このドキュメント ページでは、Horizon Edge を Microsoft Azure サブスクリプションにデプロイするために使用する Horizon Universal Console の Horizon Edge の追加 UI フローの手順について説明します。

Horizon Edge は、シン Edge クラウド インフラストラクチャです。Microsoft Azure デプロイの場合、Azure サブスクリプションはプロバイダです。Microsoft Azure にデプロイされた Horizon Edge は、Azure Kubernetes Service (AKS) を使用して、高可用性を提供する Horizon Edge Gateway をホストします。

環境が少なくとも 1 つの Active Directory ドメインと ID プロバイダで構成されると、コンソールによってこの [Horizon Edge を追加] UI フローが使用可能になります。

前提条件

コンソールでこれらの手順を実行する前に、ユーザーまたは IT チームが次の項目を完了していることを確認する必要があります。

重要: コンソール ユーザー インターフェイスで項目を選択すると、システムはその特定の項目が設定されていることを確認します。それらの要件が満たされていない場合、ユーザー インターフェイスの手順を完了できなくなります。

たとえば、[クラスタ送信タイプ] で選択した NAT ゲートウェイが選択した [管理サブネット] に接続されていない場合、[デプロイ] をクリックすると、ユーザー インターフェイスにメッセージが表示され、それ以上の手順に進むことはできません。その時点で、ウィザードを終了し、NAT ゲートウェイを管理サブネットに接続する要件を満たしてから、ウィザードを最初からやり直す必要があります。

  • Microsoft Edge をデプロイするための要件チェックリストを確認し、それらの要件が満たされていることを確認します。
  • Microsoft Azure のデプロイ、Horizon Edge - デプロイの準備ページ内のハイパーリンクされたページで説明されている準備項目を確認し、それらの項目が完了していることを確認します。
  • Azure サブスクリプション情報、ネットワーク情報、FQDN、および関連する項目を確認し、ウィザードのフィールドとリストで指定できるようにします。
  • 必要な送信ポートが許可されていることを確認します。Horizon Cloud Service - next-gen で Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にするを参照してください。
  • トラフィックのルーティングにプロキシ サーバを使用する場合は、Edge 管理サブネットを介してアクセスできる必要があります。
  • この Horizon Edge のプライマリ プロバイダを Horizon Edge Gateway および Unified Access Gateway インスタンス専用にするか、プライマリ プロバイダがエンドユーザーのデスクトップとアプリケーションも提供するようにするかを決定します。
    注: プライマリ プロバイダをこの Horizon Edge のゲートウェイ アプライアンス専用にする場合は、デスクトップとアプリケーションのセカンダリ プロバイダを指定するウィザードの手順で Azure サブスクリプション情報が必要になります。

手順

  1. コンソールの [Horizon Edge を追加] ウィザードを起動します。

    コンソールでは、[Horizon Edge を追加] ウィザードをさまざまなエントリ ポイントから使用できます。コンソールでのこの手順の開始点は通常、環境が新規であるか、Horizon 8 または Microsoft Azure 向けの Horizon Edge の既存のデプロイがあるかによって異なります。

    Horizon Edge はまだありません - コンソールの Horizon Edge カードから開始します
    環境に Horizon Edge がない場合、通常は [デプロイの開始] をクリックしてウィザードを開始します。

    次のスクリーンショットは、この [Horizon Edge] カードを示しています。


    Horizon Edge 定義を作成できる [Horizon Edge を追加] ページ

    Horizon Edge がありません - 代わりに、コンソールの [キャパシティ] ページから開始します
    環境に Horizon Edge がまだデプロイされていない場合、[キャパシティ] ページにはテキストと [開始] メニューが表示されます。このシナリオでは、ウィザードを開始するには、 [リソース] > [キャパシティ] に移動し、 [開始] > [Horizon Cloud Service] をクリックします。
    少なくとも 1 台の Horizon Edge - コンソールの [キャパシティ] ページから開始します
    環境に少なくとも 1 台の Horizon Edge がデプロイされている場合、[キャパシティ] ページには既存の Horizon Edge を一覧表示するグリッドが含まれます。このシナリオでは、ウィザードを開始するには、 [リソース] > [キャパシティ] に移動し、 [追加] > [Horizon Cloud Service] をクリックします。
    これらの 3 つの方法のいずれかを使用してウィザードを開始すると、コンソールには [Horizon Edge を追加] ウィザードの手順 1 が表示されます。
    Horizon Edge 定義の一意の名前を入力する [Horizon Edge] ページ

