このドキュメント ページでは、Horizon Edge を Microsoft Azure サブスクリプションにデプロイするために使用する Horizon Universal Console の Horizon Edge の追加 UI フローの手順について説明します。

概要

Horizon Edge は、シン Edge クラウド インフラストラクチャです。Microsoft Azure デプロイの場合、Azure サブスクリプションはプロバイダです。

環境が少なくとも 1 つの Active Directory ドメインと ID プロバイダで構成されると、コンソールによってこの [Horizon Edge を追加] UI フローが使用可能になります。

デプロイ タイプ

Microsoft Azure にデプロイされた Horizon Edge は、Edge Gateway (VM) 形式または Edge Gateway (AKS) 形式のいずれかを使用します。

必要な資質に基づいて、使用するタイプを決定します。

デプロイ タイプ 主な品質 詳細
AKS
  • 5,000 を超えるセッションをサポート
  • Azure Kubernetes サービスには、満たす必要がある Microsoft 関連の要件があります
  • SSO ログイン エクスペリエンスと監視データ収集は、障害が発生した場合に完全なフェイルオーバー機能を備えたこれらの機能の提供をサポートする複製されたサービスを介して処理されます。

AKS は、Microsoft Azure データセンターのエンタープライズ クラウド ネイティブ アプリケーションの Microsoft Azure 標準です。

AKS タイプは、クラスタ化されたアーキテクチャの Edge Gateway を提供し、SSO ログイン エクスペリエンスと監視データ収集をサポートする複製されたサービスを提供します。
仮想マシン
  • 最大 5,000 セッションをサポート
  • AKS タイプよりも Microsoft Azure サブスクリプションに関連する前提条件が少ない
  • デプロイされた仮想マシンが将来使用できない場合、結果の動作は次のようになります。
    • エンド ユーザーはシングル サインオン (SSO) なしでログインする必要があります。
    • 仮想マシンが使用できない間、デスクトップの監視データは記録されません。

AKS タイプよりも前提条件が少ないため、仮想マシン タイプのデプロイがより簡単ですが、デプロイされた仮想マシンが使用できなくなった場合は、次のようになります。

  • エンド ユーザーには、SSO ログイン エクスペリエンスなしでログイン フローが表示されます。たとえば、Active Directory資格情報を使用してログインする必要があります。
  • Edge Gateway 仮想マシンに送信されるデスクトップの監視データは、仮想マシンが使用できない間は記録されません。

前提条件

コンソールでこれらの手順を実行する前に、ユーザーまたは IT チームが次の項目を完了していることを確認する必要があります。

重要: コンソール ユーザー インターフェイスで項目を選択すると、システムはその特定の項目が設定されていることを確認します。それらの要件が満たされていない場合、ユーザー インターフェイスの手順を完了できなくなります。

たとえば、AKS タイプをデプロイする場合、[クラスタ送信タイプ] で選択した NAT ゲートウェイが選択した [管理サブネット] に接続されていない場合、[デプロイ] をクリックすると、ユーザー インターフェイスにメッセージが表示され、それ以上の手順に進むことはできません。その時点で、ウィザードを終了し、NAT ゲートウェイを管理サブネットに接続する要件を満たしてから、ウィザードを最初からやり直す必要があります。

  • Microsoft Edge をデプロイするための要件チェックリストを確認し、それらの要件が満たされていることを確認します。
  • Microsoft Azure のデプロイ、Horizon Edge - デプロイの準備ページ内のハイパーリンクされたページで説明されている準備項目を確認し、それらの項目が完了していることを確認します。
  • Azure サブスクリプション情報、ネットワーク情報、FQDN、および関連する項目を確認し、ウィザードのフィールドとリストで指定できるようにします。
  • 必要な送信ポートが許可されていることを確認します。Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にするを参照してください。
  • トラフィックのルーティングにプロキシ サーバを使用する場合は、Edge 管理サブネットを介してアクセスできる必要があります。
  • この Horizon Edge のプライマリ プロバイダを Horizon Edge Gateway および Unified Access Gateway インスタンス専用にするか、プライマリ プロバイダがエンドユーザーのデスクトップとアプリケーションも提供するようにするかを決定します。
    注: プライマリ プロバイダをこの Horizon Edge のゲートウェイ アプライアンス専用にする場合は、デスクトップとアプリケーションのセカンダリ プロバイダを指定するウィザードの手順で Azure サブスクリプション情報が必要になります。

