此要求检查表将指导您为将容器 Horizon Cloud 部署到 Microsoft Azure 准备所需的 Microsoft Azure 订阅和网络。为成功完成新容器部署并成功完成容器部署后所需执行的重要任务,请确保满足如下所述的各项要求。

本文档主题涵盖以下部分:

此检查表主要用于在 2020 年 10 月服务版本日期之前从未部署容器或通过云连接到其租户环境的 Horizon Cloud 客户帐户。此类环境可能被称为“清空”环境或绿场环境。在 2020 年 10 月季度服务版本日期,将云平面二进制文件和新容器清单版本推送至云平面之后发生的新容器部署,将使用新的容器清单版本进行部署。成功部署容器的要求主要是由容器清单版本决定的。生产云平面中的云平面二进制文件还决定着成功部署的要求。

下面列出的一些要求是容器部署本身所需的要求。一些要求是在容器部署后执行的关键任务所需的要求,以获得能够为最终用户提供容器置备的桌面和应用程序的生产租户环境。

容器部署本身的要求
在容器部署后的生产环境要求
重要事项: 在启动容器部署向导并开始部署您的容器之前,除了满足下面的要求以外,您还必须了解以下要点:
  • 从 2020 年 7 月服务版本开始,在全新环境中,部署新容器时至少需要使用一个网关配置。如果您的客户帐户是在 2020 年 7 月版本之前创建的,但您尚未部署第一个容器,则在部署第一个容器时至少需要使用一个网关配置。
  • 要成功部署容器,要求您或您的 IT 团队在 Microsoft Azure 环境中设置的任何 Microsoft Azure 策略均不会阻止、拒绝或限制容器组件的创建。此外,您还必须确认 Microsoft Azure 策略内置策略定义也不会阻止、拒绝或限制容器组件的创建。例如,您和您的 IT 团队必须确认任何 Microsoft Azure 策略均不会阻止、拒绝或限制在 Azure 存储帐户上创建组件。有关 Azure 策略的信息,请参阅 Azure 策略文档
  • 容器部署程序要求 Azure 存储帐户允许其使用 Azure StorageV1StorageV2 帐户类型。确保您的 Microsoft Azure 策略不会限制或拒绝创建需要使用 Azure StorageV1StorageV2 帐户类型的内容。
  • 作为容器和网关部署过程的一部分,除非您在部署向导中指定自定义资源标记,否则 Horizon Cloud 将在您的 Microsoft Azure 订阅中创建没有标记的资源组 (RG),包括为协调那些部署过程的临时 jump box 创建的初始资源组。从 2020 年 10 月 8 日的云平面更新开始,部署向导提供了一个功能,您可以通过此功能指定所需的自定义资源标记以应用于部署程序创建的资源组。如果不指定自定义资源标记,并且 Microsoft Azure 订阅具有任何类型的资源标记要求,则在尝试将容器部署到该订阅中时,或者在容器更新或将网关配置添加到容器时,容器部署将失败。如果您不打算使用部署向导的自定义资源标记功能,则必须确认您的 Microsoft Azure 策略允许在目标订阅中创建容器的未标记资源组。有关部署程序创建的 RG 列表,请参阅管理指南的为 Microsoft Azure 中部署的容器创建的资源组主题。
  • 部署连接到云的容器时,所有这些容器都必须能够查看同一组 Active Directory 域。

