ウィザードのこの手順では、1 つ以上のゲートウェイが構成されているポッド マネージャ ベースのポッドをデプロイするために必要な情報を指定します。Unified Access Gateway は、このタイプのポッドのゲートウェイ環境を提供します。

重要: この情報は、第 1 世代の制御プレーンで第 1 世代のテナント環境にアクセスできる場合にのみ適用されます。 KB-92424 で説明されているように、第 1 世代の制御プレーンは提供終了 (EOA) となりました。詳細については、該当記事を参照してください。
外部ゲートウェイ構成
外部ゲートウェイ構成では、企業のネットワークの外部にいるユーザーがデスクトップおよびアプリケーションにアクセスできるようにすることができます。ポッドにこの外部ゲートウェイ構成がある場合、ポッドには、このアクセスを提供するための Azure ロード バランサ リソースUnified Access Gateway インスタンスが含まれています。この場合、各インスタンスには 3 つの NIC があります:1 つは管理サブネット上の NIC、1 つはデスクトップ サブネット上の NIC、そしてもう 1 つは DMZ サブネット上の NIC です。デプロイ ウィザードでは、ロード バランサにプライベート IP アドレスを使用するか、パブリック IP アドレスを使用するかに応じて、ロード バランシング タイプをプライベートまたはパブリックのいずれかに指定するためのオプションがあります。ウィザードでこのパブリック IP のトグルをオフに切り替えると、IP アドレスを指定する必要があるフィールドがウィザードに表示されます。このタイプの構成では、Horizon Client からゲートウェイへの PCoIP 接続でこの IP アドレスが使用されます。

外部ゲートウェイ構成の場合、ポッドの VNet とは別の VNet に構成をデプロイするオプションもあります。VNet をピア接続する必要があります。このタイプの構成では、ポッドをハブ - スポーク ネットワーク トポロジなど Microsoft Azure のより複雑なネットワーク トポロジーにデプロイできます。

注: 最初のウィザードのステップで、外部ゲートウェイが専用のサブスクリプションを使用するトグルを有効にした場合、外部ゲートウェイを専用の VNet(そのサブスクリプションに関連付けられている VNet)にデプロイする必要があります。このトグルを有効にした場合、必要に応じて、外部ゲートウェイのリソース用にそのサブスクリプションの既存のリソース グループを選択できます。このウィザードのステップで選択できるように、事前にそのリソース グループを準備しておく必要があります。
内部ゲートウェイ構成
内部ゲートウェイ構成は、企業のネットワークの内部にいるエンド ユーザーに対して、デスクトップおよびアプリケーションへの信頼される HTML Access (Blast) 接続機能を提供します。内部ゲートウェイ構成を使用してポッドが構成されていない場合、企業のネットワーク内のエンド ユーザーは、ブラウザを使用してデスクトップやアプリケーションに HTML Access (Blast) 接続をする際に標準ブラウザの信頼されていない証明書エラーに遭遇します。ポッドにこの内部ゲートウェイ構成がある場合、ポッドには、このアクセスを提供するための Azure ロード バランサのリソースUnified Access Gateway インスタンスが含まれています。この場合、各インスタンスには 2 つの NIC があります:1 つは管理サブネット上の NIC、1 つはデスクトップ サブネット上の NIC です。デフォルトでは、このゲートウェイのロード バランシング タイプはプライベートです。

次のスクリーンショットは、最初に表示されるときの手順の例です。一部のコントロールは、最初のウィザード手順で外部ゲートウェイ構成に別のサブスクリプションを使用することを選択した場合にのみ表示されます。


Horizon Cloud on Microsoft Azure:最初に表示されるポッド デプロイ ウィザードのステップ 3。

前提条件

第 1 世代テナント - 第 1 世代のポッド デプロイ ウィザードを実行するための前提条件に記載されている前提条件を満たしていることを確認します。

Unified Access Gateway インスタンスに使用する仮想マシン モデルを決定します。このポッドに指定した Microsoft Azure サブスクリプションが、選択したモデルの 2 台の仮想マシンのキャパシティを確実に満たすようにする必要があります。ポッドあたりのセッション数が 2,000 にまで拡大することが想定される環境では、F8s_v2 を使用します。VMware Horizon Cloud Service on Microsoft Azure サービスの制限で説明したように、A4_v2 仮想マシン モデルが十分に機能するのは、ポッドでのアクティブなセッション数が 1,000 を超えないことが分かっている PoC(概念実証)環境、パイロット環境、または小規模な環境のみとなります。