  2. [全般情報] セクションで、一意の [Horizon Edge 名] を追加します。
  3. [プライマリ プロバイダ] セクションで、[Azure サブスクリプション] フィールドの [新規追加] を選択し、新しいサブスクリプションと一意の [プロバイダ名] を追加します。
  4. [サブスクリプション ID] フィールドに、Microsoft Azure ポータルからの Microsoft Azure サブスクリプション ID を追加します。
  5. [Azure クラウドのタイプ] フィールドで、ドロップダウン メニューから Microsoft Azure サブスクリプションに関連付けられている [Microsoft Azure クラウド] タイプを選択します。
  6. ドロップダウン メニューで使用可能なリージョンから [Azure リージョン] を選択します。
  7. [ディレクトリ ID] フィールドに、Microsoft Azure ポータルからのディレクトリ ID を追加します。
  8. [サービス プリンシパル] サブセクションで、Microsoft Azure ポータルで作成された [アプリケーション ID] および [アプリケーション キー] を追加します。
  9. プライマリ プロバイダを Horizon ゲートウェイ アプライアンス(Horizon Edge Gateway と Unified Access Gateway)のデプロイ専用にするには、[チェックボックス]を選択します。

    選択しない場合、プロバイダはデスクトップとアプリケーションも提供します。

  10. オプションで、最大 10 個の [Azure リソース タグ] の名前と値のペアを追加できます。
  11. 最大 4 つの [追加のサービス プリンシパル] を追加することもできます。
  12. 最大で 20,000 台の仮想マシンの合計 Horizon Edge キャパシティに対して、最大 3 つの一意の [セカンダリ プロバイダ] と、プロバイダごとに 5 つの一意のサービス プリンシパルを追加することもできます。
    セカンダリ プロバイダは、プライマリ プロバイダと同じ Azure リージョンにある必要があります。
  13. [ネットワーク] セクションで、[プライマリ プロバイダ] および [セカンダリ プロバイダ] のテナント(デスクトップ)サブネットを [選択] します。
    後の段階でサブネットを選択できます。ただし、少なくとも 1 つのサブネットを選択するまで、プロバイダにリソースをデプロイすることはできません。
  14. [サイト] セクションで、[サイト] フィールドのドロップダウン メニューから [新規追加] を選択し、[サイト名] を追加します。
  15. [接続] セクションで、[Microsoft Azure Private Link] および [インターネット] から、Horizon Edge 用に確立するネットワーク接続のタイプを選択します。
    この要件の詳細については、 Microsoft Azure サブスクリプションの要件を参照してください。
  16. [Horizon Edge Gateway] セクションで、[NAT ゲートウェイ][ユーザー定義ルート] のいずれかを [クラスタ送信タイプ] として選択します。
    デフォルトの選択は、 [NAT ゲートウェイ] です。 [NAT ゲートウェイ] を選択すると、 [NAT ゲートウェイ] を管理サブネットに関連付ける必要があります。 [ユーザー定義ルート] を選択すると、NVA を参照するデフォルト ルートを使用して、ルート テーブルを管理サブネットに接続する必要があります。詳細については、 ネットワーク要件を参照してください。また、必要なポートと URL がアクセス可能である必要があります。アクセスできない場合、AKS Edge のデプロイが失敗することがあります。詳細については、 Horizon Cloud Service - next-gen で Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にするを参照してください。
    AKS は、Kubernetes ポッドの内部ルーティングのために、管理サブネットのルート テーブルにエントリを追加します。エントリは削除しないでください。
    [クラスタ送信タイプ] は、Horizon Edge の作成後に編集できません。
  17. [Edge Gateway] セクションで、必要なロールを持つ [ユーザーが割り当てた管理対象 ID] を選択します。
    [ユーザーが割り当てた管理対象 ID] の詳細については、 Microsoft Azure Edge をデプロイするための要件チェックリストを参照してください。
  18. [仮想ネットワーク] サブセクションで、サイトの仮想ネットワークを選択します。
    利用可能な仮想ネットワークは、以前に選択した Microsoft Azure リージョンによって決まります。新しい仮想ネットワークを作成するには、Microsoft Azure ポータルに移動します。
  19. Horizon Edge Gateway および Unified Access Gateway インスタンスに使用する [管理サブネット] を選択します。
    AKS クラスタを使用する Horizon Edge は送信接続用に NAT ゲートウェイを必要とするため、選択した管理サブネットが NAT ゲートウェイで構成されていることを確認します。
    注意: 選択した管理サブネットが別の AKS クラスタで使用されていないことを確認します。 ネットワーク要件を参照してください。
  20. [サービス CIDR] テキスト ボックスに、この CIDR の IP アドレス範囲を入力します。
