當您一開始將 Horizon Cloud Pod 部署到 Microsoft Azure 且無閘道,或僅具有一個類型的閘道時,您可以之後使用 [編輯網繭] 工作流程將閘道組態新增至網繭。您可以從網繭的詳細資料頁面啟動該工作流程。

提示: 主控台是動態的。它只會根據網繭目前的組態和您整體環境的組態,在工作流程和切換與欄位有實質作用且適用時在使用者介面中加以啟用。

Microsoft Azure 中 Horizon Cloud 網繭的簡介中所述,一個網繭可以有一個外部閘道組態或一個內部組態或兩者。您可以使用此工作流程來新增該網繭尚不具有的類型。在編輯網繭以新增閘道組態的同時,您也可以指定該閘道的雙因素驗證設定。

重要: 使用這些步驟修改網繭時,請注意下列幾點:
  • 請注意,外部閘道的負載平衡器的 IP 設定,在最初設定外部閘道組態之後即無法變更。新增外部閘道組態時,您可以選擇讓它使用閘道負載平衡器的私人 IP 位址,而非公用 IP 位址。預設值是使用公用 IP。
  • 如果將租用戶設定成使用 Universal Broker,且代理設定啟用了雙因素驗證,則必須在機群中所有網繭的外部閘道上,設定相同的雙因素驗證類型。
  • 在系統變更網繭組態期間,您在作業完成之前將受到下列限制:
    • 您無法在網繭上執行管理工作。
    • 若使用者並未將工作階段連線至由網繭所提供服務的桌面或遠端應用程式,則當他們嘗試進行連線時將無法連線。
    • 若使用者已有由網繭所提供服務的已連線工作階段,則作用中的工作階段將會中斷連線。任何資料皆不會遺失。組態變更完成後,那些使用者可以重新連線。

必要條件

備註: 如果網繭已啟用高可用性,而其中一個網繭管理員虛擬機器已離線,則系統會禁止將閘道新增至網繭。在您按一下 儲存並結束後,將會顯示訊息。您必須先使用 Microsoft Azure 入口網站讓離線的網繭管理員虛擬機器回到線上,然後才能新增閘道。

將閘道組態新增至 Microsoft Azure 中現有的網繭時,若要完成 [編輯網繭] 精靈中的欄位,您必須提供資訊,如Unified Access Gateway 組態的先決條件中所述。如果您要在新增閘道的同時指定雙因素驗證設定,則必須提供使用雙因素驗證組態部署時的先決條件中所述的資訊。如果您要新增外部閘道組態,且要使其使用本身的訂閱,則您還需要該訂閱資訊,並確定您要用於該閘道的 VNet 符合 VNet 需求。如需這些 VNet 需求,請參閱在 Microsoft Azure 中設定所需的虛擬網路

重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。

程序

  1. 在主控台中導覽至設定 > 容量,然後按一下網繭的名稱以開啟其詳細資料頁面。
  2. 在網繭的詳細資料頁面中,按一下編輯
  3. 在訂閱步驟中,如果您要新增外部閘道組態,且要使其使用不同於網繭的訂閱,請啟用對外部閘道使用不同的訂閱,並輸入訂閱資訊。
  4. 持續按下一步,直到到達閘道設定步驟。
    此步驟有針對外部閘道組態的區段,以及針對內部閘道組態的區段。使用者介面會反映網繭目前的組態,以及它具有的閘道設定。
  5. 若要新增外部閘道,請開啟啟用外部 UAG?切換,然後完成外部 UAG 區段中的欄位。
    選項 說明
    啟用外部閘道? 控制網繭是否具有外部閘道組態。外部組態可讓您為位在公司網路外部的使用者提供桌面和應用程式的存取。網繭包含一個 Microsoft Azure 負載平衡器資源,和提供此存取的 Unified Access Gateway 執行個體。
    備註: 建議保留預設的已啟用設定。

    當此切換設為關閉時,用戶端必須透過與其連接器應用裝置整合的 Workspace ONE Access 直接連線至網繭管理員,或直接連線至網繭管理員的負載平衡器,或者也可以透過內部閘道組態進行連線。在提到的前兩種案例中,如果用戶端透過與網繭整合的 Workspace ONE Access 進行連線,或直接連線到負載平衡器,則需要執行一些部署後步驟。在這些案例中,在部署網繭後,請依照在網繭管理員虛擬機器上直接設定 SSL 憑證中的步驟,將 SSL 憑證上傳至網繭管理員虛擬機器。

