第 1 世代 Horizon Universal Console にログインしてポッド デプロイ ウィザードを初めて実行する前に、次の準備作業を行う必要があります。このポッド デプロイ ウィザードは、ポッド マネージャ ベースのタイプのポッドをデプロイします。
- 前提条件チェックリストを参照して、前提条件をすべて満たしていることを確認します。特に、次の点に注意してください。
- Microsoft Azure アカウントとサブスクリプションに、ポッドに必要な仮想マシンの数とサイズが含まれていることを確認します。オプションの Unified Access Gateway 構成をデプロイする場合は、それらも対象になります。第 1 世代テナント - Microsoft Azure の Horizon Cloud ポッドに対する Microsoft Azure 仮想マシンの要件を参照してください。
ポッドのサブスクリプションとは別の専用のサブスクリプションを使用する外部ゲートウェイ構成でポッドをデプロイする予定がある場合は、他のサブスクリプションに外部ゲートウェイに必要な仮想マシンの数とサイズが含まれていることを確認します。この使用事例では、VNet は複数のサブスクリプションにまたがらないため、その個別のサブスクリプションには専用の VNet が必要です。また、サポートされる VNet トポロジは同じ Microsoft Azure リージョン内の VNet を接続しているため、このサブスクリプションはポッドのサブスクリプションと同じリージョンに存在する必要があります。
- 前提条件チェックリストに記載されているように、次の手順を実行します。
- サブスクリプションで Azure StorageV2 アカウント タイプの使用が制限されていないことを確認します。App Volumes 機能にはストレージ アカウントが必要です。
- ポッド デプロイ ウィザードでカスタム リソース タグを指定する予定がない場合は、サブスクリプションでリソース グループに固有のタグ名が不要であることを確認します。
- サブスクリプションに Azure ポリシーがないことを確認します。これにより、そのサブスクリプションのポッドのコンポーネントの作成をブロック、拒否、または制限することになります。
注意: サブスクリプションにリソース グループの作成に関する制限がある場合、ポッドのデプロイ プロセスは早い段階で失敗する可能性があります。サブスクリプションが上記のアイテムと一致しない場合、ポッド マネージャ仮想マシンのリソース グループを作成する最初の手順は完了しません。したがって、ポッドのデプロイ プロセスが 1 時間後にタイムアウトになった場合は、まずサブスクリプションに特定の条件に基づいてリソース グループの作成をブロック、拒否、または制限する Azure ポリシーが設定されているかを確認します。 - ポッドをデプロイするリージョンに仮想ネットワーク (VNet) があり、仮想ネットワークが Horizon Cloud ポッドの要件を満たしていることを確認します。既存の VNet がない場合には、要件を満たす VNet を作成します。第 1 世代 Horizon Cloud - Microsoft Azure での必要な仮想ネットワークの構成を参照してください。
ポッドの VNet とは別の専用の VNet を使用する、またはポッドのサブスクリプションとは別の専用のサブスクリプションを使用する外部ゲートウェイ構成でポッドをデプロイする場合は、ポッドの VNet と同じリージョンに VNet が存在すること、および文書化された Horizon Cloud VNet 要件を満たしていることを確認します。この使用事例では、これら 2 つの VNet をピアリングする必要があります。
重要: 一部の Microsoft Azure リージョンでは、GPU が有効な仮想マシンはサポートされません。GPU 対応のデスクトップまたはリモート アプリケーションでポッドを使用する場合は、使用する NV シリーズ、NVv4 シリーズ、NCv2 シリーズの仮想マシン タイプが、ポッド用に選択した Microsoft Azure のリージョンで提供されていることと、この Horizon Cloud リリースでサポートされていることを確認します。詳細については、 https://azure.microsoft.com/ja-jp/regions/services/ にある Microsoft のドキュメントを参照してください。 - ポッドをデプロイする前に、ポッドのサブネットを VNet 上で手動で作成する場合は、VNet で必要な数のサブネットが作成されたこと、およびそのアドレス空間が文書化された Horizon Cloud VNet 要件を満たしていること、またリソースがないことを確認します。第 1 世代テナント - ポッドのデプロイの前に、Microsoft Azure の VNet で Horizon Cloud ポッドに必要なサブネットを作成する。
注意: ポッドのデプロイのために VNet 上に作成するこれらのサブネットは空である必要があります。ポッドをデプロイする前にサブネットを作成することが可能ですが、これらのサブネットにいかなるリソースも配置しないでください。またいかなる IP アドレスも使用しないでください。IP アドレスがサブネットで既に使用されていると、ポッドのデプロイに失敗する可能性があります。
