此檢查清單將引導您準備 Microsoft Azure 訂閱和網路,以進行從 Horizon Cloud 到 Microsoft Azure 的網繭部署。確保如下所述滿足這些需求,以同時完成成功的新網繭部署,以及成功完成部署網繭後所需完成的那些重要工作。

此檢查清單主要用於從未部署網繭,或在 2021 年 3 月服務發行日期之前雲端連線至其租用戶環境的 Horizon Cloud 客戶帳戶。此類環境可能稱為初始環境或綠地環境。在雲端平面二進位檔和新的網繭資訊清單版本於 2021 年 3 月季度服務發行日期推送至雲端平面之後發生的新網繭部署,將會使用新的網繭資訊清單版本進行部署。成功部署網繭的需求主要取決於網繭資訊清單版本。位於生產雲端平面的雲端平面二進位檔,也可能會決定成功部署的需求。

以下所列的部分需求是網繭部署本身的需求。有些則是在網繭部署後執行重要工作的需求,目的是要讓生產租用戶環境能夠為使用者提供網繭佈建的桌面和應用程式。

網繭部署本身的需求
部署網繭後的生產環境需求
重要: 在啟動網繭部署精靈並開始部署網繭之前,除了以下需求以外,您還必須注意下列要點:
  • 從 2020 年 7 月服務版本開始,在全新的環境中,至少必須以一個閘道組態來部署新的網繭。如果您的客戶帳戶是在 2020 年 7 月之前建立的,但您尚未部署第一個網繭,則第一個網繭的部署在網繭部署時至少須設定一個閘道組態。
  • 若要成功完成網繭部署,您或您的 IT 團隊在 Microsoft Azure 環境中設定的任何 Microsoft Azure 原則皆不可封鎖、拒絕或限制網繭元件的建立。此外,您必須確認 Microsoft Azure 原則的內建原則定義並未封鎖、拒絕或限制網繭元件的建立。舉例來說,您和您的 IT 團隊必須確認您的任何 Microsoft Azure 原則都並未封鎖、拒絕或限制在 Azure 儲存體帳戶上建立元件的作業。如需 Azure 原則的相關資訊,請參閱 Azure 原則說明文件
  • 網繭部署工具要求您的 Azure 儲存體帳戶允許部署工具使用 Azure StorageV1StorageV2 帳戶類型。請確定您的 Microsoft Azure 原則並未限制或拒絕建立需要 Azure StorageV1StorageV2 帳戶類型的內容。
  • 在網繭和閘道部署程式程序中,除非您在部署精靈中指定自訂資源標記,否則 Horizon Cloud 會在您的 Microsoft Azure 訂閱中建立不含標記的資源群組 (RG),包括為協調這些部署程序之暫時性 Jumpbox 所建立的初始資源群組。自 2020 年 10 月 8 日雲端平面重新整理起,部署精靈會提供一項功能,您可以在其中指定要套用至部署工具建立之資源群組的自訂資源標記。如果您未指定自訂資源標記,且您的 Microsoft Azure 訂閱具有任何類型的資源標記需求,如果您嘗試將網繭部署至該訂閱,則網繭部署將會失敗,或在網繭更新或將閘道組態新增至網繭時將會失敗。如果您不打算使用部署精靈的自訂資源標記功能,則必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭未標記的資源群組。如需部署工具所建立的 RG 清單,請參閱《管理指南》的為 Microsoft Azure 中部署之網繭建立的資源群組主題。
  • 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。

