此工作流介绍了在第一代 Horizon Universal Console 中从部署基于容器管理器的容器开始到配置虚拟桌面和应用程序的简要步骤。此操作序列以最终用户启动其授权的虚拟桌面和应用程序结束。
如果您在管理控制台中看不到所需的功能,请与您的 VMware 客户代表联系,以验证您的许可证和租户帐户配置是否授权使用该功能。
- 满足必备条件。请参阅新容器部署的 VMware Horizon Cloud Service on Microsoft Azure 要求检查表。
- 在 Horizon Cloud 之外执行一些预备任务。请参阅将 Horizon Cloud 容器部署到 Microsoft Azure 的准备工作。
- 满足部署容器的 DNS、端口和协议要求。请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求以及使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求。
- 登录到 Horizon Universal Console,然后运行向导以部署容器。
- 在 Horizon 控制平面中注册您的 Active Directory 域,包括提供服务帐户的名称。确保这些服务帐户满足 Horizon Cloud 执行操作所需的服务帐户中所述的要求
- 将适当的角色分配给组织中的人员,以便其在管理控制台中进行身份验证和执行操作。Horizon Cloud 中使用两种类型的角色。请参阅关于为要使用基于云的控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践。
- 完成租户的 Universal Broker 配置。请参阅配置 Universal Broker 设置。
- 在 DNS 服务器中创建所需的 CNAME 记录。有关 Universal Broker 的这些 CNAME 用途和 CNAME 记录要求的信息,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息和配置 Universal Broker 设置。
注: 如果您具有外部网关配置,并对该配置的 Azure 负载均衡器使用专用 IP 地址,则必须具有防火墙或 NAT 来管理到该专用 IP 地址的 Internet 流量,并且该防火墙或 NAT 必须提供公共 IP 地址并进行相应配置,以使在部署外部网关配置时指定的 FQDN 可公开解析。控制平面必须能够与为外部网关指定的 FQDN 进行通信。
- 可选:如果您的 Horizon Cloud 租户帐户尚未载入到 VMware Cloud Services 交互平台,请考虑立即载入。请参阅使用基于云的控制台将 Horizon Cloud 租户载入 VMware Cloud Services 交互平台。
- 创建最佳配置映像。创建最佳配置映像的过程包含多个步骤。有关创建可在 Horizon Cloud 租户中使用的最佳配置映像的各种方法的简要概述,请参阅为 Microsoft Azure 中的 Horizon Cloud 容器创建桌面映像。在创建最佳配置映像时,首先要导入基础虚拟机,随后可根据业务需求和最终用户需求自定义该基础虚拟机。
- 根据此映像将最后用于的最终用户分配类型,视情况执行以下一个或多个步骤。
- 在将用于置备单会话 VDI 桌面或本机应用程序的单会话映像中,安装希望最终用户在其 VDI 桌面中使用的第三方应用程序,并配置其他适用的自定义设置,例如设置桌面壁纸、安装 GPU 驱动程序(适用于启用了 GPU 的映像)等等。如果在导入映像过程中未根据 Microsoft Sysprep 最佳做法优化映像,则还要进行优化。请参阅自定义映像虚拟机的 Microsoft Windows 客户端操作系统、安装适当的 GPU 驱动程序,以及利用最佳配置映像获得最佳远程体验性能的五个关键步骤。
提示: 为了进一步调整映像虚拟机以改进在 VDI 用例中使用 VMware Blast Extreme 的配置,最佳做法是阅读 《VMware Blast Extreme 优化指南》,并根据该指南关于编解码器选项的建议,对映像中的编解码器选项执行额外调整。
