此要求检查表将指导您为将容器 Horizon Cloud 部署到 Microsoft Azure 准备所需的 Microsoft Azure 订阅和网络。为成功完成新容器部署并成功完成容器部署后所需执行的重要任务,请确保满足如下所述的各项要求。

此检查表主要用于在 2021 年 9 月服务发行日期之前从未部署容器或通过云连接到其租户环境的 Horizon Cloud 客户帐户。此类环境可能被称为“清空”环境或绿场环境。在此服务发行日期将云平面二进制文件和新容器清单版本推送至云平面之后,将使用新的容器清单版本部署新容器。成功部署容器的要求主要是由容器清单版本决定的。生产云平面中的云平面二进制文件还决定着成功部署的要求。

下面列出的某些部分需要在部署核心容器之前确定,而有些部分则涉及可选项目或可在部署容器之后确定。

对于核心容器部署 可在部署核心容器之后完成的项目
  • 控制平面租户帐户
  • Microsoft Azure 订阅项
  • 网络连接
  • 端口和协议
  • 可选 Unified Access Gateway(在容器部署过程中)
  • Active Directory
  • 可选 Unified Access Gateway(在部署后添加)
  • Universal Broker
  • DNS 记录
  • 最佳配置映像、桌面、场容量
  • Microsoft Windows 操作系统许可证
重要事项: 在启动容器部署向导并开始部署您的容器之前,除了满足下面的要求以外,您还必须了解以下要点:
  • 要成功部署容器,要求您或您的 IT 团队在 Microsoft Azure 环境中设置的任何 Microsoft Azure 策略均不会阻止、拒绝或限制容器组件的创建。此外,您还必须确认 Microsoft Azure 策略内置策略定义也不会阻止、拒绝或限制容器组件的创建。例如,您和您的 IT 团队必须确认任何 Microsoft Azure 策略均不会阻止、拒绝或限制在 Azure 存储帐户上创建组件。有关 Azure 策略的信息,请参阅 Azure 策略文档
  • 容器部署程序要求 Azure 存储帐户允许部署程序使用 Azure StorageV2 帐户类型。确保您的 Microsoft Azure 策略不会限制或拒绝创建需要使用 Azure StorageV2 帐户类型的内容。
  • 作为容器和网关部署过程的一部分,除非您在部署向导中指定自定义资源标记,否则 Horizon Cloud 将在您的 Microsoft Azure 订阅中创建没有标记的资源组 (RG),包括为协调那些部署过程的临时 jump box 创建的初始资源组。从 2020 年 10 月 8 日的云平面更新开始,部署向导提供了一个功能,您可以通过此功能指定所需的自定义资源标记以应用于部署程序创建的资源组。如果不指定自定义资源标记,并且 Microsoft Azure 订阅具有任何类型的资源标记要求,则在尝试将容器部署到该订阅中时,或者在容器更新或将网关配置添加到容器时,容器部署将失败。如果您不打算使用部署向导的自定义资源标记功能,则必须确认您的 Microsoft Azure 策略允许在目标订阅中创建容器的未标记资源组。有关部署程序创建的 RG 列表,请参阅管理指南的为 Microsoft Azure 中部署的容器创建的资源组主题。
  • 部署连接到云的容器时,所有这些容器都必须能够查看同一组 Active Directory 域。

