VMware NSX Cloud und Horizon Cloud-Pods in Microsoft Azure

Wenn das von Ihren Pods verwendete Microsoft Azure-VNet für NSX Cloud konfiguriert ist, können Sie die Funktionen der NSX-T Data Center-Netzwerkvirtualisierung für die Farmen und VDI-Desktop-Zuweisungen dieser Pods verwenden. Sie können die NSX Cloud-Funktionen für Mikro-Segmentierung verwenden, um den Zugriff zwischen Farm-RDSH-Instanzen und VDI-Desktops zu beschränken, auch wenn sich diese virtuellen Maschinen im selben Mandantensubnetz befinden.

Informationen zu der speziellen Version von NSX-T Data Center, die für diese Integration mit dem aktuellen Pod-Manifest für die aktuelle Horizon Cloud Service-Version unterstützt wird, finden Sie unter dem Dokumentationsthema Horizon Cloud – Umgebungen, Betriebssysteme und Kompatibilität.

Hinweis: Wenn Sie einen vorhandenen Pod mit Manifestversionen vor Version 1101 auf eine höhere Manifestversion aktualisiert haben, können Farmen und VDI-Desktop-Zuweisungen, die vor der Aktualisierung im Pod vorhanden waren, nach der Aktualisierung nicht bezüglich einer Aktivierung für NSX Cloud Management bearbeitet werden.

Die Horizon Cloud-Integration wird mit den NSX Cloud-Verwaltungskomponenten – NSX Manager und Cloud Service Manager (CSM) – unterstützt, die entweder lokal oder, beginnend mit NSX-T Data Center Version 3.1.1, nativ in Microsoft Azure bereitgestellt werden. Eine Übersicht zu NSX Cloud-Architektur und -Komponenten finden Sie im Bereich zu NSX Cloud-Architektur und -Komponenten in der VMware NSX-T Data Center-Dokumentation.

Hinweis: Ab NSX Cloud 3.1.1 werden sowohl der Quarantänemodus als auch der Nicht-Quarantänemodus für die Verwendung mit Horizon Cloud-Pods in Microsoft Azure unterstützt. In früheren Versionen wurde nur der Nicht-Quarantänemodus unterstützt.

Eine Anforderung für die Verwendung von NSX Cloud in Ihrer Microsoft Azure-Umgebung ist, dass Sie eine Verbindung zwischen Ihrem Microsoft Azure-VNet und Ihren lokalen NSX-T Data Center-Appliances herstellen müssen. Da Microsoft Azure nicht zulässt, dass Sie den CIDR-Block eines VNet nach dem Peering eines VNet oder nach dem Anfügen eines VPN-Gateways ändern, müssen Sie sicherstellen, dass Sie alle Werte überprüft haben, die Sie verwenden möchten, bevor Sie das VNet an das VPN-Gateway anhängen. Einen Workflow der High-Level-Schritte für die Verbindung von NSX Cloud mit Ihrer Public Cloud finden Sie im Thema der Version 3.1, Integration von Horizon Cloud Service mit NSX Cloud, in der NSX-T Data Center-Dokumentation.

Die folgende Tabelle bietet eine umfassende Übersicht aller End-to-End-Schritte zum Aktivieren der NSX Cloud-Funktionen auf den RDSH-VMs und VDI-Desktop-VMs Ihres Pods. Einige der Links in der Spalte „Details“ öffnen die entsprechenden Dokumentationsthemen zu NSX-T Data Center Version 3.1.