重要: よく考えて、仮想マシン モデルを選択します。現在のサービス リリースでは、ゲートウェイ構成のデプロイ後に、デプロイされたインスタンスで使用される仮想マシン モデルを簡単に変更することはできません。デプロイ後に仮想マシン モデルを変更するには、ゲートウェイ構成を削除して再デプロイする必要があります。
重要: この手順を完了するには、エンド ユーザーがサービスにアクセスするために必要な完全修飾ドメイン名 (FQDN) と、その FQDN に基づく署名付きの SSL 証明書(PEM 形式)を取得する必要があります。証明書は信頼されている認証局 (CA) によって署名する必要があります。1 つの PEM ファイルに、SSL 証明書の中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。詳細については、 第 1 世代テナント - 第 1 世代 Horizon Cloud ポッドのデプロイに必要な PEM 形式への証明書ファイルの変換を参照してください。

証明書チェーン内のすべての証明書の有効期限が切れていないことを確認します。証明書チェーン内のいずれかの証明書の有効期限が切れている場合、後からポッドのオンボーディング プロセスで予期しない不具合が発生する可能性があります。

この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、Unified Access Gateway インスタンスへの接続が失敗します。

外部ゲートウェイ構成を選択する場合、Horizon Cloud は、外部ゲートウェイ構成に指定された FQDN がパブリックに解決可能であることを想定します。[パブリック IP アドレスを有効にしますか? ] トグルをウィザードでオフに切り替えてファイアウォールまたは NAT セットアップから IP アドレスを指定した場合、ファイアウォール内または NAT セットアップ内の IP アドレスにこの FQDN が割り当てられていることを確認する必要があります。この FQDN は、ゲートウェイへの PCoIP 接続に使用されます。

テナントが、2 要素認証が構成されている Universal Broker で構成されている場合は、2 要素認証設定を使用して外部 Unified Access Gateway を構成する必要があります。

手順

  1. 外部ゲートウェイ構成を使用する場合、[外部ゲートウェイ] セクションのフィールドをすべて入力します。
    オプション 説明
    [外部ゲートウェイを有効にしますか?] ポッドに外部ゲートウェイ構成があるかどうかを制御します。外部構成を使用すると、企業のネットワークの外部にいるユーザーがデスクトップおよびアプリケーションにアクセスできるようになります。ポッドには、このアクセスを提供する Microsoft Azure ロード バランサ リソースと Unified Access Gateway インスタンスが含まれています。
    注: デフォルトの有効になっている設定にしておくことをお勧めします。

    このトグルをオフにすると、クライアントは、コネクタ アプライアンスがポッド マネージャに直接統合された Workspace ONE Access を介して接続するか、クライアントがポッド マネージャのロード バランサに直接接続するか、内部ゲートウェイ構成を介して接続する必要があります。これらのうち、クライアントがポッドに統合された Workspace ONE Access を介して接続する、またはクライアントがロード バランサに直接接続する最初の 2 つのシナリオでは、デプロイ後にいくつかの手順が必要になります。これらのシナリオでは、ポッドがデプロイされた後、ポッド マネージャ仮想マシンで SSL 証明書を直接構成するの手順に従って、SSL 証明書をポッド マネージャ仮想マシンにアップロードします。

    [FQDN] ourOrg.example.com のような、必要な完全修飾ドメイン名 (FQDN) を入力します。これは、ポッド デプロイヤがゲートウェイの Unified Access Gateway インスタンスの構成で指定するドメイン名です。このドメイン名を所有し、その FQDN を検証可能な PEM 形式の証明書を取得する必要があります。

    Horizon Cloud は、外部ゲートウェイ構成に指定されたこの FQDN がパブリックに解決可能であることを想定します。[パブリック IP アドレスを有効にしますか? ] トグルをオフに切り替えてファイアウォールまたは NAT セットアップから IP アドレスを指定した場合、ファイアウォール内または NAT セットアップ内の IP アドレスにこの FQDN が割り当てられていることを確認する必要があります。この FQDN は、ゲートウェイへの PCoIP 接続に使用されます。

