本說明文件頁面說明 Horizon Universal Console 的 [新增 Horizon Edge] UI 流程,以用來將 Horizon Edge 部署到 Microsoft Azure 訂閱。

簡介

Horizon Edge 是一個精簡型 Edge 雲端基礎結構。對於 Microsoft Azure 部署,Azure 訂閱是提供者。

在您為環境設定至少一個 Active Directory 網域和一個身分識別提供者後,主控台中的新增 Horizon Edge UI 流程將變為可用。

部署類型

部署在 Microsoft Azure 中的 Horizon Edge 會使用 Edge 閘道 (虛擬機器) 格式或 Edge 閘道 (AKS) 格式。

根據您需要的品質,由您決定要使用的類型。

部署類型 關鍵品質 詳細資料
AKS
  • 支援超過五千 (5000) 個工作階段
  • Azure Kubernetes 服務具有 Microsoft 相關需求而必須符合
  • SSO 登入體驗和監控資料收集是透過複寫服務來處理,這些複寫服務支援在發生故障時提供這些功能 (具有完整容錯移轉功能)。

AKS 是一項 Microsoft Azure 標準,用於 Microsoft Azure 資料中心內的企業雲端原生應用程式。

AKS 類型提供叢集架構的 Edge 閘道,可針對支援 SSO 登入體驗和監控資料收集的複寫服務提供。

虛擬機器
  • 最多支援五千 (5000) 個工作階段
  • Microsoft Azure 訂閱中涉及的先決條件少於 AKS 類型的先決條件
  • 日後若是已部署的虛擬機器無法使用,則所產生的行為是:
    • 使用者必須登入而不使用單一登入 (SSO)
    • 在虛擬機器無法使用期間,將不會記錄桌面的監控資料。

即使虛擬機器類型比 AKS 類型更簡單,因為所需的先決條件較少,但如果已部署的虛擬機器變得無法使用:

  • 使用者會看到登入流程,而沒有 SSO 登入體驗。例如,他們將必須使用其 Active Directory 認證登入。
  • 在虛擬機器無法使用期間,不會記錄傳送至 Edge 閘道虛擬機器的桌面監控資料。

先決條件

在主控台中執行這些步驟之前,您必須確認您或您的 IT 團隊已完成下列項目。

重要: 在主控台 UI 中選取項目時,系統將嘗試確認特定項目是否已完成,如果未滿足這些需求,將無法完成對應的 UI 步驟。

例如,當部署 AKS 部署類型時,如果在叢集輸出類型中選取的 NAT 閘道未連線至所選的管理子網路,當您按一下部署時,UI 會顯示一則訊息,並阻止您執行更多作業。此時,您必須退出精靈,完成將 NAT 閘道與管理子網路連線的需求,然後再從頭重新啟動精靈。

  • 檢閱部署 Microsoft Edge 時的需求檢查清單,並確定已滿足這些需求。
  • 檢閱 Microsoft Azure 部署、Horizon Edge - 準備部署頁面內超連結頁面所述的準備項目,並確定已完成這些項目。
  • 確認您具有 Azure 訂閱資訊、網路資訊、FQDN 及此類項目,以便可在精靈欄位和清單中指定這些項目。
  • 確認已允許必要的輸出連接埠。請參閱讓適當的目的地 URL 可供連線以在 Microsoft Azure 環境中部署 Horizon Edge 閘道
  • 如果您計劃使用 Proxy 伺服器來路由流量,必須可透過 Edge 管理子網路連線至該 Proxy 伺服器。
  • 確定您希望此 Horizon Edge 的主要提供者專用於 Horizon Edge 閘道和 Unified Access Gateway 執行個體,還是希望主要提供者同時提供使用者桌面和應用程式。
    備註: 如果您希望將主要提供者專用於此 Horizon Edge 的閘道應用裝置,則您需要 Azure 訂閱資訊,以執行精靈中的步驟,來為桌面和應用程式指定次要提供者。

啟動部署精靈

主控台中的新增 Horizon Edge 精靈可從不同的進入點取得。至於要從主控台中的哪個進入點來執行此步驟,通常取決於您的環境是綠地,還是已具有適用於 Horizon 8 或 Microsoft Azure 的現有 Horizon Edge 部署。

尚無 Horizon Edge - 從主控台中的 Horizon Edge 卡片開始
如果您的環境中沒有 Horizon Edge,通常您可以按一下 開始部署來啟動該精靈。

