對於針對單一網繭代理類型所設定的生產系統,在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的主要使用案例是將 Workspace ONE Access 與網繭整合。Workspace ONE Access Connector 必須能夠信任與網繭管理員虛擬機器的 SSL 連線。這是這些網繭與 Workspace ONE Access 的整合方式。針對這個與 Workspace ONE Access Connector 整合的特定使用案例,網繭需要直接在網繭的管理員虛擬機器上設定 SSL 憑證。
當您的網繭在單一網繭代理環境中時,在 Microsoft Azure 中將 Workspace ONE Access 與 Horizon Cloud Pod 整合的重要步驟是設定 Workspace ONE Access Connector,然後同步您在 Workspace ONE Access 中設定的 Horizon Cloud 虛擬應用程式集合,以使用網繭佈建的桌面和遠端應用程式。Workspace ONE Access Connector 需要與網繭管理員虛擬機器通訊,才能執行該同步化。因此,網繭必須提出有效的 SSL 憑證才能取得 Workspace ONE Access Connector 的信任。如需關於此整合的詳細資訊,請參閱使用單一網繭代理的 Horizon Cloud 環境 — 在 Microsoft Azure 中將環境的 Horizon Cloud 網繭與 Workspace ONE Access 進行整合。
網繭詳細資料頁面的網繭管理員負載平衡器 IP 位址欄位與 Workspace ONE Access Connector 的 SSL 憑證需求之間的關聯性
建立可在網繭管理員虛擬機器上設定之有效且受信任的 SSL 憑證時,網繭詳細資料頁面中顯示於網繭管理員負載平衡器 IP 標籤旁的數值 IP 位址是一項重要資訊。下列螢幕擷取畫面顯示在已部署的網繭詳細資料頁面中顯示了網繭管理員負載平衡器 IP 標籤的情況。
受信任的 SSL 憑證必須基於您在 DNS 伺服器中與該欄位中所顯示 IP 位址相對應的完整網域名稱 (FQDN)。需要此對應,設定為使用該 FQDN 的使用者用戶端才能對網繭進行受信任的連線。
現在,什麼是該數值 IP 位址的相關項目?它是網繭租用戶子網路中的私人 IP 位址,與網繭的網繭管理員虛擬機器的 Azure 負載平衡器相關聯。
關於網繭管理員負載平衡器 IP
對於所有目前支援的網繭資訊清單,為網繭管理員負載平衡器 IP 標籤顯示的數值 IP 位址,即為網繭的 Azure 負載平衡器資源的數值私人 IP 位址。網繭架構包含網繭 Azure 負載平衡器,且該平衡器具有網繭租用戶子網路中的私人 IP 位址。該網繭 Azure 負載平衡器是對於位於該 Azure 負載平衡器後方的網繭管理員虛擬機器的 SSL 通訊點。
對於啟用了高可用性的網繭,在管理主控台中按一下上傳憑證以上傳 SSL 憑證檔案時,Horizon Cloud 會在作用中的網繭管理員虛擬機器上執行設定,然後將憑證組態複製到其他網繭管理員虛擬機器。
對於未啟用高可用性的網繭 (一種非典型情況),該網繭將具有位於該 Azure 負載平衡器後方的單一網繭管理員虛擬機器。在此情況下,當您在主控台中按一下上傳憑證時,Horizon Cloud 會在該網繭管理員虛擬機器上設定憑證。
下列螢幕擷取畫面說明網繭之 Azure 負載平衡器的私人 IP 位址,即為前述範例中主控台內網繭詳細資料頁面上顯示於網繭管理員負載平衡器 IP 標籤旁的相同 IP 位址。
如何在網繭的管理員虛擬機器上設定 SSL 憑證
您可以使用管理主控台在網繭管理員虛擬機器上設定 SSL 憑證。如需詳細步驟,請參閱在網繭管理員虛擬機器上直接設定 SSL 憑證,例如將 Workspace ONE Access Connector 應用裝置與 Microsoft Azure 中的 Horizon Cloud Pod 整合時,讓連接器可以信任與網繭管理員虛擬機器的連線。如需執行這些步驟前的先決條件,請參閱執行 Horizon Universal Console的上傳網繭憑證工作流程以在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的先決條件。
需要在網繭的管理員虛擬機器上設定 SSL 憑證的非典型案例
雖然這些案例可能適用於概念驗證,但不建議用於生產用途。在生產系統中,您應利用內部和外部閘道組態的 Horizon Cloud 功能,以支援使用者連線至其網繭佈建的資源。對於公司網路內部的使用者連線 (例如透過 VPN),網繭上應該要有內部 Unified Access Gateway 組態。對於透過網際網路的使用者連線,網繭上應該要有外部 Unified Access Gateway 組態。如需將這些組態新增至您網繭的步驟,請參閱將閘道組態新增至已部署的 Horizon Cloud Pod。
案例 | 說明 |
---|---|
僅使用外部閘道組態部署網繭,而未使用內部 Unified Access Gateway 組態 | 在此案例中,雖然使用網際網路的使用者可透過已部署的外部閘道組態存取其由網繭佈建的資源,但公司網路內部的使用者將並沒有平行的內部閘道組態可用來存取其由網繭佈建的資源。在沒有內部 Unified Access Gateway 組態的情況下,這些內部使用者將必須指定其用戶端連線以直接連線到網繭。若要直接連線至網繭,表示必須將用戶端指向網繭詳細資料頁面中顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址,或指向與您 DNS 中顯示的 IP 位址相對應的 FQDN。 |
不使用任何閘道組態 (零部 Unified Access Gateway 虛擬機器) 部署網繭 | 在此案例中,所有使用者對網繭佈建資源的連線,皆必須使用其中一個作業系統特定的 Horizon Clients 直接連線至網繭。若要直接連線至網繭,表示必須將用戶端指向網繭詳細資料頁面中顯示於網繭管理員負載平衡器 IP 標籤旁的 IP 位址,或指向與您 DNS 中顯示的 IP 位址相對應的 FQDN。
小心: 與使用其中一個作業系統特定的
Horizon Clients 不同,當您直接將瀏覽器指向網繭時,即使您已在主控台中使用
上傳憑證動作,在網繭的管理員虛擬機器上設定 SSL 憑證,該瀏覽器的連線行為仍會如同不受信任的連線。直接在瀏覽器中輸入網繭的 FQDN 會使瀏覽器使用 HTML Access (Blast) 連線類型進行連線,並且由於 HTML Access (Blast) 的運作方式,瀏覽器會在對網繭進行直接連線時顯示一般的不受信任的憑證錯誤。若要避免顯示不受信任的憑證錯誤,則必須為網繭設定閘道,以便您可以讓這些瀏覽器連線通過適當的閘道組態:一個外部閘道組態供位於公司網路外部的使用者使用,以及一個內部閘道組態供您的公司網路內部的使用者使用。如果您不想向網際網路公開您的 FQDN,請使用內部閘道組態。此內部閘道組態會使用 Microsoft 內部負載平衡器,作為公司網路內部使用者可以將其連線指向的目標。請參閱
將閘道組態新增至已部署的 Horizon Cloud Pod。
|