Horizon Cloud 控制平面要求

用于登录到 Horizon Cloud 控制平面的有效 My VMware 帐户。

Microsoft Azure 订阅要求

如果下表指 Microsoft Azure 容量,则无需手动安装。只要订阅中具有指定的容量,容器部署程序便会自动实例化所述的虚拟机。

受支持的 Microsoft Azure 环境(Azure 商业、Azure 中国或 Azure 政府)中的有效 Microsoft Azure 订阅。如果要将外部 Unified Access Gateway 使用其自身订阅部署在单独的 VNet 中,则在同一 Microsoft Azure 环境中需要具有其他有效的 Microsoft Azure 订阅。
注: Horizon Cloud 支持大部分 Microsoft Azure 区域。有关当前不受支持的 Microsoft Azure 区域列表,请参阅 VMware 知识库文章“Horizon Cloud Service on Microsoft Azure 中的 Microsoft Azure 区域 (77121)”
该 Microsoft Azure 订阅中的有效 Microsoft Azure 管理特权,以允许您在执行部署准备步骤期间使用 Microsoft Azure 门户。
为将核心 Horizon Cloud 容器项目部署到该订阅中所需的 Microsoft Azure 容量。(此列表不包括可选 Unified Access Gateway 配置以及预期的桌面和应用程序工作负载所需的容量。)
容器
  • 临时容器部署引擎,也称为 Jump Box — 1 个 Standard_F2
  • 启用了高可用性的容器/容器管理器 — 2 个 Standard_D4_v3(如果区域中没有 Standard_D4_v3,则使用 2 个 Standard_D3_v2)
  • 未启用高可用性的容器/容器管理器 — 1 个 Standard_D4_v3(如果区域中没有 Standard_D4_v3,则使用 1 个 Standard_D3_v2)
  • Microsoft Azure Database for PostgreSQL 服务 — 第 5 代、内存优化、2 个 vCore、10 GB 存储空间
  • 在容器可供使用后,您在 Microsoft Azure 云中的容量还必须容纳您在该容器中创建的导入的虚拟机、最佳配置映像、虚拟桌面、RDSH 场以及 App Volumes 应用程序捕获虚拟机。请参阅下面的 Horizon Cloud 基础映像、桌面和场部分。
  • 如果您的租户帐户支持使用 Horizon 基础架构监控功能,并且您计划在部署容器后在容器上启用该功能,您的容量还必须可容纳那时部署的 Horizon Edge 虚拟设备。请参阅下文中的Horizon 基础架构监控要求一节。
可选。指定对容器使用 Unified Access Gateway 时所需的容量。
注: A4_v2 虚拟机型号仅足够满足概念证明 (Proof-of-Concept, PoC)、试运行项目或较小环境(即容器上的活动会话数不超过 1,000 个)的需求。
外部 Unified Access Gateway(与容器位于同一 VNet 中)
2 个 Standard_A4_v2 或 2 个 Standard_F8s_v2
外部 Unified Access Gateway(位于其自身的 VNet 中)
  • 外部 Unified Access Gateway 部署引擎,也称为网关 Jump Box(临时)— 1 个 Standard_F2
  • 外部网关连接器 — 1 个 Standard_A1_v2
  • 外部 Unified Access Gateway — 2 x Standard_A4_v2 或 2 x Standard_F8s_v2。
内部 Unified Access Gateway
2 个 Standard_A4_v2 或 2 个 Standard_F8s_v2