サブネットを事前に作成しない場合、ポッドのデプロイ プロセスは画面上のウィザードに入力した CIDR 情報を使用してサブネットを作成します。
- 仮想ネットワークが、外部名を解決している有効なドメイン ネーム サービス (DNS) サーバを指すように設定されていることを確認します。第 1 世代テナント - Microsoft Azure の Horizon Cloud ポッドに使用する VNet トポロジに必要な DNS サーバの設定を参照してください。
重要: ポッドのデプロイ プロセスでは、外部名および内部名の解決が必要です。外部名を解決できない DNS サーバを VNet がポイントしている場合、デプロイ プロセスは失敗します。
- 外部ゲートウェイ構成を持つポッドを、ポッドのサブスクリプションとは別のサブスクリプションで作成する既存のリソース グループにデプロイする場合は、デプロイヤがそのリソース グループを自動作成するのではなく、ポッドのデプロイ ウィザードを開始する前にそのサブスクリプションにリソース グループが存在することを確認する必要があります。Horizon Cloud が必要とする権限をリソース グループ レベルで設定するか、サブスクリプション レベルで設定するかを決定します。第 1 世代テナント - 組織が第 1 世代 Horizon Cloud のアプリケーション登録にカスタム ロールを使用することを希望する場合を参照してください。
- このリリースでの使用がサポートされている Active Directory が設定済みで、お使いの仮想ネットワークがそれに到達することができ、DNS サーバがその名前を解決できることを確認します。第 1 世代テナント - Horizon Cloud - Active Directory ドメイン構成を参照してください。
- Microsoft Azure アカウントとサブスクリプションに、ポッドに必要な仮想マシンの数とサイズが含まれていることを確認します。オプションの Unified Access Gateway 構成をデプロイする場合は、それらも対象になります。第 1 世代テナント - Microsoft Azure の Horizon Cloud ポッドに対する Microsoft Azure 仮想マシンの要件を参照してください。
- 計画されたデプロイ オプションに従って、必要な数のサービス プリンシパルを作成します。ポッドの外部ゲートウェイ構成を独自のサブスクリプションにデプロイする場合、そのサブスクリプションと、ポッド自身に使用されるサブスクリプションのサービス プリンシパルが必要です。詳細な手順については第 1 世代テナント - ポッドのサブスクリプションでの Horizon Cloud アプリケーション登録の作成を参照してください。
重要: Horizon Cloud の使用のために構成する各サービス プリンシパルには、そのサービス プリンシパルの関連付けられたサブスクリプションで適切なロールを割り当てる必要があります。サービス プリンシパルへのロールは、そのサービス プリンシパルに関連付けられた Microsoft Azure サブスクリプションの Horizon Cloud 管理対象リソースで Horizon Cloud が動作するために必要なアクションを許可する必要があります。ポッドのサブスクリプションのサービス プリンシパルには、ポッドを正常にデプロイし、ポッドおよびポッドが管理するリソース上で動作するアクションを許可するロールが必要です。それによって、管理コンソールを使用して開始された管理者ワークフローを満たし、ポッドを長期にわたって維持することができます。ポッドの外部 Unified Access Gateway 構成に個別のサブスクリプションを使用する場合、そのサブスクリプションのサービス プリンシパルには、そのゲートウェイ構成に必要なリソースを正常にデプロイし、それらの Horizon Cloud が管理するリソース上で動作するアクションを許可するロールが必要です。それによって、管理者ワークフローを満たし、それらのゲートウェイに関連するリソースを長期にわたって維持することができます。
第 1 世代テナント - 組織が第 1 世代 Horizon Cloud のアプリケーション登録にカスタム ロールを使用することを希望する場合 の説明に従って、次のいずれかの方法を使用してサービス プリンシパルにアクセスを許可する必要があります。
- サブスクリプション レベルで、共同作成者ロールを割り当てます。共同作成者ロールは、Microsoft Azure の組み込みロールの 1 つです。共同作成者ロールについては、Microsoft Azure ドキュメントの「Azure リソースの組み込みロール」を参照してください。
- サブスクリプション レベルで、Horizon Cloud がポッド関連リソースの展開、および管理者によって開始された進行中のワークフローとポッド メンテナンス操作のために必要とする許可された最小セットのアクションをサービス プリンシパルに提供するように設定したカスタム ロールを割り当てます。
- 外部 Unified Access Gateway 構成に個別のサブスクリプションを使用し、既存のリソース グループにデプロイする場合、有効な組み合わせは、範囲を限定した権限を提供するロールを使用してそのリソース グループおよび関連する VNet にアクセスするための権限をサービス プリンシパルに許可し、さらに、組み込みの Reader ロールを使用してサブスクリプションにアクセスするための権限をサービス プリンシパルに許可することです。