Horizon Cloud 控制平面要求

用于登录到 Horizon Cloud 控制平面的有效 My VMware 帐户。

Microsoft Azure 订阅要求

受支持的 Microsoft Azure 环境(Azure 商业、Azure 中国或 Azure 政府)中的有效 Microsoft Azure 订阅。如果要将外部 Unified Access Gateway 使用其自身订阅部署在单独的 VNet 中,则在同一 Microsoft Azure 环境中需要具有其他有效的 Microsoft Azure 订阅。
注: Horizon Cloud 支持大部分 Microsoft Azure 区域。有关当前不受支持的 Microsoft Azure 区域列表,请参阅 VMware 知识库文章“Horizon Cloud Service on Microsoft Azure 中的 Microsoft Azure 区域 (77121)”
该 Microsoft Azure 订阅中的有效 Microsoft Azure 管理特权。有关其他信息,请参阅 Microsoft 文档中的在 Azure 门户中开始使用基于角色的访问控制
可供 Horizon Cloud 基础架构使用的最小 Microsoft Azure 容量,以及预期的桌面和应用程序工作负载。请注意,只要此容量可用,Horizon Cloud 便会自动部署这些虚拟机,而无需手动安装。
  • 容器部署引擎,也称为 Jump Box(临时)— 1 个 Standard_F2
  • 启用了高可用性的容器/容器管理器 — 2 个 Standard_D4_v3(如果区域中没有 Standard_D4_v3,则使用 2 个 Standard_D3_v2)
  • 未启用高可用性的容器/容器管理器 — 1 个 Standard_D4_v3(如果区域中没有 Standard_D4_v3,则使用 1 个 Standard_D3_v2)
  • Microsoft Azure Database for PostgreSQL 服务 — 第 5 代、内存优化、2 个 vCore、10 GB 存储空间
  • 外部 Unified Access Gateway(可选,除非未指定内部网关)— 2 x Standard_A4_v2 或 2 x Standard_F8s_v2
  • 内部 Unified Access Gateway(可选,除非未指定外部网关)— 2 x Standard_A4_v2 或 2 x Standard_F8s_v2
注:
  • 从 2020 年 7 月服务版本开始,在清空环境中,部署新容器时至少需要使用一个网关配置。如果您的客户帐户是在 2020 年 7 月版本之前创建的,但您尚未部署第一个容器,则在部署第一个容器时至少需要使用一个网关配置。因此,您的最低可用 Microsoft Azure 容量必须可容纳一个网关配置中的虚拟机,如上述列表中所述。
  • 如果订阅的区域不提供 Standard_F8s_v2 虚拟机大小,则容器部署程序向导不会在“指定网关”向导步骤中的选择器中显示该选项。
  • 完成容器部署后,您在 Microsoft Azure 云中的容量还必须容纳您在该容器中创建的导入的虚拟机、最佳配置映像、虚拟桌面和 RDSH 场。当您的帐户支持使用 App Volumes 功能,并且您使用了控制台的应用程序捕获工作流时,您的容量还必须可容纳系统生成的桌面分配中用于该捕获过程的虚拟机。请参阅下面的 Horizon Cloud 基础映像、桌面和场部分。

可以选择使用与容器相同的订阅或使用不同的订阅将外部 Unified Access Gateway 部署在其自身的 Microsoft Azure 虚拟网络 (VNet) 中。在将外部 Unified Access Gateway 部署到自己的 VNet 时,需要在部署外部 Unified Access Gateway 的订阅中具有以下容量:

  • 外部 Unified Access Gateway 部署引擎,也称为网关 Jump Box(临时)— 1 个 Standard_F2
  • 外部网关连接器 — 1 个 Standard_A1_v2
  • 外部 Unified Access Gateway — 2 x Standard_A4_v2 或 2 x Standard_F8s_v2。
已为每个订阅创建服务主体和身份验证密钥。有关更多详细信息,请参阅使用门户创建可访问资源的 Azure Active Directory 应用程序和服务主体。另请参阅通过创建应用程序注册来创建 Horizon Cloud 容器部署程序所需的服务主体
必须为每个服务主体分配相应的角色,以允许 Horizon Cloud 必须在订阅中执行的操作。该角色可能是参与者角色或允许在订阅级别执行所需操作的自定义角色。在单独订阅的现有资源组中部署外部网关配置时,可以为该订阅的服务主体设置更精细的权限。有关所需角色操作的更多详细信息,请参阅Horizon Cloud 在 Microsoft Azure 订阅中所需的操作
重要事项: 必须将该角色直接分配给用于 Horizon Cloud 的服务主体。不支持对服务主体使用基于组的角色分配(在这种情况中,角色被分配给一个组,而服务主体是该组的成员)。
已在每个 Microsoft Azure 订阅中注册所需的资源提供程序。请参阅创建应用程序注册以创建 Horizon Cloud 容器部署程序所需的服务主体中的步骤 8.b。
已识别 Microsoft Azure 订阅 ID、目录 ID、应用程序 ID 和密钥。
如果要将外部 Unified Access Gateway 使用其自身订阅部署在单独的 VNet 中,且您的组织要求使用由您控制而不是由容器部署程序创建的资源组,您将需要使用相应功能将外部 Unified Access Gateway 部署到您自己的已命名资源组中。要使用该功能,需要在运行容器部署程序之前在该订阅中创建相应的资源组。此外,为使容器部署程序能够在标准容器更新中将 Unified Access Gateway 配置部署到该资源组、管理该配置并更新 Unified Access Gateway 软件,您还需要确保具有必要的权限。有关必要权限的详细信息,请参阅Horizon Cloud 在 Microsoft Azure 订阅中所需的操作

网络要求

已通过适用地址空间在所需 Microsoft Azure 区域中创建 Microsoft Azure 虚拟网络 (VNet) 以覆盖所需子网。有关更多详细信息,请参阅 Azure 虚拟网络

将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,请通过适用地址空间在与容器的 VNet 相同的 Microsoft Azure 区域中创建该 Unified Access Gateway VNet 以覆盖所需子网,并将两个 VNet 对等互连。

在容器的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
  • 管理子网 — 最小为 27
  • 虚拟机子网 — 主(租户)— 根据桌面和 RDS 服务器的数量,最小为 27,首选为 /24 - /22
  • DMZ 子网 — 将 Unified Access Gateway 部署在容器的 VNet 中时最小为 /28(可选)
可以在 VNet 中手动创建子网,也可以在部署过程中由 Horizon Cloud 创建子网。如果使用手动创建的子网,则不能附加任何其他资源。
注: 对于按清单 2298.0 或更高版本级别新部署的容器,在部署容器后,您可以编辑该容器以添加与场和桌面分配中的虚拟机一起使用的其他租户子网。其他租户子网可以位于部署容器的同一个 VNet 中,也可以位于对等互连 VNet 中。有关详细信息,请参见“管理指南”
将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,在 Unified Access Gateway 的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
  • 管理子网 — 最小为 27
  • 后端子网 — 根据桌面和 RDS 服务器的数量,最小为 27,首选为 /24 - /22
  • DMZ(前端)子网 — 最小为 /28
可以在 VNet 中手动创建子网,也可以在部署过程中由 Horizon Cloud 创建子网。如果使用手动创建的子网,则不能附加任何其他资源。对于此用例,通常会手动创建子网。在此用例中,后端子网的用途与上表行中所述虚拟机子网(主)的用途相似。
一个或多个可从 Horizon Cloud 容器和 Unified Access Gateway 实例使用和访问的 NTP 服务器。
配置 VNet(虚拟网络)DNS 服务器,使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。
用于容器和网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
代理服务器信息(如果 VNet 上的出站 Internet 访问需要该信息),在 Horizon Cloud 环境中执行部署和日常操作期间将使用该信息(可选)
已配置 Microsoft Azure VPN/Express Route(可选)
用于外部用户访问和/或内部用户访问的 FQDN(在部署具有 Unified Access Gateway 的容器时是必需的)。
注: 对于从清单 2298.0 或更高版本级别开始新部署的容器,当容器具有两种类型的网关时,容器上的外部网关和内部网关配置必须指定相同的 FQDN。由于这两个网关将使用相同的 FQDN,因此在部署容器后,您可以配置拆分的 DNS(拆分的域名系统),以便将网关地址解析为外部网关或内部网关,具体取决于最终用户客户端的 DNS 查询的源网络。
与 FQDN 匹配的一个或多个 PEM 格式 Unified Access Gateway 证书(在部署具有 Unified Access Gateway 的容器时是必需的)。
注:
  • 对于从清单 2298.0 或更高版本开始新部署的容器,容器上的外部网关和内部网关配置必须指定相同的 FQDN。由于证书必须与 FQDN 匹配,因此当容器具有这两种类型的网关时,两个网关配置中使用相同的证书。
  • 如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 网关配置中配置提供的证书期间,Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,容器部署将在其连接阶段失败。这些名称高度依赖于用于获取证书的 CA,因此不在 VMware 的控制中。
对内部部署 RADIUS 身份验证服务器使用双因素身份验证(可选)
  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由

