當您一開始將 Horizon Cloud Pod 部署到 Microsoft Azure 且無閘道,或僅具有一個類型的閘道時,您可以之後使用 [編輯網繭] 工作流程將閘道組態新增至網繭。您可以從網繭的詳細資料頁面啟動該工作流程。

提示: 主控台是動態的。它只會根據網繭目前的組態和您整體環境的組態,在工作流程和切換與欄位有實質作用且適用時在使用者介面中加以啟用。

Microsoft Azure 中 Horizon Cloud 網繭的簡介中所述,一個網繭可以有一個外部閘道組態或一個內部組態或兩者。您可以使用此工作流程來新增該網繭尚不具有的類型。在編輯網繭以新增閘道組態的同時,您也可以指定該閘道的雙因素驗證設定。

重要: 使用這些步驟修改網繭時,請注意下列幾點:
  • 請注意,外部閘道的負載平衡器的 IP 設定,在最初設定外部閘道組態之後即無法變更。新增外部閘道組態時,您可以選擇讓它使用閘道負載平衡器的私人 IP 位址,而非公用 IP 位址。預設值是使用公用 IP。
  • 在系統變更網繭組態期間,您在作業完成之前將受到下列限制:
    • 您無法在網繭上執行管理工作。
    • 若使用者並未將工作階段連線至由網繭所提供服務的桌面或遠端應用程式,則當他們嘗試進行連線時將無法連線。
    • 若使用者已有由網繭所提供服務的已連線工作階段,則作用中的工作階段將會中斷連線。任何資料皆不會遺失。組態變更完成後,那些使用者可以重新連線。

必要條件

備註: 如果網繭已啟用高可用性,而其中一個網繭管理員虛擬機器已離線,則系統會禁止將閘道新增至網繭。在您按一下 儲存並結束後,將會顯示訊息。您必須先使用 Microsoft Azure 入口網站讓離線的網繭管理員虛擬機器回到線上,然後才能新增閘道。

將閘道組態新增至 Microsoft Azure 中現有的網繭時,若要完成 [編輯網繭] 精靈中的欄位,您必須提供資訊,如Unified Access Gateway 組態的先決條件中所述。如果您要在新增閘道的同時指定雙因素驗證設定,則必須提供使用雙因素驗證組態部署時的先決條件中所述的資訊。如果您要新增外部閘道組態,且要使其使用本身的訂閱,則您還需要該訂閱資訊,並確定您要用於該閘道的 VNet 符合 VNet 需求。如需這些 VNet 需求,請參閱在 Microsoft Azure 中設定所需的虛擬網路

重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。

程序

  1. 在主控台中導覽至設定 > 容量,然後按一下網繭的名稱以開啟其詳細資料頁面。
  2. 在網繭的詳細資料頁面中,按一下編輯
  3. 在訂閱步驟中,如果您要新增外部閘道組態,且要使其使用不同於網繭的訂閱,請啟用對外部閘道使用不同的訂閱,並輸入訂閱資訊。
  4. 持續按下一步,直到到達閘道設定步驟。
    此步驟有針對外部閘道組態的區段,以及針對內部閘道組態的區段。使用者介面會反映網繭目前的組態,以及它具有的閘道設定。
  5. 若要新增外部閘道,請將啟用外部 UAG? 切換為開啟,並完成外部 UAG 區段中的欄位。
    選項 說明
    啟用外部閘道? 控制網繭是否具有外部閘道組態。外部組態可讓您為位在公司網路外部的使用者提供桌面和應用程式的存取。網繭包含一個 Microsoft Azure 負載平衡器資源,和提供此存取的 Unified Access Gateway 執行個體。
    備註: 建議保留預設的已啟用設定。

    當此切換設為關閉時,用戶端必須透過與網繭整合的 Workspace ONE Access 連線,或直接連線至網繭管理員的負載平衡器,否則就會透過內部閘道組態進行連線。如果用戶端透過與網繭整合的 Workspace ONE Access 進行連線或直接連線,則需要進行一些部署後的步驟。 在此情況下,在部署網繭之後,請依照在網繭管理員虛擬機器上直接設定 SSL 憑證,例如將 Workspace ONE Access Connector 應用裝置與 Microsoft Azure 中的 Horizon Cloud Pod 整合時,讓連接器可以信任與網繭管理員虛擬機器的連線中的步驟操作。

    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。
    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。將此外部 Unified Access Gateway 組態設定為使用雙因素驗證搭配您的內部部署 RADIUS 伺服器時,需要指定可對內部部署 RADIUS 伺服器名稱進行解析之 DNS 伺服器的位址。