以下螢幕擷取畫面顯示此 Horizon Edge 卡片。


可讓您建立 Horizon Edge 定義的 [新增 Horizon Edge] 頁面

無 Horizon Edge - 或者,也可從主控台中的 [容量] 頁面開始
如果您的環境中尚未部署任何 Horizon Edge,[容量] 頁面會包含文字和 開始功能表。在此案例中,您可導覽至 資源 > 容量,然後按一下 啟動 > Microsoft Azure,以啟動該精靈。
至少有一個 Horizon Edge - 從主控台中的 [容量] 頁面開始
如果您的環境中至少已部署一個 Horizon Edge,[容量] 頁面會包含一個網格,其中列出現有的 Horizon Edge。在此案例中,您可以導覽至 資源 > 容量,然後按一下 新增 > Microsoft Azure,以啟動該精靈。
使用上述三種方法中的任一方法啟動精靈後,主控台會顯示 新增 Horizon Edge,從而可從精靈的步驟 1 開始。
Horizon Edge 頁面,您在其中為 Horizon Edge 定義輸入唯一名稱

一般資訊

新增唯一的 Horizon Edge 名稱以區分此 Horizon Edge 與您將在主控台中看到的其他 Edge。您可以新增選用說明。

主要提供者

完成本節內容。完成此步驟後,請繼續進行下一個步驟。

  1. 對於 Azure 訂閱,請選取環境中的其中一個現有提供者,或使用新增以提供新的提供者訂閱資訊。

    新增提供者訂閱資訊時,請提供:

    • 此提供者的唯一名稱,可將其與主控台中顯示的其他提供者區分開來。
    • 您可以在 Microsoft Azure 入口網站中找到的 Microsoft Azure 訂閱識別碼。
    • 選取適用於該 Microsoft Azure 訂閱識別碼的 Azure 雲端類型、Azure 區域和目錄識別碼。
    • 提供您在 Microsoft Azure 入口網站中為此目的建立的服務主體資訊 (應用程式識別碼應用程式金鑰)。
  2. 如果您想要將此提供者專用於 Horizon Edge 閘道和 Unified Access Gateway 執行個體,並使用單獨的提供者來提供使用者有權使用的資源,請選取顯示的核取方塊。

    如果未選取,此提供者也會傳遞使用者有權使用的資源。

  3. 您可以選擇性地指定要用於此 Horizon Edge 部署的 Azure 資源標記,方法是展開 UI 以查看此區段。
  4. (選用) 在此 UI 步驟中,您最多可以新增四個額外的服務主體 (應用程式識別碼應用程式金鑰配對)。

次要提供者

將次要提供者新增至 Horizon Edge 是選擇性的。

次要提供者必須與主要提供者位於相同的 Azure 區域中。

對於每個次要提供者,您最多可以新增五個唯一服務主體,Horizon Edge 容量上限為 20,000 台虛擬機器。

網路

網路區段中,選取要用於主要和次要提供者的租用戶 (桌面) 子網路。

您可以在稍後階段選取子網路。不過,在 Horizon Edge 至少有一個相關聯的租用戶子網路之前,系統會阻止將任何資源部署至提供者。

站台

站台區段中,從環境中的現有站台中選取,或選取新增以新增站台資訊。對於新站台,請提供唯一名稱和選用說明。

連線

完成連線區段。完成此步驟後,請繼續進行下一個步驟。

  1. 選取要用於此 Horizon Edge 的網路連線類型:Azure Private Link網際網路

    如需有關此需求的詳細資訊,請參閱 Microsoft Azure 訂閱需求

  2. App Volumes 應用程式儲存區區段中,選取 Azure 私人端點的子網路。
    備註: 建議使用者在設定私人端點後,從其虛擬機器登出後再次登入。
    選項 說明
    使用 Edge 閘道管理子網路 已建立私人端點資源的 Edge 閘道管理子網路。

    建議使用此預設選項。

    設定自訂子網路 確保您已設定先決條件。如需這些先決條件的相關資訊,請參閱 App Volumes 應用程式儲存區帳戶的 Azure 私人端點
    1. 選取中確認核取方塊。
    2. 私人端點 vNet 下拉式功能表中選取虛擬網路。
    3. 子網路下拉式功能表中選取對應的子網路。

    部署 Horizon Edge 並成功建立私人端點後,私人端點的狀態為 Configured。如果狀態為 Not Configured,則可以再次使用 Horizon EdgeApp Volumes 應用程式儲存區區段的設定私人端點選項來設定私人端點。如需有關使用此選項的詳細資訊,請參閱 Horizon Edge 詳細資料中的〈為 App Volumes 應用程式儲存區帳戶設定私人端點〉一節。

    如果任何現有桌面集區和檔案共用之間存在連線問題,影響應用程式交付,且您希望在解決這些問題之前還原為儲存區帳戶的公用網路存取,則可以使用移除私人端點選項。此選項會移除已設定的私人端點,並自動為 Azure 入口網站中的儲存區帳戶啟用公用網路存取。修正問題後,您可以使用設定私人端點選項來設定私人端點。