    重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。
    [DNS アドレス] オプションで、Unified Access Gateway が名前解決に使用できる追加の DNS サーバのアドレスを、カンマ区切りで入力します。

    Unified Access Gateway インスタンスのデプロイ先となる VNet トポロジの外部にある 2 要素認証サーバで 2 要素認証を使用するようにこの外部 Unified Access Gateway 構成を構成する場合は、その認証サーバのホスト名を解決できる DNS サーバのアドレスを指定します。たとえば、2 要素認証サーバがオンプレミスにある場合は、その認証サーバの名前を解決できる DNS サーバのアドレスを入力します。

    デプロイの前提条件で説明されているように、Horizon Cloud on Microsoft Azure のデプロイに使用される VNet トポロジは、Unified Access Gateway インスタンスのデプロイ中に、また、その進行中の操作のために、外部の名前解決を提供する DNS サーバと通信できる必要があります。

    デフォルトでは、インスタンスがデプロイされる VNet で構成されている DNS サーバが使用されます。

    [DNS アドレス] にアドレスを指定すると、デプロイされた Unified Access Gateway インスタンスは、VNet の構成の DNS サーバ情報に加えてこれらのアドレスを使用します。

    [ルート] オプションで、デプロイした Unified Access Gateway インスタンスが、エンド ユーザー アクセス用のネットワークのルーティングを解決するために使用する、追加のゲートウェイへのカスタム ルートを指定します。指定したルートは、Unified Access Gateway が 2 要素認証サーバとの通信などにネットワーク ルーティングを解決できるようにするために使用されます。

    このポッドをオンプレミスの認証サーバで 2 要素認証を使用するように構成する場合は、Unified Access Gateway インスタンスがそのサーバに接続するための正しいルートを入力する必要があります。たとえば、オンプレミスの認証サーバがその IP アドレスとして 10.10.60.20 を使用している場合、10.10.60.0/24 とデフォルト ルートのゲートウェイ アドレスをカスタム ルートとして入力することになります。この Horizon Cloud on Microsoft Azure デプロイで使用している Express ルートまたは VPN 構成からデフォルト ルートのゲートウェイ アドレスを取得します。

    形式 ipv4-network-address/bits ipv4-gateway-address で、カンマ区切りリストとしてカスタム ルートを指定します(例:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)。

    [ポッドの NTP サーバの継承] このトグルはデフォルトで有効になっており、Unified Access Gateway インスタンスは、ポッド マネージャ インスタンスに指定されているのと同じ NTP サーバを使用します。このトグルを有効にしておくことを強くお勧めします。

    ポッド マネージャ インスタンス、Unified Access Gateway インスタンス、および Active Directory サーバに同じ NTP サーバを使用することがベスト プラクティスです。タイム スキューは、これらのインスタンスが異なる NTP サーバを使用する場合に発生する可能性があります。このようなタイム スキューにより、後でゲートウェイがデスクトップおよびアプリケーションに対してエンド ユーザー セッションを認証しようとしたときに、エラーが発生する可能性があります。

