Déploiement d'un dispositif Microsoft Azure Edge

Cette page de documentation décrit le flux de l'interface utilisateur Ajouter un dispositif Horizon Edge d'Horizon Universal Console que vous utilisez pour déployer un dispositif Horizon Edge dans votre abonnement Microsoft Azure.

Introduction

Horizon Edge est une infrastructure du Cloud légère de type thin-edge. Pour les déploiements Microsoft Azure, un abonnement Azure correspond au fournisseur.

Une fois que votre environnement est configuré avec au moins un domaine Active Directory et un fournisseur d'identité, la console rend ce flux d'interface utilisateur Ajouter un dispositif Horizon Edge disponible.

Types de déploiements

Un dispositif Horizon Edge déployé dans Microsoft Azure utilise le format de passerelle Edge (VM) ou de passerelle Edge (AKS).

Vous décidez du type à utiliser en fonction des qualités requises.


Type de déploiement	Qualités clés	Détails
AKS	Prend en charge plus de 5 000 sessions Azure Kubernetes Service présente des conditions requises liées à Microsoft qui doivent être remplies L'expérience de connexion SSO et la collecte de données de surveillance sont gérées via des services répliqués qui prennent en charge la distribution de ces fonctions avec une capacité de basculement complète en cas de panne.	AKS est une norme Microsoft Azure pour les applications cloud natives d'entreprise dans les centres de données Microsoft Azure. Le type AKS fournit une passerelle Edge d'une architecture en cluster, qui fournit des services répliqués prenant en charge l'expérience de connexion SSO et les collectes de données de surveillance.
VM	Prend en charge jusqu'à 5 000 sessions Moins de conditions préalables impliquées dans l'abonnement Microsoft Azure que pour le type AKS Si, ultérieurement, la VM déployée n'est pas disponible, le comportement qui en résulte est le suivant : Les utilisateurs finaux devront se connecter sans Single Sign-On (SSO) Les données de surveillance des postes de travail ne sont pas enregistrées pendant la période d'indisponibilité de la VM.	Même si le type de VM est plus simple à déployer en raison de conditions préalables inférieures à celles du type AKS, si la VM déployée devient indisponible : Les utilisateurs finaux verront le flux de connexion sans expérience de connexion SSO. Par exemple, ils devront se connecter à l'aide de leurs informations d'identification Active Directory. Les données de surveillance des postes de travail qui sont envoyées à la VM de la passerelle Edge ne sont pas enregistrées pendant la période d'indisponibilité de la VM.

Conditions préalables

Avant d'effectuer ces étapes dans la console, vous devez vérifier que vous ou votre équipe informatique avez terminé les éléments répertoriés suivants.

Important : Lorsque vous sélectionnez des éléments dans l'interface utilisateur de la console, le système tente de confirmer que des éléments spécifiques sont en place. Si ces conditions remplies ne sont pas remplies, vous ne pourrez alors pas effectuer les étapes de l'interface utilisateur.

Par exemple, lors du déploiement du type AKS, si la passerelle NAT sélectionnée dans Type de cluster sortant n'est pas connectée au Sous-réseau de gestion sélectionné, l'interface utilisateur affiche un message et empêche toute progression lorsque vous cliquez sur Déployer. À ce stade, vous devrez quitter l'assistant, remplir la condition requise de connexion de la passerelle NAT au sous-réseau de gestion et redémarrer l'assistant depuis le début.