Horizon Edge 閘道

Horizon Edge 閘道區段中,選取部署類型 (Azure Kubernetes 服務單一虛擬機器)。

選取部署類型後,請依照該特定部署類型的指示進行 Horizon Edge 閘道設定,如下所示。

當您已完成所選部署類型所顯示的 UI 欄位後,請依照畫面上的提示進行操作。

  • Azure Kubernetes 服務 - 此選項適用於 Edge 閘道 (AKS)。以下螢幕擷取畫面顯示選取 Azure Kubernetes 服務部署類型時,所顯示和提示的資訊類型。此螢幕擷取畫面顯示精靈的 [Horizon Edge 閘道] 步驟,此步驟用來新增 Edge 閘道 (AKS) 部署類型。
  • 單一虛擬機器 - 此選項適用於 Edge 閘道 (虛擬機器)。以下螢幕擷取畫面顯示選取單一虛擬機器部署類型時,所顯示和提示的資訊類型。此螢幕擷取畫面顯示精靈的 [Horizon Edge 閘道] 步驟,此步驟用來新增 Edge 閘道 (虛擬機器) 部署類型。
備註: UI 將根據選取的部署類型顯示有關 高可用性的標籤。稍後無法編輯。對於單一虛擬機器部署類型,所顯示的字串表示,如果虛擬機器無法使用,則使用者將看到沒有 SSO 登入體驗的登入流程,且在虛擬機器無法使用的期間,將不會記錄桌面的監控資料。對於 Azure Kubernetes 服務部署類型,所顯示的字串表示 SSO 登入體驗和監控資料收集是透過複寫的服務進行處理,這使得這些功能可以完整容錯移轉。
部署類型 步驟
Azure Kubernetes 服務 (AKS)

對於 Azure Kubernetes 服務選項,

  1. NAT 閘道使用者定義的路由中,選取叢集輸出類型

    預設選擇是 NAT 閘道。如果您選取 NAT 閘道,必須將一個 NAT 閘道關聯至管理子網路。如果選取使用者定義的路由,則必須將一個路由表附加到管理子網路,並將預設路由設定為下一個躍點,且其類型為虛擬應用裝置。如需詳細資訊,請參閱網路需求。此外,所需的連接埠和 URL 必須可以連線,否則 AKS Edge 部署可能失敗。如需詳細資訊,請參閱讓適當的目的地 URL 可供連線以在 Microsoft Azure 環境中部署 Horizon Edge 閘道

    AKS 會在管理子網路上的路由表中新增一些項目,以用於 Kubernetes 網繭的內部路由。請勿移除這些項目。

    建立 Horizon Edge 後,叢集輸出類型就無法編輯。

  2. 選取具有必要角色的使用者指派的受管理身分識別

    如需有關使用者指派的受管理身分識別的詳細資訊,請參閱部署 Microsoft Azure Edge 的需求檢查清單

  3. 虛擬網路子區段中,為站台選取虛擬網路。

    可用的虛擬網路取決於先前選取的 Microsoft Azure 區域。若要建立新的虛擬網路,請前往 Microsoft Azure 入口網站。

  4. 選取要用於 Horizon Edge 閘道Unified Access Gateway 執行個體的管理子網路

    確保選取的管理子網路已設定 NAT 閘道,因為使用 AKS 叢集的 Horizon Edge 需要 NAT 閘道來支援輸出連線。

    注意: 確保其他 AKS 叢集未使用選取的管理子網路。請參閱 網路需求
  5. 服務 CIDR 文字方塊中,輸入此 CIDR 的 IP 位址範圍。

    提供至少 /27 的範圍。確保位於或連線至管理子網路虛擬網路的任何網路元素未使用此 CIDR 範圍。確保此 CIDR 範圍與其他重要 IP 位址不衝突,例如 DNS 伺服器 IP、AD 伺服器 IP 或 Unified Access Gateway IP 位址。

  6. 網繭 CIDR 文字方塊中,輸入此 CIDR 的 IP 位址範圍。

    提供至少 /21 的範圍。確保位於或連線至管理子網路虛擬網路的任何網路元素未使用此 CIDR 範圍。確保此 CIDR 範圍與其他重要 IP 位址不衝突,例如 DNS 伺服器 IP、AD 伺服器 IP 或 Unified Access Gateway IP 位址。

  7. (選用) 調整預設 AKS 叢集 DNS 字首
  8. 若要為此 Horizon Edge 中的資源啟用單一登入,請切換使用 SSO,然後從 SSO 組態下拉式功能表中選取適當的組態。
  9. 若要透過 Proxy 伺服器來路由輸出要求,請啟用使用輸出 Proxy
    1. 輸入 Proxy 伺服器的名稱和 IP 位址。
    2. 輸入 HTTP/TCP Proxy 用來接聽 HTTP/HTTPS 流量的連接埠號碼。
    3. 若要新增用於 SSL/TLS 安全通訊的憑證,請選取啟用 SSL