    このトグルを有効にして、外部ゲートウェイをポッドの VNet とは別の専用の VNet にデプロイする場合は、ポッド マネージャ インスタンスに指定された NTP サーバに、外部ゲートウェイのデプロイ用に選択した仮想ネットワークからアクセスできることを確認します。
    [仮想マシン モデル] Unified Access Gateway インスタンスに使用するモデルを選択します。このポッドに指定した Microsoft Azure サブスクリプションが、選択したモデルの 2 台の仮想マシンのキャパシティを確実に満たすようにする必要があります。
    重要: 現在のサービス リリースでは、サブスクリプション内でゲートウェイ構成がデプロイされた後、これらのインスタンスで使用される仮想マシン モデルを簡単に変更することはできません。デプロイ後に仮想マシン モデルを変更するには、ゲートウェイ構成を削除して再デプロイする必要があります。ポッドあたりのセッション数が 2,000 にまで拡大することが想定される環境では、 F8s_v2 を使用します。 VMware Horizon Cloud Service on Microsoft Azure サービスの制限で説明したように、 A4_v2 仮想マシン モデルが十分に機能するのは、ポッドでのアクティブなセッション数が 1,000 を超えないことが分かっている PoC(概念実証)環境、パイロット環境、または小規模な環境のみとなります。
    [証明書] Microsoft Azure で実行中の Unified Access Gateway インスタンスへの接続をクライアントが信頼できるようにするために、Unified Access Gateway で使用される PEM 形式の証明書をアップロードします。証明書は、入力した FQDN に基づいたものにして、信頼されている認証局 (CA) によって署名されている必要があります。PEM ファイルに、SSL 証明書の中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。
    [Blast Extreme TCP ポート] Unified Access Gateway 構成内の Blast Extreme TCP 設定で使用する TCP ポートを選択します。この設定は、クライアントから送信されるデータ トラフィックに対し Unified Access Gateway 上の Blast Secure Gateway 経由の Blast Extreme に関連しています。ポート 8443 は、より効率的で、パフォーマンスが向上し、Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。このような理由により、ウィザードのデフォルト値は 8443 です。もう 1 つの選択肢である 443 は、効率が低く、パフォーマンスが低下して、インスタンスで CPU の輻輳が発生し、エンドユーザー クライアントでトラフィックの遅延が見られる可能性があります。443 の選択肢は、組織でクライアント側の制限が設定されている場合(組織で 443 送信のみが許可されているなど)にのみ使用する必要があります。
    注: Blast Extreme に使用される UDP ポートは、この設定の影響を受けず、常に UDP 8443 です。
    [暗号スイート] ほとんどの場合、デフォルト設定を変更する必要はありませんが、Unified Access Gateway には、クライアントと Unified Access Gateway アプライアンス間の通信の暗号化に使用される暗号化アルゴリズムをオプションで指定するためのこの機能が用意されています。

    画面上のリストから少なくとも 1 つの暗号スイートを選択する必要があります。画面上のリストには、Horizon Cloud on Microsoft Azure 環境で許可されている暗号スイートが表示されます。

    このゲートウェイの Microsoft ロード バランサの設定を指定します。

    オプション 説明
    [パブリック IP アドレスを有効にしますか?] このゲートウェイのロード バランシング タイプがプライベートとして構成されるか、パブリックとして構成されるかを制御します。オンに切り替えると、デプロイされた Microsoft Azure ロード バランサ リソースがパブリック IP アドレスで構成されます。オフに切り替えると、Microsoft Azure ロード バランサ リソースがプライベート IP アドレスで構成されます。
    重要: このリリースでは、外部ゲートウェイのロード バランシング タイプを後でパブリックからプライベートに、またはプライベートからパブリックに変更することはできません。この変更を行う唯一の方法は、デプロイされたポッドからゲートウェイ構成を完全に削除してから、ポッドを編集して逆の設定で追加することです。

    このトグルをオフに切り替えると、[Horizon FQDN のパブリック IP アドレス] フィールドが表示されます。
    [Horizon FQDN のパブリック IP アドレス] デプロイされた Microsoft Azure ロード バランサをパブリック IP アドレスで構成しないことを選択した場合、[FQDN] フィールドで指定した FQDN を割り当てる IP アドレスを指定する必要があります。エンド ユーザーの Horizon Client は、ゲートウェイへの PCoIP 接続にこの FQDN を使用します。デプロイヤは、この IP アドレスを Unified Access Gateway 構成の設定で構成します。

    外部ゲートウェイのネットワーク設定を指定します。

    オプション 説明
    [別の仮想ネットワークを使用] このトグルは、外部ゲートウェイをポッドの VNet とは別の専用の VNet にデプロイするかどうかを制御します。

    次の行は、さまざまなケースを示しています。

    注: ウィザードの最初のステップで外部ゲートウェイに別のサブスクリプションを使用するように指定した場合、このトグルはデフォルトで有効になっています。その場合は、ゲートウェイの VNet を選択する必要があります。