Examinez la Liste de vérification des conditions requises pour le déploiement d'un dispositif Microsoft Edge et assurez-vous que ces conditions requises sont remplies.
Examinez les éléments préparatoires décrits sur les pages en lien hypertexte de la page Déploiements de Microsoft Azure, Horizon Edge - Préparation au déploiement et vérifiez que ces éléments sont terminés.
Vérifiez que vous disposez des informations d'abonnement Azure, des informations réseau, des noms de domaine complets et de ces éléments afin de pouvoir les spécifier dans les champs et les listes de l'assistant.
Vérifiez que les ports sortants nécessaires sont autorisés. Reportez-vous à la section Rendre les URL de destination appropriées accessibles pour déployer une passerelle Passerelle Horizon Edge dans un environnement Microsoft Azure.
Si vous prévoyez d'utiliser un serveur proxy pour le trafic de routage, il doit être accessible via le sous-réseau de gestion Edge.
Décidez si vous souhaitez que le fournisseur principal de ce dispositif Horizon Edge soit dédié à la passerelle Horizon Edge et aux instances d'Unified Access Gateway, ou si vous souhaitez que le fournisseur principal fournisse également les applications et les postes de travail des utilisateurs finaux.
Note : Pour que le fournisseur principal soit dédié aux dispositifs de passerelle de ce dispositif Horizon Edge, vous aurez besoin des informations d'abonnement Azure pour l'étape de l'assistant de spécification d'un fournisseur secondaire pour les postes de travail et les applications.

Démarrage de l'assistant de déploiement

La console rend l'assistant Ajouter un dispositif Horizon Edge disponible à partir de différents points d'entrée. Votre point de départ dans la console pour cette étape varie généralement selon que votre environnement est vierge ou qu'il dispose de déploiements existants d'Horizon Edge pour Horizon 8 ou pour Microsoft Azure.

Aucun dispositif Horizon Edge pour le moment : démarrez à partir de la carte Horizon Edge de la console: Si votre environnement ne dispose d'aucun dispositif Horizon Edge, vous pouvez démarrer généralement l'assistant en cliquant sur DÉMARRER LE DÉPLOIEMENT.
La capture d'écran suivante illustre cette carte Horizon Edge.
Aucun dispositif Horizon Edge : vous pouvez également démarrer à partir de la page Capacité de la console: Si aucun dispositif Horizon Edge n'est encore déployé dans l'environnement, la page Capacité contient du texte et un menu Démarrer. Dans ce scénario, vous pouvez démarrer l'assistant en accédant à Ressources > Capacité et en cliquant sur Démarrer > Microsoft Azure.
Au moins un dispositif Horizon Edge : démarrez à partir de la page Capacité de la console: Si au moins un dispositif Horizon Edge est déployé pour le moment dans l'environnement, la page Capacité contient une grille qui répertorie les dispositifs Horizon Edge existants. Dans ce scénario, vous pouvez démarrer l'assistant en accédant à Ressources > Capacité et en cliquant sur Ajouter > Microsoft Azure.

Après avoir utilisé l'une de ces trois méthodes pour démarrer l'assistant, la console affiche Ajouter un dispositif Horizon Edge à l'étape 1 de l'assistant.

Page Horizon Edge sur laquelle vous entrez un nom unique pour la définition d'Horizon Edge

Informations générales

Ajoutez un Nom du dispositif Horizon Edge qui distingue ce dispositif Horizon Edge des autres dispositifs qui s'affichent dans la console. Vous pouvez ajouter une description facultative.

Fournisseur principal

Remplissez cette section. Une fois cette étape terminée, passez à l'étape suivante.

Dans Abonnement Azure, sélectionnez l'un des fournisseurs existants de votre environnement ou utilisez Ajouter un nouveau pour fournir des informations d'abonnement sur le nouveau fournisseur.
Lors de l'ajout d'informations d'abonnement sur le nouveau fournisseur, spécifiez les éléments suivants :
- Nom unique de ce fournisseur qui le distingue des autres qui s'affichent dans la console.
- Votre ID d'abonnement Microsoft Azure à partir du portail Microsoft Azure.
- Sélectionnez le type de cloud Azure, la région Azure et l'ID d'annuaire applicables pour cet ID d'abonnement Microsoft Azure.
- Spécifiez les informations du principal de service (l'ID d'application et la Clé d'application) que vous avez créées dans le portail Microsoft Azure à cette fin.
Pour dédier ce fournisseur à la passerelle Horizon Edge et aux instances d'Unified Access Gateway, et utiliser un fournisseur distinct pour transmettre des ressources autorisées d'utilisateurs finaux, cochez la case affichée.
Si cette case n'est pas cochée, ce fournisseur transmet également les ressources autorisées des utilisateurs finaux.
Vous pouvez éventuellement spécifier des balises de ressources Azure à utiliser pour ce déploiement d'Horizon Edge en développant l'interface utilisateur pour afficher cette section.
Dans cette étape de l'interface utilisateur, vous pouvez éventuellement ajouter jusqu'à quatre principaux de service supplémentaires (paires ID d'application et Clé d'application).