      Horizon Cloud Service 僅支援 SSL 驗證。不支援使用者名稱和密碼驗證。

    4. 上傳 Proxy 憑證。

      Horizon Cloud Service 僅支援 PEM 格式的憑證。憑證必須支援主體別名 (SAN),而不是已棄用的一般名稱。

  10. 按一下部署以啟用 Horizon Edge 建立程序。
單一虛擬機器

對於單一虛擬機器選項,

  1. 虛擬網路子區段中,為站台選取虛擬網路。

    可用的虛擬網路取決於先前選取的 Microsoft Azure 區域。若要建立新的虛擬網路,請前往 Microsoft Azure 入口網站。

  2. 選取要用於 Horizon Edge 閘道Unified Access Gateway 執行個體的管理子網路
  3. 若要為此 Horizon Edge 中的資源啟用單一登入,請切換使用 SSO,然後從 SSO 組態下拉式功能表中選取適當的組態。
  4. 若要透過 Proxy 伺服器來路由輸出要求,請啟用使用輸出 Proxy
    1. (選用) 從另一個 Horizon Edge 中選取 Proxy 設定
    2. 輸入 Proxy 伺服器的名稱和 IP 位址。
    3. 輸入 HTTP/TCP Proxy 用來接聽 HTTP/HTTPS 流量的連接埠號碼。
    4. (選用) 如果 Proxy 伺服器需要認證,請輸入使用者名稱密碼
    5. 若要新增用於 SSL/TLS 安全通訊的憑證,請選取啟用 SSL
  5. 按一下部署以啟用 Horizon Edge 建立程序。

Unified Access Gateway

Unified Access Gateway 區段中,完成部署所需的欄位。

完成 UI 欄位後,請繼續進行下一個步驟。

  1. 選取存取類型

    有三個選項可用:

    • 透過公司網路的內部存取 - 如果您只要透過內部網路 (內部公司網路) 存取虛擬機器。將透過桌面網路中的前端部署第 4 層負載平衡器。
    • 透過網際網路的外部存取 - 如果您要透過網際網路存取虛擬機器。將使用公用 IP 部署第 4 層負載平衡器。
    • 內部和外部存取 - 允許內部和外部存取。
    備註: 對於所有三個選項,仍需要 *.horizon.vmware.com 的輸出網際網路存取。請參閱 Unified Access Gateway 需求。使用 透過公司網路的內部存取時,使用者定義的路由或 NAT 閘道可套用至 管理子網路以允許輸出流量。當使用 DMZ 網路進行外部存取設定時,必須在 DMZ 網路上設定對 *.horizon.vmware.com 的外部存取。
  2. 您可以選取切換,以針對 UAG 啟用自動公用 IP,或者如果您偏好使用手動公用 IP,請關閉該切換。

    依預設,會開啟此切換。如果選取手動自訂 IP,則會使用 DMZ 網路上的私人前端 IP 位址部署外部 UAG。然後,您必須處理從這個私人 IP 位址到客戶提供的公用 IP 位址的路由。

    提供 Unified Access Gateway 部署的 FQDN。

  3. 對於憑證類型欄位,從下拉式功能表中選取 PEMPFX
  4. 憑證欄位中,上傳允許用戶端信任與 Microsoft Azure 中 Unified Access Gateway 連線的憑證。
  5. 從可用的虛擬機器型號功能表中選取虛擬機器型號
  6. UAG 虛擬機器欄位中新增值。
  7. 按一下儲存

下一步

完成此程序後,您必須建立與您為 Unified Access Gateway 執行個體輸入的 FQDN 相符的 DNS 記錄。請參閱部署 Horizon Edge 閘道和 Unified Access Gateway 後設定所需的 DNS 記錄

備註: 完成 Horizon Cloud 部署並將桌面或應用程式授權給使用者後,請注意以下 Unified Access Gateway 行為對使用 Horizon HTML Access (Web 用戶端) 的使用者有何影響及好處。

Unified Access Gateway 2203.1 或更新版本中,如果 Unified Access Gateway 執行個體進入維護模式,或進入健全狀況不良狀態而變得無法存取,則使用 Horizon HTML Access 的使用者正在進行的工作階段會重新連線到狀況良好的 Unified Access Gateway 執行個體。重新連線期間可能需要幾分鐘時間。

請注意,一旦重新整理 Unified Access Gateway的 SSL 憑證,會終止使用者工作階段。