    このトグルをオンにして、[ポッドの NTP サーバの継承] トグルをオンに切り替える場合は、ポッド マネージャ インスタンスに指定された NTP サーバに、外部ゲートウェイのデプロイ用に選択した仮想ネットワークからアクセスできることを確認します。
    [別の仮想ネットワークを使用] - オフ トグルをオフに切り替えると、外部ゲートウェイがポッドの VNet にデプロイされます。この場合は、DMZ サブネットを指定する必要があります。
    • [DMZ サブネット] - ポッドのセットアップ ウィザード手順で [既存のサブネットを使用] を有効にすると、[DMZ サブネット] には [仮想ネットワーク] に対して選択された VNet 上で使用可能なサブネットが表示されます。ポッドの DMZ サブネットに使用する既存のサブネットを選択します。
      重要: 接続されているその他のリソースがない空のサブネットを選択します。サブネットが空でない場合、デプロイ中またはポッドの操作中に予期しない結果が発生する可能性があります。
    • [DMZ サブネット (CIDR)] - 前のウィザード手順で [既存のサブネットを使用] がオフになっている場合、DMZ(非武装地帯)ネットワークのサブネットを CIDR 表記で入力します。このネットワークは、Unified Access Gateway インスタンスをゲートウェイの Microsoft Azure パブリック ロード バランサに接続するように構成されます。
    [別の仮想ネットワークを使用] — 有効 トグルを有効にすると、外部ゲートウェイが専用の VNet にデプロイされます。この場合、使用する VNet を選択してから、必要な 3 つのサブネットを指定する必要があります。[既存のサブネットを使用] トグルを有効にして、指定した VNet で事前に作成したサブネットから選択します。そうでない場合は、サブネットを CIDR 表記で指定します。
    重要: 接続されているその他のリソースがない空のサブネットを選択します。サブネットが空でない場合、デプロイ プロセス中またはポッドの操作中に予期しない結果が発生する可能性があります。

    この場合、ゲートウェイの VNet とポッドの VNet がピアリングされます。ベスト プラクティスは、サブネットを事前に作成し、ここで CIDR エントリを使用しないことです。ポッドの VNet またはサブスクリプションとは別の専用の VNet またはサブスクリプションを使用して外部 Unified Access Gateway 構成でデプロイする場合の前提条件を参照してください。

    • 管理サブネット - ゲートウェイの管理サブネットに使用するサブネットを指定します。少なくとも /27 の CIDR が必要です。このサブネットにはサービス エンドポイントとして Microsoft.SQL サービスが構成されている必要があります。
    • バックエンド サブネット - ゲートウェイのバックエンド サブネットに使用するサブネットを指定します。少なくとも /27 の CIDR が必要です。
    • フロントエンド サブネット - Unified Access Gateway インスタンスをゲートウェイの Microsoft Azure パブリック ロード バランサに接続するように構成されるフロントエンド サブネットのサブネットを指定します。
  2. (オプション) [外部ゲートウェイ] セクションで、外部ゲートウェイの 2 要素認証をオプションで設定します。
    第 1 世代テナント - ポッドのための 2 要素認証機能の指定 の手順を完了させます。
  3. (オプション) [デプロイ] セクションで、トグルを使用して、必要に応じてデプロイヤが外部ゲートウェイ構成のリソースを展開する既存のリソース グループを選択します。
    このトグルは、ウィザードの最初のステップで外部ゲートウェイに別のサブスクリプションを使用するように指定した場合に表示されます。トグルを有効にすると、リソース グループを検索して選択するフィールドが表示されます。
  4. [内部ゲートウェイ] セクションで、内部ゲートウェイ構成が必要な場合は、[内部ゲートウェイを有効にしますか? ] トグルをオンにして、表示されるフィールドに入力します。
    オプション 説明
    [内部ゲートウェイを有効にしますか?] ポッドに内部ゲートウェイ構成があるかどうかを制御します。内部構成は、企業のネットワーク内に存在するユーザーが HTML Access (Blast) でデスクトップおよびアプリケーションに接続するときに信頼されたアクセスを提供します。ポッドには、このアクセスを提供する Azure ロード バランサ リソースと Unified Access Gateway インスタンスが含まれています。デフォルトでは、このゲートウェイのロード バランシング タイプはプライベートです。ロード バランサは、プライベート IP アドレスで構成されます。
    [FQDN] サービスへのアクセスでエンド ユーザーが使用する完全修飾ドメイン名 (FQDN) を入力します(例:ourOrg.example.com)。このドメイン名を所有し、その FQDN を検証可能な PEM 形式の証明書を取得する必要があります。
    重要: この FQDN には、アンダー スコアを含めることはできません。このリリースでは、FQDN にアンダー スコアが含まれていると、 Unified Access Gateway インスタンスへの接続が失敗します。
    [DNS アドレス] オプションで、Unified Access Gateway が名前解決に使用できる追加の DNS サーバのアドレスを、カンマ区切りで入力します。