    部署先決條件中所說明,您必須在訂閱中內部設定 DNS 伺服器,並設定為提供外部名稱解析。依預設,Unified Access Gateway 執行個體會使用該 DNS 伺服器。如果您在此欄位中指定位址,則除了您在訂閱的虛擬網路中所設定先決條件 DNS 伺服器之外,已部署的 Unified Access Gateway 執行個體也會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由會用來讓 Unified Access Gateway 解析如雙因素驗證所需之 RADIUS 伺服器的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署 RADIUS 伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線 RADIUS 伺服器的正確路由。例如,如果您的內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。

    指定適用於此閘道 Microsoft 負載平衡器的設定。

    選項 說明
    啟用公用 IP? 控制此閘道的負載平衡類型是否設定為私人或公用。如果切換為開啟,則已部署的 Microsoft Azure 負載平衡器資源會設定為使用公用 IP 位址。如果切換為關閉,則 Microsoft Azure 負載平衡器資源會設定為使用私人 IP 位址。
    重要: 在此版本中,您無法之後將外部閘道的負載平衡類型從公用變更為私人,或從私人變更為公用。要進行此變更的唯一方式是從已部署的網繭中完全刪除閘道組態,然後編輯網繭以使用相反的設定將其新增回來。

    如果將此切換設為關閉,則會出現 Horizon FQDN 的公用 IP 欄位。

    Horizon FQDN 的公用 IP 如果您選擇不使用公用 IP 設定已部署的 Microsoft Azure 負載平衡器,則必須提供您在 DNS 中對應至 FQDN 的 IP 位址,因為使用者的 Horizon 用戶端將使用該 FQDN 對閘道進行 PCoIP 連線。部署工具將會在 Unified Access Gateway 組態設定中設定此 IP 位址。

    指定外部閘道的網路設定。

    選項 說明
    使用不同的虛擬網路 此切換可控制外部閘道是否將部署至其本身的 VNet 中 (與網繭的 VNet 不同)。

    下列資料列將說明不同的案例。

    備註: 當您在精靈的第一個步驟中指定將不同的訂閱用於外部閘道時,依預設會啟用此切換。在此情況下,您必須為閘道選擇 VNet。
    使用不同的虛擬網路 - 切換為關閉 當此切換設為關閉時,外部閘道將部署至網繭的 VNet 中。在此情況下,您必須指定 DMZ 子網路。
    • DMZ 子網路 - 若已在「網繭設定」精靈步驟中啟用使用現有的子網路DMZ 子網路將會列出 VNet 上為虛擬網路選取的可用子網路。選取您要用於網繭 DMZ 子網路的現有子網路。
      重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。
    • DMZ 子網路 (CIDR) - 若已在上一個精靈步驟將使用現有的子網路切換為關閉,請輸入將設定為會將 Unified Access Gateway 執行個體連線至閘道之 Microsoft Azure 公用負載平衡器的 DMZ (非軍事區) 網路的子網路 (採 CIDR 標記法)。
    使用不同的虛擬網路 — 啟用 在此切換啟用時,外部閘道將部署至其本身的 VNet 中。在此情況下,您必須選取要使用的 VNet,然後指定三個所需的子網路。請啟用使用現有的子網路切換,以從您在指定 VNet 上預先建立的子網路中進行選取。否則,請以 CIDR 標記法指定子網路。
    重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。

    在此情況下,閘道的 VNet 和網繭的 VNet 為對等。最佳做法是預先建立子網路,而不在此處使用 CIDR 項目。請參閱使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件

    • 管理子網路 - 指定要用於閘道管理子網路的子網路。需要至少 /27 的 CIDR。此子網路必須已將 Microsoft.SQL 服務設定為服務端點。
    • 後端子網路 - 指定要用於閘道後端子網路的子網路。需要至少 /27 的 CIDR。
    • 前端子網路 - 針對將設定為會將 Unified Access Gateway 執行個體連線至閘道的 Microsoft Azure 公用負載平衡器的前端子網路指定其子網路。
  6. (選擇性) 部署區段中,使用切換選擇性地選取現有的資源群組,讓部署工具將外部閘道組態的資源部署到其中。
    當您在精靈的第一個步驟中指定要對外部閘道使用不同的訂閱時,就會顯示此切換。當您啟用切換時會出現一個欄位,您可以在其中搜尋及選取資源群組。
  7. 若要新增內部閘道,請將啟用內部 UAG? 切換為開啟,並完成內部 UAG 區段中的欄位。
    選項 說明
    啟用內部閘道? 控制網繭是否具有內部閘道組態。內部組態可為公司網路內部的使用者提供使用 HTML Access (Blast) 連線對桌面和應用程式的信任存取。網繭包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。依預設,此閘道的負載平衡類型為私人。負載平衡器已設定為使用私人 IP 位址。
    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。
    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。將此內部閘道組態設定為對內部部署 RADIUS 伺服器使用雙因素驗證時,您必須指定可對內部部署 RADIUS 伺服器名稱進行解析之 DNS 伺服器的位址。