Allgemeiner Schritt	Details
Integration von Horizon Cloud in NSX Cloud zur Verwendung mit dem Horizon Cloud-Pod	Siehe das NSX-T Data Center-Dokumentationsthema Integration von Horizon Cloud Service mit NSX Cloud. Wichtig: Wenn Sie beabsichtigen, App Volumes-Zuweisungen in dem Pod zu erstellen, müssen Sie Port 445/TCP für das Mandanten-Subnetz des Pods in Ihren NSX Firewall-Regeln manuell öffnen, nachdem Sie den NSX PCG bereitgestellt haben und bevor Sie Ihre erste App Volumes-Zuweisung mit diesem Pod erstellen. Wie in App Volumes-Anwendungen für Horizon Cloud on Microsoft Azure – Überblick und Voraussetzungen angegeben, müssen Sie, um die Verwendung der App Volumes-Funktionen zu unterstützen, die für die Verwendung mit einem Horizon Cloud-Pod unterstützt werden, Port 445 für den TCP-Protokollverkehr im Mandanten-Subnetz des Pods konfigurieren.
Erstellen Sie eine VM und importieren Sie sie mithilfe des Assistenten zum Importieren virtueller Maschinen aus Marketplace in Horizon Cloud.	Weitere Informationen finden Sie unter Automatisches Erstellen einer Basis-VM aus dem Microsoft Azure Marketplace und Koppeln dieser VM mit Horizon Cloud auf Basis einzelner Pods. Um die Installation des erforderlichen NSX-Agenten zu erleichtern, gilt es als Best Practice, die Option für eine öffentliche IP-Adresse auszuwählen. Hinweis: Wählen Sie beim Importieren der VM die Optionen zur Optimierung der VM und für Windows 10 oder 11 die Optionen zum Entfernen von Windows Store-Apps aus. Durch die Verwendung dieser Optionen lassen sich Sysprep-Probleme bei der anschließenden Versiegelung des Images vermeiden.
Stellen Sie eine Verbindung mit der importierten VM her und installieren Sie die erforderlichen NSX Tools.	Installieren von NSX Tools in der importierten Horizon Cloud-Image-VM
Das Image veröffentlichen.	Konvertieren einer konfigurierten Image-VM in ein zuweisbares Image in Horizon Cloud auf Basis einzelner Pods
Farmen und VDI-Desktop-Zuweisungen mit diesem Image und der Einstellung zur Aktivierung der NSX Cloud-Verwaltung für diese Farm oder Zuweisung erstellen. Wenn die RDSH- und die VDI-Desktop-VMs erstellt worden sind, werden sie in Ihrer NSX Cloud-Bestandsliste angezeigt.	First-Gen-Horizon Cloud-Pods – Erstellen und Verwalten von Farmen Erstellen einer dedizierten VDI-Desktop-Zuweisung, die von einem Einzel-Pod in Microsoft Azure bereitgestellt wird Erstellen einer dynamischen VDI-Desktop-Zuweisung, die von einem Einzel-Pod in Microsoft Azure bereitgestellt wird
Aktivieren Sie die Regeln für verteilte Firewalls in NSX Manager, die die Kommunikation mit den RDSH- und VDI-Desktop-VMs ermöglichen.	Da NSX-Cloud diese Kommunikation standardmäßig deaktiviert, müssen Sie einige verteilte Firewall-Regeln in NSX Manager aktivieren, um die Kommunikation mit dem über NSX verwalteten VMs zu ermöglichen, die über den Pod bereitgestellt werden. Weitere Informationen finden Sie unter In NSX Manager für über Pod bereitgestellte VMs erforderliche Firewall-Regeln. Wenn Sie NSX-T Data Center 2.4 verwenden, müssen Sie zusätzlich zur Aktivierung der Firewallregeln auch eine Weiterleitungsrichtlinie hinzufügen, um den Datenverkehr zu den über NSX verwalteten VMs über das Microsoft Azure Cloud-Netzwerk (Underlay-Netzwerk) weiterzuleiten. Weitere Informationen finden Sie unter Hinzufügen der erforderlichen Weiterleitungsrichtlinie in NSX Manager über Pod bereitgestellte VMs..
Verwenden Sie NSX Cloud-Funktionen mit den RDSH- und den VDI-Desktop-VMs in Ihrer NSX Cloud-Bestandsliste.	Sehen Sie sich dieses NSX Cloud-Thema und die entsprechenden Unterthemen im Administratorhandbuch für NSX-T Data Center an.