如果订阅的区域不提供 Standard_F8s_v2 VM 大小,则容器部署程序向导不会在“指定网关”向导步骤中的选择器中显示该选项。

已为每个订阅创建服务主体和身份验证密钥。请参阅通过创建应用程序注册来创建 Horizon Cloud 容器部署程序所需的服务主体
必须为每个服务主体分配相应的角色,以允许 Horizon Cloud 必须在订阅中执行的操作。该角色可能是参与者角色或允许在订阅级别执行所需操作的自定义角色。在单独订阅的现有资源组中部署外部网关配置时,可以为该订阅的服务主体设置更精细的权限。有关所需角色操作的更多详细信息,请参阅Horizon Cloud 在 Microsoft Azure 订阅中所需的操作
重要事项: 必须将该角色直接分配给用于 Horizon Cloud 的服务主体。不支持对服务主体使用基于组的角色分配(在这种情况中,角色被分配给一个组,而服务主体是该组的成员)。
已在每个 Microsoft Azure 订阅中注册所需的资源提供程序。请参阅Horizon Cloud 要求在 Microsoft Azure 订阅中必须为“已注册”状态的资源提供程序
已识别 Microsoft Azure 订阅 ID、目录 ID、应用程序 ID 和密钥。
可选。 如果要将外部 Unified Access Gateway 使用其自身订阅部署在单独的 VNet 中,且您的组织要求使用由您控制而不是由容器部署程序创建的资源组,您将需要使用相应功能将外部 Unified Access Gateway 部署到您自己的已命名资源组中。要使用该功能,需要在运行容器部署程序之前在该订阅中创建相应的资源组。此外,为使容器部署程序能够在标准容器更新中将 Unified Access Gateway 配置部署到该资源组、管理该配置并更新 Unified Access Gateway 软件,您还需要确保具有必要的权限。有关必要权限的详细信息,请参阅Horizon Cloud 在 Microsoft Azure 订阅中所需的操作

网络要求

在目标 Microsoft Azure 区域中创建的 Microsoft Azure 虚拟网络 (VNet),该网络具有适用的地址空间,可覆盖所需子网。请参阅在 Microsoft Azure 中配置必需的虚拟网络

将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,请通过适用地址空间在与容器的 VNet 相同的 Microsoft Azure 区域中创建该 Unified Access Gateway VNet 以覆盖所需子网,并将两个 VNet 对等互连。

在容器的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
  • 管理子网 — 最小为 /27
  • 虚拟机子网 - 主(租户)— 根据桌面和 RDS 服务器的数量,最小为 /27,首选为 /24 - /22
  • DMZ 子网 — 将 Unified Access Gateway 部署在容器的 VNet 中时最小为 /28(可选)
可以在 VNet 中手动创建子网,也可以在部署过程中由 Horizon Cloud 创建子网。如果使用手动创建的子网,则不能附加任何其他资源。
注: 对于按清单 2298.0 或更高版本级别新部署的容器,在部署容器后,您可以编辑该容器以添加与场和桌面分配中的虚拟机一起使用的其他租户子网。其他租户子网可以位于部署容器的同一个 VNet 中,也可以位于对等互连 VNet 中。有关详细信息,请参阅 使用多个租户子网概述
将外部 Unified Access Gateway 部署在自身的 VNet(不同于容器的 VNet)中时,在 Unified Access Gateway 的 VNet 中为子网预留了 3 个非重叠地址范围(采用 CIDR 格式)。
  • 管理子网 — 最小为 /27
  • 后端子网 — 根据桌面和 RDS 服务器的数量,最小为 /27,首选为 /24 - /22
  • DMZ(前端)子网 — 最小为 /28
可以在 VNet 中手动创建子网,也可以在部署过程中由 Horizon Cloud 创建子网。如果使用手动创建的子网,则不能附加任何其他资源。对于此用例,通常会手动创建子网。在此用例中,后端子网的用途与上表行中所述虚拟机子网(主)的用途相似。
一个或多个可从 Horizon Cloud 容器和 Unified Access Gateway 实例使用和访问的 NTP 服务器。
配置 VNet(虚拟网络)DNS 服务器,使其指向可解析内部计算机名称和外部名称的有效 DNS 服务器。
用于容器和网关部署的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是执行部署和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 Microsoft 中的 Horizon Cloud 容器的 DNS 要求以及相关服务功能使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
可选。代理服务器信息(如果 VNet 上的出站 Internet 访问需要该信息),在 Horizon Cloud 环境中执行部署和日常操作期间将使用该信息。
可选。已配置 Microsoft Azure VPN/Express Route。

端口和协议要求

Horizon Cloud 环境中载入容器和执行日常操作需要特定的端口和协议。请参阅使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求

