证。在这种情况下,必须将 Unified Access Gateway 配置为使用支持用于 Horizon Cloud on Microsoft Azure 部署的身份验证系统类型之一来进行双因素身份验证。

配置应包括:

  • Unified Access Gateway 解析该身份验证服务器名称的 DNS 地址
  • Unified Access Gateway 解析指向该身份验证服务器的网络路由的路由
注: 部署容器并在 Universal Broker 设置中配置了双因素身份验证后,如果您还希望内部最终用户跳过使用该双因素身份验证,则需要进行一些额外配置。当容器具有内部 Unified Access Gateway 配置时,该配置会将此类内部最终用户的连接请求路由到虚拟桌面和应用程序。如果您希望 Universal Broker 跳过针对内部最终用户的双因素身份验证步骤,则在部署容器并配置 Universal Broker 后,请输入与内部最终用户流量对应的输出 NAT 地址范围。通过设置这些范围, Universal Broker 可识别来自内部最终用户的客户端流量并将其与来自外部最终用户的流量区分开,从而跳过针对内部最终用户的双因素身份验证。有关详细信息,请参阅文档主题 为 Universal Broker 定义内部网络范围

容器部署工作流

在启动容器部署向导之前,需要满足上述各项要求。在确保满足上述要求后,执行第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 简要步骤中的容器部署步骤 1 至 4 以部署容器。

在成功部署容器后,请确保您满足以下部分中所述的各项要求,以便您可以完成此简要工作流中的其余重要任务。

Active Directory 要求

控制台的 Active Directory 注册工作流需要满足以下各项要求。要充分了解该工作流,请参阅在 Horizon Cloud 环境中执行第一个 Active Directory 域注册

以下受支持的 Active Directory 配置之一:
  • 通过 VPN/Express Route 连接的内部部署 Active Directory 服务器
  • 位于 Microsoft Azure 中的 Active Directory 服务器
  • Microsoft Azure Active Directory 域服务
受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
部署连接到云的容器时,同一 Horizon Cloud 客户帐户中所有这些容器都必须能够查看同一组 Active Directory 域。此要求不仅适用于在部署第一个容器之后部署到 Microsoft Azure 的其他容器,还适用于通过使用 Horizon Cloud Connector 云连接到同一客户帐户的任何 Horizon 容器。
域绑定帐户
具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符: "/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

  • 如果您熟悉 VMware Horizon 内部部署产品,您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考:Horizon Cloud 执行操作所需的服务帐户

辅助域绑定帐户
必须不同于主域绑定帐户。UI 将禁止在这两个字段中重复使用相同的帐户。

具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

  • 如果您熟悉 VMware Horizon 内部部署产品,您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考:Horizon Cloud 执行操作所需的服务帐户

域加入帐户
Active Directory 域加入帐户,系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。( 域加入用户帐户

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

此外,您还应将帐户密码设置为永不过期,以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。

  • 读取所有属性 - 仅限此对象
  • 创建计算机对象 - 该对象和所有后代对象
  • 删除计算机对象 - 该对象和所有后代对象
  • 写入全部属性 - 后代计算机对象
  • 重置密码 - 后代计算机对象

对于计划用于场和 VDI 桌面分配的目标组织单位 (OU),该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关更多详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

可选辅助域加入帐户
Active Directory 域加入帐户,系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。( 域加入用户帐户

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

此外,您还应将帐户密码设置为永不过期,以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

此帐户需要应用于计算机 OU 或将在控制台的“域加入”UI 中输入的 OU 的以下 Active Directory 权限。

  • 读取所有属性 - 仅限此对象
  • 创建计算机对象 - 该对象和所有后代对象
  • 删除计算机对象 - 该对象和所有后代对象
  • 写入全部属性 - 后代计算机对象
  • 重置密码 - 后代计算机对象

对于计划用于场和 VDI 桌面分配的目标组织单位 (OU),该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关更多详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Active Directory 组

  • Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户。此组在 Horizon Cloud 中被授予超级管理员角色。
  • Horizon Cloud 用户 — 用户的 Active Directory 安全组,这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。

Horizon Cloud 支持对管理员登录和最终用户授权使用 Active Directory 安全组。支持嵌套组。组成员身份可通过请求 tokenGroups 计算属性进行评估,这意味着 Horizon Cloud 没有嵌套深度限制,但支持在 Active Directory 中设置任何内容。

当系统询问 Active Directory 组上下文以及 Horizon Cloud + Universal Broker + Workspace ONE Access Cloud 的组合方面是否存在其他注意事项或其他限制时,其答案是“否”、“无”。

