Avant d'exécuter l'assistant de déploiement de l'espace, vérifiez que votre environnement répond à ces conditions préalables. Vous devez disposer des éléments suivants afin de pouvoir fournir les valeurs demandées dans l'assistant de déploiement de l'espace et poursuivre l'exécution de l'assistant.

Important : Avant de lancer l'assistant de déploiement de l'espace et de commencer à déployer votre espace, outre les conditions requises ci-dessous, vous devez avoir connaissance des points clés suivants :
  • À partir de la version de juillet 2020, dans les nouveaux environnements, les nouveaux espaces sont requis pour déployer avec au moins une configuration de passerelle. Si votre compte client a été créé avant la version de juillet 2020, mais que vous n'avez pas encore déployé votre premier espace, le déploiement de ce premier espace nécessitera la configuration d'au moins une configuration de passerelle lors du déploiement de l'espace.
  • Un déploiement réussi de l'espace exige qu'aucune des stratégies Microsoft Azure que votre équipe informatique ou vous avez définies dans votre environnement Microsoft Azure ne bloque, refuse ou limite la création des composants de l'espace. Vous devez également vérifier que les définitions de stratégie intégrées de vos stratégies Microsoft Azure ne bloquent pas, ne refusent pas et ne limitent pas la création des composants de l'espace. Par exemple, votre équipe informatique et vous devez vérifier qu'aucune de vos stratégies Microsoft Azure ne bloque, refuse ou limite la création de composants sur un compte de stockage Azure. Pour plus d'informations sur les stratégies Azure, reportez-vous à la documentation correspondante.
  • Le système de déploiement de l'espace exige que votre compte de stockage Azure permette au système de déploiement d'utiliser les types de comptes Azure StorageV1 et StorageV2. Vérifiez que vos stratégies Microsoft Azure ne limitent pas ou ne refusent pas la création de contenu nécessitant les types de comptes Azure StorageV1 et StorageV2.
  • Dans le cadre des processus de déploiement de l'espace et de la passerelle, Horizon Cloud crée des groupes de ressources (RG) dans votre abonnement Microsoft Azure qui ne comportent aucune balise, y compris le groupe de ressources initial créé pour la VM JumpBox temporaire qui orchestre ces processus de déploiement. Le déploiement de l'espace échoue si vous tentez de déployer un espace dans un abonnement Microsoft Azure qui dispose de n'importe quel type de condition préalable de balise de ressource au moment du déploiement, au moment des mises à jour de l'espace ou en ajoutant une configuration de passerelle à un espace. Vous devez vérifier que vos stratégies Microsoft Azure permettent la création de groupes de ressources de l'espace non balisés dans l'abonnement cible. Pour obtenir la liste des groupes de ressources créés par le système de déploiement, reportez-vous à la rubrique Groupes de ressources créés pour un espace déployé dans Microsoft Azure du Guide d'administration.
  • Tous les espaces connectés au cloud doivent disposer d'une vue directe sur le même ensemble de domaines Active Directory au moment où vous déployez ces espaces.