Unified Access Gateway 要求

当您选择在容器上配置 Unified Access Gateway 时,容器部署向导会要求您指定以下特定项目。根据定义,外部 Unified Access Gateway 允许位于外部网络的客户端启动虚拟桌面和应用程序,而内部 Unified Access Gateway 则允许位于内部网络的客户端建立受信任的 HTML Access (Blast) 连接。为支持最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,容器必须配置外部 Unified Access Gateway

Unified Access Gateway 配置的 FQDN。
与 FQDN 匹配的一个或多个采用 PEM 格式的 Unified Access Gateway 证书。
注: 如果您出于此目的提供的证书使用 CRL(证书吊销列表)或引用特定 DNS 名称的 OCSP(联机证书状态协议)设置,则必须确保针对那些 DNS 名称的 VNet 上的出站 Internet 访问可解析并可访问。在 Unified Access Gateway 网关配置中配置提供的证书期间, Unified Access Gateway 软件将访问这些 DNS 名称以检查证书的吊销状态。如果无法访问这些 DNS 名称,容器部署将在其 连接阶段失败。这些名称高度依赖于用于获取证书的 CA,因此不在 VMware 的控制中。
可选,除非您希望最终用户使用双因素身份验证。在这种情况下,必须配置 Unified Access Gateway 以便在 RADIUS 身份验证服务器中进行双因素身份验证,要配置的项目包括:
  • Unified Access Gateway 解析该身份验证服务器名称的 DNS 地址
  • Unified Access Gateway 解析指向该身份验证服务器的网络路由的路由
注: 部署容器后,如果您计划使用 Universal Broker 并已在 Universal Broker 中配置了双因素身份验证,但同时希望内部最终用户跳过使用该双因素身份验证,则需要进行一些额外配置。当容器具有内部 Unified Access Gateway 配置时,该配置会将此类内部最终用户的连接请求路由到虚拟桌面和应用程序。如果您希望 Universal Broker 跳过针对内部最终用户的双因素身份验证步骤,则在部署容器并配置 Universal Broker 后,请输入与内部最终用户流量对应的输出 NAT 地址范围。通过设置这些范围, Universal Broker 可识别来自内部最终用户的客户端流量并将其与来自外部最终用户的流量区分开,从而跳过针对内部最终用户的双因素身份验证。有关详细信息,请参阅文档主题 为 Universal Broker 定义内部网络范围

容器部署工作流

在启动容器部署向导之前,需要满足上述各项要求。在确保满足上述要求后,执行Horizon Cloud 容器 - 首个容器载入 - 总体工作流中的容器部署步骤 1 至 4 以部署容器。

在成功部署容器后,请确保您满足以下部分中所述的各项要求,以便您可以完成此简要工作流中的其余重要任务。

Active Directory 要求

控制台的 Active Directory 注册工作流需要满足以下各项要求。要充分了解该工作流,请参阅在 Horizon Cloud 环境中执行第一个 Active Directory 域注册

以下受支持的 Active Directory 配置之一:
  • 通过 VPN/Express Route 连接的内部部署 Active Directory 服务器
  • 位于 Microsoft Azure 中的 Active Directory 服务器
  • Microsoft Azure Active Directory 域服务
受支持的 Microsoft Windows Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
部署连接到云的容器时,同一 Horizon Cloud 客户帐户中所有这些容器都必须能够查看同一组 Active Directory 域。此要求不仅适用于在部署第一个容器之后部署到 Microsoft Azure 的其他容器,还适用于通过使用 Horizon Cloud Connector 云连接到同一客户帐户的任何 Horizon 容器。
域绑定帐户
具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符: "/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

  • 如果您熟悉 VMware Horizon 内部部署产品,您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考:Horizon Cloud 执行操作所需的服务帐户

辅助域绑定帐户
必须不同于主域绑定帐户。UI 将禁止在这两个字段中重复使用相同的帐户。

具有 sAMAccountName 属性的 Active Directory 域绑定帐户(具有读取访问权限的标准用户)。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

帐户必须具有以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal读取全部属性隐含的权限)