如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则域加入帐户以及任何辅助域加入帐户还必须位于 Horizon Cloud 管理员组中,或者位于在 Horizon Cloud 中被授予超级管理员角色的 Active Directory 组中。

虚拟桌面和基于会话的 RDS 桌面以及/或者已发布的应用程序的一个或多个 Active Directory 组织单位 (Organizational Unit, OU)。

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

如果要使用为 LDAPS 配置的 Active Directory,则必须请求在 Horizon Cloud 租户中启用 LDAPS 支持的功能。有关更多详细信息,请参阅使用为 LDAPS 配置的 Active Directory 环境

Universal Broker 配置

对于 Universal Broker 配置,请确保满足下表中适用于您所需选项的各项要求。有关完整详细信息,请参阅配置 Universal Broker

用于容器的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是 Universal Broker 配置和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称第一代租户 - Horizon Cloud 容器 - 端口和协议要求
根据要提供的最终用户连接类型:
  • 如果最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,则必须为容器配置外部 Unified Access Gateway
  • 如果始终通过内部网络进行所有最终用户连接,则无需在容器上配置 Unified Access Gateway,除非您希望 Universal Broker 对这些内部最终用户连接强制执行双因素身份验证。
可选。如果您希望 Universal Broker 强制实施双因素身份验证,则容器必须将外部 Unified Access Gateway 配置为使用支持用于 Horizon Cloud on Microsoft Azure 部署的身份验证系统类型之一来进行双因素身份验证。

Universal Broker 会将身份验证请求传递到 Unified Access Gateway,后者会与身份验证服务器通信,然后将响应传回到 Universal Broker

该外部 Unified Access Gateway 配置需要以下项目:

  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由
可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书。如果要使用 VMware 提供的代理 FQDN,则不需要自定义 FQDN。

DNS 记录要求

将容器部署到 Microsoft Azure 云中后,请务必根据您的业务情况以及您想要利用的功能,在 DNS 服务器中设置相应记录以将完全限定域名 (FQDN) 映射到与容器相关的 IP 地址。有关 DNS 记录映射的背景信息,请参阅 Microsoft 云服务文档页面为 Azure 云服务配置自定义域名

注: 如果所部署容器的外部和内部网关配置使用相同的 FQDN,则在部署容器后,可以配置拆分的 DNS(拆分的域名系统),以便将网关地址解析为外部网关或内部网关,具体取决于最终用户客户端的 DNS 查询的源网络。
为租户的 Universal Broker 配置自定义 FQDN 时
创建一个公共 DNS 记录,以将自定义 FQDN 映射到 Universal Broker 配置中 VMware 提供的代理 FQDN。请参阅配置 Universal Broker
容器具有外部 Unified Access Gateway
为外部最终用户访问创建一个公共 DNS 记录,此记录与外部网关配置上的 FQDN 相匹配。此 DNS 记录会将该 FQDN 指向容器外部 Unified Access Gateway 配置中的 Microsoft Azure 外部负载均衡器。

有关 DNS 记录映射的背景信息,请参阅 Microsoft 文档页面为 Azure 云服务配置自定义域名

容器具有内部 Unified Access Gateway
为内部最终用户访问创建一个内部 DNS 记录,此记录与内部网关配置上的 FQDN 相匹配。此 DNS 记录会将该 FQDN 指向容器内部 Unified Access Gateway 配置中的 Microsoft Azure 内部负载均衡器。

Horizon Cloud 最佳配置映像、桌面和场

您的 Microsoft Azure 订阅必须满足以下要求,具体取决于您要在部署的容器中置备的最佳配置映像、VDI 桌面和 RDS 场的类型。

注: 当您的帐户支持使用 App Volumes 功能,并且您使用控制台的 捕获操作将 App Volumes 应用程序添加到清单中时,系统将生成两个桌面虚拟机的桌面分配以支持该捕获工作流。您的容量还必须能够支持在执行捕获工作流时创建这些桌面。为环境完成应用程序捕获后,您可以删除该桌面分配。

此外,对于客户机操作系统 Windows 10 和 Windows 11,请注意以下有关使用 Microsoft Azure 虚拟机型号第 1 代虚拟机和第 2 代虚拟机的支持列表。

Azure 虚拟机型号 Windows 10 Windows 11
第 1 代虚拟机 支持 不支持
第 2 代虚拟机 不支持 支持
最佳配置映像的基础 — 一个或多个受支持的 Microsoft Azure 虚拟机配置。
  • Standard_DS2_v2
  • Standard_NV12s_v3(适用于服务的“从应用商店导入虚拟机”自动向导或手动导入方法和 NVIDIA GRID 图形驱动程序)、Standard_NV8as_v4(适用于手动导入方法和 AMD 图形驱动程序)
  • Standard_D4s_v3