    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,網繭部署工具將在閘道 Unified Access Gateway 執行個體的組態中指定。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。

    Horizon Cloud 會預期為外部閘道組態指定的 FQDN 可公開解析。如果您關閉啟用公用 IP? 切換,以指定來自您的防火牆或 NAT 設定的 IP 位址,則您必須負責確保此 FQDN 已指派給防火牆或 NAT 設定中的該 IP 位址。此 FQDN 會用於閘道的 PCoIP 連線。

    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。

    在將此外部 Unified Access Gateway 組態設定為對雙因素驗證伺服器使用雙因素驗證時,如果該伺服器位於部署 Unified Access Gateway 執行個體的 VNet 拓撲外部,則您將需要指定可解析該驗證伺服器主機名稱的 DNS 伺服器位址。例如,如果雙因素驗證位於內部部署的伺服器上,請輸入可解析該驗證伺服器名稱的 DNS 伺服器。

    部署先決條件中所述,用於 Horizon Cloud on Microsoft Azure 部署的 VNet 拓撲,必須能夠與您要在部署 Unified Access Gateway 執行個體期間提供外部名稱解析及其進行中作業的 DNS 伺服器進行通訊。

    依預設,會使用執行個體部署所在 VNet 上所設定的 DNS 伺服器。

    DNS 位址中指定位址時,所部署的 Unified Access Gateway 執行個體除了使用 VNet 組態中的 DNS 伺服器資訊之外,還會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由用來允許 Unified Access Gateway 解析網路路由,例如,用來與雙因素驗證伺服器進行通訊的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署驗證伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線該伺服器的正確路由。例如,如果您的內部部署驗證伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此 Horizon Cloud on Microsoft Azure 部署的 VPN 組態中,取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    重要: 在目前的服務版本中,在您的訂閱中部署閘道組態後,無法輕鬆變更這些執行個體所使用的虛擬機器型號。部署後變更虛擬機器型號時,需要刪除該閘道組態並重新部署。如果您預期您的環境會擴充至每個網繭 2,000 個工作階段,請選取 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服務限制中所述, A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
    Blast Extreme TCP 連接埠 選取要在 Unified Access Gateway 組態內的 Blast Extreme TCP 設定中使用的 TCP 連接埠。該設定會透過 Unified Access Gateway 上的 Blast 安全閘道,與 Blast Extreme 產生關聯,以用於用戶端所傳送的資料流量。連接埠 8443 是優先選擇,因為對於 Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。由於這些原因,精靈將以 8443 作為預設值。另一個選項是 443,但在執行個體中的效率較低,效能較差,且會導致 CPU 壅塞,從而造成使用者用戶端中出現明顯的流量延遲。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出) 時,才應使用選項 443。
    備註: 用於 Blast Extreme 的 UDP 連接埠不受此設定影響,且一律是 UDP 8443。

    指定適用於此閘道 Microsoft 負載平衡器的設定。

    選項 說明
    啟用公用 IP? 控制此閘道的負載平衡類型是否設定為私人或公用。如果切換為開啟,則已部署的 Microsoft Azure 負載平衡器資源會設定為使用公用 IP 位址。如果切換為關閉,則 Microsoft Azure 負載平衡器資源會設定為使用私人 IP 位址。
    重要: 在此版本中,您無法之後將外部閘道的負載平衡類型從公用變更為私人,或從私人變更為公用。要進行此變更的唯一方式是從已部署的網繭中完全刪除閘道組態,然後編輯網繭以使用相反的設定將其新增回來。

    如果將此切換設為關閉,則會出現 Horizon FQDN 的公用 IP 欄位。

    Horizon FQDN 的公用 IP 如果您選擇不將已部署的 Microsoft Azure 負載平衡器設定為使用公用 IP,則必須提供 IP 位址 (您要為其指派您在 FQDN 欄位中指定的 FQDN)。使用者的 Horizon 用戶端將使用此 FQDN 對閘道進行 PCoIP 連線。部署工具將會在 Unified Access Gateway 組態設定中設定此 IP 位址。

