在首次登录 Horizon Cloud 管理控制台 并运行容器部署向导之前,您必须执行以下预备任务。此容器部署向导可部署基于容器管理器的容器类型。
- 满足必备条件检查表中所述的各项必备条件,尤其是以下条件:
- 确保您的 Microsoft Azure 帐户和订阅中包含容器所需的虚拟机数量和大小,如果您计划部署可选的 Unified Access Gateway 配置,则还需包括这些配置。请参阅Microsoft Azure 中的 Horizon Cloud 容器的 Microsoft Azure 虚拟机要求。
如果您计划为容器部署的外部网关配置使用自己单独的订阅,与容器的订阅分离,则请确保此单独订阅中包含外部网关所需的虚拟机数量和大小。对于该用例,此单独的订阅将需要有自己的 VNet,因为 VNet 不能跨订阅。此外,此单独的订阅必须与容器的订阅位于同一个区域中,因为支持的 VNet 拓扑要连接同一 Microsoft Azure 区域中的 VNet。
- 按照必备条件检查表中所述:
- 确保您的订阅不限制使用 Azure StorageV1 帐户类型。
- 如果您不打算在容器部署向导中指定自定义资源标记,请确保您的订阅不限制创建未标记的资源组或要求在其资源组上使用特定的标记。
- 确保您的订阅没有会阻止、拒绝或限制在该订阅中创建容器组件的 Azure 策略。
小心: 如果您的订阅与前面的这些项目不匹配,容器部署过程将提前失败,因为创建临时 jump box 的资源组和部署 jump box 的第一步将无法完成。因此,如果您的容器部署过程在两小时后超时,请先检查您的订阅是否部署了 Azure 策略以阻止、拒绝或限制根据特定条件创建资源组。 - 确保要在其中部署容器的区域中存在虚拟网络 (VNet),并且该虚拟网络符合 Horizon Cloud 容器的要求。如果还没有 VNet,请创建一个符合要求的 VNet。请参阅在 Microsoft Azure 中配置必需的虚拟网络。
如果您计划为容器部署的外部网关配置使用自己单独的 VNet,与容器的 VNet 分离,或者使用自己不同于容器订阅的单独订阅,则请确保此单独的 VNet 与容器的 VNet 位于同一区域中,并且符合记录的 Horizon Cloud VNet 要求。对于该用例,这两个 VNet 必须彼此对等。
重要事项: 并非所有 Microsoft Azure 区域都支持启用了 GPU 的虚拟机。如果您想要将容器用于支持 GPU 的桌面或远程应用程序,请确保为该容器选择的 Microsoft Azure 区域可提供您希望使用的那些 NV 系列虚拟机类型,并且 Horizon Cloud 中支持那些虚拟机类型。有关详细信息,请参阅 Microsoft 文档,其地址为 https://azure.microsoft.com/zh-cn/regions/services/。 - 如果要在部署容器之前手动为 VNet 上的容器创建子网,请确保在 VNet 上创建所需数量的子网,并确保它们的地址空间符合记录的 Horizon Cloud VNet 要求,且不包含任何资源。有关信息,请参阅部署容器之前,在 Microsoft Azure 中的 VNet 上创建 Horizon Cloud 容器所需的子网。
小心: 在 VNet 上为容器部署创建的这些子网必须是空的。您可以在部署容器之前创建子网,但不要将任何资源放在这些子网上或以其他方式使用任何 IP 地址。如果在子网上已使用某个 IP 地址,容器可能无法部署。
如果不希望提前创建子网,容器部署过程将使用您在屏幕上的向导中输入的 CIDR 信息创建子网。
- 确保将虚拟网络配置为指向解析外部名称的有效域名服务 (Domain Name Service, DNS) 服务器。请参阅配置将用于 Microsoft Azure 中的 Horizon Cloud 容器的 VNet 拓扑所需的 DNS 服务器设置。
重要事项: 容器部署过程要求进行外部和内部名称解析。如果 VNet 指向的 DNS 服务器无法解析外部名称,部署过程将失败。
- 如果您计划将具有外部网关配置的容器部署到在与容器的订阅不同的订阅中创建的现有资源组(而不是让部署程序自动创建该资源组),请确保在启动容器部署向导之前该资源组在该订阅中存在。决定是在资源组级别还是订阅级别设置 Horizon Cloud 所需的权限。请参阅Horizon Cloud 在 Microsoft Azure 订阅中所需的操作。
- 确保支持将您的 Active Directory 设置用于该版本,您的虚拟网络可以访问该设置,并且 DNS 服务器可以解析其名称。请参阅Active Directory 域配置。
- 确保您的 Microsoft Azure 帐户和订阅中包含容器所需的虚拟机数量和大小,如果您计划部署可选的 Unified Access Gateway 配置,则还需包括这些配置。请参阅Microsoft Azure 中的 Horizon Cloud 容器的 Microsoft Azure 虚拟机要求。
- 根据您计划的部署选项创建所需数量的服务主体。如果要将容器的外部网关配置部署到自己的订阅中,则需要在该订阅以及用于容器本身的订阅中使用一个服务主体。有关详细步骤,请参阅通过创建应用程序注册来创建 Horizon Cloud 容器部署程序所需的服务主体。
