以下是通过运行容器部署程序将 Horizon Cloud 容器部署到 Microsoft Azure 容量中,从而得到首个连接到云的容器的相关步骤简要列表。在完全部署首个连接到云的容器并且已完成向容器的预期 Active Directory 域注册 Horizon Cloud 的步骤之后,您可以使用 Horizon Cloud 提供的所有功能,尤其是在为此容器中的最终用户置备 VDI 桌面、基于 RDSH 会话的桌面或者基于 RDSH 的远程应用程序时。当您的客户帐户配置为在 Microsoft Azure 中的容器中使用 App Volumes 功能时,您还可以从这些 App Volumes 功能中置备应用程序,并授权最终用户使用这些应用程序。

在部署首个连接到云的容器并使用容器部署向导将其部署到 Microsoft Azure 中时,请执行以下步骤。

  1. 满足必备条件。请参阅针对新容器部署的 VMware Horizon Cloud Service on Microsoft Azure 要求检查表 - 针对从 2020 年 7 月服务版本开始部署的容器进行了相应更新
  2. Horizon Cloud 之外执行一些预备任务。请参阅准备将 Horizon Cloud 容器部署到 Microsoft Azure
  3. 确认您满足部署容器的 DNS、端口和协议要求。请参阅Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
  4. 部署容器。请参阅将 Horizon Cloud 容器部署到 Microsoft Azure
  5. 在部署的容器中注册您的 Active Directory 域,包括提供域加入帐户的名称。请参阅管理指南中的执行第一个 Active Directory 域注册
  6. 为包含该域加入帐户以作为成员的 Active Directory 组授予 Horizon Cloud 超级管理员角色。
    重要事项: 您必须确保在注册域时输入的域加入帐户也位于分配了 Horizon Cloud 超级管理员角色的某个 Active Directory 组中。系统对容器的域加入操作取决于具有 Horizon Cloud 超级管理员角色的域加入帐户。 请参阅将管理角色分配给 Active Directory 组
  7. 选择您希望在将容器置备的资源代理到最终用户时,租户的容器使用的代理类型。请参阅《管理指南》中的 Universal Broker 和单容器代理简介主题及其相关主题和子主题。
  8. 如果您计划将 Workspace ONE Access 与容器一起使用,或者计划让 Horizon Clients 直接连接到容器(而不是通过容器网关配置进行连接),请执行以下步骤:
    • 在您的 DNS 服务器中,将完全限定域名 (FQDN) 映射到容器管理器的 Microsoft Azure 负载均衡器 IP 地址。
    • 获取基于该映射的 FQDN 的 SSL 证书

    您将根据已在 DNS 中映射到容器管理器的 Microsoft Azure 负载均衡器 IP 地址的 FQDN,将 SSL 证书上载到容器,以便与容器管理器虚拟机之间建立受信任的连接。此类连接包括 Horizon Clients(对于已向其提供该映射的 FQDN 的用户)以及 Workspace ONE Access Connector(在将 Workspace ONE Access 与容器集成时使用该连接器)。Workspace ONE Access Connector 必须使用已映射到容器管理器的 Microsoft Azure 负载均衡器 IP 地址的 FQDN 连接到容器。

    注意:Workspace ONE Access 与容器集成时,必须将 SSL 证书上载到容器,并将 Workspace ONE Access 配置为指向容器,而不是指向容器的 Unified Gateway Access 配置。

    但是,请记住,在您基于 DNS 映射的 FQDN 上载 SSL 证书后,如果尝试通过直接在浏览器中键入该 FQDN 来进行连接,而不通过正确配置的 Workspace ONE Access 进行连接,这种纯 FQDN 用法将显示为不受信任的连接。其原因是,仅将该 FQDN 加载到浏览器时将使用 HTML Access (Blast) 进行连接,而这正是 HTML Access (Blast) 的行为方式。因此,当您将该 FQDN 加载到浏览器时,会显示典型的证书不受信任错误。

    在没有 Workspace ONE Access 的情况下,要避免使用 HTML Access (Blast) 进行的连接(基本上是使用浏览器进行的连接)显示证书不受信任错误,您必须在容器上配置网关,并让这些连接使用该网关配置中的负载均衡器和 Unified Access Gateway 实例。如果您不希望在 Internet 上公开 FQDN,您可以部署内部 Unified Access Gateway 配置。该内部 Unified Access Gateway 配置会使用企业网络内部的最终用户可以连接到的 Microsoft Azure 内部负载均衡器。