デプロイ ウィザードの開始

コンソールでは、[Horizon Edge を追加] ウィザードをさまざまなエントリ ポイントから使用できます。コンソールでのこの手順の開始点は通常、環境が新規であるか、Horizon 8 または Microsoft Azure 向けの Horizon Edge の既存のデプロイがあるかによって異なります。

Horizon Edge はまだありません - コンソールの Horizon Edge カードから開始します
環境に Horizon Edge がない場合、通常は [デプロイの開始] をクリックしてウィザードを開始します。

次のスクリーンショットは、この [Horizon Edge] カードを示しています。


Horizon Edge 定義を作成できる [Horizon Edge を追加] ページ

Horizon Edge がありません - 代わりに、コンソールの [キャパシティ] ページから開始します
環境に Horizon Edge がまだデプロイされていない場合、[キャパシティ] ページにはテキストと [開始] メニューが表示されます。このシナリオでは、ウィザードを開始するには、 [リソース] > [キャパシティ] の順に移動し、 [開始] > [Microsoft Azure] の順にクリックします。
少なくとも 1 台の Horizon Edge - コンソールの [キャパシティ] ページから開始します
環境に少なくとも 1 台の Horizon Edge がデプロイされている場合、[キャパシティ] ページには既存の Horizon Edge を一覧表示するグリッドが含まれます。このシナリオでは、ウィザードを開始するには、 [リソース] > [キャパシティ] の順に移動し、 [追加] > [Microsoft Azure] の順にクリックします。
これらの 3 つの方法のいずれかを使用してウィザードを開始すると、コンソールには [Horizon Edge を追加] ウィザードの手順 1 が表示されます。
Horizon Edge 定義の一意の名前を入力する [Horizon Edge] ページ

全般情報

この Horizon Edge をコンソールに表示される他の Edge と区別する一意の [Horizon Edge 名] を追加します。オプションで説明を追加できます。

プライマリ プロバイダ

このセクションに入力します。この手順が完了したら、次の手順に進みます。

  1. [Azure サブスクリプション] の場合、環境の既存のプロバイダの 1 つを選択するか、[新規追加] を使用して新しいプロバイダ サブスクリプション情報を提供します。

    新しいプロバイダ サブスクリプション情報を追加する場合は、次の情報を指定します。

    • コンソールに表示される他のプロバイダと区別する、このプロバイダの一意の名前。
    • Microsoft Azure ポータルからの Microsoft Azure サブスクリプション ID。
    • その Microsoft Azure サブスクリプション ID に適用可能な Azure クラウド タイプ、Azure リージョン、ディレクトリ ID を選択します。
    • この目的のために Microsoft Azure ポータルで作成したサービス プリンシパルの情報([アプリケーション ID] および [アプリケーション キー])を指定します。
  2. このプロバイダを Horizon Edge Gateway および Unified Access Gateway インスタンス専用にし、エンド ユーザーに使用資格が付与されたリソースを提供するために別のプロバイダを使用する場合は、表示されたチェックボックスをオンにします。

    選択しない場合、このプロバイダはエンドユーザーに資格が付与されたリソースも提供します。

  3. 必要に応じて、ユーザー インターフェイスを展開してこのセクションを表示することで、この Horizon Edge のデプロイに使用する Azure リソース タグを指定できます。
  4. 必要に応じて、このユーザー インターフェイスの手順では、最大 4 つのサービス プリンシパル([アプリケーション ID][アプリケーション キー] のペア)を追加できます。

セカンダリ プロバイダ

Horizon Edge へのセカンダリ プロバイダの追加はオプションです。

セカンダリ プロバイダは、プライマリ プロバイダと同じ Azure リージョンにある必要があります。

セカンダリ プロバイダごとに、最大 20,000 台の Horizon Edge の仮想マシンの合計キャパシティに対して、最大 5 つの一意のサービス プリンシパルを追加できます。

ネットワーク

[ネットワーク] セクションで、プライマリ プロバイダとセカンダリ プロバイダに使用するテナント(デスクトップ)サブネットを選択します。

後の段階でサブネットを選択できます。ただし、Horizon Edge に少なくとも 1 つのテナント サブネットが関連付けられるまで、システムはリソースをプロバイダにデプロイしないようにします。

サイト

[サイト] セクションで、環境内の既存のサイトから選択するか、[新規追加] を選択して新しいサイト情報を追加します。新しいサイトの場合は、一意の名前と、必要に応じて説明を入力します。