Horizon Cloud 控制平面需求

用來登入 Horizon Cloud 控制平面的作用中 My VMware 帳戶。

Microsoft Azure 訂閱需求

支援的 Microsoft Azure 環境 (Azure Commercial、Azure China 或 Azure Government) 中的有效 Microsoft Azure 訂閱。如果您要使用閘道本身的訂閱在個別的 VNet 中部署外部 Unified Access Gateway,則在相同的 Microsoft Azure 環境中必須要有額外的有效 Microsoft Azure 訂閱。
備註: Horizon Cloud 支援多數的 Microsoft Azure 區域。如需目前不支援的 Microsoft Azure 區域清單,請參閱 VMware 知識庫文章 Microsoft Azure Regions with Horizon Cloud Service on Microsoft Azure (Microsoft Azure 區域與 Horizon Cloud Service on Microsoft Azure) (77121)
該 Microsoft Azure 訂閱中的有效 Microsoft Azure 管理權限。如需其他資訊,請參閱 Microsoft 說明文件中的開始使用 Azure 入口網站中的角色型存取控制
在預期的桌面和應用程式工作負載以外可用於 Horizon Cloud 基礎結構的 Microsoft Azure 容量下限。請注意,只要有此容量可供使用,Horizon Cloud 就會自動部署這些虛擬機器,而無須手動安裝。
  • 網繭部署引擎,也稱為 Jumpbox (暫時性) — 1 個 Standard_F2
  • 已啟用高可用性的網繭/網繭管理員 — 2 個 Standard_D4_v3 (如果區域中沒有 Standard_D4_v3,則為 2 個 Standard_D3_v2)
  • 未啟用高可用性的網繭/網繭管理員 — 1 個 Standard_D4_v3 (如果區域中沒有 Standard_D4_v3,則為 1 個 Standard_D3_v2)
  • 適用於 PostgreSQL 的 Microsoft Azure 資料庫服務 — 第 5 代、記憶體最佳化、2 個虛擬核心、10 GB 的儲存區
  • 外部 Unified Access Gateway (選用,除非未指定任何內部閘道) — 2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2
  • 內部 Unified Access Gateway (選用,除非未指定任何外部閘道) — 2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2
備註:
  • 從 2020 年 7 月服務版本開始,在初始環境中,必須至少以一個閘道組態來部署新的網繭。如果您的客戶帳戶是在 2020 年 7 月之前建立的,但您尚未部署第一個網繭,則第一個網繭的部署在網繭部署時至少須設定一個閘道組態。因此,您的最低可用 Microsoft Azure 容量必須可容納其中一個閘道組態的虛擬機器,如上述清單中所述。
  • 如果您訂閱的區域未提供 Standard_F8s_v2 虛擬機器大小,則網繭部署工具精靈不會在「指定閘道」精靈步驟的選取器中顯示該選項。
  • 網繭部署完成後,您在 Microsoft Azure 雲端中的容量也將必須容納您在該網繭中建立的已匯入的虛擬機器、最佳配置映像、虛擬桌面和 RDSH 伺服器陣列。如果您的帳戶已啟用 App Volumes 功能,且您使用主控台的應用程式擷取工作流程,則您的容量也必須可容納系統所產生桌面指派中用於該擷取程序的虛擬機器。請參閱下方的 Horizon Cloud 基礎映像、桌面和伺服器陣列章節。
  • 當您的租用戶帳戶已啟用可使用 Horizon 基礎結構監控功能,且您計劃在部署網繭後於網繭上啟用該功能時,則在部署 Horizon Edge 虛擬應用裝置時您的容量也必須符合需求。請參閱下方的Horizon 基礎結構監控需求一節。

外部 Unified Access Gateway 可以選擇性地使用與網繭相同的訂閱或不同的訂閱部署至其本身的 Microsoft Azure 虛擬網路 (VNet) 中。將外部 Unified Access Gateway 部署至其本身的 VNet 中時,外部 Unified Access Gateway 部署所在的訂閱中需要下列容量:

  • 外部 Unified Access Gateway 部署引擎,也稱為閘道 Jumpbox (暫時性) — 1 個 Standard_F2
  • 外部閘道連接器 — 1 個 Standard_A1_v2
  • 外部 Unified Access Gateway — 2 個 Standard_A4_v2 或 2 個 Standard_F8s_v2。
為每個訂閱建立的服務主體和驗證金鑰。如需其他詳細資料,請參閱使用入口網站建立可存取資源的 Azure Active Directory 應用程式和服務主體。另請參閱藉由建立應用程式登錄來建立 Horizon Cloud Pod 部署工具所需的必要服務主體
必須為每個服務主體指派適當的角色,以允許 Horizon Cloud 必須在訂閱中執行的動作。此角色可以是在訂閱層級上允許必要動作的參與者角色或自訂角色。當您在個別訂閱的現有資源群組中部署外部閘道組態時,可以為該訂閱的服務主體設定更精細的權限。如需關於必要角色動作的其他詳細資料,請參閱Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業
重要: 必須將該角色直接指派給用於 Horizon Cloud 的服務主體。不支援對服務主體使用以群組為基礎的角色指派 (在其中會將角色指派給群組,且服務主體為該群組中的成員)。
在每個 Microsoft Azure 訂閱中登錄的必要資源提供者。請參閱藉由建立應用程式登錄來建立 Horizon Cloud Pod 部署工具所需的服務主體中的步驟 8.b。
已識別的 Microsoft Azure 訂閱識別碼、目錄識別碼、應用程式識別碼和金鑰。
如果您要使用閘道本身的訂閱在個別的 VNet 中部署外部 Unified Access Gateway,且您的組織需要使用由您控制且並非由網繭部署工具所建立的資源群組,則可以使用該功能將外部 Unified Access Gateway 部署至您自己指定的資源群組。若要使用該功能,您必須先在該訂閱中建立該資源群組,然後才能執行網繭部署工具。您也必須確定已具備必要的權限,讓網繭部署工具能夠將 Unified Access Gateway 組態部署至該資源群組、管理組態,以及在標準網繭更新程序中更新 Unified Access Gateway 軟體。如需必要權限的詳細資料,請參閱Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業

網路需求

在所需的 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet),且有適當的位址空間可涵蓋所需的子網路。如需其他詳細資料,請參閱 Azure 虛擬網路

將外部 Unified Access Gateway 部署至其本身的 VNet (與網繭的 VNet 不同) 時,請在與網繭的 VNet 相同的 Microsoft Azure 區域中建立該 Unified Access Gateway VNet,並提供適當的位址空間來涵蓋所需的子網路,且兩個 VNet 必須對等。