  9. 如果您希望具有上一步中所述的一个或两个用例,请使用管理控制台中的容器摘要页面将 SSL 证书直接上载到容器。请参阅在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书
    提示: 如果您只想支持以下访问用例:通过与容器的 Unified Access Gateway 实例连接的负载均衡器连接到这些实例,则无需将 SSL 证书直接上载到容器。不过,仍然建议您执行以上步骤和此处的步骤,因为这样做可以确保在向用户提供该 FQDN 以在其 Horizon Clients 中输入该 FQDN 时,这些客户端可以具有受信任的连接。通过执行以上步骤和此处的步骤,您还可以更加快速地将容器与 Workspace ONE Access 相集成,因为您已映射 FQDN,并且已将 SSL 证书上载到容器。
  10. 导入基础映像。在“导入的虚拟机”页面上,使用重置代理配对操作将新映像与 Horizon Cloud 配对。请参阅为 Microsoft Azure 中的 Horizon Cloud 容器创建桌面映像
    注: 技术预览版:在技术预览版中,目前是 Microsoft Windows 10 企业版多会话操作系统与 App Volumes 配合使用。要为该用例导入基础映像,请改用以下步骤: 技术预览版 - 如何将 Windows 10 多会话虚拟机配置为与此 Horizon Cloud 版本中的 App Volumes 功能配合使用。
  11. 根据此映像将最后用于的最终用户分配类型,视情况执行以下一个或多个步骤。
    • 在将用于置备 VDI 桌面或本机应用程序的映像虚拟机中,安装希望最终用户在其 VDI 桌面中使用的第三方应用程序,并配置其他适用的自定义内容,例如设置桌面壁纸、安装 NVIDIA GPU 驱动程序(适用于启用了 GPU 的映像)等等。如果在导入映像过程中未根据 Microsoft Sysprep 最佳做法优化映像,则还要进行优化。请参阅《管理指南》中的自定义映像虚拟机的 Windows 操作系统及其子主题,以及在启用 GPU 的映像中安装 NVIDIA 图形驱动程序
      提示: 为了进一步调整映像虚拟机以改进在 VDI 用例中使用 VMware Blast Extreme 的配置,最佳做法是阅读 《VMware Blast Extreme 优化指南》,并根据该指南关于编解码器选项的建议,对映像中的编解码器选项执行额外调整。
    • 在用于置备基于 RDSH 的会话桌面和远程应用程序的支持 RDS 的映像中,从该 RDS 映像中安装要向最终用户提供的第三方应用程序,并配置其他适用的自定义内容,例如,设置桌面壁纸,安装 NVIDIA GPU 驱动程序(对于启用 GPU 的映像)等等。如果在导入映像过程中未根据 Microsoft Sysprep 最佳做法优化映像,则还要进行优化。如果导入的虚拟机运行默认包含 Office 365 ProPlus 的 Microsoft Windows 10 企业版多会话系统之一,您应该确认在虚拟机中为 Office 365 ProPlus 配置了共享计算机激活,如 Microsoft 文档主题 Office 365 ProPlus 共享计算机激活概述中所述。如果在导入的虚拟机中没有为 Office 365 ProPlus 配置共享计算机激活,请使用该 Microsoft 文档中所述的适用于您的情况的方法。请参阅《管理指南》中的自定义映像虚拟机的 Windows 操作系统及其子主题,以及在启用 GPU 的映像中安装 NVIDIA 图形驱动程序
      提示: 为了进一步调整映像虚拟机以改进在 VDI 用例中使用 VMware Blast Extreme 的配置,最佳做法是阅读 《VMware Blast Extreme 优化指南》,并根据该指南关于编解码器选项的建议,对映像中的编解码器选项执行额外调整。
  12. 将该映像转换为可分配的映像,这一操作又称为封装或发布映像。请参阅《管理指南》中的将配置的虚拟机转换为可分配的映像
  13. 要从已发布的服务器映像置备基于会话的 RDSH 桌面和远程应用程序,请执行以下操作:
    1. 创建一个桌面 RDSH 场以提供会话桌面,然后创建分配以授权最终用户使用这些桌面。请参阅《管理指南》中的创建场创建 RDSH 会话桌面分配
    2. 创建一个应用程序 RDSH 场以提供远程应用程序,将应用程序添加到您的应用程序清单中,然后创建分配以授权最终用户使用这些远程应用程序。请参阅《管理指南》中的创建场从 RDSH 场导入新的远程应用程序创建远程应用程序分配
  14. 要从已发布的 VDI 桌面映像置备 VDI 桌面,请创建专用或浮动 VDI 桌面分配。请参阅《管理指南》中的在 Horizon Cloud 中创建桌面分配及其 VDI 相关子主题。
  15. 要为最终用户置备 App Volumes 应用程序,请将 App Volumes 应用程序添加到应用程序清单,然后创建应用程序分配,以便授权最终用户使用这些应用程序。然后,根据同一个已发布的映像创建桌面分配,以便授权这些最终用户使用他们可以启动这些应用程序的桌面。请参阅《管理指南》中的 App Volumes 应用程序 - 概述和必备条件
  16. 在使用网关配置部署容器时,您必须在 DNS 服务器中创建一个 CNAME 记录,以便将您在部署向导中输入的完全限定域名 (FQDN) 映射到在容器中为该网关配置的相应 Microsoft Azure 负载均衡器资源。
    • 对于启用了公共 IP 地址的外部网关,请将您在部署向导中输入的 FQDN 映射到该网关的 Microsoft Azure 负载均衡器资源自动生成的公共 FQDN。您的 DNS 服务器记录会将 Microsoft Azure 负载均衡器自动生成的公共 FQDN 与将由您的最终用户使用并且也会在上载证书中使用的 FQDN 对应起来。以下代码行展示了一个示例。注册 Active Directory 域后,可从控制台的容器详细信息页面中找到要使用的 ID。如果已将外部网关部署到其自已的 VNet 中,请使用部署 ID 字段中显示的 ID。
      ourApps.ourOrg.example.com   vwm-hcs-ID-uag.region.cloudapp.azure.com
    • 对于内部网关或不具有公共 IP 地址的外部网关,请将您在部署向导中输入的 FQDN 映射到该网关的 Microsoft Azure 负载均衡器资源的专用 IP 地址。您的 DNS 服务器记录会将 Microsoft Azure 负载均衡器的 IP 地址与将由您的最终用户使用并且也会在上载证书中使用的 FQDN 对应起来。以下代码行展示了一个示例。
      ourApps.ourOrg.example.com   Azure-load-balancer-private-IP

