在首次登录第一代 Horizon Universal Console 并运行容器部署向导之前,您必须执行以下预备任务。此容器部署向导可部署基于容器管理器的容器类型。

重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。
切记: 此向导会将基于容器管理器的容器类型部署到 Microsoft Azure 中。该控制台当前不提供用于自动部署 Azure VMware 解决方案 (AVS) 中的 Horizon 容器的部署向导,此类容器使用 Horizon Connection Server 技术。
  1. 满足必备条件检查表中所述的各项必备条件,尤其是以下条件:
    • 确保您的 Microsoft Azure 帐户和订阅中包含容器所需的虚拟机数量和大小,如果您计划部署可选的 Unified Access Gateway 配置,则还需包括这些配置。请参阅第一代租户 - Microsoft Azure 中的 Horizon Cloud 容器的 Microsoft Azure 虚拟机要求

      如果您计划为容器部署的外部网关配置使用自己单独的订阅,与容器的订阅分离,则请确保此单独订阅中包含外部网关所需的虚拟机数量和大小。对于该用例,此单独的订阅将需要有自己的 VNet,因为 VNet 不能跨订阅。此外,此单独的订阅必须与容器的订阅位于同一个区域中,因为支持的 VNet 拓扑要连接同一 Microsoft Azure 区域中的 VNet。

    • 按照必备条件检查表中所述:
      • 确保您的订阅不会限制 Azure StorageV2 帐户类型的使用。App Volumes 功能需要存储帐户。
      • 如果您不打算在容器部署向导中指定自定义资源标记,请确保您的订阅不要求在其资源组上使用特定的标记名称。
      • 确保您的订阅没有会阻止、拒绝或限制在该订阅中创建容器组件的 Azure 策略。
      小心: 如果您的订阅在创建资源组方面存在限制,则容器部署过程可能会提前失败。如果您的订阅与上述项目不匹配,则为容器管理器虚拟机创建资源组的第一步将无法完成。因此,如果您的容器部署过程在一小时后超时,请先检查您的订阅是否部署了 Azure 策略以阻止、拒绝或限制根据特定条件创建资源组。
    • 确保要在其中部署容器的区域中存在虚拟网络 (VNet),并且该虚拟网络符合 Horizon Cloud 容器的要求。如果还没有 VNet,请创建一个符合要求的 VNet。请参阅第一代 Horizon Cloud - 在 Microsoft Azure 中配置必需的虚拟网络

      如果您计划为容器部署的外部网关配置使用自己单独的 VNet,与容器的 VNet 分离,或者使用自己不同于容器订阅的单独订阅,则请确保此单独的 VNet 与容器的 VNet 位于同一区域中,并且符合记录的 Horizon Cloud VNet 要求。对于该用例,这两个 VNet 必须彼此对等。

      重要说明: 并非所有 Microsoft Azure 区域都支持启用了 GPU 的虚拟机。如果您想要将容器用于支持 GPU 的桌面或远程应用程序,请确保为该容器选择的 Microsoft Azure 区域可提供您希望使用且在此 Horizon Cloud 版本中支持的那些 NV 系列、NVv4 系列和 NCv2 系列虚拟机类型。有关详细信息,请参阅 Microsoft 文档,其地址为 https://azure.microsoft.com/zh-cn/regions/services/
    • 如果要在部署容器之前手动为 VNet 上的容器创建子网,请确保在 VNet 上创建所需数量的子网,并确保它们的地址空间符合记录的 Horizon Cloud VNet 要求,且不包含任何资源。有关信息,请参阅第一租户 - 部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网
      小心: 在 VNet 上为容器部署创建的这些子网必须是空的。您可以在部署容器之前创建子网,但不要将任何资源放在这些子网上或以其他方式使用任何 IP 地址。如果在子网上已使用某个 IP 地址,容器可能无法部署。

      如果不希望提前创建子网,容器部署过程将使用您在屏幕上的向导中输入的 CIDR 信息创建子网。

    • 确保将虚拟网络配置为指向解析外部名称的有效域名服务 (Domain Name Service, DNS) 服务器。请参阅第一代租户 - 配置将用于 Microsoft Azure 中的 Horizon Cloud 容器的 VNet 拓扑所需的 DNS 服务器设置
      重要说明: 容器部署过程要求进行外部和内部名称解析。如果 VNet 指向的 DNS 服务器无法解析外部名称,部署过程将失败。
    • 如果您计划将具有外部网关配置的容器部署到在与容器的订阅不同的订阅中创建的现有资源组(而不是让部署程序自动创建该资源组),请确保在启动容器部署向导之前该资源组在该订阅中存在。决定是在资源组级别还是订阅级别设置 Horizon Cloud 所需的权限。请参阅第一代租户 - 当您的组织希望对第一代 Horizon Cloud 应用程序注册使用自定义角色时
    • 确保支持将您的 Active Directory 设置用于该版本,您的虚拟网络可以访问该设置,并且 DNS 服务器可以解析其名称。请参阅第一代租户 - Horizon Cloud - Active Directory 域配置
  2. 根据您计划的部署选项创建所需数量的服务主体。如果要将容器的外部网关配置部署到自己的订阅中,则需要在该订阅以及用于容器本身的订阅中使用一个服务主体。有关详细步骤,请参阅第一代租户 - 在容器的订阅中创建 Horizon Cloud 应用程序注册
    重要说明: 您为 Horizon Cloud 的使用配置的每个服务主体都必须在该服务主体的关联订阅中分配有一个相应的角色。服务主体的角色必须允许执行 Horizon Cloud 需要对该服务主体的关联 Microsoft Azure 订阅中由 Horizon Cloud 管理的资源执行的操作。容器订阅的服务主体需要具有一个角色,以允许执行相应的操作以成功部署容器,对容器和容器管理的资源运行操作以完成使用管理控制台启动的管理员工作流,以及执行相应的操作以在一段时间内维护容器。在将单独的订阅用于容器的外部 Unified Access Gateway 配置时,该订阅的服务主体需要具有一个角色,以允许执行相应的操作以成功部署该网关配置所需的资源,对这些 Horizon Cloud 管理的资源运行操作以完成管理员工作流,以及执行相应的操作以在一段时间内维护那些网关相关资源。

