Horizon Universal Console にログインしてポッド デプロイ ウィザードを初めて実行する前に、次の準備作業を行う必要があります。このポッド デプロイ ウィザードは、ポッド マネージャ ベースのタイプのポッドをデプロイします。

注意: このウィザードは、ポッド マネージャ ベースのタイプのポッドを Microsoft Azure にデプロイします。現在、コンソールには、 Horizon Connection Server のテクノロジーを使用する Azure VMware Solution (AVS) に Horizon ポッドをデプロイするためのデプロイ ウィザードが用意されていません。AVS に Horizon ポッドをデプロイする方法については、Tech Zone の Horizon on Azure VMware Solution Architectureおよび Deploying Horizon with Azure VMware Solutionを参照してください。
  1. 前提条件チェックリストを参照して、前提条件をすべて満たしていることを確認します。特に、次の点に注意してください。
    • Microsoft Azure アカウントとサブスクリプションに、ポッドに必要な仮想マシンの数とサイズが含まれていることを確認します。オプションの Unified Access Gateway 構成をデプロイする場合は、それらも対象になります。Microsoft Azure の Horizon Cloud ポッドに対する Microsoft Azure 仮想マシンの要件を参照してください。

      ポッドのサブスクリプションとは別の専用のサブスクリプションを使用する外部ゲートウェイ構成でポッドをデプロイする予定がある場合は、他のサブスクリプションに外部ゲートウェイに必要な仮想マシンの数とサイズが含まれていることを確認します。この使用事例では、VNet は複数のサブスクリプションにまたがらないため、その個別のサブスクリプションには専用の VNet が必要です。また、サポートされる VNet トポロジは同じ Microsoft Azure リージョン内の VNet を接続しているため、このサブスクリプションはポッドのサブスクリプションと同じリージョンに存在する必要があります。

    • 前提条件チェックリストに記載されているように、次の手順を実行します。
      • サブスクリプションで Azure StorageV1 アカウント タイプの使用が制限されていないことを確認します。
      • ポッド デプロイ ウィザードでカスタム リソース タグを指定する予定がない場合は、サブスクリプションでタグ付けされたリソース グループの作成が制限されていないこと、またはリソース グループに固有のタグが必要であることを確認します。
      • サブスクリプションに Azure ポリシーがないことを確認します。これにより、そのサブスクリプションのポッドのコンポーネントの作成をブロック、拒否、または制限することになります。
      注意: ポッドのデプロイ プロセスは、サブスクリプションがこれらの先行アイテムと一致しない場合、初期段階で失敗します。これは、一時ジャンプ ボックスのリソース グループを作成してジャンプ ボックスをデプロイする最初の手順が完了できないためです。したがって、ポッドのデプロイ プロセスが 2 時間後にタイムアウトになった場合は、まずサブスクリプションに特定の条件に基づいてリソース グループの作成をブロック、拒否、または制限する Azure ポリシーが設定されているかを確認します。
    • ポッドをデプロイするリージョンに仮想ネットワーク (VNet) があり、仮想ネットワークが Horizon Cloud ポッドの要件を満たしていることを確認します。既存の VNet がない場合には、要件を満たす VNet を作成します。Microsoft Azure で必要な仮想ネットワークを構成を参照してください。

      ポッドの VNet とは別の専用の VNet を使用する、またはポッドのサブスクリプションとは別の専用のサブスクリプションを使用する外部ゲートウェイ構成でポッドをデプロイする場合は、ポッドの VNet と同じリージョンに VNet が存在すること、および文書化された Horizon Cloud VNet 要件を満たしていることを確認します。この使用事例では、これら 2 つの VNet をピアリングする必要があります。

      重要: 一部の Microsoft Azure リージョンでは、GPU が有効な仮想マシンはサポートされません。GPU 対応のデスクトップまたはリモート アプリケーションでポッドを使用する場合は、使用する NV シリーズの仮想マシン タイプが、ポッド用に選択した Microsoft Azure のリージョンで提供されていることと、この Horizon Cloud リリースでサポートされていることを確認します。詳細については、 https://azure.microsoft.com/ja-jp/regions/services/ にある Microsoft のドキュメントを参照してください。
    • ポッドをデプロイする前に、ポッドのサブネットを VNet 上で手動で作成する場合は、VNet で必要な数のサブネットが作成されたこと、およびそのアドレス空間が文書化された Horizon Cloud VNet 要件を満たしていること、またリソースがないことを確認します。ポッドのデプロイの前に、Microsoft Azure の VNet で Horizon Cloud ポッドに必要なサブネットを作成する
      注意: ポッドのデプロイのために VNet 上に作成するこれらのサブネットは空である必要があります。ポッドをデプロイする前にサブネットを作成することが可能ですが、これらのサブネットにいかなるリソースも配置しないでください。またいかなる IP アドレスも使用しないでください。IP アドレスがサブネットで既に使用されていると、ポッドのデプロイに失敗する可能性があります。

