當您的網繭使用的 Microsoft Azure VNet 已針對 NSX Cloud 設定時,您可對這些網繭的伺服器陣列和 VDI 桌面指派利用 NSX-T Data Center 網路虛擬化功能。您可以使用 NSX Cloud 的微分割功能來限制伺服器陣列 RDSH 執行個體與 VDI 桌面之間的存取,即使這些虛擬機器都位於同一個租用戶子網路亦然。

若要瞭解哪些 NSX-T Data Center 版本支援與目前 Horizon Cloud Service 版本的現行網繭資訊清單進行這項整合,請參閱說明文件主題 Horizon Cloud — 環境、作業系統和相容性

備註: 當您已將現有網繭從早於 1101 的資訊清單版本更新至更新的資訊清單版本時,在更新網繭前存在於網繭中的這些伺服器陣列和 VDI 桌面指派,在更新後即無法進行編輯以讓指派可使用 NSX Cloud 管理。

Horizon Cloud 整合支援內部部署的 NSX Cloud 管理元件 NSX Manager 和 Cloud Service Manager (CSM),或者,從 NSX-T Data Center 3.1.1 版開始,已原生整合於 Microsoft Azure 中。如需 NSX Cloud 架構和元件的概觀,請參閱 VMware NSX-T Data Center 說明文件中的 NSX Cloud 架構和元件

備註: 從 NSX Cloud 3.1.1 開始,支援將隔離和非隔離模式與 Microsoft Azure 中的 Horizon Cloud Pod 搭配使用。較早版本僅支援非隔離模式。

使用 NSX Cloud 搭配 Microsoft Azure 環境的其中一個需求是您必須在您的 Microsoft Azure VNet 與內部部署 NSX-T Data Center 應用裝置之間建立連線。因為 Microsoft Azure 不允許您在 VNet 為對等或連結 VPN 閘道之後修改 VNet 的 CIDR 區塊,請確保已檢查您要使用的所有值,然後再將 VNet 連結至 VPN 閘道。如需將 NSX Cloud 連線至公有雲的高階步驟工作流程,請參閱 NSX-T Data Center 說明文件中的 3.1 版主題整合 Horizon Cloud Service 與 NSX Cloud

下表為端對端步驟的高階摘要,可讓您在您的網繭的 RDSH 虛擬機器和 VDI 桌面虛擬機器上使用 NSX Cloud 功能。[詳細資料] 資料行中的部分連結會開啟相關的 NSX-T Data Center 3.1 版說明文件主題。

高階步驟 詳細資料
Horizon Cloud 與 NSX Cloud 整合,以用於 Horizon Cloud Pod 請參閱 NSX-T Data Center 說明文件主題整合 Horizon Cloud Service 與 NSX Cloud
重要: 如果您想要在網繭中建立 App Volumes 指派,則必須在部署 NSX PCG 之後、使用該網繭建立第一個 App Volumes 指派之前,在 NSX 防火牆規則中為網繭的租用戶子網路手動開啟連接埠 445/TCP。如 Horizon Cloud on Microsoft Azure 的 App Volumes 應用程式 - 概觀和先決條件中所述,若要支援使用可支援用於 Horizon Cloud Pod 的 App Volumes 功能,您必須在網繭的租用戶子網路上設定 TCP 通訊協定流量所需的連接埠 445。
建立虛擬機器,並使用 [從 Marketplace 匯入虛擬機器] 精靈將其匯入 Horizon Cloud 請參閱以每個網繭為基礎從 Microsoft Azure Marketplace 自動建立基礎虛擬機器並將其與 Horizon Cloud 配對。若要讓您輕鬆安裝必要的 NSX 代理程式,最佳做法是選取公用 IP 位址的選項。
備註: 匯入虛擬機器時,選取用於最佳化虛擬機器的選項,並針對 Windows 10 或 11 移除 Windows 市集應用程式。使用這些選項可在後續密封映像時,協助避免發生 sysprep 問題。
連線至已匯入的虛擬機器,並安裝必要的 NSX Tools。 在 Horizon Cloud 匯入的映像虛擬機器中安裝 NSX Tools
發佈映像。 以每個網繭為基礎在 Horizon Cloud 中將已設定的映像虛擬機器轉換為可指派的映像
使用該映像及設定來建立伺服器陣列和 VDI 桌面指派,以為該伺服器陣列或指派啟用 NSX Cloud 管理。

RDSH 虛擬機器與 VDI 桌面虛擬機器在建立後會出現在 NSX Cloud 詳細目錄中。

在 NSX Manager 中啟用分散式防火牆規則,以允許與 RDSH 虛擬機器和 VDI 桌面虛擬機器進行通訊 由於 NSX Cloud 依預設會封鎖這些通訊,因此您必須在 NSX Manager 中啟用某些分散式防火牆規則,以允許與 NSX 管理且從網繭佈建的虛擬機器進行通訊。請參閱NSX Manager 中由網繭佈建之虛擬機器所需的防火牆規則

