本文說明您的 Horizon Cloud 租用戶環境必須符合哪些需求,您才能排程及完成租用戶從使用單一網繭代理到使用 Universal Broker 的轉換。此外也會引導您完成為 Universal Broker 支援新連線 FQDN 的規劃和準備步驟。

若要支援轉換程序,以及轉換完成後由 Universal Broker 所代理多雲端指派的進行中作業,請確認您的租用戶環境符合下列需求。

注意: 如果您的租用戶網繭機群中包含已使用 Universal BrokerHorizon 網繭,以及使用單一網繭代理的 Horizon Cloud Pod,則必須特別注意使已設定 Universal Broker 設定中的雙因素驗證設定與 Horizon Cloud Pod 相符。
  • 除非您的 Horizon Cloud Pod 符合租用戶環境中「最低網繭資訊清單」和「啟用 RSA SecurID 選項」的準則,否則這些網繭僅支援 RADIUS 驗證。(如需詳細資訊,請參閱在 Universal Broker 環境中實作雙因素驗證時的最佳做法。)
  • Horizon Cloud Pod 不符合在其外部閘道上設定 RSA SecurID 的準則時,如果您想對機群中的所有網繭 (Horizon 網繭和 Horizon Cloud Pod) 使用雙因素驗證,則每個網繭必須具有一個外部 Unified Access Gateway,並在該閘道上設定 RADIUS 雙因素驗證。

Horizon Cloud Pod 的需求

確認 Microsoft Azure 中的 Horizon Cloud Pod 符合下列需求。

  • 您的租用戶至少有一個 Horizon Cloud Pod。Horizon Cloud Pod 以在 Microsoft Azure 中執行的網繭管理員技術為基礎。
  • 您租用戶的所有 Horizon Cloud Pod 皆執行網繭資訊清單 2298.0 或更新版本。下列需求也適用特定使用案例。
    • 如果您的 Horizon Cloud 租用戶與 Workspace ONE Access 之間有現有的整合,則所有網繭都必須執行資訊清單 2474.0 或更新版本。完成代理轉換後,您必須更新整合以便使用 Universal Broker,如Horizon Cloud 環境與 Universal Broker - 整合租用戶與 Workspace ONE Access 和 Intelligent Hub 服務中所述。
    • 如果您在代理轉換完成後想要使用工作取消功能或刪除保護功能,您所有的 Horizon Cloud Pod 皆必須執行資訊清單 2474.0 或更新版本。如果您的網繭執行早於資訊清單 2474.0 的版本,則不支援這些功能。
    重要: 確保您的所有 Horizon Cloud Pod 都處於線上、健全狀況良好且為就緒狀態。 Universal Broker 服務必須與那些網繭通訊,並在網繭上執行某些組態步驟,才能完成轉換程序。如果其中有任何網繭離線或無法使用,您將無法排程轉換。如果您排程轉換,但有任何網繭稍後在轉換進行期間離線或變得無法使用,則 Universal Broker 設定將會失敗。
  • 轉換期間不會排程任何同時執行的網繭升級。
  • 網繭的位置是透過在網繭組態精靈的功能表選項中選取有效位置來設定。如果藉由在文字欄位中手動輸入位置,來設定網繭位置,則轉換將會失敗。
    備註: 如果網繭是在 2019 年 3 月 (服務版本 1.9) 之前初次部署,可能會出現這種涉及手動輸入位置的問題。從 2019 年 3 月版本開始,必須使用功能表,從系統的全球城市名稱資料庫內的值中選取位置。

    若要降低因設定給網繭的位置而導致轉換失敗的可能性,請導覽至主控台的 [容量] 頁面,然後檢查每個 Horizon Cloud Pod 的 [位置] 資料行的值。如果 [位置] 資料行的值看似手動輸入的名稱,請使用網繭上的編輯動作,移至網繭詳細資料步驟,然後編輯位置欄位,將其值設定為系統的某個城市名稱值。

  • 在轉換工作流程期間,如果您的租用戶尚未從網繭機群中的任何 Horizon 網繭進行 Universal Broker 設定,則主控台將提示您進行 Universal Broker 設定。當您計劃在 Universal Broker 設定中設定雙因素驗證設定時,每個網繭必須具有一個外部 Unified Access Gateway 執行個體,且必須為該執行個體設定適當的雙因素驗證類型。(如需背景相關資訊,請參閱在 Universal Broker 環境中實作雙因素驗證時的最佳做法。)

    這些需求取決於您的 Horizon Cloud Pod 是否符合在其外部閘道上設定 RSA SecurID 類型的準則:

    • 如果您的 Horizon Cloud Pod 符合租用戶環境中「最低網繭資訊清單」和「啟用 RSA SecurID 選項」的準則,則需要將所有網繭中的所有外部 Unified Access Gateway 執行個體設定成使用相同的驗證服務。這包括處於受管理狀態的所有租用戶的 Horizon 網繭。最終的結果是讓所有執行個體使用的驗證類型都一致:全都使用 RADIUS,或全都使用 RSA SecurID。
    • Horizon Cloud Pod 不符合在其外部閘道上設定 RSA SecurID 的準則時,如果您想對機群中的所有網繭 (Horizon 網繭和 Horizon Cloud Pod) 使用雙因素驗證,則必須將所有網繭中的所有外部 Unified Access Gateway 執行個體設定成使用相同的 RADIUS 驗證服務。這包括處於受管理狀態的所有租用戶的 Horizon 網繭。
備註: 如果網繭僅包含內部 Unified Access Gateway 執行個體,則 Universal Broker 會覆寫在 [代理] 頁面的 網路範圍索引標籤上定義的網路原則,並將所有使用者路由至該 Unified Access Gateway 執行個體,無論其 IP 位址為何。

支援 Universal Broker 的 DNS、連接埠和通訊協定需求

確認下列需求。

支援 Universal Broker 的 FQDN 需求

使用單一網繭代理時,使用者必須分別連線至每個網繭的完整網域名稱 (FQDN),才能存取來自該網繭的指派。

轉換為 Universal Broker 之後,使用者只要連線至 Universal Broker 雲端服務的一個 FQDN,即可從您環境內任何站台中的任何網繭存取任何指派。Universal Broker 會將每個使用者要求路由至最可能滿足要求之網繭的個別 FQDN。

您可以在 Universal Broker 組態設定中指定 Universal Broker FQDN,如排程並完成從單一網繭代理轉換為 Universal Broker 的作業中所述。您可以在標準 VMware 提供的網域前面附加有效的子網域以建立 FQDN,也可以設定完全自訂的 FQDN。

備註: 如果您選擇設定自訂 FQDN,請注意此 FQDN 將代表您的公司或組織。請確定您是自訂 FQDN 中指定之網域名稱的擁有者、可提供驗證該網域的憑證,以及具有使用自訂 FQDN 的適當授權。 Universal Broker 的自訂 FQDN 必須是唯一的,並且與網繭內所有 Unified Access Gateway 執行個體的 FQDN 不同。

規劃和準備代理轉換

由於代理轉換涉及對網路和指派工作流程進行重要變更,請務必採取必要的動作,為環境和使用者準備新的工作流程。請參閱下列規劃指南,以根據您的轉換使用案例進行適當的準備和變更管理步驟。

轉換使用案例 規劃和準備步驟
您的環境包含單一網繭,且您想要使用該網繭的現有 FQDN 作為 Universal Broker FQDN
  1. 轉換排程程序的組態階段中,請將網繭的現有 FQDN 指定為 Universal Broker 服務的自訂 FQDN。
  2. 將轉換作業排程在最不會干擾到使用者指派工作負載的日期和時間。
  3. 通知您的使用者,請他們為即將進行的轉換做好準備。在即將進行轉換時,請提醒他們儲存工作,並登出其作用中連線工作階段。
  4. 在即將進行轉換前,將新的 IP 位址和 FQDN 指派給網繭。
  5. 轉換完成之後,通知您的使用者他們可以使用網繭先前的 FQDN (現在為 Universal Broker FQDN) 繼續進行連線工作階段。
您的環境包含多個網繭,且您想要將新的 FQDN 設定為 Universal Broker FQDN
  1. 更新您的 Runbook,以納入在轉換程序之前、期間和之後應遵循的必要程序。
  2. 轉換排程程序的組態階段期間,為 Universal Broker 服務設定新的 FQDN。
  3. 將轉換作業排程在最不會干擾到使用者指派工作負載的日期和時間。請根據網繭部署的規模,預留足夠的時間來進行使用者訓練和用戶端軟體的重新設定。
  4. 通知您的使用者,請他們為即將進行的轉換做好準備。在即將進行轉換時,請提醒他們儲存工作,並登出其作用中連線工作階段。
  5. 在轉換期間或完成之後,在使用者的用戶端系統上重新設定 Horizon Client,以連線至新的 Universal Broker FQDN,而非個別網繭的 FQDN。
  6. 通知您的使用者現在必須使用新的代理連線 FQDN,並藉此取得您環境中所有網繭的通用存取權。