また、ロールは Horizon Cloud に使用するサービス プリンシパルに直接割り当てる必要があります。サービス プリンシパルへのロールのグループベースの割り当ての使用(ロールがグループに割り当てられ、サービス プリンシパルがそのグループのメンバーとなる)はサポートされていません。
- 第 1 世代テナント - 第 1 世代 Horizon Cloud で Microsoft Azure サブスクリプションにおける状態が登録済みになっている必要があるリソース プロバイダの説明に従って、Horizon Cloud が必要とするリソース プロバイダがすべて [登録済み] 状態になっていることを確認します。
- Microsoft Azure ポータルから、ポッドのサブスクリプションとその外部ゲートウェイのサブスクリプション(デプロイ オプションを使用する場合)のために、Microsoft Azure サブスクリプション ID、アプリケーション ID、アプリケーション認証キー、および Microsoft Azure AD ディレクトリ ID の値を取得します。これらのリソースは、Horizon Cloud が Microsoft Azure サブスクリプション内で操作を実行するために使用されます。第 1 世代テナント - Horizon Cloud ポッドのデプロイ ウィザードのためのサブスクリプション関連情報を参照してください。
- Unified Access Gateway 構成でポッドをデプロイしている場合、エンド ユーザーのクライアントがデスクトップおよびリモート アプリケーションへの接続を信頼できるようにする署名付きの TLS/SSL サーバ証明書を取得します。この証明書は、エンド ユーザーがクライアントで使用する FQDN に一致し、信頼されている認証局 (CA) によって署名される必要があります。また、証明書チェーン内のすべての証明書には、すべての中間証明書を含め、有効な有効期限が設定されていなければなりません。チェーン内のいずれかの証明書が期限切れの場合、ポッドのオンボーディング プロセスの後半で予期しない不具合が発生する可能性があります。
エンド ユーザーのクライアントが接続を信頼できるように、Unified Access Gateway が CA 署名付きの証明書を提供します。インターネットからの信頼できるアクセスをサポートするには、ポッドの外部 Unified Access Gateway 構成をデプロイします。企業のネットワーク内の信頼できるアクセスをサポートするには、内部 Unified Access Gateway 構成を使用します。どちらの構成タイプも、ポッドの編集ワークフローを使用して最初のポッド デプロイ プロセスまたはポッド後のデプロイ中にデプロイできます。
重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。 - Unified Access Gateway 構成で使用する署名付き SSL サーバ証明書が PEM 形式でない、またはプライベート キー付きの証明書チェーン全体を含む単一の PEM ファイルでない場合は、証明書の情報を必要な PEM 形式に変換します。第 1 世代テナント - 第 1 世代 Horizon Cloud ポッドのデプロイに必要な PEM 形式への証明書ファイルの変換の手順を参照してください。
- Horizon Cloud にアクセスするための登録をまだ実行していない場合は、次の 2 つの項目のいずれかが完了していることを確認します。
- VMware Customer Connect アカウントを取得し、そのアカウントに Horizon Cloud アクセスを登録します。
- グループまたは組織が VMware Cloud Services エンゲージメント プラットフォームを使用して Horizon Cloud に登録した場合、または VMware Cloud services または Workspace ONE を使用して Horizon Cloud の使用のために登録した場合は、VMware Cloud services ドキュメントの組織へのユーザーの追加トピックで説明するように、VMware Cloud services 組織の領域に参加するように招待されたときにアクティベーション リンクが記載された招待メールが届きます。このような E メールを受信した場合は、Horizon Cloud にアクセスする前に E メールの指示に従って操作してください。
これらの準備タスクが完了したら、cloud.horizon.vmware.com の Horizon Universal Console にログインします。このアドレスは、VMware Cloud Services の認証情報または VMware Customer Connect の認証情報を使用してログインする VMware Cloud Services ログインにリダイレクトされます。
ログイン フローの完了後、コンソールの [クラウドのキャパシティを追加] セクションが表示されます。 をクリックして、ポッド デプロイ ウィザードを起動できます。各画面で必要な情報を入力して、ウィザードを完了します。詳細な手順については第 1 世代テナント - Microsoft Azure へのポッドの自動デプロイを実行するための第 1 世代 Horizon Universal Console の使用を参照してください。