端口和协议要求

Horizon Cloud 环境中载入容器和执行日常操作需要特定的端口和协议。请参阅使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求

容器部署工作流

在启动容器部署向导之前,需要满足上述各项要求。在确保满足上述要求后,执行当您的首个 Horizon Cloud 连接到云的容器通过使用容器部署程序将容器部署到 Microsoft Azure 时的简要工作流中的容器部署步骤 1 至 4 以部署容器。

在成功部署容器后,请确保您满足以下部分中所述的各项要求,以便您可以完成此简要工作流中的其余重要任务。

Active Directory 要求

Active Directory 注册工作流需要以下各项。要了解该工作流,请参阅在 Horizon Cloud 环境中执行第一个 Active Directory 域注册

以下受支持的 Active Directory 配置之一:
  • 通过 VPN/Express Route 连接的内部部署 Active Directory 服务器
  • 位于 Microsoft Azure 中的 Active Directory 服务器
  • Microsoft Azure Active Directory 域服务
受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
部署连接到云的容器时,同一 Horizon Cloud 客户帐户中所有这些容器都必须能够查看同一组 Active Directory 域。此要求不仅适用于在部署第一个容器之后部署到 Microsoft Azure 的其他容器,还适用于通过使用 Horizon Cloud Connector 云连接到同一客户帐户的任何 Horizon 容器。您可以在具有 Horizon Cloud 的 VMware Horizon 容器 - 要求检查表 - 针对从 2020 年 10 月服务版本开始的容器连接要求进行了相应更新查看此类 Horizon 容器的检查表。
域绑定帐户
  • 具有以下权限的 Active Directory 域绑定帐户(具有读取访问权限的标准用户):
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
    注:
    • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
    • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户

辅助域绑定帐户 — 不能使用与上述帐户相同的帐户
  • 具有以下权限的 Active Directory 域绑定帐户(具有读取访问权限的标准用户):
    • 列出内容
    • 读取全部属性
    • 读取权限
    • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)
    注:
    • 如果您熟悉 VMware Horizon 的内部部署产品,则上述权限与此 Horizon 内部部署文档主题中所述的 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
    • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户

域加入帐户
  • 可由系统用来执行 Sysprep 操作并将计算机加入域的 Active Directory 域加入帐户,通常是一个新帐户(域加入用户帐户
  • Horizon Cloud 管理员组的成员
  • 将帐户密码设置为永不过期
  • 此帐户需要以下 Active Directory 权限:列出内容、读取所有属性、读取权限、重置密码、创建计算机对象、删除计算机对象。
  • 该帐户还要求在计划用于场和 VDI 桌面分配的目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。
  • 有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
注: 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除 防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
辅助域加入帐户(可选,不能使用与上述帐户相同的帐户)
  • 可由系统用来执行 Sysprep 操作并将计算机加入域的 Active Directory 域加入帐户,通常是一个新帐户(域加入用户帐户
  • Horizon Cloud 管理员组的成员
  • 将帐户密码设置为永不过期
  • 此帐户需要以下 Active Directory 权限:列出内容、读取所有属性、读取权限、重置密码、创建计算机对象、删除计算机对象。
  • 该帐户还要求在计划用于场和 VDI 虚拟桌面的目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。
  • 有关更多详细信息和要求,请参阅 Horizon Cloud 执行操作所需的服务帐户
注: 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除 防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
Active Directory 组
  • Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户和域加入帐户。该组将添加到 Horizon Cloud 中的超级管理员角色。
  • Horizon Cloud 用户 — 用户的 Active Directory 安全组,这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。
虚拟桌面和基于会话的 RDS 桌面以及/或者已发布的应用程序的一个或多个 Active Directory 组织单位 (Organizational Unit, OU)。
注: 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除 防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Universal Broker 要求