在網繭的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
  • 管理子網路 - 至少 /27
  • 虛擬機器子網路 -主要 (租用戶) - 至少 /27,優先使用 /24 - /22,視桌面和 RDS 伺服器的數目而定
  • DMZ 子網路 — 在網繭的 VNet 中部署 Unified Access Gateway 時,至少 /28 (選用)
子網路可以在 VNet 上手動建立,或是在部署期間由 Horizon Cloud 建立。如果使用手動建立的子網路,則無法連結任何其他資源。
備註: 針對使用資訊清單 2298.0 或更新版本的新部署網繭,您可在網繭部署後進行編輯以新增其他租用戶子網路,並與伺服器陣列和桌面指派中的虛擬機器搭配使用。其他租用戶子網路可位於網繭部署所在的相同 VNet 中,或在對等 VNet 中。如需詳細資料,請參閱《管理指南》
將外部 Unified Access Gateway 部署至與網繭 VNet 不同的 VNet 時,在 Unified Access Gateway 的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
  • 管理子網路 - 至少 /27
  • 後端子網路 - 至少 /27,優先使用 /24 - /22,視桌面和 RDS 伺服器的數目而定
  • DMZ (前端) 子網路 — 至少 /28
子網路可以在 VNet 上手動建立,或是在部署期間由 Horizon Cloud 建立。如果使用手動建立的子網路,則無法連結任何其他資源。在此使用案例中,通常會手動建立子網路。在此使用案例中,後端子網路的目的與上表所述虛擬機器子網路 (主要) 的用途類似。
可從 Horizon Cloud Pod 和 Unified Access Gateway 執行個體使用和存取的一或多個 NTP 伺服器。
設定 VNet (虛擬網路) DNS 伺服器,指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。
您用於網繭和閘道部署之 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。如需 DNS 名稱和連接埠的清單,請參閱Microsoft 中 Horizon Cloud Pod 的 DNS 需求和相關服務功能使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud 網繭的連接埠和通訊協定需求
在執行 Horizon Cloud 環境的部署和進行中作業期間使用的 VNet 中進行輸出網際網路存取時可能需要的 Proxy 伺服器資訊 (選用)
已設定 Microsoft Azure VPN/Express 路由 (選用)
用於外部使用者存取和/或內部使用者存取的 FQDN (使用 Unified Access Gateway 部署網繭時需要)。
備註: 自 2020 年 12 月 15 日的雲端平面更新起,已支援將不同的 FQDN 用於網繭的外部閘道和內部閘道組態。在 2020 年 12 月 15 日之前,系統會強制對資訊清單 2298 及更新版本的網繭使用相同的 FQDN。現在,您可以自行選擇要讓網繭的閘道使用不同的 FQDN 或相同的 FQDN。如果您要對這兩個閘道使用相同的 FQDN,在網繭部署後,您需要設定分割 DNS (分割網域名稱系統),以根據使用者用戶端的 DNS 查詢的來源網路,將閘道位址解析為外部閘道或內部閘道。然後,用戶端位於網際網路時,可以將使用者用戶端中使用的相同 FQDN 路由至外部閘道,並在用戶端位於您的內部網路時,可以將其路由至內部閘道。
符合 FQDN 且採用 PEM 格式的一或多個 Unified Access Gateway 憑證 (使用 Unified Access Gateway 部署網繭時需要)。
備註: 如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定,則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在 Unified Access Gateway 閘道組態中設定您提供的憑證期間, Unified Access Gateway 軟體將會連線至這些 DNS 名稱,以檢查憑證的撤銷狀態。如果無法連線到這些 DNS 名稱,網繭部署將會在其 連線階段失敗。這些名稱高度依存於您用來取得憑證的 CA,因此不會由 VMware 控制。
對內部部署 RADIUS 驗證伺服器進行雙因素驗證 (選用)
  • Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
  • Unified Access Gateway 用來解析驗證伺服器網路路由的路由
備註: 部署網繭後,如果您打算將環境設定為使用 Universal Broker 以將桌面代理至使用者時,當您想要對內部網路上的使用者略過雙因素驗證時,將需要一些額外的設定。網繭的內部 Unified Access Gateway 執行個體會為此類內部使用者將連線要求路由至虛擬桌面和應用程式。如果您的網繭上將會有內部閘道組態,且您打算將環境設定為使用 Universal Broker,並對外部使用者使用雙因素驗證,但對內部使用者略過雙因素驗證,則在網繭部署完成後,您將需要輸入 Universal Broker 的 IP 範圍,用以識別內部使用者與外部使用者,以利略過內部使用者的雙因素驗證。如需詳細資訊,請參閱說明文件主題 在 Horizon Cloud 租用戶環境中設定代理方法和使用者指派及其副主題。

連接埠和通訊協定需求

為您 Horizon Cloud 環境上架網繭和進行中作業時需要特定的連接埠和通訊協定。請參閱使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud 網繭的連接埠和通訊協定需求

網繭部署工作流程

上述項目是開始網繭部署精靈之前所需的項目。確定您有上述項目後,請依照將 Microsoft Azure 上的 Horizon 網繭新增為您 Horizon Cloud 租用戶環境中第一個網繭的高階工作流程中的網繭部署步驟 1 到 4 來部署網繭。

然後,在網繭部署成功後,請確保您已具備下一節中所述的項目,以便您可以完成該高階工作流程中的剩餘重要步驟。

Active Directory 需求

Active Directory 登錄工作流程需要下列項目。若要瞭解該此工作流程,請參閱執行您在 Horizon Cloud 環境中的第一個 Active Directory 網域登錄