      サブネットを事前に作成しない場合、ポッドのデプロイ プロセスは画面上のウィザードに入力した CIDR 情報を使用してサブネットを作成します。

    • 仮想ネットワークが、外部名を解決している有効なドメイン ネーム サービス (DNS) サーバを指すように設定されていることを確認します。Microsoft Azure の Horizon Cloud ポッドに使用する VNet トポロジに必要な DNS サーバの設定を参照してください。
      重要: ポッドのデプロイ プロセスでは、外部名および内部名の解決が必要です。外部名を解決できない DNS サーバを VNet がポイントしている場合、デプロイ プロセスは失敗します。
    • 外部ゲートウェイ構成を持つポッドを、ポッドのサブスクリプションとは別のサブスクリプションで作成する既存のリソース グループにデプロイする場合は、デプロイヤがそのリソース グループを自動作成するのではなく、ポッドのデプロイ ウィザードを開始する前にそのサブスクリプションにリソース グループが存在することを確認する必要があります。Horizon Cloud が必要とする権限をリソース グループ レベルで設定するか、サブスクリプション レベルで設定するかを決定します。Microsoft Azure サブスクリプションでの Horizon Cloud によって要求される操作を参照してください。
    • このリリースでの使用がサポートされている Active Directory が設定済みで、お使いの仮想ネットワークがそれに到達することができ、DNS サーバがその名前を解決できることを確認します。Active Directory ドメインの構成を参照してください。
  2. 計画されたデプロイ オプションに従って、必要な数のサービス プリンシパルを作成します。ポッドの外部ゲートウェイ構成を独自のサブスクリプションにデプロイする場合、そのサブスクリプションと、ポッド自身に使用されるサブスクリプションのサービス プリンシパルが必要です。詳細な手順についてはアプリケーション登録を作成して Horizon Cloud ポッド デプロイヤに必要なサービス プリンシパルを作成するを参照してください。
    重要: Horizon Cloud の使用のために構成する各サービス プリンシパルには、そのサービス プリンシパルの関連付けられたサブスクリプションで適切なロールを割り当てる必要があります。サービス プリンシパルへのロールは、そのサービス プリンシパルに関連付けられた Microsoft Azure サブスクリプションの Horizon Cloud 管理対象リソースで Horizon Cloud が動作するために必要なアクションを許可する必要があります。ポッドのサブスクリプションのサービス プリンシパルには、ポッドを正常にデプロイし、ポッドおよびポッドが管理するリソース上で動作するアクションを許可するロールが必要です。それによって、管理コンソールを使用して開始された管理者ワークフローを満たし、ポッドを長期にわたって維持することができます。ポッドの外部 Unified Access Gateway 構成に個別のサブスクリプションを使用する場合、そのサブスクリプションのサービス プリンシパルには、そのゲートウェイ構成に必要なリソースを正常にデプロイし、それらの Horizon Cloud が管理するリソース上で動作するアクションを許可するロールが必要です。それによって、管理者ワークフローを満たし、それらのゲートウェイに関連するリソースを長期にわたって維持することができます。

    Microsoft Azure サブスクリプションでの Horizon Cloud によって要求される操作 の説明に従って、次のいずれかの方法を使用してサービス プリンシパルにアクセスを許可する必要があります。

    • サブスクリプション レベルで、共同作成者ロールを割り当てます。共同作成者ロールは、Microsoft Azure の組み込みロールの 1 つです。共同作成者ロールについては、Microsoft Azure ドキュメントの「Azure リソースの組み込みロール」を参照してください。
    • サブスクリプション レベルで、Horizon Cloud がポッド関連リソースの展開、および管理者によって開始された進行中のワークフローとポッド メンテナンス操作のために必要とする許可された最小セットのアクションをサービス プリンシパルに提供するように設定したカスタム ロールを割り当てます。
    • 外部 Unified Access Gateway 構成に個別のサブスクリプションを使用し、既存のリソース グループにデプロイする場合、有効な組み合わせは、範囲を限定した権限を提供するロールを使用してそのリソース グループおよび関連する VNet にアクセスするための権限をサービス プリンシパルに許可し、さらに、組み込みの Reader ロールを使用してサブスクリプションにアクセスするための権限をサービス プリンシパルに許可することです。