- 在将用于置备多会话桌面和远程应用程序的多会话映像中,从该多会话映像安装要向最终用户提供的第三方应用程序,并配置其他适用的自定义设置,例如设置桌面壁纸、安装 GPU 驱动程序(适用于启用了 GPU 的映像)等等。如果在导入映像过程中未根据 Microsoft Sysprep 最佳做法优化映像,则还要进行优化。如果导入的虚拟机运行默认包含 Office 365 ProPlus 的 Microsoft Windows 10 或 Windows 11 企业版多会话系统之一,您应该确认在虚拟机中为 Office 365 ProPlus 配置了共享计算机激活,如 Microsoft 文档主题 Office 365 ProPlus 共享计算机激活概述中所述。如果在导入的虚拟机中没有为 Office 365 ProPlus 配置共享计算机激活,请使用该 Microsoft 文档中所述的适用于您的情况的方法。请参阅自定义映像虚拟机的 Microsoft Windows Server 操作系统、自定义映像虚拟机的 Microsoft Windows 10 企业版多会话操作系统、安装适当的 GPU 驱动程序,以及利用最佳配置映像获得最佳远程体验性能的五个关键步骤。
提示: 为了进一步调整映像虚拟机以改进在 VDI 用例中使用 VMware Blast Extreme 的配置,最佳做法是阅读 《VMware Blast Extreme 优化指南》,并根据该指南关于编解码器选项的建议,对映像中的编解码器选项执行额外调整。
- 在将用于置备单会话 VDI 桌面或本机应用程序的单会话映像中,安装希望最终用户在其 VDI 桌面中使用的第三方应用程序,并配置其他适用的自定义设置,例如设置桌面壁纸、安装 GPU 驱动程序(适用于启用了 GPU 的映像)等等。如果在导入映像过程中未根据 Microsoft Sysprep 最佳做法优化映像,则还要进行优化。请参阅自定义映像虚拟机的 Microsoft Windows 客户端操作系统、安装适当的 GPU 驱动程序,以及利用最佳配置映像获得最佳远程体验性能的五个关键步骤。
- 将该映像转换为可分配的映像,这一操作又称为封装或发布映像。请参阅将已配置的虚拟机转换为可分配的映像。
- 要从已发布的多会话映像置备会话桌面和远程应用程序,请执行以下操作:
- 创建一个桌面场以提供会话桌面,然后创建分配以授权最终用户使用这些桌面。请参阅创建场和创建 RDSH 会话桌面分配。
- 创建一个应用程序场以提供远程应用程序,将应用程序添加到您的应用程序清单中,然后创建分配以授权最终用户使用这些远程应用程序。请参阅创建场、从 RDSH 场导入新的远程应用程序和创建远程应用程序分配。
- 要从已发布的单会话 VDI 桌面映像置备单会话 VDI 桌面,请创建专用或浮动 VDI 桌面分配。请参阅有关 Microsoft Azure 中 Horizon Cloud 环境的容器的桌面分配及其关于创建这些桌面分配的部分。
- 要为最终用户置备 App Volumes 应用程序,请将 App Volumes 应用程序添加到应用程序清单,然后创建应用程序分配,以便授权最终用户使用这些应用程序。然后,创建一个桌面分配,授权这些最终用户访问可在其中使用这些应用程序的基本桌面。应用程序分配会授权在用户授权桌面的 Windows 操作系统内使用用户的授权 App Volumes 应用程序。请参阅 App Volumes 应用程序 - 概述和必备条件。
- 当部署具有双因素身份验证配置时,必须完成以下任务:
- 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请将该双因素身份验证服务器配置为允许来自外部网关负载均衡器 IP 地址的通信。
如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。
- 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请将双因素身份验证服务器配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。
您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。
Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。
当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。
有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新双因素身份验证系统。
- 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请将该双因素身份验证服务器配置为允许来自外部网关负载均衡器 IP 地址的通信。
完成上述工作流步骤后,为最终用户提供 Universal Broker 代理 FQDN。他们将在 Horizon Client 或 Horizon HTML Access (Web Client) 中使用该代理 FQDN 来启动其授权的桌面和远程应用程序。
您可以在上述每个步骤中所链接到的主题中找到有关如何完成每个工作流步骤的深入详细信息。