如果您要使用 NSX-T Data Center 2.4,除了啟用防火牆規則外,您還必須新增轉送原則,以透過 Microsoft Azure 雲端的網路 (底層) 為 NSX 管理的虛擬機器路由其相關流量。請參閱在 NSX Manager 中為網繭佈建的虛擬機器新增必要的轉送原則
將 NSX Cloud 功能用於您 NSX Cloud 詳細目錄中的 RDSH 虛擬機器與 VDI 桌面虛擬機器。 請參閱《NSX-T Data Center 管理指南》中的此 NSX Cloud 主題和其副主題。

Horizon Cloud 工作流程和 NSX Cloud

在您的 Horizon Cloud Pod 中使用您設定了 NSX 代理程式的最佳配置映像虛擬機器來建立 RDSH 伺服器陣列或 VDI 桌面指派時,您可以決定是否要在該伺服器陣列或 VDI 桌面指派上啟用 NSX Cloud 管理。為伺服器陣列或 VDI 桌面指派啟用 NSX Cloud 管理時,系統會將該伺服器陣列或 VDI 桌面指派中的所有虛擬機器 (VM) 標記為供 NSX Cloud 中使用。您會在建立伺服器陣列或 VDI 桌面指派時指定 NSX Cloud 管理,而在建立伺服器陣列或指派後無法變更該狀態。建立伺服器陣列和 VDI 桌面指派的 Horizon Cloud 工作流程包含用於對伺服器陣列的 RDSH 執行個體或 VDI 桌面指派的虛擬桌面啟用使用 NSX Cloud 的切換。如需那些工作流程的詳細資料,請參閱:

建立伺服器陣列或 VDI 桌面指派時將 NSX Cloud 管理切換設為,可讓產生的伺服器陣列的 RDSH 虛擬機器或 VDI 桌面虛擬機器具有名為 nsx.network=default 的自訂標籤。NSX Cloud PCG 會管理具有該標籤的所有虛擬機器。NSX Cloud 會自動探索設定的 Microsoft Azure VNet 中具有此標籤的虛擬機器,並將這些虛擬機器包含在您的公有雲詳細目錄中。然後您可以使用 NSX-T Data Center 的 CSM 元件來管理並保護這些虛擬機器。如需詳細資料,請參閱《NSX-T Data Center 管理指南》中的此 NSX Cloud 主題和其副主題。

使用 NSX Cloud 管理功能搭配 Horizon Cloud 中的網繭時存在某些限制:

  • 您無法編輯已啟用 NSX Cloud 管理的伺服器陣列或 VDI 桌面指派的名稱。
  • 若要對浮動 VDI 桌面指派同時使用磁碟加密和 NSX Cloud 管理功能,您必須安裝最新版本的 NSX 代理程式。該組合不支援舊版的 NSX 代理程式。

Horizon Cloud 匯入的映像虛擬機器中安裝 NSX Tools

當您想要建立已啟用 NSX Cloud 管理的伺服器陣列或 VDI 桌面指派時,必須在您用於該伺服器陣列或指派的已發佈映像上安裝 NSX Tools。您必須先將 NSX Tools 安裝至映像虛擬機器,之後才能發佈該映像。您可以在虛擬機器已建立,且 [已匯入的虛擬機器] 頁面中將虛擬機器的 Horizon Agent 軟體顯示為作用中狀態之後安裝 NSX Tools。

此頁面中的步驟會遵循在個別的映像虛擬機器中下載和安裝 NSX Tools 時所述的 NSX Cloud 方法。使用此方法時,必須從 NSX Cloud 環境的 Cloud Service Manager (CSM) 中識別的下載位置下載 PowerShell 安裝指令碼檔案。在映像虛擬機器中,您可以執行該安裝指令碼來下載 NSX Tools 安裝二進位檔,並執行安裝。此方法的許多詳細資料都可在《NSX-T Data Center 管理指南》的在 Windows 虛擬機器上安裝 NSX Tools 主題中找到。

必要條件

確認 [已匯入的虛擬機器] 頁面指出代理程式相關狀態為作用中而可用於虛擬機器。若要進入該狀態,請在虛擬機器上使用 [已匯入的虛擬機器] 頁面的重設代理程式配對動作。該動作位於更多下拉式清單中。