    在载入容器并可以访问管理控制台中的“容量”页面后,导航到“容量”页面,以查看在 DNS 中映射 FQDN 所需的 vmw-hcs-ID-uag.region.cloudapp.azure.com 值。

    有关如何在控制台中查找 Microsoft Azure 负载均衡器的 FQDN 的详细信息,请参阅《管理指南》中的获取要在 DNS 服务器中映射的容器网关负载均衡器信息

  17. 如果所部署的容器对容器网关进行 RADIUS 双因素身份验证,则必须完成以下任务:
    • 如果已使用 RADIUS 设置配置了外部网关,并且在容器使用的同一 VNet 中,或者在对等 VNet 拓扑中(如果将外部网关部署到其自己单独的 VNet 中)无法访问 RADIUS 服务器,请确认将 RADIUS 服务器配置为允许与外部网关负载均衡器的 IP 地址建立客户端连接。在外部网关配置中,Unified Access Gateway 实例尝试使用该负载均衡器地址来与 RADIUS 服务器联系。要允许连接,请确保该外部网关资源组中的负载均衡器资源 IP 地址在 RADIUS 服务器配置中指定为客户端。
    • 如果配置了内部网关或者外部网关,并且在容器使用的同一 VNet 中可以访问 RADIUS 服务器,请将该 RADIUS 服务器配置为允许使用相应网卡提供的连接,这些网卡是在 Microsoft Azure 内的网关资源组中创建的且必须与该 RADIUS 服务器进行通信。网络管理员可以决定 RADIUS 服务器对容器的 Azure 虚拟网络和子网的网络可见性。您的 RADIUS 服务器必须允许与这些网关网卡(与网络管理员已为该 RADIUS 服务器提供网络可见性的子网相对应)的 IP 地址建立客户端连接。Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器经过更新后变为活动网卡。当执行日常容器操作时以及在每次容器更新后,要支持网关与 RADIUS 服务器之间的连接,请确保在 RADIUS 服务器配置中将这四个网卡的 IP 地址指定为客户端。

    有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新 RADIUS 系统

完成上述工作流步骤后,最终用户可以使用您的 FQDN 在 Horizon Client 中或通过 HTML Access 启动授权他们访问的桌面和远程应用程序。

您可以在上述每个步骤中所链接到的主题中或从随附的指南中找到有关如何完成每个工作流步骤的深入详细信息。请参阅管理 Horizon Cloud 租户环境和所有已载入容器主题及子主题。