您还应将帐户密码设置为永不过期,以确保能够继续登录到您的 Horizon Cloud 环境。

  • 如果您熟悉 VMware Horizon 内部部署产品,您便会知晓上述权限与 Horizon 内部部署产品的辅助凭据帐户所需的权限相同。
  • 一般来说,应为域绑定帐户授予即时可用的默认读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予已通过身份验证的用户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留已通过身份验证的用户标准默认值。

参考:Horizon Cloud 执行操作所需的服务帐户

域加入帐户
Active Directory 域加入帐户,系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。( 域加入用户帐户

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

此外,您还应将帐户密码设置为永不过期,以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

该帐户需要以下 Active Directory 权限:读取全部属性、重置密码、创建计算机对象、删除计算机对象、写入全部属性。该帐户还要求在计划用于场和 VDI 桌面分配的目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

注: 从容器清单版本 2474.0 开始,域加入帐户所需的权限集与之前用于低于 2474 的清单版本的权限集相比将有所减小,现在包含对后代计算机对象的“写入全部属性”权限。运行以前清单版本的容器仍需要之前的权限集。有关详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户

对于计划用于场和 VDI 桌面分配的目标组织单位 (OU),该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关更多详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

可选辅助域加入帐户
Active Directory 域加入帐户,系统可以使用该帐户执行 Sysprep 操作并将虚拟机加入域。通常是为实现此目的而特地创建的新帐户。( 域加入用户帐户

帐户必须具有 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >

目前不支持在帐户的用户名中使用空格。

此外,您还应将帐户密码设置为永不过期,以确保 Horizon Cloud 能够持续执行 Sysprep 操作并将虚拟机加入域。

该帐户需要以下 Active Directory 权限:读取全部属性、重置密码、创建计算机对象、删除计算机对象、写入全部属性。该帐户还要求在计划用于场和 VDI 桌面分配的目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

注: 从容器清单版本 2474.0 开始,域加入帐户所需的权限集与之前用于低于 2474 的清单版本的权限集相比将有所减小,现在包含对后代计算机对象的“写入全部属性”权限。运行以前清单版本的容器仍需要之前的权限集。有关详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户

对于计划用于场和 VDI 桌面分配的目标组织单位 (OU),该帐户还要求在该目标组织单位 (OU) 的所有后代对象上具有名为“写入全部属性”的 Active Directory 权限。

有关更多详细信息,请参阅 Horizon Cloud 执行操作所需的服务帐户

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Active Directory 组
  • Horizon Cloud 管理员 — Horizon Cloud 管理员的 Active Directory 安全组。包含 Horizon Cloud 管理用户。此组在 Horizon Cloud 中被授予超级管理员角色。
  • Horizon Cloud 用户 — 用户的 Active Directory 安全组,这些用户将有权访问 Horizon Cloud 中的虚拟桌面和基于会话的 RDS 桌面以及已发布的应用程序。

如果您的租户环境中有任何 Microsoft Azure 中的 Horizon Cloud 容器运行的清单版本低于 1600.0,则域加入帐户以及任何辅助域加入帐户还必须位于 Horizon Cloud 管理员组中,或者位于在 Horizon Cloud 中被授予超级管理员角色的 Active Directory 组中。

虚拟桌面和基于会话的 RDS 桌面以及/或者已发布的应用程序的一个或多个 Active Directory 组织单位 (Organizational Unit, OU)。

在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。

Universal Broker 配置

在使用控制台为租户配置 Universal Broker 时,请确保满足下表中适用于您所需选项的各项要求。有关完整详细信息,请参阅配置 Universal Broker

