Pour Horizon Cloud Service - next-gen, votre déploiement requiert la prise en charge du sous-réseau dans la région Microsoft Azure, ce qui nécessite l'existence d'un réseau virtuel Microsoft Azure dans cette région.
Créez un réseau virtuel dans une région Microsoft Azure avec un espace d'adresses applicable pour les sous-réseaux requis.
Pour Horizon Cloud Service - next-gen, vous devez créer des sous-réseaux à l'avance.
Créez trois plages d'adresses de sous-réseau qui ne se chevauchent pas au format CIDR (routage interdomaine sans classe) dans le réseau virtuel. Les conditions requises suivantes pour le sous-réseau sont minimales. Pour des environnements plus grands, des sous-réseaux de taille plus grande peuvent être nécessaires.
Procédure
- Créer le sous-réseau de gestion - /26 minimum
Si vous déployez une passerelle Edge (AKS) et que vous utilisez une passerelle NAT comme type de connectivité sortante, configurez une passerelle NAT. Assurez-vous également que le sous-réseau de gestion n'est pas en conflit avec les plages d'adresses IP suivantes.
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
- Créez le sous-réseau de poste de travail (locataire).
Pour le sous-réseau principal de poste de travail (locataire), créez des sous-réseaux minimaux /27, mais d'une taille appropriée en fonction du nombre de postes de travail et de serveurs RDS. Vous pouvez ajouter d'autres sous-réseaux si nécessaire.
Note : Si vous utilisez un équilibrage de charge interne, assurez-vous que tous les sous-réseaux de VM pour vos VM de poste de travail se trouvent dans les plages d'adresses IP décrites dans RFC1918.
- Créez le sous-réseau de zone DMZ.
Créez des sous-réseaux minimaux /27 pour le cluster d'
Unified Access Gateway.
Note : Le déploiement d'une instance d'
Unified Access Gateway nécessite trois sous-réseaux. Chaque VM
Unified Access Gateway dispose de trois cartes réseau, une de chaque sous-réseau. Le pool principal d'équilibrage de charge externe est attaché aux cartes réseau du sous-réseau de zone DMZ. Le pool principal d'équilibrage de charge interne est attaché aux cartes réseau du sous-réseau de poste de travail. Vérifiez qu'il n'y a pas de règles de NSG (Groupes de sécurité réseau) ou de pare-feu qui bloquent l'entrée au réseau DMZ depuis Internet. Les seuls NSG que VMware déploie sont ceux qui sont attachés aux cartes réseau (pas au sous-réseau) et autorisent par défaut l'entrée. Toutes les règles de pare-feu ou de NSG qui bloquent le trafic entrant d'Internet vers les cartes réseau de zone DMZ entraînent des problèmes lors de la tentative de connexion aux instances d'Unified Access Gateway via l'équilibrage de charge externe.
Pour obtenir des informations complémentaires sur les NSG, reportez-vous à la section Présentation des règles de groupe de sécurité réseau par défaut pour les dispositifs Horizon Edge et Unified Access Gateway déployés dans Microsoft Azure.