Horizon Cloud Service - next-gen の場合、環境には Microsoft Azure リージョンでのサブネット サポートが必要です。これには、そのリージョンに Microsoft Azure 仮想ネットワーク (VNet) が存在する必要があります。
必要なサブネットに適用可能なアドレス空間を持つ VNet を Microsoft Azure リージョンに作成します。
Horizon Cloud Service - next-gen では、事前にサブネットを作成する必要があります。
VNet に、クラスレス インタードメイン ルーティング (CIDR) 形式の重複しないサブネット アドレス範囲を 3 つ作成します。次のサブネット要件が最小です。大規模な環境では、より大きなサブネットが必要になる場合があります。
手順
- 管理サブネット(/26 以上)を作成します。
Edge Gateway (AKS) をデプロイし、送信接続タイプとして NAT ゲートウェイを使用する場合は、NAT ゲートウェイを構成します。また、管理サブネットが次の IP アドレス範囲と競合しないことを確認します。
- 169.254.0.0/16
- 172.30.0.0/16
- 172.31.0.0/16
- 192.0.2.0/24
- デスクトップ(テナント)サブネットを作成します。
プライマリ デスクトップ(テナント)サブネットの場合は、/27 の最小サブネットを作成しますが、デスクトップと RDS サーバの数に基づいて適切なサイズを設定します。必要に応じてサブネットを追加できます。
注: 内部ロード バランサを使用している場合は、デスクトップ仮想マシンのすべての仮想マシン サブネットが RFC1918 で説明されている IP アドレス範囲に含まれることを確認します。
- DMZ サブネットを作成します。
Unified Access Gateway のクラスタ用に /27 の最小サブネットを作成します。
注:
Unified Access Gateway をデプロイするには、3 つのサブネットが必要です。各
Unified Access Gateway 仮想マシンには、各サブネットから 1 つずつ、合計 3 つの NIC があります。外部ロード バランサ バックエンド プールは DMZ サブネット NIC に接続されます。内部ロード バランサ バックエンド プールは、デスクトップ サブネット NIC に接続されます。インターネットから DMZ ネットワークへの入力方向をブロックするネットワーク セキュリティ グループ (NSG) またはファイアウォール ルールがないことを確認します。VMware がデプロイする NSG は、NIC(サブネットではなく)に接続されている NSG のみであり、デフォルトで入力方向が許可されます。インターネットから DMZ NIC への受信トラフィックをブロックするファイアウォールまたは NSG ルールがあると、外部ロード バランサ経由で Unified Access Gateway に接続しようとしたときに問題が発生します。
NSG の関連情報については、「Microsoft Azure にデプロイされた Horizon Edge と Unified Access Gateway のデフォルトのネットワーク セキュリティ グループ ルールについて」を参照してください。