用于容器的 VNet 上的出站 Internet 访问必须使用特定的端口和协议解析和访问特定的 DNS 名称。这是 Universal Broker 配置和日常操作所必需的。有关 DNS 名称和端口的列表,请参阅 Microsoft 中的 Horizon Cloud 容器的 DNS 要求以及相关服务功能使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
根据要提供的最终用户连接类型:
  • 如果最终用户通过 Internet 进行连接并启动其虚拟桌面和应用程序,则必须为容器配置外部 Unified Access Gateway
  • 如果始终通过内部网络进行所有最终用户连接,则无需在容器上配置 Unified Access Gateway,除非您希望 Universal Broker 对这些内部最终用户连接强制执行双因素身份验证。
可选。当您希望 Universal Broker 强制执行双因素身份验证时,容器必须配置外部 Unified Access Gateway 才能在 RADIUS 身份验证服务器中进行双因素身份验证。Universal Broker 会将身份验证请求传递到 Unified Access Gateway,后者会与 RADIUS 服务器通信,然后将响应传回到 Universal Broker。该外部 Unified Access Gateway 配置需要以下项目:
  • Unified Access Gateway 解析身份验证服务器的名称的 DNS 地址
  • Unified Access Gateway 解析指向身份验证服务器的网络路由的路由
可选:自定义 FQDN,最终用户将用它来访问 Universal Broker 服务和基于该 FQDN 的证书。如果要使用 VMware 提供的代理 FQDN,则不需要自定义 FQDN。

DNS 记录要求

将容器部署到 Microsoft Azure 云中后,请务必根据您的业务情况以及您想要利用的功能,在 DNS 服务器中设置相应记录以将完全限定域名 (FQDN) 映射到与容器相关的 IP 地址。有关 DNS 记录映射的背景信息,请参阅 Microsoft 云服务文档页面为 Azure 云服务配置自定义域名

注: 如果所部署容器的外部和内部网关配置使用相同的 FQDN,则在部署容器后,可以配置拆分的 DNS(拆分的域名系统),以便将网关地址解析为外部网关或内部网关,具体取决于最终用户客户端的 DNS 查询的源网络。
为租户配置具有自定义 FQDN 的 Universal Broker
创建一个公共 DNS 记录,以将自定义 FQDN 映射到 Universal Broker 配置中 VMware 提供的代理 FQDN。请参阅配置 Universal Broker
容器具有外部 Unified Access Gateway
为外部最终用户访问创建一个公共 DNS 记录,此记录与外部网关配置上的 FQDN 相匹配。此 DNS 记录会将该 FQDN 指向容器外部 Unified Access Gateway 配置中的 Microsoft Azure 外部负载均衡器。

有关 DNS 记录映射的背景信息,请参阅 Microsoft 文档页面为 Azure 云服务配置自定义域名

容器具有内部 Unified Access Gateway
为内部最终用户访问创建一个内部 DNS 记录,此记录与内部网关配置上的 FQDN 相匹配。此 DNS 记录会将该 FQDN 指向容器内部 Unified Access Gateway 配置中的 Microsoft Azure 内部负载均衡器。
为租户配置单容器代理并将租户与 VMware Workspace ONE Access 集成时
创建一个内部 DNS 记录,以支持通过 VMware Workspace ONE Access Connector 连接到容器管理器。VMware Workspace ONE Access Connector 将同步容器中的用户分配信息。此内部 DNS 记录与将上载到容器本身的证书中的 FQDN 相匹配,并指向容器管理器的 Microsoft Azure 内部负载均衡器。
与为通过 VMware Workspace ONE Access Connector 连接到容器而创建的上述内部 DNS 记录相匹配的证书链(CA 证书、SSL 证书、SSL 密钥文件)。必须按照将 SSL 证书上载到 Horizon Cloud 容器以进行直接连接中的步骤将此证书上载到容器管理器。
注: 上述两项也会用在以下极少数的非典型用例中:为租户配置了单容器代理,并且您希望告知内部最终用户直接连接到容器,而不是告知他们连接到容器上的内部 Unified Access Gateway 配置。在单容器代理租户中进行此类直接连接属于不太常见的用例。通常,对于该场景,将改用内部 Unified Access Gateway