接続

[接続] セクションに必要な情報を入力します。この手順が完了したら、次の手順に進みます。

  1. この Horizon Edge に使用するネットワーク接続のタイプ([Azure Private Link] または [インターネット])を選択します。

    この要件の詳細については、「Microsoft Azure サブスクリプションの要件」を参照してください。

  2. [App Volumes アプリケーション ストレージ] セクションで、Azure プライベート エンドポイントのサブネットを選択します。
    注: プライベート エンドポイントを構成した後、エンド ユーザーは仮想マシンからログアウトし、再度ログインすることをお勧めします。
    オプション 説明
    [Edge Gateway 管理サブネットの使用] プライベート エンドポイント リソースが作成される Edge Gateway 管理サブネット。

    このデフォルト オプションを使用することをお勧めします。
    [カスタム サブネットの構成] 前提条件が設定されていることを確認します。これらの前提条件の詳細については、「App Volumes アプリケーション ストレージ アカウントの Azure プライベート エンドポイント」を参照してください。
    1. 確認チェック ボックスを選択します。
    2. [プライベート エンドポイントの vNet] ドロップダウンから仮想ネットワークを選択します。
    3. [サブネット] ドロップダウンから対応するサブネットを選択します。

    Horizon Edge がデプロイされ、プライベート エンドポイントが正常に作成されると、プライベート エンドポイントのステータスが Configured になります。ステータスが Not Configured の場合は、Horizon Edge[App Volumes アプリケーション ストレージ] セクションの [プライベート エンドポイントの構成] オプションを使用して、プライベート エンドポイントを再度構成できます。このオプションの使用方法の詳細については、「Horizon Edge の詳細」の「App Volumes アプリケーション ストレージ アカウントのプライベート エンドポイントの構成」セクションを参照してください。

    既存のデスクトップ プールとファイル共有の間にアプリケーションの提供に影響を与える接続の問題があり、これらの問題をトラブルシューティングするまでストレージ アカウントのパブリック ネットワーク アクセスに戻す場合は、[プライベート エンドポイントの削除] オプションを使用できます。このオプションは、構成済みのプライベート エンドポイントを削除し、Azure ポータルのストレージ アカウントのパブリック ネットワーク アクセスを自動的に有効にします。問題を修正したら、[プライベート エンドポイントの構成] オプションを使用してプライベート エンドポイントを構成できます。

Horizon Edge Gateway

[Horizon Edge Gateway] セクションで、デプロイ タイプ([Azure Kubernetes サービス] または [単一の仮想マシン])を選択します。

デプロイ タイプを選択したら、次のように、その特定のデプロイ タイプの手順を使用して Horizon Edge Gateway 設定を構成します。

選択した展開タイプに表示される UI フィールドを完了したら、画面のプロンプトに従います。

  • [Azure Kubernetes サービス] - このオプションは Edge Gateway (AKS) 用です。次のスクリーンショットは、[Azure Kubernetes サービス] デプロイ タイプを選択したときに表示される情報および要求される情報のタイプを示しています。Edge Gateway (AKS) デプロイ タイプを追加するためのウィザードの Horizon Edge Gateway の手順のスクリーンショット。
  • [単一の仮想マシン] - このオプションは Edge Gateway (VM) 用です。次のスクリーンショットは、[単一の仮想マシン] デプロイ タイプを選択したときに表示される情報および要求される情報のタイプを示しています。Edge Gateway (VM) デプロイ タイプを追加するためのウィザードの Horizon Edge Gateway の手順のスクリーンショット。
注: ユーザー インターフェイスには、選択したデプロイ タイプに基づいて 高可用性 に関するラベルが表示されます。後で編集することはできません。単一仮想マシンのデプロイ タイプの場合、表示される文字列は、仮想マシンが使用できない場合、エンド ユーザーに SSO ログイン エクスペリエンスなしでログイン フローが表示され、仮想マシンが使用できない間はデスクトップの監視データが記録されないことを意味します。Azure Kubernetes サービスの展開タイプの場合、表示される文字列は、SSO ログイン エクスペリエンスと監視データ収集が、これらの機能の完全なフェイルオーバーを可能にする複製されたサービスを介して処理されることを意味します。
デプロイ タイプ 手順
Azure Kubernetes サービス (AKS)

