在精靈的這個步驟中,指定在已設定閘道的情況下部署網繭所需的資訊。Unified Access Gateway 為部署到 Microsoft Azure 的網繭提供閘道環境。部署新網繭時,您可以選擇在相同網繭上有一個外部或內部閘道組態,或同時有這兩個類型。依預設,當此精靈步驟顯示時,會選取外部閘道組態。

外部閘道組態
外部閘道組態可讓您為位在公司網路外部的使用者提供桌面和應用程式存取。當網繭具有此外部閘道組態時,網繭會包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。在此情況下,每個執行個體會具有三個 NIC:管理子網路上一個 NIC、桌面子網路上一個 NIC 以及 DMZ 子網路上一個 NIC。在部署精靈中,您可以選擇將負載平衡類型指定為私人或公用,取決於您對負載平衡器需要私人 IP 或公用 IP 位址。如果停用公用 IP 切換,則必須指定您已在 DNS 伺服器中對應至 FQDN 的 IP 位址,因為使用者的 Horizon 用戶端將使用該 FQDN 對閘道進行 PCoIP 連線。

使用外部閘道組態時,您也可以選擇將組態部署至與網繭 VNet 不同的 VNet。VNet 必須為對等。此類型的組態可讓您將網繭部署至 Microsoft Azure 中較複雜的網路拓撲,例如中樞輪輻網路拓撲

備註: 如果您在第一個精靈步驟中啟用了讓外部閘道使用其本身訂閱的切換,則必須將外部閘道部署在其本身的 VNet 中,即與該訂閱相關聯的 VNet。如果您已啟用該切換,則可以選擇性地在該訂閱中選取現有的資源群組以作為外部閘道的資源。您必須事先準備好該資源群組,才能在此精靈步驟中加以選取。
內部閘道組態
內部閘道組態可讓位於公司網路內部的使用者對其桌面和應用程式擁有信任的 HTML Access (Blast) 連線。如果網繭未使用此內部閘道組態來設定,則當公司網路內部的使用者使用瀏覽器來對桌面和應用程式進行 HTML Access (Blast) 連線時,這些使用者會看到標準的瀏覽器未受信任憑證錯誤。當網繭具有此內部閘道組態時,網繭會包含 Azure 負載平衡器資源Unified Access Gateway 執行個體以提供此存取。在此情況下,每個執行個體會具有兩個 NIC:管理子網路上一個 NIC 以及桌面子網路上一個 NIC。依預設,此閘道的負載平衡類型為私人。

下列螢幕擷取畫面是此步驟一開始顯示時的範例。部分控制項僅在您於第一個精靈步驟中選擇對外部閘道組態使用不同的訂閱時才會顯示出來。


Horizon Cloud on Microsoft Azure:網繭部署精靈的步驟 3,最初顯示時。

必要條件

確認您已符合執行網繭部署精靈的先決條件中說明的先決條件。

重要: 若要完成此步驟,則必須擁有使用者將用來存取服務的必要完整網域名稱 (FQDN),以及以該 FQDN 為基礎的已簽署 SSL 憑證 (PEM 格式)。憑證必須由信任的 CA 簽署。單一 PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。如需詳細資料,請參閱 將憑證檔案轉換為網繭部署所需的 PEM 格式

確認憑證鏈結中的所有憑證皆具有有效的時間範圍。如果鏈結中的任何憑證已到期。則在稍後的網繭上架程序中可能會發生非預期的失敗。

此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個體的連線將會失敗。

程序

  1. 如果您想要外部閘道組態,請完成外部閘道區段中的欄位。
    選項 說明
    啟用外部閘道? 控制網繭是否具有外部閘道組態。外部組態可讓您為位在公司網路外部的使用者提供桌面和應用程式的存取。網繭包含一個 Microsoft Azure 負載平衡器資源,和提供此存取的 Unified Access Gateway 執行個體。
    備註: 建議保留預設的已啟用設定。

    當此切換設為關閉時,用戶端必須透過與網繭整合的 Workspace ONE Access 連線,或直接連線至網繭管理員的負載平衡器,否則就會透過內部閘道組態進行連線。如果用戶端透過與網繭整合的 Workspace ONE Access 進行連線或直接連線,則需要進行一些部署後的步驟。 在此情況下,在部署網繭之後,請依照在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證中的步驟操作。

    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。
    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。將此外部 Unified Access Gateway 組態設定為使用雙因素驗證搭配您的內部部署 RADIUS 伺服器時,需要指定可對內部部署 RADIUS 伺服器名稱進行解析之 DNS 伺服器的位址。

    部署先決條件中所說明,您必須在訂閱中內部設定 DNS 伺服器,並設定為提供外部名稱解析。依預設,Unified Access Gateway 執行個體會使用該 DNS 伺服器。如果您在此欄位中指定位址,則除了您在訂閱的虛擬網路中所設定先決條件 DNS 伺服器之外,已部署的 Unified Access Gateway 執行個體也會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由會用來讓 Unified Access Gateway 解析如雙因素驗證所需之 RADIUS 伺服器的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署 RADIUS 伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線 RADIUS 伺服器的正確路由。例如,如果您的內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。