Fournisseurs secondaires

L'ajout de fournisseurs secondaires à un dispositif Horizon Edge est facultatif.

Le fournisseur secondaire doit se trouver dans la même région Azure que le fournisseur principal.

Pour chaque fournisseur secondaire, vous pouvez ajouter jusqu'à cinq principaux de service uniques, pour une capacité Horizon Edge totale maximale de 20 000 VM.

Réseaux

Dans la section Réseaux, sélectionnez les sous-réseaux de locataires (poste de travail) à utiliser pour les fournisseurs principaux et secondaires.

Vous pouvez sélectionner les sous-réseaux ultérieurement. Toutefois, le système empêche le déploiement de ressources dans un fournisseur tant qu'Horizon Edge n'est pas associé à au moins un sous-réseau de locataire associé.

Site

Dans la section Site, sélectionnez un site existant dans votre environnement ou Ajouter un nouveau pour ajouter des informations sur le nouveau site. Pour un nouveau site, spécifiez un nom unique et une description facultative.

Connectivité

Remplissez la section Connectivité. Une fois cette étape terminée, passez à l'étape suivante.

Sélectionnez le type de connexion réseau à utiliser pour ce dispositif Horizon Edge Azure Private Link ou Internet.
Pour plus d'informations sur cette condition requise, reportez-vous à la section Conditions requises pour les abonnements Microsoft Azure.

Dans la section Stockage de l'application App Volumes, sélectionnez le sous-réseau du point de terminaison privé Azure.

Note : Après la configuration du point de terminaison privé, il est recommandé que les utilisateurs finaux se déconnectent de leurs machines virtuelles, puis se reconnectent à celles-ci.

Option	Description
Utiliser le sous-réseau de gestion de la passerelle Edge	Sous-réseau de gestion de la passerelle Edge dans lequel une ressource de point de terminaison privé est créée. Il est recommandé d'utiliser cette option par défaut.
Configurer le sous-réseau personnalisé	Vérifiez que vous avez configuré les conditions préalables. Pour plus d'informations sur ces configurations préalables, reportez-vous à la section Point de terminaison privé Azure pour un compte de stockage d'applications App Volumes. Cochez les cases de confirmation. Sélectionnez un réseau virtuel dans la liste déroulante vNet de point de terminaison privé. Sélectionnez le sous-réseau correspondant dans le menu déroulant Sous-réseau.

Option

Description

Utiliser le sous-réseau de gestion de la passerelle Edge

Sous-réseau de gestion de la passerelle Edge dans lequel une ressource de point de terminaison privé est créée.

Il est recommandé d'utiliser cette option par défaut.

Configurer le sous-réseau personnalisé

Vérifiez que vous avez configuré les conditions préalables. Pour plus d'informations sur ces configurations préalables, reportez-vous à la section Point de terminaison privé Azure pour un compte de stockage d'applications App Volumes.

Cochez les cases de confirmation.
Sélectionnez un réseau virtuel dans la liste déroulante vNet de point de terminaison privé.
Sélectionnez le sous-réseau correspondant dans le menu déroulant Sous-réseau.