    正如第一代租户 - 当您的组织希望对第一代 Horizon Cloud 应用程序注册使用自定义角色时中所述,必须使用以下方法之一为服务主体授予访问权限:

    • 在订阅级别,分配参与者角色。参与者角色是 Microsoft Azure 内置角色之一。在 Microsoft Azure 文档的 Azure 资源的内置角色中介绍了参与者角色。
    • 在订阅级别,分配一个设置为向服务主体提供Horizon Cloud所需的最小允许操作集的自定义角色,以部署容器相关资源以及执行管理员启动的日常工作流和容器维护操作。
    • 在将单独的订阅用于外部 Unified Access Gateway 配置并部署到现有资源组时,有效的组合是使用提供范围较窄的权限的角色为服务主体授予访问权限以访问该资源组和关联的 VNet,以及使用内置的读取者角色为服务器授予访问权限以访问订阅。

    此外,必须将该角色直接分配给用于 Horizon Cloud 的服务主体。不支持对服务主体使用基于组的角色分配(在这种情况中,角色被分配给一个组,而服务主体是该组的成员)。

  3. 确认 Horizon Cloud 所需的资源提供程序均显示为已注册状态,如第一代租户 - 第一代 Horizon Cloud 要求在 Microsoft Azure 订阅中必须为“已注册”状态的资源提供程序中所述。
  4. 从 Microsoft Azure 门户中,为容器的订阅以及外部网关的订阅(如果使用该部署选项)获取 Microsoft Azure 订阅 ID、应用程序 ID、应用程序身份验证密钥和 Microsoft Azure AD 目录 ID 的值。Horizon Cloud 使用这些资源在 Microsoft Azure 订阅中执行操作。请参阅第一代租户 - Horizon Cloud 容器部署向导的订阅相关信息
  5. 如果要使用 Unified Access Gateway 配置部署容器,请获取已签名的 TLS/SSL 服务器证书,以便允许最终用户客户端信任到桌面和远程应用程序的连接。此证书应与您的最终用户将在其客户端中使用的 FQDN 相匹配,并由受信任的证书颁发机构 (Certificate Authority, CA) 签名。此外,证书链中的所有证书,包括任何中间证书,都必须在有效期内。如果证书链中的任何证书已过期,之后的容器载入过程可能会出现意外故障。

    Unified Access Gateway 提供您的 CA 签名的证书,以便最终用户的客户端可以信任连接。要支持通过 Internet 的可信访问,请为容器部署一个外部 Unified Access Gateway 配置。要在企业网络中支持可信访问,请使用内部 Unified Access Gateway 配置。可以在初始容器部署过程中或者在部署容器后使用“编辑容器”工作流部署这两种类型的配置。

    重要说明: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。
  6. 如果将用于 Unified Access Gateway 配置的已签名 SSL 服务器证书不是 PEM 格式,或者不是包含整个证书链和私钥的单个 PEM 文件,请将证书信息转换为所需的 PEM 格式。请参阅第一代租户 - 将证书文件转换为第一代 Horizon Cloud 容器部署所需要的 PEM 格式中的步骤。
  7. 如果您还没有注册以访问 Horizon Cloud,请确认满足以下两个要求之一:
    • 获取 VMware Customer Connect 帐户,然后使用该帐户注册 Horizon Cloud 访问权限。
    • 如果您的组或组织使用 VMware Cloud Services 交互平台注册 Horizon Cloud,或者已使用 VMware Cloud servicesWorkspace ONE 进行注册以使用 Horizon Cloud,则当该组或组织邀请您加入其 VMware Cloud services 组织共享空间时,您会收到一封包含激活链接的邀请电子邮件,如 VMware Cloud services 文档的将用户添加到组织主题中所述。如果收到这样的电子邮件,请在尝试访问 Horizon Cloud 之前,查看完整的电子邮件说明。

完成这些预备任务后,请登录到 Horizon Universal Console,网址为 cloud.horizon.vmware.com。该地址将重定向到您使用 VMware Cloud Services 凭据或 VMware Customer Connect 凭据登录的 VMware Cloud Services 登录页。

完成登录流程后,您会看到控制台的添加云容量区域,并可单击管理 > 添加容器以启动容器部署向导。在每个屏幕中输入所需的信息,完成该向导。有关详细步骤,请参阅第一代租户 - 使用第一代 Horizon Universal Console 将容器自动部署到 Microsoft Azure 中

注: 基于云的控制台中的登录身份验证依赖于使用 VMware Cloud Services 对帐户凭据进行身份验证。如果该服务无法完成所需的身份验证请求,您将无法在该时间段内登录到控制台。如果您在登录到控制台的第一个登录屏幕时遇到问题,请检查 Horizon Cloud“系统状态”页面(地址为 https://status.workspaceone.com),以查看最新的系统状态。在该页面上,您还可以进行订阅,以便接收最新资讯。