    また、ロールは Horizon Cloud に使用するサービス プリンシパルに直接割り当てる必要があります。サービス プリンシパルへのロールのグループベースの割り当ての使用(ロールがグループに割り当てられ、サービス プリンシパルがそのグループのメンバーとなる)はサポートされていません。

  3. Microsoft Azure ポータルから、ポッドのサブスクリプションとその外部ゲートウェイのサブスクリプション(デプロイ オプションを使用する場合)のために、Microsoft Azure サブスクリプション ID、アプリケーション ID、アプリケーション認証キー、および Microsoft Azure AD ディレクトリ ID の値を取得します。これらのリソースは、Horizon Cloud が Microsoft Azure サブスクリプション内で操作を実行するために使用されます。Horizon Cloud ポッドのデプロイ ウィザードのためのサブスクリプション関連情報を参照してください。
  4. Unified Access Gateway 構成でポッドをデプロイしている場合、エンド ユーザーのクライアントがデスクトップおよびリモート アプリケーションへの接続を信頼できるようにする署名付きの TLS/SSL サーバ証明書を取得します。この証明書は、エンド ユーザーがクライアントで使用する FQDN に一致し、信頼されている認証局 (CA) によって署名される必要があります。また、証明書チェーン内のすべての証明書には、すべての中間証明書を含め、有効な有効期限が設定されていなければなりません。チェーン内のいずれかの証明書が期限切れの場合、ポッドのオンボーディング プロセスの後半で予期しない不具合が発生する可能性があります。

    エンド ユーザーのクライアントが接続を信頼できるように、Unified Access Gateway が CA 署名付きの証明書を提供します。インターネットからの信頼できるアクセスをサポートするには、ポッドの外部 Unified Access Gateway 構成をデプロイします。企業のネットワーク内の信頼できるアクセスをサポートするには、内部 Unified Access Gateway 構成を使用します。どちらの構成タイプも、ポッドの編集ワークフローを使用して最初のポッド デプロイ プロセスまたはポッド後のデプロイ中にデプロイできます。

    重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。
  5. Unified Access Gateway 構成で使用する署名付き SSL サーバ証明書が PEM 形式でない、またはプライベート キー付きの証明書チェーン全体を含む単一の PEM ファイルでない場合は、証明書の情報を必要な PEM 形式に変換します。証明書ファイルをポッドのデプロイに必要な PEM 形式に変換するの手順を参照してください。
  6. Horizon Cloud にアクセスするための登録をまだ実行していない場合は、次の 2 つの項目のいずれかが完了していることを確認します。
    • My VMware アカウントを取得し、そのアカウントに Horizon Cloud アクセスを登録します。
    • グループまたは組織が VMware Cloud Services エンゲージメント プラットフォームを使用して Horizon Cloud に登録した場合、または VMware Cloud services または Workspace ONE を使用して Horizon Cloud の使用のために登録した場合は、VMware Cloud services ドキュメントの組織へのユーザーの追加トピックで説明するように、VMware Cloud services 組織の領域に参加するように招待されたときにアクティベーション リンクが記載された招待メールが届きます。このような E メールを受信した場合は、Horizon Cloud にアクセスする前に E メールの指示に従って操作してください。

これらの準備作業が完了したら、次の 2 つの方法のいずれかを使用して Horizon Cloud 環境にアクセスします。

  • その特定のアカウントが Horizon Cloud に対して登録されている場合は、cloud.horizon.vmware.comMy VMware 認証情報を入力します。
  • 前の手順で説明したように、グループの組織を通じて使用するために Horizon Cloud が登録されている場合は、cloud.horizon.vmware.com からの VMware Cloud Services パスを使用してシングル サインオンを実行します。

ログイン後、画面に [クラウドのキャパシティを追加] 領域が表示されます。[管理] > [ポッドの追加] をクリックして、ポッド デプロイ ウィザードを起動します。各画面で必要な情報を入力して、ウィザードを完了します。詳細な手順についてはMicrosoft Azure へのポッドの自動デプロイを実行するための Horizon Universal Console の使用を参照してください。

注: クラウドベースのコンソールへのログイン認証は、My VMware アカウント システムまたは VMware Cloud Services システムでのアカウント認証情報の認証に依存しています。それらのシステムでシステム障害が発生していて認証要求を処理できない場合、その期間中にコンソールにログインすることはできません。コンソールの最初のログイン画面でログインの問題が発生する場合は、 Horizon Cloud システム ステータス ページ ( https://status.horizon.vmware.com) で最新のシステム ステータスを確認してください。そのページでは、アップデートを定期受信にすることもできます。