Horizon Cloud-Workflows und NSX Cloud

Wenn Sie eine RDSH-Farm oder eine VDI-Desktop-Zuweisung in Ihrem Horizon Cloud-Pod mit einem Golden Image erstellen, das Sie mit dem NSX-Agent konfiguriert haben, können Sie entscheiden, ob Sie die NSX Cloud-Verwaltung für diese Farm oder diese VDI-Desktop-Zuweisung aktivieren möchten. Wenn Sie die NSX Cloud-Verwaltung für eine Farm oder VDI-Desktop-Zuweisung aktivieren, werden alle virtuellen Maschinen (VMs) in der betreffenden Farm oder VDI-Desktop-Zuweisung für eine Verwendung in NSX Cloud gekennzeichnet. Sie geben die NSX Cloud-Verwaltung an, wenn Sie die Farm oder VDI-Desktop-Zuweisung erstellen. Sie können diesen Status nach der Erstellung der Farm oder Zuweisung nicht mehr ändern. Die Horizon Cloud-Workflows zum Erstellen einer Farm und einer VDI-Desktop-Zuweisung umfassen einen Schalter zum Aktivieren der Verwendung von NSX Cloud für die RDSH-Instanzen der Farm oder die virtuellen Desktops der VDI-Desktop-Zuweisung. Details zu diesen Workflows finden Sie unter:

Wenn Sie beim Erstellen einer Farm oder VDI-Desktop-Zuweisung den Schalter Von NSX Cloud verwaltet auf Ja setzen, erhalten die resultierenden RDSH-VMs der Farm oder VDI-Desktop-VMs den benutzerdefinierten Tag nsx.network=default. Das NSX Cloud-PCG verwaltet alle VMs, die über diesen Tag verfügen. NSX Cloud erkennt die VMs, die über diesen Tag verfügen, automatisch in Ihrem konfigurierten Microsoft Azure-VNet und fügt diese VMs zu Ihrem Public Cloud-Bestand hinzu. Sie können diese VMs dann mit der CSM-Komponente von NSX-T Data Center verwalten und sichern. Sehen Sie sich für Details dieses NSX Cloud-Thema und die entsprechenden Unterthemen im Administratorhandbuch für NSX-T Data Center an.

Bei der Verwendung der NSX Cloud Management-Funktion für Ihre Pods in Horizon Cloud gelten einige Einschränkungen:

Sie können den Namen einer Farm oder VDI-Desktop-Zuweisung mit aktivierter NSX Cloud-Verwaltung nicht bearbeiten.
Um sowohl die Festplattenverschlüsselung als auch die NSX Cloud Management-Funktionen für eine flexible VDI-Desktop-Zuweisung zu verwenden, müssen Sie die neueste NSX Agent-Version installieren. Diese Kombination wird bei früheren NSX Agent-Versionen nicht unterstützt.

Installieren von NSX Tools in der importierten Horizon Cloud-Image-VM

Wenn Sie eine Farm oder VDI-Desktop-Zuweisung erstellen möchten, für die die NSX Cloud-Verwaltung aktiviert ist, müssen die NSX Tools im veröffentlichen Image installiert sein, das Sie für diese Farm oder Zuweisung verwenden. Sie müssen die NSX Tools in der Image-VM installieren, bevor Sie diese veröffentlichen. Sie installieren die NSX Tools, nachdem die VM erstellt wurde und auf der Seite „Importierte VMs“ angezeigt wird, dass die agentenbezogene Horizon Agent-Software der VM aktiv ist.

Die Schritte auf dieser Seite folgen der NSX Cloud-Methode, die als Herunterladen und Installieren von NSX Tools in den einzelnen Image-VMs beschrieben wird. Diese Methode umfasst das Herunterladen einer PowerShell-Installationsskriptdatei von der im Cloud Service Manager (CSM) Ihrer NSX Cloud-Umgebung angegebenen Download-Site. Führen Sie in der Image-VM dieses Installationsskript aus, um die Binärdateien für die Installation der NSX Tools herunterzuladen und die Installation auszuführen. Viele Details zu dieser Methode finden Sie im Thema Installieren von NSX Tools auf Windows-VMs im Administrationshandbuch für NSX-T Data Center.

Voraussetzungen

Stellen Sie sicher, dass auf der Seite „Importierte VMs“ der Agent-bezogene Status für die VM aktiv ist. Um diesen Status zu erhalten, verwenden Sie die Aktion Agent-Paarbildung zurücksetzen auf der Seite „Importierte VMs“. Diese Aktion befindet sich in der Dropdown-Liste Mehr.

Hinweis: Wenn Sie den Microsoft Remote Desktop Client als RDP-Software zum Herstellen der Verbindung mit der VM verwenden möchten, stellen Sie sicher, dass Sie die aktuelle Version verwenden. Die Version der standardmäßigen RDP-Software des Windows 7-Betriebssystems ist beispielsweise nicht aktuell genug. Es muss Version 8 oder höher verwendet werden.