Conditions préalables à tous les déploiements

  • Vérifiez que toutes les tâches de préparation sont terminées, comme décrit dans Préparation au déploiement d'un espace Horizon Cloud dans Microsoft Azure.
  • Vérifiez que vous disposez des informations d'abonnement, comme indiqué à la section Informations liées à l'abonnement pour l'assistant de déploiement de l'espace Horizon Cloud.
  • Vérifiez que vous disposez d'un réseau virtuel existant dans votre abonnement Microsoft Azure et dans la région dans laquelle vous déployez l'espace, comme décrit à la section Configurer le réseau virtuel requis dans Microsoft Azure.
    Important : Les régions de Microsoft Azure ne prennent pas toutes en charge les machines virtuelles avec GPU activé. Si vous voulez utiliser l'espace pour des postes de travail GPU ou des applications distantes, assurez-vous que la région Microsoft Azure que vous sélectionnez pour l'espace fournit ces types de VM de série NV que vous voulez utiliser et qui sont pris en charge dans cette version d’ Horizon Cloud. Pour plus de détails, reportez-vous à la documentation de Microsoft à l'adresse suivante : https://azure.microsoft.com/fr-fr/regions/services/.
  • Vérifiez que votre réseau virtuel est configuré pour pointer vers un service DNS capable de résoudre les adresses externes. Le système de déploiement de l'espace doit être capable d'accéder aux adresses externes dans le plan de contrôle d'Horizon Cloud pour télécharger en toute sécurité le logiciel de l'espace dans votre environnement Microsoft Azure.
  • Vérifiez que les conditions requises en matière de DNS, de ports et de protocoles du système de déploiement de l'espace sont remplies, comme décrit dans les sections Conditions requises de DNS pour un espace Horizon Cloud dans Microsoft Azure et Conditions requises des ports et des protocoles pour un espace Horizon Cloud dans la version de manifeste de septembre 2019 ou une version ultérieure.
  • Si vous devez utiliser un proxy pour l’accès à Internet sortant, vérifiez que vous disposez des informations de mise en réseau pour la configuration de votre proxy et des informations d’identification d’authentification dont elle a besoin, le cas échéant. Le processus de déploiement de l'espace nécessite un accès Internet sortant.
  • Vérifiez que vous disposez des informations pour au moins un serveur NTP que vous voulez que l'espace utilise pour la synchronisation de l’heure. Le serveur NTP peut être un serveur NTP public ou votre propre serveur NTP que vous avez configuré à cet effet. Le serveur NTP que vous spécifiez doit être accessible depuis le réseau virtuel que vous avez configuré. Lorsque vous prévoyez d’utiliser un serveur NTP à l’aide de son nom de domaine au lieu d’une adresse IP numérique, vérifiez également que le serveur DNS configuré pour le réseau virtuel peut résoudre le nom du serveur NTP.
  • Si vous ne voulez pas que le système de déploiement crée automatiquement les sous-réseaux dont il a besoin, vérifiez que les sous-réseaux requis ont été créés à l'avance et qu'ils se trouvent sur le réseau virtuel. Pour découvrir les étapes de la création des sous-réseaux préalablement requis, reportez-vous aux sections Avant le déploiement de l'espace, Création des sous-réseaux requis de l'espace Horizon Cloud sur votre réseau virtuel dans Microsoft Azure et Utilisation de sous-réseaux pour un espace Horizon Cloud dans Microsoft Azure.
    Attention : Les sous-réseaux que vous créez manuellement à l'avance dans votre réseau virtuel pour le déploiement de l'espace doivent rester vides. Ne placez pas de ressources sur ces sous-réseaux ou sinon utilisez une adresse IP quelconque. Si une adresse IP est déjà en cours d'utilisation sur les sous-réseaux, le déploiement de l'espace peut échouer.
  • Si vous configurez le système de déploiement afin qu'il crée les sous-réseaux requis, veillez à connaître les plages d'adresses que vous allez entrer dans l'assistant pour le sous-réseau de gestion, de poste de travail et de zone DMZ. Le sous-réseau de zone DMZ est requis lorsque vous souhaitez la configuration externe d'Unified Access Gateway. Vérifiez également que ces plages ne se chevauchent pas. Vous devez entrer les plages d'adresses en utilisant la notation CIDR (routage interdomaines sans classe). L'assistant affichera un message d'erreur si les plages de sous-réseaux entrées se chevauchent. Pour la plage de sous-réseaux de gestion, un CIDR d'au moins /27 est requis. Pour la plage de sous-réseaux de zone DMZ, un CIDR d'au moins /28 est requis. Si vous souhaitez conserver les plages des sous-réseaux de gestion et de zone DMZ au même endroit, vous pouvez spécifier la même plage de sous-réseaux de zone DMZ que le sous-réseau de gestion avec une adresse IP spécifiée. Par exemple, si le sous-réseau de gestion est 192.168.8.0/27, un sous-réseau de zone DMZ correspondant sera 192.168.8.32/27.
    Important : Les CIDR que vous entrez dans les champs de l'assistant doivent être définis de sorte que chaque combinaison de préfixe et de masque de bits donne lieu à une plage d’adresses IP ayant le préfixe comme adresse IP de début. Microsoft Azure nécessite que le préfixe CIDR soit le début de la plage. Par exemple, un CIDR correct de 192.168.182.48/28 donnerait lieu à une plage d’adresses IP de 192.168.182.48 à 192.168.182.63, et le préfixe est identique à l’adresse IP de début (192.168.182.48). Cependant, un CIDR incorrect de 192.168.182.60/28 donnerait lieu à une plage d’adresses IP de 192.168.182.48 à 192.168.182.63, où l’adresse IP de début n'est pas la même que le préfixe de 192.168.182.60. Assurez-vous que vos CIDR donnent lieu à des plages d’adresses IP où l’adresse IP de début correspond au préfixe CIDR.
  • Si vous configurez le système de déploiement afin qu'il crée les sous-réseaux requis, vérifiez que des sous-réseaux ayant ces plages d'adresses n'existent pas déjà sur le réseau virtuel. Dans ce scénario, le système de déploiement lui-même créera automatiquement les sous-réseaux en utilisant les plages d'adresses que vous indiquez dans l'assistant. Si l’assistant détecte que des sous-réseaux avec ces plages existent déjà, il affichera un message d'erreur sur le chevauchement des adresses et ne poursuivra pas plus loin. Si votre réseau virtuel est lié, vérifiez également que les espaces d'adresses CIDR que vous prévoyez d'entrer dans l'assistant sont déjà contenus dans l'espace d'adresses du réseau virtuel.