    指定外部閘道的網路設定。

    選項 說明
    使用不同的虛擬網路 此切換可控制外部閘道是否將部署至其本身的 VNet 中 (與網繭的 VNet 不同)。

    下列資料列將說明不同的案例。

    備註: 當您在精靈的第一個步驟中指定將不同的訂閱用於外部閘道時,依預設會啟用此切換。在此情況下,您必須為閘道選擇 VNet。
    使用不同的虛擬網路 - 切換為關閉 當此切換設為關閉時,外部閘道將部署至網繭的 VNet 中。在此情況下,您必須指定 DMZ 子網路。
    • DMZ 子網路 - 若已在「網繭設定」精靈步驟中啟用使用現有的子網路DMZ 子網路將會列出 VNet 上為虛擬網路選取的可用子網路。選取您要用於網繭 DMZ 子網路的現有子網路。
      重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。
    • DMZ 子網路 (CIDR) - 若已在上一個精靈步驟將使用現有的子網路切換為關閉,請輸入將設定為會將 Unified Access Gateway 執行個體連線至閘道之 Microsoft Azure 公用負載平衡器的 DMZ (非軍事區) 網路的子網路 (採 CIDR 標記法)。
    使用不同的虛擬網路 — 啟用 在此切換啟用時,外部閘道將部署至其本身的 VNet 中。在此情況下,您必須選取要使用的 VNet,然後指定三個所需的子網路。請啟用使用現有的子網路切換,以從您在指定 VNet 上預先建立的子網路中進行選取。否則,請以 CIDR 標記法指定子網路。
    重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。

    在此情況下,閘道的 VNet 和網繭的 VNet 為對等。最佳做法是預先建立子網路,而不在此處使用 CIDR 項目。請參閱使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件

    • 管理子網路 - 指定要用於閘道管理子網路的子網路。需要至少 /27 的 CIDR。此子網路必須已將 Microsoft.SQL 服務設定為服務端點。
    • 後端子網路 - 指定要用於閘道後端子網路的子網路。需要至少 /27 的 CIDR。
    • 前端子網路 - 針對將設定為會將 Unified Access Gateway 執行個體連線至閘道的 Microsoft Azure 公用負載平衡器的前端子網路指定其子網路。
  6. (選擇性) 部署區段中,使用切換選擇性地選取現有的資源群組,讓部署工具將外部閘道組態的資源部署到其中。
    當您在精靈的第一個步驟中指定要對外部閘道使用不同的訂閱時,就會顯示此切換。當您啟用切換時會出現一個欄位,您可以在其中搜尋及選取資源群組。
  7. 若要新增內部閘道,請開啟啟用內部 UAG? 切換,然後完成內部 UAG 區段中的欄位。
    選項 說明
    啟用內部閘道? 控制網繭是否具有內部閘道組態。內部組態可為公司網路內部的使用者提供使用 HTML Access (Blast) 連線對桌面和應用程式的信任存取。網繭包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。依預設,此閘道的負載平衡類型為私人。負載平衡器已設定為使用私人 IP 位址。
    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。
    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。

    在將此內部 Unified Access Gateway 組態設定為對雙因素驗證伺服器使用雙因素驗證時,如果該伺服器位於部署 Unified Access Gateway 執行個體的 VNet 拓撲外部,則您將需要指定可解析該驗證伺服器主機名稱的 DNS 伺服器位址。例如,如果雙因素驗證位於內部部署的伺服器上,請輸入可解析該驗證伺服器名稱的 DNS 伺服器。

    部署先決條件中所述,用於 Horizon Cloud on Microsoft Azure 部署的 VNet 拓撲,必須能夠與您要在部署 Unified Access Gateway 執行個體期間提供外部名稱解析及其進行中作業的 DNS 伺服器進行通訊。

