此工作流介绍了在第一代 Horizon Universal Console 中从部署基于容器管理器的容器开始到配置虚拟桌面和应用程序的简要步骤。此操作序列以最终用户启动其授权的虚拟桌面和应用程序结束。

重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如 知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。
注: 此工作流专门针对基于 Horizon Cloud on Microsoft Azure 容器管理器技术的容器,而不是介绍如何部署使用 Horizon Connection Server 技术的 Horizon 容器。
重要说明: 管理控制台是动态的,反映了在当前服务级别提供的功能。不过,如果您有连接到云的容器尚未更新到最新容器软件级别,则控制台不会显示那些依赖于最新容器软件级别的功能。此外,在特定版本中, Horizon Cloud 可能包括单独许可的功能或仅适用于特定租户帐户配置的功能。只有在您的许可证或租户帐户配置授权使用此类功能时,控制台才会动态反映与此类功能相关的元素。有关示例,请参阅 Horizon Cloud 中用于管理任务的基于云的控制台导览

如果您在管理控制台中看不到所需的功能,请与您的 VMware 客户代表联系,以验证您的许可证和租户帐户配置是否授权使用该功能。

  1. 满足必备条件。请参阅新容器部署的 VMware Horizon Cloud Service on Microsoft Azure 要求检查表
  2. Horizon Cloud 之外执行一些预备任务。请参阅将 Horizon Cloud 容器部署到 Microsoft Azure 的准备工作
  3. 满足部署容器的 DNS、端口和协议要求。请参阅 Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求以及使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求
  4. 登录到 Horizon Universal Console,然后运行向导以部署容器
  5. Horizon 控制平面中注册您的 Active Directory 域,包括提供服务帐户的名称。确保这些服务帐户满足 Horizon Cloud 执行操作所需的服务帐户中所述的要求
  6. 将适当的角色分配给组织中的人员,以便其在管理控制台中进行身份验证和执行操作。Horizon Cloud 中使用两种类型的角色。请参阅关于为要使用基于云的控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践
  7. 完成租户的 Universal Broker 配置。请参阅配置 Universal Broker 设置
  8. 在 DNS 服务器中创建所需的 CNAME 记录。有关 Universal Broker 的这些 CNAME 用途和 CNAME 记录要求的信息,请参阅如何获取要在 DNS 服务器中映射的 Horizon Cloud 容器网关负载均衡器信息配置 Universal Broker 设置
    注: 如果您具有外部网关配置,并对该配置的 Azure 负载均衡器使用专用 IP 地址,则必须具有防火墙或 NAT 来管理到该专用 IP 地址的 Internet 流量,并且该防火墙或 NAT 必须提供公共 IP 地址并进行相应配置,以使在部署外部网关配置时指定的 FQDN 可公开解析。控制平面必须能够与为外部网关指定的 FQDN 进行通信。
  9. 可选:如果您的 Horizon Cloud 租户帐户尚未载入到 VMware Cloud Services 交互平台,请考虑立即载入。请参阅使用基于云的控制台将 Horizon Cloud 租户载入 VMware Cloud Services 交互平台
  10. 创建最佳配置映像。创建最佳配置映像的过程包含多个步骤。有关创建可在 Horizon Cloud 租户中使用的最佳配置映像的各种方法的简要概述,请参阅为 Microsoft Azure 中的 Horizon Cloud 容器创建桌面映像。在创建最佳配置映像时,首先要导入基础虚拟机,随后可根据业务需求和最终用户需求自定义该基础虚拟机。
  11. 根据此映像将最后用于的最终用户分配类型,视情况执行以下一个或多个步骤。
  12. 将该映像转换为可分配的映像,这一操作又称为封装或发布映像。请参阅将已配置的虚拟机转换为可分配的映像
  13. 要从已发布的多会话映像置备会话桌面和远程应用程序,请执行以下操作:
    1. 创建一个桌面场以提供会话桌面,然后创建分配以授权最终用户使用这些桌面。请参阅创建场创建 RDSH 会话桌面分配
    2. 创建一个应用程序场以提供远程应用程序,将应用程序添加到您的应用程序清单中,然后创建分配以授权最终用户使用这些远程应用程序。请参阅创建场从 RDSH 场导入新的远程应用程序创建远程应用程序分配
  14. 要从已发布的单会话 VDI 桌面映像置备单会话 VDI 桌面,请创建专用或浮动 VDI 桌面分配。请参阅有关 Microsoft Azure 中 Horizon Cloud 环境的容器的桌面分配及其关于创建这些桌面分配的部分。
  15. 要为最终用户置备 App Volumes 应用程序,请将 App Volumes 应用程序添加到应用程序清单,然后创建应用程序分配,以便授权最终用户使用这些应用程序。然后,创建一个桌面分配,授权这些最终用户访问可在其中使用这些应用程序的基本桌面。应用程序分配会授权在用户授权桌面的 Windows 操作系统内使用用户的授权 App Volumes 应用程序。请参阅 App Volumes 应用程序 - 概述和必备条件
  16. 当部署具有双因素身份验证配置时,必须完成以下任务:
    • 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请将该双因素身份验证服务器配置为允许来自外部网关负载均衡器 IP 地址的通信。

      如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

    • 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请将双因素身份验证服务器配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。

      您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。

      Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。

      当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。

    有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新双因素身份验证系统

完成上述工作流步骤后,为最终用户提供 Universal Broker 代理 FQDN。他们将在 Horizon Client 或 Horizon HTML Access (Web Client) 中使用该代理 FQDN 来启动其授权的桌面和远程应用程序。

您可以在上述每个步骤中所链接到的主题中找到有关如何完成每个工作流步骤的深入详细信息。