从 2020 年 7 月版本开始,当您的 Horizon Cloud 租户环境是从该日期开始的全新帐户,并且您刚刚将第一个容器部署到 Microsoft Azure 中时,您可以选择使用 Universal Broker 作为环境的代理方法。当您选择为环境配置 Universal Broker 时,需要具备以下各项。请参阅配置 Universal Broker

用于容器的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是 Universal Broker 配置和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
可选:如果您希望 Universal Broker 对容器使用双因素身份验证,请将容器的网关配置为针对 RADIUS 身份验证服务器进行双因素身份验证。
  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由
可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书(可选)

DNS 记录要求

将容器部署到 Microsoft Azure 云中后,请务必根据您的业务情况以及您想要利用的功能,在 DNS 服务器中设置相应记录以将完全限定域名 (FQDN) 映射到与容器相关的 IP 地址。

注: 对于从清单 2298.0 或更高版本级别开始部署的容器,当容器具有两种类型的网关时,容器上的外部网关和内部网关配置必须指定相同的 FQDN。由于这两个网关将使用相同的 FQDN,因此在部署容器后,您可以配置拆分的 DNS(拆分的域名系统),以便将网关地址解析为外部网关或内部网关,具体取决于最终用户客户端的 DNS 查询的源网络。
如果已使用自定义 FQDN 配置了 Universal Broker,请创建一个公共 DNS 记录,以便将自定义 FQDN 映射到 Universal Broker 配置中 VMware 提供的代理 FQDN。请参阅配置 Universal Broker
已为外部最终用户访问创建公共 DNS 记录,该记录与 FQDN 相匹配,并指向容器外部 Unified Access Gateway 配置中的 Microsoft Azure 外部负载均衡器(部署的容器具有该配置时需要满足这一要求)。有关更多详细信息,请参阅为 Azure 云服务配置自定义域名
已为内部最终用户访问创建内部 DNS 记录,该记录与 FQDN 相匹配,并指向容器内部 Unified Access Gateway 配置中的 Microsoft Azure 内部负载均衡器(部署的容器具有该配置需要时需要满足这一要求)。
当您计划为部署选择单容器代理时创建了内部 DNS 记录,并将部署与 VMware Workspace ONE Access 集成。在这种情况下,此内部 DNS 记录支持 VMware Workspace ONE Access 与容器的连接,而 VMware Workspace ONE Access Connector 可在其中同步有关容器中用户分配的信息。此内部 DNS 记录与将上载到容器本身的证书中的 FQDN 相匹配,并指向容器管理器的 Microsoft Azure 内部负载均衡器。如果打算将 VMware Workspace ONE Access 用于配置了单容器代理的环境中的容器,则需要用到该记录。
注: 在极少数的非典型用例中,也会使用该内部 DNS 记录以及与该记录匹配并上载到容器本身的证书:您希望告诉内部最终用户直接连接到容器,而不是告诉他们连接到容器上的内部 Unified Access Gateway 配置。此类直接连接是不太常见的用例。通常,将使用内部 Unified Access Gateway
与为通过 VMware Workspace ONE Access 连接到容器而创建的上述内部 DNS 记录相匹配的证书链(CA 证书、SSL 证书、SSL 密钥文件)。有关更多详细信息,请参阅将 SSL 证书上载到 Horizon Cloud 容器以进行直接连接。(如果您使用将内部最终用户直接连接到容器的非典型用例,这也是必需的。直接连接是一种不常见的用法。通常,将使用内部 Unified Access Gateway。)