備註: 當使用 Microsoft 遠端桌面用戶端作為您連線至虛擬機器的 RDP 軟體時,請確定該軟體為最新版本。例如,Windows 7 作業系統中的預設 RDP 軟體並不是夠新的版本。版本必須為第 8 版或更新版本。
根據虛擬機器的建立方式,確認您擁有至少下列其中一個認證 (使用者名稱和密碼) 以登入虛擬機器的客體 Windows 作業系統。
虛擬機器的建立方式 用來登入的認證

[已匯入的虛擬機器] 頁面中的 [匯入虛擬機器] 精靈。

從 2019 年 12 月的服務版本日期開始,[匯入虛擬機器] 精靈將提供在建立程序結束時將精靈建立的虛擬機器加入指定 Active Directory 網域的選項,或不將虛擬機器加入網域的選項。

  • 如果虛擬機器是在精靈啟用網域加入切換的情況下建立的,則可以使用指定 Active Directory 網域中的網域帳戶認證,或使用在精靈中指定的本機管理員帳戶。
  • 如果虛擬機器是在精靈關閉網域加入切換的情況下建立的,則必須使用在精靈中指定的本機管理員帳戶。在此情況下,由於虛擬機器未加入網域,因此本機管理員帳戶將是唯一有登入存取權的帳戶。

手動準備步驟

您在手動建置虛擬機器時,通常不需要將虛擬機器加入您的 Active Directory 網域。若要登入該虛擬機器,請使用下列其中一項:

  • 在 Microsoft Azure 入口網站中建立手動建置的虛擬機器時所指定本機管理員帳戶的認證。
  • 如果您手動將該虛擬機器加入 Active Directory 網域,則為該網域中的網域帳戶的認證。
重要: 從網繭資訊清單為 1230 版及更新版本開始,網域帳戶可以直接連線至已加入網域、且已安裝代理程式軟體的映像虛擬機器。在網繭資訊清單 1230 之前,已加入網域的虛擬機器中安裝的代理程式軟體,會防止網域帳戶直接連線至該虛擬機器。請注意,這類早於 2298 版本的資訊清單不受支援而必須更新,如 知識庫文章 86476 中所述。

如果您要下載 NSX Tools 並將其安裝至虛擬機器,請確認您擁有認證,可以登入 NSX Cloud 環境 CSM 的入口網站。您可以使用 CSM 來識別用於下載 PowerShell 安裝指令碼,以安裝 NSX Tools 的位置。CSM 是 NSX Cloud 的元件,為您的公有雲詳細目錄提供單一虛擬管理介面管理端點。如需詳細資料,請參閱 NSX-T Data Center 說明文件中有關 CSM 的資訊。

程序

  1. 在 RDP 軟體中使用虛擬機器的 IP 位址,以連線至虛擬機器的 Windows 作業系統。
    • 如果虛擬機器使用公用 IP 位址所建立,則您可以在 RDP 軟體中使用該 IP 位址
    • 如果虛擬機器具有私人 IP 位址,則必須使用以下兩種方法之一透過 RDP 進入虛擬機器:
      • 使用您 Microsoft Azure 訂閱中具有公用 IP 位址的另一個虛擬機器,並執行輸出 RDP 以進入映像虛擬機器。
      • 透過公司網路,使用 VPN 和 RDP 進入映像虛擬機器
    備註: 若要存取執行代理程式相關軟體元件的虛擬機器,遠端桌面用戶端的版本必須是第 8 版或更新版本。否則,連線會失敗。建議使用最新的遠端桌面用戶端。
  2. 使用此處的先決條件中說明的認證 (使用者名稱和密碼) 登入 Windows 作業系統。
    使用建立虛擬機器時在「匯入映像」精靈中指定的本機管理員帳戶認證時,請輸入 \username 作為使用者名稱。
    備註: 如果虛擬機器是已加入網域的虛擬機器 (如 此處的先決條件所說明),且您想要使用網域帳戶,而不是本機管理員帳戶,請輸入 domain\username 作為使用者名稱;其中的 domain 是網域的名稱。
  3. 從 Windows 虛擬機器登入 CSM,並導覽至雲端 > Azure > VNet,然後導覽至網繭適用的 VNet。
  4. 在畫面上找出 NSX Tools 下載和安裝區域,以取得 Windows 的下載位置和安裝命令。
    在該區域中,找到顯示的 Windows 安裝指令碼下載位置。下載位置下也會顯示簡單的基本安裝命令。
    • 顯示的下載位置具有模式 http://filepath/nsx_install.ps1,其中 nsx_install.ps1 是 PowerShell 指令碼檔案,而 filepath 是從中下載檔案的路徑。
    • 顯示的基本安裝命令包括的部分 -dnsSuffix DNS-suffix,其中的 DNS-suffix 是動態產生的值,該值與設定 NSX Cloud 時於您的 Microsoft Azure VNet 上部署 PCG 時所選擇的 DNS 設定相關。
    重要: 當您執行指令碼在 Horizon Cloud 中為映像虛擬機器安裝 NSX Tools 時,您必須指定:
    • 您在 CSM 中看到針對您的 Microsoft Azure VNet 所顯示的相同 DNS-suffixDNS-suffix 對您設定的環境來說是唯一的。
    • startOnDemand true 選項。該選項可針對 Horizon Cloud 發佈工作流程將 NSX Tools 最佳化。
  5. 請複製顯示的 DNS-suffix,使得您在後續步驟中執行此安裝指令碼時擁有該資訊。
  6. 使用下載位置來將 nsx_install.ps1 檔案下載到虛擬機器上的位置。
  7. 開啟 PowerShell 命令提示字元,導覽至您下載 nsx_install.ps1 檔案的位置,並透過使用您的 DNS-suffix 值與選項 -startOnDemand true 執行安裝命令來安裝 NSX Tools。
    重要: 選項 -startOnDemand true 為必要。
    下列程式碼區塊是 PowerShell 命令提示字元中命令的範例,其範例 DNS-suffixxxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net
    powershell -file 'nsx_install.ps1' -operation install -dnsSuffix xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net -startOnDemand true
    指令碼完成執行後,訊息會顯示,指出是否已成功安裝 NSX Tools。
  8. 關閉 PowerShell 命令提示字元。
  9. 驗證 NSX Tools 的啟動程序狀態已就緒,方法是開啟一般的命令提示字元並執行下列命令。 
    schtasks /query /tn nsx_bootstrap
    執行該命令應該會顯示狀態為 Ready 的 nsx_bootstrap 工作。以下顯示範例。 
    TaskName              Next Run Time       Status
--------------------- ------------------- -----------
nsx_bootstrap         N/A                 Ready
  10. 登出虛擬機器的 Windows 作業系統。