当使用控制台的“从应用商店导入虚拟机”自动向导来创建基础虚拟机时,默认情况下,系统将自动使用上述某个虚拟机大小。系统的默认选择基于其内部设置和特定操作系统 (OS)。

系统会将如下所示的型号用于单容器映像和多容器映像。

“从应用商店导入虚拟机”向导将创建:
  • 非 GPU、非 Windows 11,Standard_DS2_v2 虚拟机
  • 非 GPU、使用 Windows 11,Standard_D4s_v3 虚拟机
  • 支持 GPU,Standard_NV12s_v3 虚拟机
为 VDI 桌面分配中的桌面虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud 桌面操作不兼容的这些配置除外。

对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

为场中的 RDSH 虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud RDS 场操作不兼容的这些配置除外。

在将运行 Microsoft Windows 10 企业版多会话或 Windows 11 企业版多会话的虚拟机与 Horizon Cloud 结合使用时,该要求也适用于该虚拟机。正如 Microsoft Azure 虚拟桌面文档的 Microsoft Windows 企业版多会话常见问题解答中所述,Microsoft Windows 企业版多会话是一种允许多个并发交互会话的远程桌面会话主机 (RDSH) 类型,以前仅 Microsoft Windows Server 操作系统能够提供该功能。适用于 RDS 服务器的 Horizon Cloud 工作流也适用于 Microsoft Windows 企业版多会话。

对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

映像管理服务 (IMS) 要求

从 2021 年 7 月版本开始,如果您的 Horizon Cloud 容器均运行清单版本 2632 或更高版本,并且已为租户启用 Universal Broker,则可以在这些容器中使用 Horizon 映像管理服务功能。要使用该服务提供的多容器映像功能,还需要满足其他要求。有关使用这些功能所需满足的系统要求的完整详细信息,请参阅 Horizon 映像管理服务系统要求中的“Microsoft Azure”部分。下表中列出了使用多容器映像时,还需满足的有关容器订阅和该订阅的 Horizon Cloud 应用程序注册及服务主体的要求。

参与多容器映像的容器使用的订阅必须位于单个 Microsoft Azure Active Directory (AAD) 租户中。
参与多容器映像的容器使用的 Horizon Cloud 应用程序注册服务主体必须满足以下任一要求:
  • 在所有参与容器和订阅中使用相同的服务主体。
  • 每个服务主体必须对参与容器使用的每个 Microsoft Azure 订阅具有读取访问权限。

由于容器可能位于不同的订阅中,因此这个读取访问权限要求可使每个参与容器的订阅都能够查看其他参与容器的订阅。该服务需要具有这种查看能力才能使用 Azure 共享映像库功能创建多容器映像。

参与容器的服务主体使用的任何自定义角色必须包含以下与 Azure 共享映像库使用有关的权限。
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/write
  • Microsoft.Compute/galleries/delete
  • Microsoft.Compute/galleries/images/*
  • Microsoft.Compute/galleries/images/versions/*

Microsoft Windows 操作系统的许可

这些内容与导入的虚拟机、最佳配置映像、支持 RDSH 的场虚拟机和虚拟桌面虚拟机中的 Microsoft Windows 操作系统有关。有关 Horizon Cloud 支持的 Microsoft Windows 操作系统列表,请参阅 VMware 知识库文章 78170VMware 知识库文章 70965

Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。

提示: 有关特定于 Windows 11 企业版多会话、Windows 10 企业版多会话和 Windows 7 企业版的 Microsoft Azure 虚拟桌面许可的信息,请参阅 Microsoft Azure 文档主题 Azure 虚拟桌面定价
以下一种或多种类型的许可:Microsoft Windows 7 企业版、Microsoft Windows 10、Microsoft Windows 11(单会话,VDI 客户端类型)
Microsoft Windows 10 企业版多会话或 Microsoft Windows 11 企业版多会话的许可
以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器
Microsoft RDS 用户 CAL 和/或设备 CAL

参考架构

请使用下面的架构图作为参考。

图 1. 具有以下特征的 Horizon Cloud Pod 架构示意图:容器同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP

同时具有两种类型的 Unified Access Gateway 配置且外部网关位于与容器相同的 VNet 中的容器的资源组、虚拟机和子网的架构示意图。

图 2. 将外部网关部署到自身的 VNet(不同于容器的 VNet,带有三个网卡)和由容器部署程序创建的资源组时的外部网关架构元素示意图

将外部网关部署到其自身的 VNet(而非容器的 VNet)和由容器部署程序创建的资源组时的外部网关架构元素示意图