Stellen Sie je nachdem, wie die VM erstellt wurde, sicher, dass Sie mindestens über einen Satz der folgenden Anmeldeinformationen (Benutzername und Kennwort) für die Anmeldung beim Windows-Gastbetriebssystem der VM verfügen.


So wurde die VM erstellt	Zur Anmeldung zu verwendende Anmeldedaten
Assistent „Virtuelle Maschine importieren“ auf der Seite „Importierte VMs“.	Ab dem Datum der Dienstversion von Dezember 2019 bietet der Assistent zum Importieren virtueller Maschinen die Option, dass entweder die vom Assistenten erstellte VM einer angegebenen Active Directory-Domäne hinzugefügt oder dass die VM der Domäne am Ende des Erstellungsvorgangs nicht hinzugefügt wird. Wenn die VM erstellt wurde, während der Schalter Domänenbeitritt im Assistenten aktiviert war, können Sie entweder die Anmeldedaten für ein Domänenkonto in der angegebenen Active Directory-Domäne oder das im Assistenten angegebene lokale Administratorkonto verwenden. Wenn die VM erstellt wurde, während der Schalter Domänenbeitritt im Assistenten deaktiviert war, müssen Sie das im Assistenten angegebene lokale Administratorkonto verwenden. In diesem Fall ist das lokale Administratorkonto das einzige Konto, das Zugriff auf die Anmeldung hat, da die virtuelle Maschine nicht der Domäne beigetreten ist.
Schritte zur manuellen Vorbereitung.	In der Regel müssen Sie die VM nicht zu Ihrer Active Directory-Domäne hinzufügen, wenn Sie sie manuell erstellen. Um sich bei dieser VM anzumelden, verwenden Sie eine der folgenden Optionen: Die Anmeldedaten für das beim Erstellen der manuell bereitgestellten VM im Microsoft Azure-Portal angegebene lokale Administratorkonto. Wenn Sie diese VM manuell mit einer Active Directory-Domäne verknüpft haben, die Anmeldedaten für ein Domänenkonto in dieser Domäne.

Wichtig: Ab Pod-Manifest 1230 und höher können Domänenkonten direkte Verbindungen mit domänenverknüpften Image-VMs herstellen, auf denen die Agent-Software installiert ist. Vor Pod-Manifest 1230 verhinderte die Agent-Software, die in einer mit einer Domäne verbundenen VM installiert ist, dass Domänenkonten direkt mit dieser VM verbunden werden können. Beachten Sie, dass solche Manifeste, die älter als 2298 sind, nicht mehr unterstützt werden und aktualisiert werden müssen, wie in KB 86476 beschrieben.

Wenn Sie die NSX Tools durch Herunterladen und Installieren in die VMs installieren, vergewissern Sie sich, dass Sie die Anmeldeinformationen für das Portal für den CSM Ihrer NSX Cloud-Umgebung haben. Sie verwenden den CSM, um den Downloadort für das PowerShell-Installationsskript zum Installieren der NSX Tools zu identifizieren. CSM ist eine Komponente von NSX Cloud und bietet einen einzigen Verwaltungsendpunkt für Ihren Public Cloud-Bestand. Weitere Informationen finden Sie unter Informationen zu CSM in der NSX-T Data Center Dokumentation.