Conditions préalables pour les configurations de Unified Access Gateway

Si vous prévoyez que l'espace utilise une configuration d'Unified Access Gateway, vos devez fournir les éléments suivants :

  • Le nom de domaine complet (FQDN) que vos utilisateurs finaux utiliseront pour accéder au service. À partir du nouveau manifeste d'espace disponible dans la version de service trimestrielle de juillet 2020, lors du déploiement des deux configurations de passerelle sur un espace, vous devez spécifier le même nom de domaine complet pour les deux configurations de passerelle. Une fois que l'espace est déployé avec la configuration de la passerelle externe et interne, vous devez configurer le trafic client entrant de l'utilisateur final pour qu'il soit acheminé vers l'équilibrage de charge approprié. L'objectif est de configurer le routage pour que le trafic client d'Internet soit acheminé vers l'équilibrage de charge public Microsoft Azure de la passerelle externe et que le trafic client de votre intranet soit acheminé vers l'équilibrage de charge interne Microsoft Azure de la passerelle interne. Étant donné que les deux passerelles disposent du même nom de domaine complet, configurez le DNS fractionné (système de noms de domaine fractionné) pour résoudre l'adresse de passerelle vers la passerelle externe ou interne en fonction du réseau d'origine de la requête DNS du client de l'utilisateur final. Ensuite, le même nom de domaine complet utilisé dans le client de l'utilisateur final peut effectuer l'acheminement vers la passerelle externe lorsque le client se trouve sur Internet et effectuer l'acheminement vers la passerelle interne lorsque le client se trouve sur votre réseau interne.
    Important : Ce FQDN ne peut pas contenir de traits de soulignement. Dans cette version, les connexions aux instances d' Unified Access Gateway échoueront lorsque le FQDN contient des traits de soulignement.
  • Un certificat de serveur SSL signé (au format PEM) basé sur ce FQDN. Les capacités d’Unified Access Gateway requièrent SSL pour les connexions client, comme décrit dans la documentation du produit Unified Access Gateway. Le certificat doit être signé par une autorité de certification approuvée. Le fichier PEM doit contenir la chaîne de certificats complète avec la clé privée. Par exemple, le fichier PEM doit contenir le certificat de serveur SSL, des certificats d’autorité de certification intermédiaires nécessaires, le certificat d’autorité de certification racine et la clé privée. OpenSSL est un outil que vous pouvez utiliser pour créer le fichier PEM.
    Important : Tous les certificats de la chaîne doivent comprendre des périodes valides. Les machines virtuelles Unified Access Gateway requièrent que tous les certificats de la chaîne, y compris les certificats intermédiaires, aient des périodes valides. Si un certificat dans la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement, car le certificat est téléchargé dans la configuration d' Unified Access Gateway.
  • Si vous effectuez le déploiement avec une configuration externe d'Unified Access Gateway, vous devez spécifier un sous-réseau de zone DMZ (zone démilitarisée). Vous devez indiquer un sous-réseau de DMZ en utilisant l'une des deux manières suivantes :
    • Création du sous-réseau de zone DMZ à l'avance sur le réseau virtuel. Avec cette méthode, vous devez également créer les sous-réseaux de locataire de poste de travail et de gestion à l'avance. Reportez-vous aux instructions décrites dans la section Avant le déploiement de l'espace, Création des sous-réseaux requis de l'espace Horizon Cloud sur votre réseau virtuel dans Microsoft Azure.
    • Configuration du système de déploiement pour qu'il crée le sous-réseau de zone DMZ lors du déploiement. Avec cette méthode, vous devez disposer de la plage d'adresses que vous allez entrer dans l'assistant du sous-réseau de DMZ et vérifier que la plage n'interfère pas avec celles des sous-réseaux de locataire de poste de travail et de gestion. Vous devez entrer les plages d'adresses en utilisant la notation CIDR (routage interdomaines sans classe). L'assistant affichera un message d'erreur si les plages de sous-réseaux entrées se chevauchent. Pour la plage de sous-réseaux de zone DMZ, un CIDR d'au moins /28 est requis. Si vous souhaitez conserver les plages des sous-réseaux de gestion et de zone DMZ au même endroit, vous pouvez spécifier la même plage de sous-réseaux de zone DMZ que le sous-réseau de gestion avec une adresse IP spécifiée. Par exemple, si le sous-réseau de gestion est 192.168.8.0/27, un sous-réseau de zone DMZ correspondant sera 192.168.8.32/27. Reportez-vous également à la remarque importante de la section Conditions préalables à tous les déploiements à propos de la vérification que la plage d'adresses IP possède une combinaison de préfixe et de masque de bits permettant d'avoir la plage ayant le préfixe comme adresse IP de début.
  • Si vous effectuez un déploiement avec une configuration Unified Access Gateway externe et que vous souhaitez désactiver une adresse IP publique pour l'équilibrage de charge de la configuration, vous devez indiquer une adresse IP que vous avez mappée dans vos paramètres DNS au nom de domaine complet que vos utilisateurs finaux utiliseront pour les connexions PCoIP dans leurs clients Horizon.