[Azure Kubernetes サービス] オプションの場合

  1. [NAT ゲートウェイ][ユーザー定義ルート] から [クラスタ送信タイプ] を選択します。

    デフォルトの選択は、[NAT ゲートウェイ] です。[NAT ゲートウェイ] を選択すると、[NAT ゲートウェイ] を管理サブネットに関連付ける必要があります。[ユーザー定義ルート] を選択すると、ルート テーブルを管理サブネットに接続し、仮想アプライアンスのネクスト ホップ タイプを使用してデフォルト ルートを構成する必要があります。詳細については、ネットワーク要件を参照してください。また、必要なポートと URL がアクセス可能である必要があります。アクセスできない場合、AKS Edge のデプロイが失敗することがあります。詳細については、Microsoft Azure 環境に Horizon Edge Gateway をデプロイするために適切なターゲット URL をアクセス可能にするを参照してください。

    AKS は、Kubernetes ポッドの内部ルーティングのために、管理サブネットのルート テーブルにエントリを追加します。エントリは削除しないでください。

    [クラスタ送信タイプ] は、Horizon Edge の作成後に編集できません。

  2. 必要なロールを持つ [ユーザーが割り当てた管理対象 ID] を選択します。

    [ユーザーが割り当てた管理対象 ID] の詳細については、Microsoft Azure Edge をデプロイするための要件チェックリストを参照してください。

  3. [仮想ネットワーク] サブセクションで、サイトの仮想ネットワークを選択します。

    利用可能な仮想ネットワークは、以前に選択した Microsoft Azure リージョンによって決まります。新しい仮想ネットワークを作成するには、Microsoft Azure ポータルに移動します。

  4. Horizon Edge Gateway および Unified Access Gateway インスタンスに使用する [管理サブネット] を選択します。

    AKS クラスタを使用する Horizon Edge は送信接続用に NAT ゲートウェイを必要とするため、選択した管理サブネットが NAT ゲートウェイで構成されていることを確認します。

    注意: 選択した管理サブネットが別の AKS クラスタで使用されていないことを確認します。 ネットワーク要件を参照してください。
  5. [サービス CIDR] テキスト ボックスに、この CIDR の IP アドレス範囲を入力します。

    少なくとも /27 の範囲を指定してください。この CIDR 範囲が、管理サブネットの仮想ネットワーク上にある、または接続されているネットワーク要素によって使用されていないことを確認します。この CIDR 範囲が、DNS サーバの IP アドレス、Active Directory サーバの IP アドレス、Unified Access Gateway の IP アドレスなどの他の重要な IP アドレスと競合しないことを確認します。

  6. [ポッド CIDR] テキスト ボックスに、この CIDR の IP アドレス範囲を入力します。

    少なくとも /21 の範囲を指定してください。この CIDR 範囲が、管理サブネットの仮想ネットワーク上にある、または接続されているネットワーク要素によって使用されていないことを確認します。この CIDR 範囲が、DNS サーバの IP アドレス、Active Directory サーバの IP アドレス、Unified Access Gateway の IP アドレスなどの他の重要な IP アドレスと競合しないことを確認します。

  7. 必要に応じて、デフォルトの [AKS クラスタ DNS プリフィックス] を調整します。
  8. この Horizon Edge の一部であるリソースに対してシングル サインオンを有効にするには、[SSO を使用] を切り替えて、[SSO 構成] ドロップダウン メニューから適切な構成を選択します。
  9. プロキシ サーバ経由で送信要求をルーティングするには、[送信プロキシを使用] を有効にします。
    1. プロキシ サーバの名前と IP アドレスを入力します。
    2. HTTP/TCP プロキシが HTTP/HTTPS トラフィックをリッスンするポート番号を入力します。
    3. SSL/TLS の安全な通信の証明書を追加するには、[SSL を有効にする] を選択します。

      Horizon Cloud Service は SSL 認証のみをサポートします。ユーザー名とパスワードの認証はサポートされていません。

    4. プロキシ証明書をアップロードします。

      Horizon Cloud Service は PEM 形式の証明書のみをサポートします。証明書は、廃止された共通名の代わりにサブジェクトの別名 (SAN) をサポートする必要があります。

  10. [デプロイ] をクリックして、Horizon Edge 作成プロセスを有効にします。
単一の仮想マシン

[単一の仮想マシン] オプションの場合

  1. [仮想ネットワーク] サブセクションで、サイトの仮想ネットワークを選択します。

    利用可能な仮想ネットワークは、以前に選択した Microsoft Azure リージョンによって決まります。新しい仮想ネットワークを作成するには、Microsoft Azure ポータルに移動します。