下列其中一項支援的 Active Directory 組態:
  • 透過 VPN/Express Route 連線的內部部署 Active Directory 伺服器
  • 位於 Microsoft Azure 中的 Active Directory 伺服器
  • Microsoft Azure Active Directory 網域服務
支援的 Active Directory 網域服務 (AD DS) 網域功能性層級:
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
在您部署那些網繭時,相同 Horizon Cloud 客戶帳戶中所有雲端連線網繭皆必須對相同的 Active Directory 網域集合具有直視性。此需求不僅適用於您後續在第一個網繭之後部署至 Microsoft Azure 中的其他網繭,也適用於使用 Horizon Cloud Connector 雲端連線至相同客戶帳戶的任何 Horizon 網繭。您可以在具有 Horizon Cloud 的 VMware Horizon 網繭 - 需求檢查清單 - 已針對從 2021 年 3 月服務版本開始連線的網繭進行適當更新查看此類 Horizon 網繭的檢查清單。
重要: 請閱讀 Horizon Cloud 對其作業所需的服務帳戶,以瞭解此帳戶必須具備的主要特性。

網域繫結帳戶

  • 具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
  • 帳戶必須具有下列權限:
    • 列出內容
    • 讀取全部內容
    • 讀取權限
    • 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)
    備註:
    • 如果您熟悉 VMware Horizon 的內部部署供應項目,則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限,如此 Horizon 內部部署說明文件主題中所述。
    • 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

您也應該將帳戶密碼設定為永不到期,以確保可持續存取並登入 Horizon Cloud 環境。

如需其他詳細資料和需求,請參閱 Horizon Cloud 作業所需的服務帳戶

重要: 請閱讀 Horizon Cloud 對其作業所需的服務帳戶,以瞭解此帳戶必須具備的主要特性。

輔助網域繫結帳戶 — 不可使用前述的相同帳戶

  • 具有 sAMAccountName 屬性的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
  • 帳戶必須具有下列權限:
    • 列出內容
    • 讀取全部內容
    • 讀取權限
    • 讀取 tokenGroupsGlobalAndUniversal (由讀取全部內容隱含表示)
    備註:
    • 如果您熟悉 VMware Horizon 的內部部署供應項目,則上述權限即為 Horizon 內部部署供應項目之次要認證帳戶所需的一組相同權限,如此 Horizon 內部部署說明文件主題中所述。
    • 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的驗證使用者)。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

您也應該將帳戶密碼設定為永不到期,以確保可持續存取並登入 Horizon Cloud 環境。

重要: 請閱讀 Horizon Cloud 對其作業所需的服務帳戶,以瞭解此帳戶必須具備的主要特性。

網域加入帳戶

  • 系統可用來執行 Sysprep 作業並將電腦加入網域的 Active Directory 網域加入帳戶,通常是新帳戶 (網域加入使用者帳戶)
  • 帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
  • 將帳戶密碼設定為永不到期
  • 此帳戶需要下列 Active Directory 權限:讀取所有內容、重設密碼、建立電腦物件、刪除電腦物件、寫入所有內容
    備註: 自網繭資訊清單 2474.0 起,網域加入帳戶所需的權限相較於 2474 之前資訊清單中使用的舊版權限集已經過縮減,且現在包含對子系電腦物件寫入所有內容的權限。執行較舊資訊清單的網繭仍需要舊版的權限集。如需詳細資訊,請參閱 Horizon Cloud 作業所需的服務帳戶
  • 此帳戶也需要您計劃用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU) 的所有子系物件上,名為「寫入全部內容」的 Active Directory 權限。
  • 如需其他詳細資料和需求,請參閱 Horizon Cloud 作業所需的服務帳戶
備註:
  • 目前不支援在帳戶的使用者名稱中使用空格。如果名稱包含空格,依賴該帳戶的系統作業將會發生非預期的結果。
  • 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。
  • 在資訊清單 1600.0 之前,此帳戶需要系統超級管理員角色的權限。如果您的租用戶環境在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於 1600.0,則網域加入帳戶必須位在所述的 Horizon Cloud 管理員群組中。系統會使用此網域加入帳戶以及您所有租用戶在 Microsoft Azure 中的 Horizon Cloud Pod。當您租用戶的現有網繭資訊清單早於 1600.0 時,網域加入帳戶必須符合此需求。如需詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶
重要: 請閱讀 Horizon Cloud 對其作業所需的服務帳戶,以瞭解此帳戶必須具備的主要特性。

輔助網域加入帳戶 (選用,不可使用前述的相同帳戶)