Une fois le dispositif Horizon Edge déployé et le point de terminaison privé créé, l'état du point de terminaison privé est Configured. Si l'état est Not Configured, le point de terminaison privé peut être configuré à nouveau à l'aide de l'option Configurer le point de terminaison privé dans la section Stockage de l'application App Volumes du dispositif Horizon Edge. Pour plus d'informations sur l'utilisation de cette option, reportez-vous à la section Configurer le point de terminaison privé pour un compte de stockage de l'application App Volumes de la page Détails d'Horizon Edge.

S'il existe des problèmes de connectivité entre l'un des pools de postes de travail existants et les partages de fichiers affectant la distribution d'applications et que vous souhaitez revenir à l'accès au réseau public pour le compte de stockage tant que vous n'avez pas résolu ces problèmes, vous pouvez utiliser l'option Supprimer le point de terminaison privé. Cette option supprime le point de terminaison privé configuré et active automatiquement l'accès au réseau public pour le compte de stockage dans le portail Azure. Une fois ces problèmes résolus, vous pouvez configurer le point de terminaison privé à l'aide de l'option Configurer le point de terminaison privé.

Passerelle Horizon Edge

Dans la section Passerelle Horizon Edge, sélectionnez un type de déploiement (Azure Kubernetes Service ou Machine virtuelle unique).

Une fois le type de déploiement sélectionné, configurez les paramètres de la passerelle Passerelle Horizon Edge à l'aide des instructions de ce type de déploiement spécifique, comme suit.

Une fois que vous avez rempli les champs de l'interface utilisateur tels qu'affichés pour le type de déploiement que vous avez choisi, suivez les invites à l'écran.

Azure Kubernetes Service : cette option s'applique à la passerelle Edge (AKS). La capture d'écran suivante montre le type d'information affiché et demandé lorsque vous sélectionnez le type de déploiement Azure Kubernetes Service.
Machine virtuelle unique : cette option s'applique à la passerelle Edge (VM). La capture d'écran suivante montre le type d'information affiché et demandé lorsque vous sélectionnez le type de déploiement Machine virtuelle unique.

Note : L'interface utilisateur affiche une étiquette sur Haute disponibilité, en fonction du type de déploiement sélectionné. Vous ne pouvez pas la modifier ultérieurement. Pour le type de déploiement Machine virtuelle unique, la chaîne affichée indique que si la VM n'est pas disponible, les utilisateurs finaux observent le flux de connexion sans expérience de connexion SSO et les données de surveillance des postes de travail ne sont pas enregistrées pendant la période d'indisponibilité de la VM. Pour le type de déploiement Azure Kubernetes Service, la chaîne affichée indique que l'expérience de connexion SSO et la collecte de données de surveillance sont gérées via des services répliqués qui permettent un basculement complet de ces fonctions.