Prozedur

Verwenden Sie in der RDP-Software die IP-Adresse der VM, um die Verbindung zum Windows-Betriebssystems der VM herzustellen.
- Wenn die VM mit einer öffentlichen IP-Adresse erstellt wurde, können Sie die IP-Adresse in der RDP-Software verwenden.
- Wenn die VM über eine private IP-Adresse verfügt, müssen Sie die RDP-Verbindung anhand einer der folgenden zwei Vorgehensweisen aufbauen:
  - Verwenden Sie eine andere VM in Ihrem Microsoft Azure-Abonnement, die über eine öffentliche IP-Adresse verfügt und eine ausgehenden RDP-Verbindung zur Image-VM aufbaut.
  - Verwenden Sie Ihr VPN und stellen Sie die RDP-Verbindung mit der Image-VM über Ihr Unternehmensnetzwerk her.
Hinweis: Um auf eine virtuelle Maschine zuzugreifen, auf der die Agent-bezogenen Software-Komponenten ausgeführt werden, muss der Remotedesktopclient in der Version 8 oder höher verwendet werden. Andernfalls kann keine Verbindung hergestellt werden. Es wird empfohlen, die aktuelle Version des Remotedesktopclient zu verwenden.
Melden Sie sich beim Windows-Betriebssystem an und verwenden Sie dazu Anmeldedaten (Benutzername und Kennwort) gemäß der Beschreibung hier in den Voraussetzungen.
Wenn Sie die Anmeldedaten für das lokale Administratorkonto verwenden, die beim Erstellen der VM im Assistenten „Image importieren“ angegeben wurden, geben Sie den Benutzernamen als \username ein.
Hinweis: Wenn es sich bei der VM um eine domänenverknüpfte VM handelt, wie hier in den Voraussetzungen beschrieben, und Sie ein Domänenkonto anstelle des lokalen Administratorkontos verwenden möchten, geben Sie den Benutzernamen als Domäne\username ein, wobei Domäne der Name der Domäne ist.
Melden Sie sich von der Windows-VM aus bei CSM an und navigieren Sie zu Clouds > Azure > VNets und navigieren Sie zu dem entsprechenden VNet für den Pod.
Suchen Sie den Bildschirmbereich NSX Tools Download und Installation auf, um den Download-Ort und den Installationsbefehl für Windows zu erhalten.
Ermitteln Sie in diesem Bereich den angezeigten Downloadort des Windows-Installationsskripts. Unter dem Downloadort befindet sich auch ein einfacher Installationsbefehl.
- Der angezeigte Downloadort weist das Muster http://Dateipfad/nsx_install.ps1 auf, wobei nsx_install.ps1 die PowerShell-Skriptdatei und Dateipfad der Pfad ist, von dem die Datei heruntergeladen werden kann.
- Der einfache Installationsbefehl, der angezeigt wird, enthält einen -dnsSuffix DNS-suffix-Teil, wobei DNS-suffix ein dynamisch generierter Wert ist, der mit den DNS-Einstellungen zusammenhängt, die Sie bei der Bereitstellung des PCG auf Ihrem Microsoft Azure-VNet im Rahmen der NSX Cloud-Konfiguration ausgewählt haben.
Wichtig: Wenn Sie das Skript für die Installation der NSX Tools für eine Image-VM in Horizon Cloud ausführen, müssen Sie Folgendes angeben:
- Das DNS-suffix, das im CMS für Ihr Microsoft Azure-VNet angezeigt wird. Das DNS-suffix ist für Ihre konfigurierte Umgebung eindeutig.
- Die startOnDemand true-Option. Die Option optimiert die NSX Tools für den Veröffentlichungsworkflow von Horizon Cloud.
Kopieren Sie das angezeigte DNS-suffix, damit Sie es zur Verfügung haben, wenn Sie das Installationsskript in den nächsten Schritten ausführen.
Verwenden Sie den Downloadort, um die nsx_install.ps1-Datei an einen Speicherort auf der VM herunterzuladen.
Öffnen Sie eine PowerShell-Eingabeaufforderung, navigieren Sie zum Speicherort der heruntergeladenen nsx_install.ps1-Datei und installieren Sie die NSX Tools durch Ausführen des Installationsbefehls mit Ihrem Wert für DNS-suffix und die Option -startOnDemand true.
Wichtig: Die Option „-startOnDemand true“ ist erforderlich.
Der folgende Codeblock ist ein Beispiel für den Befehl in einer PowerShell-Eingabeaufforderung, mit dem DNS-suffix-Beispielwert xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net.
```
powershell -file 'nsx_install.ps1' -operation install -dnsSuffix xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net -startOnDemand true
```
Wenn das Skript fertig ausgeführt ist, wird eine Meldung angezeigt, die angibt, ob die NSX Tools erfolgreich installiert wurden.
Schließen Sie die PowerShell-Eingabeaufforderung.
Stellen Sie sicher, dass der Bootstrap der NSX Tools bereit ist, indem Sie eine reguläre Eingabeaufforderung öffnen und den folgenden Befehl ausführen.
```
schtasks /query /tn nsx_bootstrap
```
Wenn Sie diesen Befehl ausführen, sollte die nsx_bootstrap-Aufgabe den Status Ready aufweisen. Hier ein Beispiel:
```
TaskName              Next Run Time       Status
--------------------- ------------------- -----------
nsx_bootstrap         N/A                 Ready
```
Melden Sie sich vom Windows-Betriebssystem der VM ab.