    部署先決條件中所說明,您必須在訂閱中設定 DNS 伺服器,並設定為提供名稱解析。依預設,Unified Access Gateway 執行個體會使用該 DNS 伺服器。如果您在此欄位中指定位址,則除了您在訂閱的虛擬網路中所設定先決條件 DNS 伺服器之外,已部署的 Unified Access Gateway 執行個體也會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由會用來讓 Unified Access Gateway 解析如雙因素驗證所需之 RADIUS 伺服器的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署 RADIUS 伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線 RADIUS 伺服器的正確路由。例如,如果您的內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
  8. 在要新增任何閘道的區段中,如果您想要選擇性地將使用者的桌面設定為使用 RADIUS 雙因素驗證,請遵循在 Horizon Cloud Pod 閘道上啟用雙因素驗證中的步驟。
  9. Azure 資源標記區段中,如果您想要為閘道相關資源群組指定與網繭其他資源群組上所指定不同的資源標記,請停用繼承網繭標記切換,並在出現的欄位中指定標記。
    如需 Azure 資源標記欄位的說明,請參閱 指定 Horizon Cloud Pod 的閘道組態。相同的一組標記將用於網繭上這兩個類型的閘道。
  10. 按一下儲存並結束
    此時會出現一則確認訊息,要求您確認是否要開始執行工作流程。
  11. 按一下以開始執行工作流程。

結果

在系統完成閘道元素的部署之前,該組態類型的網繭摘要頁面區段會顯示擱置中狀態。此外,在系統完成其部署閘道的動作之前,您將無法執行其他與「編輯網繭」工作流程有關的活動。

工作流程完成時,狀態將會顯示為就緒,且負載平衡器 FQDN 將會顯示在頁面中。

備註: 對 Microsoft Azure China 中的網繭執行此工作流程時,此程序可能要一小時以上才能完成。此程序受限於可能導致下載速度緩慢的地理區域網路問題,因為二進位檔會從雲端控制平台下載。

後續步驟

重要: 您必須先完成下列工作,您的使用者才能開始使用新增的閘道。
  • 針對新加入的閘道組態,確保在您的 DNS 伺服器中有 CNAME 記錄,以將組態所部署的負載平衡器對應至您在部署精靈中輸入的 FQDN。如需詳細資料,請參閱如何取得要在您 DNS 伺服器中對應的 Horizon Cloud 網繭閘道的負載平衡器資訊
  • 如果您為新增的閘道指定了 RADIUS 雙因素驗證,則必須執行下列工作:
    • 如果您已使用 RADIUS 設定來設定外部閘道,並且該 RADIUS 伺服器無法在網繭所使用的相同 VNet 中連線,或無法在對等的 VNet 拓撲中連線 (如果您將外部閘道部署至其本身的 VNet 中),請確認並設定該 RADIUS 伺服器,以允許來自外部閘道負載平衡器的 IP 位址的用戶端連線。在外部閘道組態中,Unified Access Gateway 執行個體會嘗試與使用該負載平衡器位址的 RADIUS 伺服器連絡。若要允許連線,請確保已在 RADIUS 伺服器組態中將該外部閘道資源群組中的負載平衡器資源的 IP 位址指定為用戶端。
    • 如果您已設定內部閘道或外部閘道,且您的 RADIUS 伺服器可在網繭所使用的相同 VNet 中連線,請將 RADIUS 伺服器設定為允許來自 Microsoft Azure 必須與 RADIUS 伺服器進行通訊的閘道資源群組中所建立的適當 NIC 的連線。網路管理員會判斷 RADIUS 伺服器對網繭的 Azure 虛擬網路和子網路的網路可見度。您的 RADIUS 伺服器必須允許來自與網路管理員已為其提供 RADIUS 伺服器網路可見度的子網路對應的這些閘道 NIC 的 IP 位址的用戶端連線。Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭完成更新後將成為作用中的 NIC。若要支援用於進行中網繭作業和每個網繭更新後的閘道與 RADIUS 伺服器之間的連線,請確定您已在 RADIUS 伺服器組態中將這四個 NIC IP 位址指定為用戶端。

    如需如何取得這些 IP 位址的相關資訊,請參閱使用所需的 Horizon Cloud Pod 閘道資訊更新您的 RADIUS 系統