重要事项: 您为 Horizon Cloud 的使用配置的每个服务主体都必须在该服务主体的关联订阅中分配有一个相应的角色。服务主体的角色必须允许 Horizon Cloud 需要对该服务主体的关联 Microsoft Azure 订阅中由 Horizon Cloud 管理的资源运行的操作。容器订阅的服务主体需要具有一个角色,以允许执行相应的操作以成功部署容器,对容器和容器管理的资源运行操作以完成使用管理控制台启动的管理员工作流,以及执行相应的操作以在一段时间内维护容器。在将单独的订阅用于容器的外部 Unified Access Gateway 配置时,该订阅的服务主体需要具有一个角色,以允许执行相应的操作以成功部署该网关配置所需的资源,对这些 Horizon Cloud 管理的资源运行操作以完成管理员工作流,以及执行相应的操作以在一段时间内维护那些网关相关资源。
正如Horizon Cloud 在 Microsoft Azure 订阅中所需的操作中所述,必须使用以下方法之一为服务主体授予访问权限:
- 在订阅级别,分配参与者角色。参与者角色是 Microsoft Azure 内置角色之一。在 Microsoft Azure 文档的 Azure 资源的内置角色中介绍了参与者角色。
- 在订阅级别,分配一个设置为向服务主体提供Horizon Cloud所需的最小允许操作集的自定义角色,以部署容器相关资源以及执行管理员启动的日常工作流和容器维护操作。
- 在将单独的订阅用于外部 Unified Access Gateway 配置并部署到现有资源组时,有效的组合是使用提供范围较窄的权限的角色为服务主体授予访问权限以访问该资源组和关联的 VNet,以及使用内置的读取者角色为服务器授予访问权限以访问订阅。
此外,必须将该角色直接分配给用于 Horizon Cloud 的服务主体。不支持对服务主体使用基于组的角色分配(在这种情况中,角色被分配给一个组,而服务主体是该组的成员)。
- 从 Microsoft Azure 门户中,为容器的订阅以及外部网关的订阅(如果使用该部署选项)获取 Microsoft Azure 订阅 ID、应用程序 ID、应用程序身份验证密钥和 Microsoft Azure AD 目录 ID 的值。Horizon Cloud 使用这些资源在 Microsoft Azure 订阅中执行操作。请参阅Horizon Cloud 容器部署向导的订阅相关信息。
- 如果要使用 Unified Access Gateway 配置部署容器,请获取已签名的 TLS/SSL 服务器证书,以便允许最终用户客户端信任到桌面和远程应用程序的连接。此证书应与您的最终用户将在其客户端中使用的 FQDN 相匹配,并由受信任的证书颁发机构 (Certificate Authority, CA) 签名。此外,证书链中的所有证书,包括任何中间证书,都必须在有效期内。如果证书链中的任何证书已过期,之后的容器载入过程可能会出现意外故障。
Unified Access Gateway 提供您的 CA 签名的证书,以便最终用户的客户端可以信任连接。要支持通过 Internet 的可信访问,请为容器部署一个外部 Unified Access Gateway 配置。要在企业网络中支持可信访问,请使用内部 Unified Access Gateway 配置。可以在初始容器部署过程中或者在部署容器后使用“编辑容器”工作流部署这两种类型的配置。
重要事项: 该 FQDN 不能包含下划线。在该版本中,在 FQDN 包含下划线时,到 Unified Access Gateway 实例的连接将失败。 - 如果将用于 Unified Access Gateway 配置的已签名 SSL 服务器证书不是 PEM 格式,或者不是包含整个证书链和私钥的单个 PEM 文件,请将证书信息转换为所需的 PEM 格式。请参阅将证书文件转换为容器部署所需的 PEM 格式中的步骤。
- 如果您还没有注册以访问 Horizon Cloud,请确认满足以下两个要求之一:
- 获取 My VMware 帐户,然后使用该帐户注册 Horizon Cloud 访问权限。
- 如果您的组或组织使用 VMware Cloud Services 交互平台注册 Horizon Cloud,或者已使用 VMware Cloud services 或 Workspace ONE 进行注册以使用 Horizon Cloud,则当该组或组织邀请您加入其 VMware Cloud services 组织共享空间时,您会收到一封包含激活链接的邀请电子邮件,如 VMware Cloud services 文档的将用户添加到组织主题中所述。如果收到这样的电子邮件,请在尝试访问 Horizon Cloud 之前,查看完整的电子邮件说明。
完成这些准备任务后,可使用以下两种方法之一访问 Horizon Cloud 环境:
- 在为 Horizon Cloud 注册该特定帐户后,在 cloud.horizon.vmware.com 中输入 My VMware 凭据。
- 在按照上一段中所述通过您所在组的组织注册 Horizon Cloud 以供您使用后,从 cloud.horizon.vmware.com 中通过 VMware Cloud Services 进行单点登录。
登录后,您会在屏幕上看到添加云容量区域,并可单击 以启动容器部署向导。在每个屏幕中输入所需的信息,完成该向导。有关详细步骤,请参阅使用 Horizon Cloud 管理控制台将容器自动部署到 Microsoft Azure 中。