Horizon Cloud 最佳配置映像、桌面和场

您的 Microsoft Azure 订阅必须满足以下要求,具体取决于您要在部署的容器中置备的最佳配置映像、VDI 桌面和 RDS 场的类型。

注: 当您的帐户支持使用 App Volumes 功能,并且您使用控制台的 捕获操作将 App Volumes 应用程序添加到清单中时,系统将生成两个桌面虚拟机的桌面分配以支持该捕获工作流。您的容量还必须能够支持在执行捕获工作流时创建这些桌面。为环境完成应用程序捕获后,您可以删除该桌面分配。
最佳配置映像的基础 — 一个或多个受支持的 Microsoft Azure 虚拟机配置。
  • Standard_D3_v2、Standard_D4_v3
  • Standard_D2_v2、Standard_D2_v3
  • Standard_NV6

当使用“映像”页面中的“从商城导入虚拟机”自动向导来创建基础虚拟机时,默认情况下,系统将自动使用上述某个虚拟机大小。系统的默认选项基于内部算法,包括检查容器 Microsoft Azure 区域中可用的大小。使用向导创建启用了 GPU 的虚拟机时,默认情况下会创建 Standard_NV6 大小的虚拟机。使用向导创建基于服务器操作系统的虚拟机时,将创建 Standard_D2_v2 或 Standard_D2_v3 虚拟机。创建基于客户端操作系统的虚拟机或 Windows 10 多会话虚拟机时,将创建 Standard_D3_v2 或 Standard_D4_v3 的虚拟机。

注: 从 2021 年 7 月版本开始,如果您的 Horizon Cloud 容器均运行清单版本 2632 或更高版本,并且已将您的租户环境配置为使用 Universal Broker,则可以使用适用于多容器映像的 Horizon 映像管理服务功能为单会话 VDI 桌面创建最佳配置映像。默认情况下,运行“多容器映像”页面中的“新建映像”工作流将创建 Standard_D2_v2 型号的虚拟机。启用 GPU 对应的选项开关后,运行“多容器映像”页面中的“新建映像”工作流将默认创建 Standard_NV6 型号的虚拟机。
为 VDI 桌面分配中的桌面虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud 桌面操作不兼容的配置除外。

对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

为场中的 RDSH 虚拟机选择型号 — 在 Microsoft Azure 区域中提供的任何 Microsoft Azure 虚拟机配置,与 Horizon Cloud RDS 场操作不兼容的配置除外。

在将运行 Microsoft Windows 10 企业版多会话的虚拟机与 Horizon Cloud 一起使用时,该要求也适用于该虚拟机。正如 Microsoft Azure Windows 虚拟桌面文档中的 Microsoft Windows 10 企业版多会话常见问题解答中所述,Microsoft Windows 10 企业版多会话是一种允许多个并发交互会话的远程桌面会话主机 (RDSH) 类型,以前仅 Microsoft Windows Server 操作系统能够提供该功能。适用于 RDS 服务器的 Horizon Cloud 工作流也适用于 Microsoft Windows 10 企业版多会话。

对于生产环境,VMware 规模测试建议使用至少具有 2 个 CPU 或更大的型号。

映像管理服务 (IMS) 要求

从 2021 年 7 月版本开始,如果您的 Horizon Cloud 容器均运行清单版本 2632 或更高版本,并且已将您的租户环境配置为使用 Universal Broker,则可以在这些容器中使用 Horizon 映像管理服务功能。要使用该服务提供的多容器映像功能,还需要满足其他要求。有关使用这些功能所需满足的系统要求的完整详细信息,请参阅 Horizon 映像管理服务系统要求中的“Microsoft Azure”部分。下表中列出了使用多容器映像时还需满足的有关订阅和服务主体的要求。