Horizon Cloud 最佳配置映像、桌面和场

您的 Microsoft Azure 订阅必须满足以下要求,具体取决于您要在部署的容器中置备的最佳配置映像、VDI 桌面和 RDS 场的类型。

注: 当您的帐户支持使用 App Volumes 功能,并且您使用控制台的 捕获操作将 App Volumes 应用程序添加到清单中时,系统将生成两个桌面虚拟机的桌面分配以支持该捕获工作流。您的容量还必须能够支持在执行捕获工作流时创建这些桌面。为环境完成应用程序捕获后,您可以删除该桌面分配。
最佳配置映像的基础 — 受支持的 Microsoft Azure 虚拟机配置之一。
  • Standard_D3_v2、Standard_D4_v3
  • Standard_D2_v2、Standard_D2_v3
  • Standard_NV6
注: 当使用“从商城导入虚拟机”向导来创建基础虚拟机时,默认情况下,系统将自动使用上述虚拟机大小之一。系统的默认选项基于内部算法,包括检查容器 Microsoft Azure 区域中可用的大小。使用向导创建启用了 GPU 的虚拟机时,默认情况下会创建 Standard_NV6 大小的虚拟机。使用向导创建基于服务器操作系统的虚拟机时,将创建 Standard_D2_v2 或 Standard_D2_v3 虚拟机。创建基于客户端操作系统的虚拟机或 Windows 10 多会话虚拟机时,将创建 Standard_D3_v2 或 Standard_D4_v3 的虚拟机。
为 VDI 桌面分配中的桌面虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud 桌面操作不兼容的配置除外。

对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

为场中的 RDSH 虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud RDS 场操作不兼容的配置除外。

在将运行 Microsoft Windows 10 企业版多会话的虚拟机与 Horizon Cloud 一起使用时,该要求也适用于该虚拟机。正如 Microsoft Azure Windows 虚拟桌面文档中的 Microsoft Windows 10 企业版多会话常见问题解答中所述,Microsoft Windows 10 企业版多会话是一种允许多个并发交互会话的远程桌面会话主机 (RDSH) 类型,以前仅 Microsoft Windows Server 操作系统能够提供该功能。适用于 RDS 服务器的 Horizon Cloud 工作流也适用于 Microsoft Windows 10 企业版多会话。

对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

Microsoft Windows 操作系统的许可

这些内容与导入的虚拟机、最佳配置映像、支持 RDSH 的场虚拟机和虚拟桌面虚拟机中的 Microsoft Windows 操作系统有关。有关 Horizon Cloud 支持的 Microsoft Windows 操作系统列表,请参阅 VMware 知识库文章 78170VMware 知识库文章 70965

Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。

提示: 有关 Windows 10 企业版多会话和 Windows 7 企业版的 Microsoft Windows 虚拟桌面许可的信息,请参阅 Microsoft Azure 文档主题 Windows 虚拟桌面定价
以下一种或多种类型的许可:Microsoft Windows 7 企业版、Microsoft Windows 10(客户端类型)
Microsoft Windows 10 企业版多会话的许可
以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器
Microsoft RDS 用户 CAL 和/或设备 CAL

参考架构

请使用下面的架构图作为参考。

图 1. 具有以下特征的容器的 Horizon Cloud Pod 架构示意图:启用了高可用性、同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP

启用了高可用性、同时具有两种类型的 Unified Access Gateway 配置且外部网关位于与容器相同的 VNet 中的容器的资源组、虚拟机和子网的架构示意图。

图 2. 将外部网关部署到自身的 VNet(不同于容器的 VNet,带有三个网卡)和由容器部署程序创建的资源组时的外部网关架构元素示意图

将外部网关部署到其自身的 VNet(而非容器的 VNet)和由容器部署程序创建的资源组时的外部网关架构元素示意图

资源

有关其他信息,请参阅以下资源。