Nächste Maßnahme

Wenn die NSX Tools installiert sind und die nsx_bootstrap-Aufgabe den Status Ready aufweist, können Sie das Image veröffentlichen, wenn Sie keine weiteren Anpassungen vornehmen möchten. Weitere Informationen finden Sie unter Konvertieren einer konfigurierten Image-VM in ein zuweisbares Image in Horizon Cloud auf Basis einzelner Pods.

In NSX Manager für über Pod bereitgestellte VMs erforderliche Firewall-Regeln

Wenn Sie in Microsoft Azure NSX-Cloud-Funktionen mit Ihrem Pod verwenden, müssen Sie einige verteilte Firewall-Regeln in NSX Manager aktivieren, um die Kommunikation mit dem über NSX verwalteten VMs zu ermöglichen, die über den Pod bereitgestellt werden. Wenn diese Regeln nicht aktiviert sind, können Endbenutzer ihre Desktops oder Remoteanwendungen nicht starten und sich nicht anmelden.

Aktivieren Sie diese Regeln in NSX Manager, um den Datenverkehr wie angegeben zuzulassen. In der Tabelle bezieht sich der Ausdruck „Desktop-Pool“ auf die RDSH-Farm- oder VDI-Desktop-Zuweisung.


Art des Datenverkehrs	Quelle	Ziel	Dienst/Protokoll/Port
Horizon HTML Access (Blast)-Datenverkehr	Die Unified Access Gateway-VMs des Pods	Desktop-Pool	VMware-View-PCoIP/TCP/4172 VMware-View5.x-PCoIP/UDP/4172 HTTPS/TCP/443 Horizon Blast UDP/UDP/22443 Horizon Blast TCP/TCP/22443 Horizon-USB-RedirectionIn/TCP/32111 Horizon-Beat/TCP-8443 Horizon-TCP-Side-Channel/TCP/9427
Datenverkehr zwischen Desktop-Pool und Pod-Manager	Desktop-Pool	Manager-VM des Pods	VMware-View5.x-JMS/TCP/4001 Desktop-Messaging Server/TCP/3099 VMware-View7-JMS/TCP/4002
Datenverkehr zwischen Desktop-Pool und Active Directory-Domänenserver	Desktop-Pool	Manager-VM des Pods	BELIEBIG

Hinzufügen der erforderlichen Weiterleitungsrichtlinie in NSX Manager über Pod bereitgestellte VMs.

Wenn Sie NSX-T Data Center 2.4 mit einem Pod in Microsoft Azure verwenden, müssen Sie zusätzlich zur Aktivierung der Firewallregeln auch eine Weiterleitungsrichtlinie hinzufügen, um den Datenverkehr zu den über NSX verwalteten VMs des Pods über das Microsoft Azure Cloud-Netzwerk (Underlay-Netzwerk) weiterzuleiten. Weiterleitungsrichtlinien wurden mit NSX-T Data Center 2.4 eingeführt.

Sie führen diese Schritte in ihrer NSX-T Data Center 2.4-Umgebung durch.

Prozedur

Melden Sie sich in Ihrer Umgebung bei NSX Manager an.
Navigieren Sie zu Netzwerk > Weiterleitungsrichtlinien.
Erweitern Sie auf der Seite „Weiterleitungsrichtlinien“ den Abschnitt für das VNet, in dem das NSX Public Cloud Gateway (PCG) für die Verwendung durch Ihren Pod bereitgestellt ist.
Erstellen Sie im erweiterten Abschnitt eine Kopie der letzten in diesem Abschnitt aufgelisteten Regel mit dem Namen „CloudDefaultRoute“, indem Sie mit der rechten Maustaste klicken und die Option Regel kopieren auswählen.
Legen Sie die Aktion für die neue Kopie auf Weiterleitung zu Underlay-Netzwerk fest.
Klicken Sie auf Veröffentlichen.