下一步

隨著 NSX Tools 已安裝且 nsx_bootstrap 工作顯示 Ready 時,如果不需進行進一步的自訂,則可以發佈映像。請參閱以每個網繭為基礎在 Horizon Cloud 中將已設定的映像虛擬機器轉換為可指派的映像

NSX Manager 中由網繭佈建之虛擬機器所需的防火牆規則

將 NSX Cloud 功能用於 Microsoft Azure 中的網繭時,您必須在 NSX Manager 中啟用某些分散式防火牆規則,以允許與 NSX 管理且從網繭佈建的虛擬機器進行通訊。若未啟用這些規則,使用者將無法啟動並登入其桌面或遠端應用程式。

在 NSX Manager 中,請啟用下列規則以允許所指示的流量。在下表中,「桌面集區」一詞是指 RDSH 伺服器陣列或 VDI 桌面指派。

流量類型 來源 目的地 服務/通訊協定/連接埠
Horizon HTML Access (Blast) 流量 網繭的 Unified Access Gateway 虛擬機器 桌面集區
  • VMware-View-PCoIP/TCP/4172
  • VMware-View5.x-PCoIP/UDP/4172
  • HTTPS/TCP/443
  • Horizon Blast UDP/UDP/22443
  • Horizon Blast TCP/TCP/22443
  • Horizon-USB-RedirectionIn/TCP/32111
  • Horizon-Beat/TCP-8443
  • Horizon-TCP-Side-Channel/TCP/9427
桌面集區對網繭管理員的流量 桌面集區 網繭的管理員虛擬機器
  • VMware-View5.x-JMS/TCP/4001
  • 桌面訊息伺服器/TCP/3099
  • VMware-View7-JMS/TCP/4002
桌面集區對 Active Directory 網域伺服器的器流量 桌面集區 網繭的管理員虛擬機器
  • 任何

在 NSX Manager 中為網繭佈建的虛擬機器新增必要的轉送原則

如果您要將 NSX-T Data Center 2.4 用於 Microsoft Azure 中的網繭,除了啟用防火牆規則外,您還必須新增轉送原則,以透過 Microsoft Azure 雲端的網路 (底層) 為網繭中由 NSX 管理的虛擬機器路由其相關流量。轉送原則是在 NSX-T Data Center 2.4 中導入的。

在 NSX-T Data Center 2.4 環境中,您應執行下列步驟。

程序

  1. 登入您環境的 NSX Manager。
  2. 導覽至網路 > 轉送原則
  3. 在該 [轉送原則] 頁面上,展開代表其中已部署 NSX 公有雲端閘道 (PCG) 供網繭使用之 VNet 的區段。
  4. 在展開的區段中,複製該區段中所列出最後一個稱為 CloudDefaultRoute 的規則,並按一下滑鼠右鍵,然後選取複製規則
  5. 將新複本的動作設為路由至底層
  6. 按一下發佈