    依預設,會使用執行個體部署所在 VNet 上所設定的 DNS 伺服器。

    DNS 位址中指定位址時,所部署的 Unified Access Gateway 執行個體除了使用 VNet 組態中的 DNS 伺服器資訊之外,還會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由用來允許 Unified Access Gateway 解析網路路由,例如,用來與雙因素驗證伺服器進行通訊的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署驗證伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線該伺服器的正確路由。例如,如果您的內部部署驗證伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    重要: 在目前的服務版本中,在您的訂閱中部署閘道組態後,無法輕鬆變更這些執行個體所使用的虛擬機器型號。部署後變更虛擬機器型號時,需要刪除該閘道組態並重新部署。如果您預期您的環境會擴充至每個網繭 2,000 個工作階段,請選取 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服務限制中所述, A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
    Blast Extreme TCP 連接埠 選取要在 Unified Access Gateway 組態內的 Blast Extreme TCP 設定中使用的 TCP 連接埠。該設定會透過 Unified Access Gateway 上的 Blast 安全閘道,與 Blast Extreme 產生關聯,以用於用戶端所傳送的資料流量。連接埠 8443 是優先選擇,因為對於 Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。由於這些原因,精靈將以 8443 作為預設值。另一個選項是 443,但在執行個體中的效率較低,效能較差,且會導致 CPU 壅塞,從而造成使用者用戶端中出現明顯的流量延遲。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出) 時,才應使用選項 443。
    備註: 用於 Blast Extreme 的 UDP 連接埠不受此設定影響,且一律是 UDP 8443。
  8. 在要新增任何閘道的區段中,如果您想要選擇性地將使用者的桌面設定為使用雙因素驗證,請遵循在 Horizon Cloud Pod 閘道上啟用雙因素驗證中的步驟。
  9. Azure 資源標記區段中,如果您想要為閘道相關資源群組指定與網繭其他資源群組上所指定不同的資源標記,請停用繼承網繭標記切換,並在出現的欄位中指定標記。
    如需 Azure 資源標記欄位的說明,請參閱 指定 Horizon Cloud Pod 的閘道組態。相同的一組標記將用於網繭上這兩個類型的閘道。
  10. 按一下儲存並結束
    此時會出現一則確認訊息,要求您確認是否要開始執行工作流程。
  11. 按一下以開始執行工作流程。

結果

在系統完成閘道元素的部署之前,該組態類型的網繭摘要頁面區段會顯示擱置中狀態。此外,在系統完成其部署閘道的動作之前,您將無法執行其他與「編輯網繭」工作流程有關的活動。

工作流程完成時,狀態將會顯示為就緒,且負載平衡器 FQDN 將會顯示在頁面中。

備註: 對 Microsoft Azure China 中的網繭執行此工作流程時,此程序可能要一小時以上才能完成。此程序受限於可能導致下載速度緩慢的地理區域網路問題,因為二進位檔會從雲端控制平面下載。

下一步

重要: 您必須先完成下列工作,您的使用者才能開始使用新增的閘道。
  • 針對新加入的閘道組態,確保在您的 DNS 伺服器中有 CNAME 記錄,以將組態所部署的負載平衡器對應至您在部署精靈中輸入的 FQDN。如需詳細資料,請參閱如何取得要在您 DNS 伺服器中對應的 Horizon Cloud Pod 閘道的負載平衡器資訊
  • 如果您為新增的閘道指定了雙因素驗證,則必須執行下列工作:
    • 如果網繭的外部閘道設定了雙因素驗證,且在部署了閘道 Unified Access Gateway 執行個體的同一 VNet 拓撲內,無法與雙因素驗證伺服器連線,請將該雙因素驗證伺服器設定成允許來自外部閘道負載平衡器 IP 位址的通訊。

      在與閘道部署相同的 VNet 拓撲內,如果無法與雙因素驗證伺服器連線,則 Unified Access Gateway 執行個體會嘗試使用該負載平衡器位址,與該伺服器聯繫。若要允許該通訊流量,請在雙因素驗證伺服器組態中,針對該外部閘道資源群組中的負載平衡器資源 IP 位址,確定其已指定為用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。

    • 如果可以在同一 VNet 拓撲中連線至您的雙因素驗證伺服器,請將雙因素驗證伺服器設定成允許來自適當 NIC (亦即,在 Microsoft Azure 中建立給部署之 Unified Access Gateway 執行個體的 NIC) 的通訊。

      您的網路管理員會判斷雙因素驗證伺服器的網路,對用於部署的 Azure VNet 拓撲及其子網路是否可見。雙因素驗證伺服器必須允許來自 Unified Access Gateway 執行個體 NIC IP 位址的通訊,這些 NIC 對應於您網路管理員為雙因素驗證伺服器提供網路可見度的子網路。

      Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭和其閘道完成更新後將成為作用中的 NIC。

      當執行進行中的網繭作業時,以及在每次網繭更新後,若要支援閘道與雙因素驗證伺服器之間的通訊流量,請確定在該伺服器的組態中已將這四個 NIC 的 IP 位址指定為用戶端或已登錄的代理程式。如需如何允許該通訊的具體資訊,請參閱雙因素驗證伺服器的說明文件。

    如需如何取得這些 IP 位址的相關資訊,請參閱使用必要的 Horizon Cloud Pod 閘道資訊,來更新您的雙因素驗證系統