Type de déploiement	Étapes
Azure Kubernetes Service (AKS)	Pour l'option Azure Kubernetes Service, Sélectionnez Type de cluster sortant dans Passerelle NAT et Routes définies par l'utilisateur. La sélection par défaut est Passerelle NAT. Si vous sélectionnez Passerelle NAT, une Passerelle NAT doit être associée au sous-réseau de gestion. Si vous sélectionnez Routes définies par l'utilisateur, une table de routage doit être associée au sous-réseau de gestion avec la route par défaut configurée avec un type de tronçon suivant du dispositif virtuel. Pour plus d'informations, reportez-vous à la section Conditions requises pour le réseau. En outre, les ports et les URL requis doivent être accessibles. Sinon, le déploiement de dispositifs Edge AKS risque d'échouer. Pour plus d'informations, reportez-vous à la section Rendre les URL de destination appropriées accessibles pour déployer une passerelle Passerelle Horizon Edge dans un environnement Microsoft Azure. AKS ajoute des entrées à la table de routage sur le sous-réseau de gestion pour le routage interne des espaces Kubernetes. Ne supprimez pas les entrées. Vous ne pouvez pas modifier le Type de cluster sortant après la création d'un dispositif Horizon Edge. Sélectionnez Identité gérée attribuée à l'utilisateur qui dispose des rôles requis. Pour plus d'informations sur Identité gérée attribuée à l'utilisateur, reportez-vous à la section Liste de vérification des conditions requises pour le déploiement d'un dispositif Microsoft Azure Edge. Dans la sous-section Réseau virtuel, sélectionnez un réseau virtuel pour votre site. Les réseaux virtuels disponibles sont déterminés par la région Microsoft Azure précédemment sélectionnée. Pour créer un réseau virtuel, accédez au portail Microsoft Azure. Sélectionnez le Sous-réseau de gestion à utiliser pour les instances de la passerelle Passerelle Horizon Edge et d'Unified Access Gateway. Assurez-vous que le sous-réseau de gestion sélectionné est configuré avec une passerelle NAT, car un dispositif Horizon Edge utilisant un cluster AKS a besoin d'une passerelle NAT pour la connectivité sortante. Attention : Assurez-vous que le sous-réseau de gestion sélectionné n'est pas utilisé par un autre cluster AKS. Reportez-vous à la section Conditions requises pour le réseau. Dans la zone de texte CIDR de service, entrez la plage d'adresses IP pour ce CIDR. Fournissez une plage minimale de /27. Assurez-vous que cette plage CIDR n'est utilisée par aucun élément réseau activé ni connectée au réseau virtuel du sous-réseau de gestion. Assurez-vous que cette plage CIDR n'est pas en conflit avec d'autres adresses IP importantes, telles que l'adresse IP du serveur DNS, l'adresse IP du serveur AD ou les adresses IP d'Unified Access Gateway. Dans la zone de texte CIDR d'espace, entrez la plage d'adresses IP pour ce CIDR. Fournissez une plage minimale de /21. Assurez-vous que cette plage CIDR n'est utilisée par aucun élément réseau activé ni connectée au réseau virtuel du sous-réseau de gestion. Assurez-vous que cette plage CIDR n'est pas en conflit avec d'autres adresses IP importantes, telles que l'adresse IP du serveur DNS, l'adresse IP du serveur AD ou les adresses IP d'Unified Access Gateway. Vous pouvez éventuellement ajuster le Préfixe DNS du cluster AKS par défaut. Pour activer Single Sign-On pour les ressources qui font partie de ce dispositif Horizon Edge, basculez Utiliser SSO et sélectionnez la configuration appropriée dans le menu déroulant Configurations SSO. Pour acheminer les demandes sortantes via un serveur proxy, activez Utiliser le proxy sortant. Entrez le nom et l'adresse IP du serveur proxy. Entrez le numéro de port sur lequel le proxy HTTP/TCP écoute le trafic HTTP/HTTPS. Pour ajouter un certificat pour la communication sécurisée SSL/TLS, sélectionnez Activer SSL. Horizon Cloud Service prend uniquement en charge l'authentification SSL. L'authentification par nom d'utilisateur et mot de passe n'est pas prise en charge. Chargez un certificat de proxy. Horizon Cloud Service prend uniquement en charge les certificats au format PEM. Le certificat doit prendre en charge les noms alternatifs du sujet (SAN, Subject Alternative Name) au lieu des noms communs obsolètes. Cliquez sur Déployer pour activer le processus de création d'Horizon Edge.
Machine virtuelle unique	Pour l'option Machine virtuelle unique, Dans la sous-section Réseau virtuel, sélectionnez un réseau virtuel pour votre site. Les réseaux virtuels disponibles sont déterminés par la région Microsoft Azure précédemment sélectionnée. Pour créer un réseau virtuel, accédez au portail Microsoft Azure. Sélectionnez le Sous-réseau de gestion à utiliser pour les instances de la passerelle Passerelle Horizon Edge et d'Unified Access Gateway. Pour activer Single Sign-On pour les ressources qui font partie de ce dispositif Horizon Edge, basculez Utiliser SSO et sélectionnez la configuration appropriée dans le menu déroulant Configurations SSO. Pour acheminer les demandes sortantes via un serveur proxy, activez Utiliser le proxy sortant. Sélectionnez éventuellement Paramètres de proxy d'un autre dispositif Horizon Edge. Entrez le nom et l'adresse IP du serveur proxy. Entrez le numéro de port sur lequel le proxy HTTP/TCP écoute le trafic HTTP/HTTPS. Si le serveur proxy exigeait des informations d'identification, entrez éventuellement Nom d'utilisateur et Mot de passe. Pour ajouter un certificat pour la communication sécurisée SSL/TLS, sélectionnez Activer SSL. Cliquez sur Déployer pour activer le processus de création d'Horizon Edge.