参与多容器映像的容器使用的订阅必须位于单个 Microsoft Azure Active Directory (AAD) 租户中。
参与多容器映像的容器使用的服务主体必须满足以下任一要求:
  • 在所有参与容器和订阅中使用相同的服务主体。
  • 每个服务主体必须对参与容器使用的每个 Microsoft Azure 订阅具有读取访问权限。

由于容器可能位于不同的订阅中,因此这个读取访问权限要求可使每个参与容器的订阅都能够查看其他参与容器的订阅。该服务需要具有这种查看能力才能使用 Azure 共享映像库功能创建多容器映像。

参与容器的服务主体使用的自定义角色必须包含以下与 Azure 共享映像库使用有关的权限。
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/write
  • Microsoft.Compute/galleries/delete
  • Microsoft.Compute/galleries/images/*
  • Microsoft.Compute/galleries/images/versions/*

Microsoft Windows 操作系统的许可

这些内容与导入的虚拟机、最佳配置映像、支持 RDSH 的场虚拟机和虚拟桌面虚拟机中的 Microsoft Windows 操作系统有关。有关 Horizon Cloud 支持的 Microsoft Windows 操作系统列表,请参阅 VMware 知识库文章 78170VMware 知识库文章 70965

Horizon Cloud 不提供使用在使用 Horizon Cloud 工作流的过程中使用的 Microsoft Windows 操作系统所需的任何客户机操作系统许可。您作为客户负责获取有效的合格 Microsoft 许可证,以授权您创建和运行在 Horizon Cloud 租户环境中选择使用的基于 Windows 的桌面虚拟机和 RDSH 虚拟机以及在其中执行工作流。所需的许可取决于您的预期用途。

提示: 有关 Windows 10 企业版多会话和 Windows 7 企业版的 Microsoft Windows 虚拟桌面许可的信息,请参阅 Microsoft Azure 文档主题 Windows 虚拟桌面定价
以下一种或多种类型的许可:Microsoft Windows 7 企业版、Microsoft Windows 10(客户端类型)
Microsoft Windows 10 企业版多会话的许可
以下一种或多种类型的许可:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 许可服务器 — 用于实现高可用性,建议使用冗余许可服务器
Microsoft RDS 用户 CAL 和/或设备 CAL

Horizon 基础架构监控要求

如果您的 Horizon Cloud 租户支持使用 Horizon 基础架构监控,则可以使用 Horizon Universal Console在您选择的容器上激活该功能。当您选择在某个容器上激活该功能时,系统会自动在该容器所在的 Microsoft Azure 订阅中构建一个虚拟设备,并将该设备配置为收集基础架构数据。您必须先将您的租户载入到 VMware Cloud Services,然后才能激活此监控功能。请参阅将 Horizon Cloud 租户载入 VMware Cloud Services 以及 Horizon 基础架构监控功能与 Horizon Cloud 环境中的容器

将租户载入 VMware Cloud Services
对于将在其中激活 Horizon 基础架构监控功能的每个容器,容器的 Microsoft Azure 订阅必须满足以下额外要求。
  • Horizon Edge 虚拟设备 - 1 x Standard_D4_v3

参考架构

请使用下面的架构图作为参考。

图 1. 具有以下特征的容器的 Horizon Cloud Pod 架构示意图:启用了高可用性、同时具有外部和内部网关配置、外部网关部署在与容器相同的 VNet 中、外部网关虚拟机上有三个网卡、内部网关虚拟机上有两个网卡,且为外部网关负载均衡器启用了公共 IP

启用了高可用性、同时具有两种类型的 Unified Access Gateway 配置且外部网关位于与容器相同的 VNet 中的容器的资源组、虚拟机和子网的架构示意图。

图 2. 将外部网关部署到自身的 VNet(不同于容器的 VNet,带有三个网卡)和由容器部署程序创建的资源组时的外部网关架构元素示意图

将外部网关部署到其自身的 VNet(而非容器的 VNet)和由容器部署程序创建的资源组时的外部网关架构元素示意图

资源

有关其他信息,请参阅以下资源。