    Unified Access Gateway インスタンスのデプロイ先となる VNet トポロジの外部にある 2 要素認証サーバで 2 要素認証を使用するようにこの内部 Unified Access Gateway 構成を構成する場合は、その認証サーバのホスト名を解決できる DNS サーバのアドレスを指定します。たとえば、2 要素認証サーバがオンプレミスにある場合は、その認証サーバの名前を解決できる DNS サーバのアドレスを入力します。

    デプロイの前提条件で説明されているように、Horizon Cloud on Microsoft Azure のデプロイに使用される VNet トポロジは、Unified Access Gateway インスタンスのデプロイ中に、また、その進行中の操作のために、外部の名前解決を提供する DNS サーバと通信できる必要があります。

    デフォルトでは、インスタンスがデプロイされる VNet で構成されている DNS サーバが使用されます。

    [DNS アドレス] にアドレスを指定すると、デプロイされた Unified Access Gateway インスタンスは、VNet の構成の DNS サーバ情報に加えてこれらのアドレスを使用します。

    [ルート] オプションで、デプロイした Unified Access Gateway インスタンスが、エンド ユーザー アクセス用のネットワークのルーティングを解決するために使用する、追加のゲートウェイへのカスタム ルートを指定します。指定したルートは、Unified Access Gateway が 2 要素認証サーバとの通信などにネットワーク ルーティングを解決できるようにするために使用されます。

    このポッドをオンプレミスの認証サーバで 2 要素認証を使用するように構成する場合は、Unified Access Gateway インスタンスがそのサーバに接続するための正しいルートを入力する必要があります。たとえば、オンプレミスの認証サーバがその IP アドレスとして 10.10.60.20 を使用している場合、10.10.60.0/24 とデフォルト ルートのゲートウェイ アドレスをカスタム ルートとして入力することになります。この環境で使用している Express ルートまたは VPN 構成からデフォルト ルートのゲートウェイ アドレスを取得します。

    形式 ipv4-network-address/bits ipv4-gateway-address で、カンマ区切りリストとしてカスタム ルートを指定します(例:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)。

    [ポッドの NTP サーバの継承] このトグルはデフォルトで有効になっており、Unified Access Gateway インスタンスは、ポッド マネージャ インスタンスに指定されているのと同じ NTP サーバを使用します。このトグルを有効にしておくことを強くお勧めします。