Pour plus d’informations sur les considérations du fichier PEM requises par Unified Access Gateway, reportez-vous à la section Convertir un fichier de certificat au format PEM requis pour le déploiement de l'espace.

Conditions préalables lors du déploiement avec une configuration Unified Access Gateway externe à l'aide de son propre réseau virtuel ou abonnement distinct du réseau virtuel ou de l'abonnement de l'espace

Outre les conditions préalables ci-dessus lors du déploiement avec une configuration Unified Access Gateway, ces conditions préalables sont spécifiques au cas de déploiement de la passerelle externe dans son propre réseau virtuel ou abonnement. L'utilisation de son propre abonnement est un cas particulier d'utilisation de son propre réseau virtuel, car l'abonnement distinct doit disposer de son propre réseau virtuel, les réseaux virtuels étant limités à un abonnement.

  • Le réseau virtuel de la passerelle doit être associé à celui de l'espace.
  • Vérifiez que les sous-réseaux requis ont été créés à l'avance et existent sur le réseau virtuel, ou que les espaces d'adresses CIDR que vous prévoyez d'entrer dans l'assistant se trouvent déjà dans l'espace d'adresses du réseau virtuel. Comme les réseaux virtuels sont liés, le système de déploiement ne pourra pas développer automatiquement le réseau virtuel si vous entrez, dans l'assistant, des espaces d'adresses CIDR qui ne se trouvent pas déjà dans l'espace d'adresses du réseau virtuel. Le cas échéant, le processus de déploiement échoue.
    Info-bulle : La meilleure pratique consiste à créer les sous-réseaux à l'avance. Pour découvrir les étapes de la création des sous-réseaux préalablement requis, reportez-vous aux sections Avant le déploiement de l'espace, Création des sous-réseaux requis de l'espace Horizon Cloud sur votre réseau virtuel dans Microsoft Azure et Utilisation de sous-réseaux pour un espace Horizon Cloud dans Microsoft Azure.
  • Si vous utilisez un abonnement distinct pour la passerelle externe, vérifiez que vous disposez des informations d'abonnement, comme décrit dans la section Informations liées à l'abonnement pour l'assistant de déploiement de l'espace Horizon Cloud.
  • Si vous utilisez un abonnement distinct pour la passerelle externe et si vous prévoyez de déployer la passerelle dans un groupe de ressources nommé que vous créez au lieu de faire en sorte que le système de déploiement crée automatiquement le groupe de ressources, vérifiez que vous avez créé ce groupe de ressources dans cet abonnement. Sélectionnez ce groupe de ressources par nom dans l'assistant. Vérifiez également que vous avez accordé l'accès requis à ce groupe de ressources pour que le système de déploiement fonctionne à l'intérieur, comme indiqué à la section Opérations requises par Horizon Cloud dans vos abonnements Microsoft Azure

Conditions préalables au déploiement avec une configuration de l'authentification à deux facteurs

Si vous prévoyez d'utiliser la fonctionnalité d'authentification à deux facteurs ou de l'utiliser avec un serveur d'authentification à deux facteurs sur site, vérifiez que vous disposez des informations suivantes utilisées dans la configuration de votre serveur d'authentification, afin de pouvoir les fournir dans les champs appropriés de l'assistant de déploiement de l'espace. Si vous disposez d'un serveur principal et d'un serveur secondaire, procurez-vous les informations pour chacun d'eux.

  • Adresse IP ou nom DNS du serveur d'authentification
  • Secret partagé utilisé pour le chiffrement et le déchiffrement dans les messages de protocole du serveur d'authentification
  • Numéros de port d'authentification, en général le port UDP 1812.
  • Type de protocole d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
    Note : Consultez la documentation de votre fournisseur RADIUS pour connaître le protocole d'authentification recommandé par votre fournisseur RADIUS et suivez le type de protocole indiqué. La capacité de l'espace à prendre en charge l'authentification à deux facteurs avec RADIUS est fournie par les instances d'Unified Access Gateway. En outre, Unified Access Gateway prend en charge PAP, CHAP, MSCHAP1 et MSCHAP2. PAP est généralement moins sécurisé que MSCHAP2. PAP est également un protocole plus simple que MSCHAP2. Par conséquent, même si la plupart des fournisseurs RADIUS sont compatibles avec le protocole PAP plus simple, certains fournisseurs RADIUS ne sont pas aussi compatibles avec le protocole MSCHAP2 plus sécurisé.