    少なくとも /27 の範囲を指定してください。この CIDR 範囲が、管理サブネットの仮想ネットワーク上にある、または接続されているネットワーク要素によって使用されていないことを確認します。この CIDR 範囲が、DNS サーバの IP アドレス、Active Directory サーバの IP アドレス、 Unified Access Gateway の IP アドレスなどの他の重要な IP アドレスと競合しないことを確認します。
  21. [ポッド CIDR] テキスト ボックスに、この CIDR の IP アドレス範囲を入力します。
    少なくとも /21 の範囲を指定してください。この CIDR 範囲が、管理サブネットの仮想ネットワーク上にある、または接続されているネットワーク要素によって使用されていないことを確認します。この CIDR 範囲が、DNS サーバの IP アドレス、Active Directory サーバの IP アドレス、 Unified Access Gateway の IP アドレスなどの他の重要な IP アドレスと競合しないことを確認します。
  22. プロキシ サーバ経由で送信要求をルーティングするには、[送信プロキシを使用] を有効にします。
    1. プロキシ サーバの名前と IP アドレスを入力します。
    2. HTTP/TCP プロキシが HTTP/HTTPS トラフィックをリッスンするポート番号を入力します。
    3. SSL/TLS の安全な通信の証明書を追加するには、[SSL を有効にする] を選択します。
      Horizon Cloud Service は SSL 認証のみをサポートします。ユーザー名とパスワードの認証はサポートされていません。
    4. プロキシ証明書をアップロードします。
      Horizon Cloud Service は PEM 形式の証明書のみをサポートします。証明書は、廃止された共通名の代わりにサブジェクトの別名 (SAN) をサポートする必要があります。
  23. [デプロイ] をクリックして、Horizon Edge 作成プロセスを有効にします。
  24. [Unified Access Gateway] セクションで、[アクセス タイプ] を選択します。
    次の 3 つのオプションがあります。
    • [内部] - イントラネット(社内ネットワーク)経由でのみ仮想マシンにアクセスする場合。レイヤー 4 ロード バランサは、デスクトップ ネットワークにフロントエンドを使用してデプロイされます。
    • [外部] - インターネット経由で仮想マシンにアクセスする場合。レイヤー 4 ロード バランサは、パブリック IP アドレスを使用してデプロイされます。
    • [内部および外部] - 内部および外部の両方のアクセスを許可します。
    注: 3 つのすべてのオプションで、*.horizon.vmware.com への送信インターネット アクセスが引き続き必要です。 Unified Access Gateway の要件を参照してください。 [企業のネットワーク経由の内部アクセスの許可][Unified Access Gateway アクセス タイプ] である場合、ユーザー定義のルーティングまたは NAT ゲートウェイのいずれかを [管理サブネット] に適用して、送信トラフィックを許可できます。 [Unified Access Gateway アクセス タイプ] が DMZ ネットワークを使用して外部に構成されている場合は、DMZ ネットワーク上で *.horizon.vmware.com への外部アクセスを構成する必要があります。
  25. UAG の [自動パブリック IP アドレス] を有効にするにはトグルをオンに切り替え、手動パブリック IP アドレスを使用する場合はオフに切り替えます。
    トグルはデフォルトでオンになっています。手動のカスタム IP アドレスがデプロイされている場合は、UAG プライベート IP アドレスから指定されたパブリック IP アドレスへのルーティングを行う必要があります。
  26. [証明書タイプ] フィールドで、ドロップダウン メニューから [PEM][PFX] のいずれかを選択します。
  27. [証明書] フィールドで、クライアントが Microsoft Azure の Unified Access Gateway との接続を信頼できる証明書をアップロードします。
  28. メニューの使用可能な仮想マシン モデルから [仮想マシン モデル] を選択します。
  29. [UAG 仮想マシン] フィールドに値を追加します。
  30. [保存] をクリックします。
  31. [[はじめに] の手順が完了しました] タイルで [続行] をクリックして、Horizon Universal Console[ホーム] ページに移動します。

次のタスク

この手順を完了したら、 Unified Access Gateway および Horizon Edge Gateway インスタンスの FQDN に一致する DNS レコードを作成する必要があります。 Horizon Edge Gateway および Unified Access Gateway のデプロイ後に必要な DNS レコードを構成するを参照してください。
注: Horizon Cloud デプロイを完了し、デスクトップまたはアプリケーションの使用資格をエンド ユーザーに付与したら、次の Unified Access Gateway の動作が Horizon HTML Access(Web クライアント)を使用するエンド ユーザーに与える影響とメリットについて理解しておく必要があります。

Unified Access Gateway 2203.1 以降では、Unified Access Gateway インスタンスがメンテナンス モードになるか、または健全でない状態になり、アクセスできなくなった場合、Horizon HTML Access を使用するエンド ユーザーの進行中のセッションは健全な Unified Access Gateway インスタンスに再接続します。再接続には数分かかることがあります。