Unified Access Gateway

Dans la section Unified Access Gateway, remplissez les champs requis pour votre déploiement.

Une fois que vous avez rempli les champs de l'interface utilisateur, passez à l'étape suivante.

Sélectionnez le Type d'accès.
Trois options sont disponibles :
- Accès interne sur un réseau d'entreprise : si vous souhaitez accéder à vos VM via intranet (réseau d'entreprise interne) uniquement. Un équilibrage de charge de couche 4 sera déployé avec un serveur frontal dans le réseau de poste de travail.
- Accès externe sur Internet : si vous souhaitez accéder à vos VM via Internet. Un équilibrage de charge de couche 4 sera déployé avec une adresse IP publique.
- Accès interne et externe autorisez l'accès interne et externe.
Note : Pour les trois options, l'accès Internet sortant à *.horizon.vmware.com est toujours requis. Reportez-vous à la section Conditions requises pour Unified Access Gateway. Lors de l'utilisation de l'option Accès interne sur un réseau d'entreprise, vous pouvez appliquer le routage défini par l'utilisateur ou la passerelle NAT au Sous-réseau de gestion pour autoriser le trafic sortant. Vous devez configurer l'accès externe sur *.horizon.vmware.com sur le réseau DMZ lorsqu'il est défini en externe sur ce dernier.
Activez l'option Adresse IP publique automatique pour UAG ou désactivez-la si vous préférez utiliser une adresse IP publique manuelle.
Cette option est activée par défaut. Si une adresse IP personnalisée manuelle est sélectionnée, une instance externe d'UAG est déployée avec une adresse IP frontale privée sur le réseau DMZ. Vous devez ensuite gérer le routage à partir de cette adresse IP privée vers l'adresse publique fournie par le client.
Spécifiez le nom de domaine complet pour le déploiement d'Unified Access Gateway.
Dans le champ Type de certificat, faites votre choix entre PEM et PFX dans le menu déroulant.
Dans le champ Certificat, chargez le certificat qui permet aux clients d'approuver les connexions à Unified Access Gateway dans Microsoft Azure.
Sélectionnez Modèle de VM dans les modèles de VM disponibles dans le menu déroulant.
Ajoutez une valeur dans le champ VM UAG.
Cliquez sur Enregistrer.

Étape suivante

Une fois cette procédure terminée, vous devez créer des enregistrements DNS qui correspondent au nom de domaine complet que vous avez entré pour les instances d'Unified Access Gateway. Reportez-vous à la section Configurer les enregistrements DNS requis après le déploiement de la passerelle Passerelle Horizon Edge et d'Unified Access Gateway.

Note : Une fois que vous avez terminé le déploiement d' Horizon Cloud et autorisé l'accès des utilisateurs finaux aux postes de travail ou aux applications, notez comment le comportement d' Unified Access Gateway suivant affecte et apporte des avantages aux utilisateurs finaux qui utilisent Horizon HTML Access (client Web).

Pour Unified Access Gateway 2203.1 ou version ultérieure, si une instance d'Unified Access Gateway passe en mode de maintenance ou à un état défectueux et devient inaccessible, les sessions en cours des utilisateurs finaux utilisant Horizon HTML Access se reconnectent à une instance d'Unified Access Gateway saine. La période de reconnexion peut prendre quelques minutes.

Sachez que l'actualisation du certificat SSL pour le dispositif Unified Access Gateway met fin aux sessions des utilisateurs finaux.