    指定適用於此閘道 Microsoft 負載平衡器的設定。

    選項 說明
    啟用公用 IP? 控制此閘道的負載平衡類型是否設定為私人或公用。如果切換為開啟,則已部署的 Microsoft Azure 負載平衡器資源會設定為使用公用 IP 位址。如果切換為關閉,則 Microsoft Azure 負載平衡器資源會設定為使用私人 IP 位址。
    重要: 在此版本中,您無法之後將外部閘道的負載平衡類型從公用變更為私人,或從私人變更為公用。要進行此變更的唯一方式是從已部署的網繭中完全刪除閘道組態,然後編輯網繭以使用相反的設定將其新增回來。

    如果停用此切換,則會出現 Horizon FQDN 的公用 IP 欄位。

    Horizon FQDN 的公用 IP 如果您選擇不使用公用 IP 設定已部署的 Microsoft Azure 負載平衡器,則必須提供您在 DNS 中對應至 FQDN 的 IP 位址,因為使用者的 Horizon 用戶端將使用該 FQDN 對閘道進行 PCoIP 連線。部署工具將會在 Unified Access Gateway 組態設定中設定此 IP 位址。

    指定外部閘道的網路設定。

    選項 說明
    使用不同的虛擬網路 此切換可控制外部閘道是否將部署至其本身的 VNet 中 (與網繭的 VNet 不同)。

    下列資料列將說明不同的案例。

    備註: 當您在精靈的第一個步驟中指定將不同的訂閱用於外部閘道時,依預設會啟用此切換。在此情況下,您必須為閘道選擇 VNet。
    使用不同的虛擬網路 — 停用 在此切換停用時,外部閘道將部署至網繭的 VNet 中。在此情況下,您必須指定 DMZ 子網路。
    • DMZ 子網路 - 若已在「網繭設定」精靈步驟中啟用使用現有的子網路DMZ 子網路將會列出 VNet 上為虛擬網路選取的可用子網路。選取您要用於網繭 DMZ 子網路的現有子網路。
      重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。
    • DMZ 子網路 (CIDR) - 若已在上一個精靈步驟中停用使用現有的子網路,請輸入將設定為會將 Unified Access Gateway 執行個體連線至閘道之 Microsoft Azure 公用負載平衡器的 DMZ (非軍事區) 網路的子網路 (採 CIDR 標記法)。
    使用不同的虛擬網路 — 啟用 在此切換啟用時,外部閘道將部署至其本身的 VNet 中。在此情況下,您必須選取要使用的 VNet,然後指定三個所需的子網路。請啟用使用現有的子網路切換,以從您在指定 VNet 上預先建立的子網路中進行選取。否則,請以 CIDR 標記法指定子網路。
    重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。

    在此情況下,閘道的 VNet 和網繭的 VNet 為對等。最佳做法是預先建立子網路,而不在此處使用 CIDR 項目。請參閱使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件

    • 管理子網路 - 指定要用於閘道管理子網路的子網路。需要至少 /27 的 CIDR。此子網路必須已將 Microsoft.SQL 服務設定為服務端點。
    • 後端子網路 - 指定要用於閘道後端子網路的子網路。需要至少 /27 的 CIDR。
    • 前端子網路 - 針對將設定為會將 Unified Access Gateway 執行個體連線至閘道的 Microsoft Azure 公用負載平衡器的前端子網路指定其子網路。
  2. (選擇性) 外部閘道區段中,選擇性地設定外部閘道的雙因素驗證。
    完成 為網繭指定雙因素驗證功能中的步驟。
  3. (選擇性) 部署區段中,使用切換選擇性地選取現有的資源群組,讓部署工具將外部閘道組態的資源部署到其中。
    當您在精靈的第一個步驟中指定要對外部閘道使用不同的訂閱時,就會顯示此切換。當您啟用切換時會出現一個欄位,您可以在其中搜尋及選取資源群組。
  4. 內部閘道區段中,如果您想要使用內部閘道組態,請切換啟用內部閘道? 切換,並完成顯示的欄位。
    選項 說明
    啟用內部閘道? 控制網繭是否具有內部閘道組態。內部組態可為公司網路內部的使用者提供使用 HTML Access (Blast) 連線對桌面和應用程式的信任存取。網繭包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。依預設,此閘道的負載平衡類型為私人。負載平衡器已設定為使用私人 IP 位址。
    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。

    如果您指定了外部閘道的 FQDN,則必須在此處輸入相同的 FQDN。

    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。將此內部閘道組態設定為對內部部署 RADIUS 伺服器使用雙因素驗證時,您必須指定可對內部部署 RADIUS 伺服器名稱進行解析之 DNS 伺服器的位址。

    部署先決條件中所說明,您必須在訂閱中設定 DNS 伺服器,並設定為提供名稱解析。依預設,Unified Access Gateway 執行個體會使用該 DNS 伺服器。如果您在此欄位中指定位址,則除了您在訂閱的虛擬網路中所設定先決條件 DNS 伺服器之外,已部署的 Unified Access Gateway 執行個體也會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由會用來讓 Unified Access Gateway 解析如雙因素驗證所需之 RADIUS 伺服器的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署 RADIUS 伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線 RADIUS 伺服器的正確路由。例如,如果您的內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
  5. (選擇性) 內部閘道區段中,選擇性地設定內部 Unified Access Gateway 的雙因素驗證。
    完成 為網繭指定雙因素驗證功能中的步驟。

結果

提供與您選取選項相關聯的必要資訊時,您可以按一下 驗證並繼續以繼續進行精靈的最後步驟。 請參閱。 完成從 [容量] 頁面將 Horizon Cloud Pod 部署至 Microsoft Azure中的步驟 1