    ポッド マネージャ インスタンス、Unified Access Gateway インスタンス、および Active Directory サーバに同じ NTP サーバを使用することがベスト プラクティスです。タイム スキューは、これらのインスタンスが異なる NTP サーバを使用する場合に発生する可能性があります。このようなタイム スキューにより、後でゲートウェイがデスクトップおよびアプリケーションに対してエンド ユーザー セッションを認証しようとしたときに、エラーが発生する可能性があります。
    [仮想マシン モデル] Unified Access Gateway インスタンスに使用するモデルを選択します。このポッドに指定した Microsoft Azure サブスクリプションが、選択したモデルの 2 台の仮想マシンのキャパシティを確実に満たすようにする必要があります。
    重要: 現在のサービス リリースでは、サブスクリプション内でゲートウェイ構成がデプロイされた後、これらのインスタンスで使用される仮想マシン モデルを簡単に変更することはできません。デプロイ後に仮想マシン モデルを変更するには、ゲートウェイ構成を削除して再デプロイする必要があります。ポッドあたりのセッション数が 2,000 にまで拡大することが想定される環境では、 F8s_v2 を使用します。 VMware Horizon Cloud Service on Microsoft Azure サービスの制限で説明したように、 A4_v2 仮想マシン モデルが十分に機能するのは、ポッドでのアクティブなセッション数が 1,000 を超えないことが分かっている PoC(概念実証)環境、パイロット環境、または小規模な環境のみとなります。
    [証明書] Microsoft Azure で実行中の Unified Access Gateway インスタンスへの接続をクライアントが信頼できるようにするために、Unified Access Gateway で使用される PEM 形式の証明書をアップロードします。証明書は、入力した FQDN に基づいたものにして、信頼されている認証局 (CA) によって署名されている必要があります。PEM ファイルに、SSL 証明書の中間証明書、ルート CA 証明書、プライベート キーを含む、完全な証明書チェーンが含まれている必要があります。
    [Blast Extreme TCP ポート] Unified Access Gateway 構成内の Blast Extreme TCP 設定で使用する TCP ポートを選択します。この設定は、クライアントから送信されるデータ トラフィックに対し Unified Access Gateway 上の Blast Secure Gateway 経由の Blast Extreme に関連しています。ポート 8443 は、より効率的で、パフォーマンスが向上し、Unified Access Gateway インスタンスでのリソース使用率が低いため、推奨されます。このような理由により、ウィザードのデフォルト値は 8443 です。もう 1 つの選択肢である 443 は、効率が低く、パフォーマンスが低下して、インスタンスで CPU の輻輳が発生し、エンドユーザー クライアントでトラフィックの遅延が見られる可能性があります。443 の選択肢は、組織でクライアント側の制限が設定されている場合(組織で 443 送信のみが許可されているなど)にのみ使用する必要があります。
    注: Blast Extreme に使用される UDP ポートは、この設定の影響を受けず、常に UDP 8443 です。
    [暗号スイート] ほとんどの場合、デフォルト設定で十分ですが、Unified Access Gateway には、クライアントと Unified Access Gateway アプライアンス間の通信の暗号化に使用される暗号化アルゴリズムを指定するためのこの機能が用意されています。

    画面上のリストから少なくとも 1 つの暗号スイートを選択する必要があります。画面上のリストには、Horizon Cloud on Microsoft Azure 環境で許可されている暗号スイートが表示されます。
  5. (オプション) [内部ゲートウェイ] セクションで、内部 Unified Access Gateway の 2 要素認証をオプションで設定します。
    第 1 世代テナント - ポッドのための 2 要素認証機能の指定 の手順を完了させます。
  6. (オプション) [Azure リソース タグ] セクションで、必要に応じて、ポッド用に構成したすべての内部および外部の Unified Access Gateway インスタンスを含むリソース グループにカスタム タグを追加します。
    オプション 説明
    [ポッド タグの継承]

    設定したすべての Unified Access Gateway インスタンスを含むリソース グループに、ポッドのリソース タグを追加するには、このトグルを切り替えます。各リソース グループは、ポッドのセットアップ ウィザードの手順で定義したリソース タグを受け取ります。

    このトグルをオフにして、Unified Access Gateway インスタンスの新しいリソース タグを定義します。
    [Azure リソース タグ]

    この設定は、[ポッド タグの継承] トグルをオフに切り替えると表示されます。この設定を使用して、Unified Access Gateway インスタンスを含むリソース グループに、ポッドのリソース タグを追加するには、このトグルを切り替えます。

    最初のタグを作成するには、[名前] と [値] のフィールドに情報を入力します。追加のタグを作成するには、[[+]] をクリックし、既存のフィールドの下に表示される [名前] と [値] のフィールドに情報を入力します。

    • 最大 10 個のタグを作成できます。
    • タグの名前は 512 文字に制限され、タグの値は 256 文字に制限されます。ストレージ アカウントの場合、タグの名前は 128 文字に制限され、タグの値は 256 文字に制限されます。
    • タグの名前には < > % & \ ? / の文字を含めることはできません。
    • タグの名前に大文字と小文字を区別しない文字列(「azure」、「windows」、「microsoft」)は使用できません。
    • タグ名とタグ値には、ASCII 文字のみを含めることができます。標準の 128 文字 ASCII セット(拡張 ASCII または拡張 ASCII 文字とも呼ばれる)以外の空白および文字は使用できません。

結果

選択したオプションに関連付けられている必要な情報を提供した場合、 [検証と続行] をクリックしてウィザードの最後の手順まで続行することができます。 第 1 世代テナント - 検証と続行、およびポッドのデプロイ プロセスの開始を参照してください。