  2. Horizon Edge Gateway および Unified Access Gateway インスタンスに使用する [管理サブネット] を選択します。
  3. この Horizon Edge の一部であるリソースに対してシングル サインオンを有効にするには、[SSO を使用] を切り替えて、[SSO 構成] ドロップダウン メニューから適切な構成を選択します。
  4. プロキシ サーバ経由で送信要求をルーティングするには、[送信プロキシを使用] を有効にします。
    1. オプションで、別の Horizon Edge から [プロキシ設定] を選択します。
    2. プロキシ サーバの名前と IP アドレスを入力します。
    3. HTTP/TCP プロキシが HTTP/HTTPS トラフィックをリッスンするポート番号を入力します。
    4. オプションで、プロキシ サーバで認証情報が必要な場合は、[ユーザー名] および [パスワード] を入力します。
    5. SSL/TLS の安全な通信の証明書を追加するには、[SSL を有効にする] を選択します。
  5. [デプロイ] をクリックして、Horizon Edge 作成プロセスを有効にします。

Unified Access Gateway

[Unified Access Gateway] セクションで、デプロイに必要なフィールドに入力します。

ユーザー インターフェイスのフィールドが完了したら、次の手順に進みます。

  1. [アクセス タイプ] を選択します。

    次の 3 つのオプションがあります。

    • [企業のネットワーク経由の内部アクセス] - イントラネット(社内ネットワーク)経由でのみ仮想マシンにアクセスする場合。レイヤー 4 ロード バランサは、デスクトップ ネットワークにフロントエンドを使用してデプロイされます。
    • [インターネット経由の外部アクセス] - インターネット経由で仮想マシンにアクセスする場合。レイヤー 4 ロード バランサは、パブリック IP アドレスを使用してデプロイされます。
    • [内部および外部アクセス] - 内部および外部の両方のアクセスを許可します。
    注: 3 つのすべてのオプションで、 *.horizon.vmware.com への送信インターネット アクセスが引き続き必要です。 Unified Access Gateway の要件を参照してください。 [企業のネットワーク経由の内部アクセス] を使用する場合、ユーザー定義のルーティングまたは NAT ゲートウェイのいずれかを [管理サブネット] に適用して送信トラフィックを許可できます。外部アクセスが DMZ ネットワークを使用して外部に構成されている場合は、DMZ ネットワーク上で *.horizon.vmware.com への外部アクセスを構成する必要があります。
  2. UAG の [自動パブリック IP アドレス] を有効にするにはトグルをオンに切り替え、手動パブリック IP アドレスを使用する場合はオフに切り替えます。

    トグルはデフォルトでオンになっています。手動のカスタム IP アドレスが選択されている場合、外部 UAG は DMZ ネットワーク上にプライベート フロントエンド IP アドレスを使用してデプロイされます。次に、このプライベート IP アドレスからユーザーが提供したパブリック IP アドレスへのルーティングを行う必要があります。

    Unified Access Gateway デプロイの FQDN を指定します。

  3. [証明書タイプ] フィールドで、ドロップダウン メニューから [PEM][PFX] のいずれかを選択します。
  4. [証明書] フィールドで、クライアントが Microsoft Azure の Unified Access Gateway との接続を信頼できる証明書をアップロードします。
  5. メニューの使用可能な仮想マシン モデルから [仮想マシン モデル] を選択します。
  6. [UAG 仮想マシン] フィールドに値を追加します。
  7. [保存] をクリックします。

次の手順

この手順を完了したら、Unified Access Gateway インスタンスに対して入力した FQDN に一致する DNS レコードを作成する必要があります。Horizon Edge Gateway および Unified Access Gateway のデプロイ後に必要な DNS レコードを構成するを参照してください。

注: Horizon Cloud デプロイを完了し、デスクトップまたはアプリケーションの使用資格をエンド ユーザーに付与したら、次の Unified Access Gateway の動作が Horizon HTML Access(Web クライアント)を使用するエンド ユーザーに与える影響とメリットについて理解しておく必要があります。

Unified Access Gateway 2203.1 以降では、Unified Access Gateway インスタンスがメンテナンス モードになるか、または健全でない状態になり、アクセスできなくなった場合、Horizon HTML Access を使用するエンド ユーザーの進行中のセッションは健全な Unified Access Gateway インスタンスに再接続します。再接続には数分かかることがあります。

Unified Access Gateway の SSL 証明書を更新すると、エンド ユーザー セッションが終了します。