  • 系統可用來執行 Sysprep 作業並將電腦加入網域的 Active Directory 網域加入帳戶,通常是新帳戶 (網域加入使用者帳戶)
  • 帳戶必須具有 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
  • 將帳戶密碼設定為永不到期
  • 此帳戶需要下列 Active Directory 權限:讀取所有內容、重設密碼、建立電腦物件、刪除電腦物件、寫入所有內容
    備註: 自網繭資訊清單 2474.0 起,網域加入帳戶所需的權限相較於 2474 之前資訊清單中使用的舊版權限集已經過縮減,且現在包含對子系電腦物件寫入所有內容的權限。執行較舊資訊清單的網繭仍需要舊版的權限集。如需詳細資訊,請參閱 Horizon Cloud 作業所需的服務帳戶
  • 此帳戶也需要您計劃用於伺服器陣列和 VDI 虛擬桌面的目標組織單位 (OU) 的所有子系物件上,名為「寫入全部內容」的 Active Directory 權限。
  • 如需其他詳細資料和需求,請參閱 Horizon Cloud 作業所需的服務帳戶
備註:
  • 目前不支援在帳戶的使用者名稱中使用空格。如果名稱包含空格,依賴該帳戶的系統作業將會發生非預期的結果。
  • 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。
  • 在資訊清單 1600.0 之前,此帳戶需要系統超級管理員角色的權限。如果您的租用戶環境在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於 1600.0,則網域加入帳戶必須位在所述的 Horizon Cloud 管理員群組中。系統會使用此網域加入帳戶以及您所有租用戶在 Microsoft Azure 中的 Horizon Cloud Pod。當您租用戶的現有網繭資訊清單早於 1600.0 時,網域加入帳戶必須符合此需求。如需詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶
Active Directory 群組
  • Horizon Cloud 管理員 — Horizon Cloud 管理員的 Active Directory 安全群組。包含 Horizon Cloud 管理使用者。此群組被授與 Horizon Cloud 中的超級管理員角色。
  • Horizon Cloud 使用者 — 使用者的 Active Directory 安全群組,將有權在 Horizon Cloud 中存取虛擬桌面和 RDS 工作階段型桌面與已發佈的應用程式。
備註: 如果您的租用戶環境在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於資訊清單 1600.0,則網域加入帳戶和任何輔助網域加入帳戶也必須位於 Horizon Cloud 管理員群組中,或位於獲授與 Horizon Cloud超級管理員角色的 Active Directory 群組中。
虛擬桌面和 RDS 工作階段型桌面和/或已發佈應用程式適用的一或多個 Active Directory 組織單位 (OU)。
備註: 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除 防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。

Universal Broker 需求

從 2020 年 7 月版本開始,如果您的 Horizon Cloud 租用戶環境是在該日期之後建立的全新帳戶,而您剛剛完成將第一個網繭部署至 Microsoft Azure 的作業,則可以選擇使用Universal Broker作為環境的代理方法。當您選擇為環境設定 Universal Broker 時需要下列項目。請參閱設定 Universal Broker

您用於網繭之 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。Universal Broker 組態和進行中的作業需要此功能。如需 DNS 名稱和連接埠的清單,請參閱Microsoft 中 Horizon Cloud Pod 的 DNS 需求和相關服務功能使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud 網繭的連接埠和通訊協定需求
選用:如果您想要讓 Universal Broker 對網繭使用雙因素驗證,請設定網繭的閘道,以對 RADIUS 驗證伺服器進行雙因素驗證。
  • Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
  • Unified Access Gateway 用來解析驗證伺服器網路路由的路由
選用:您的使用者將用來存取 Universal Broker 服務的自訂 FQDN,以及以該 FQDN 為基礎的憑證 (選用)

DNS 記錄需求

將網繭部署至 Microsoft Azure 雲端後,並根據您的業務狀況和您想要利用的功能,請務必在可將完整網域名稱 (FQDN) 與網繭相關 IP 位址對應的 DNS 伺服器中設定記錄。

備註: 如果您以具有相同 FQDN 的外部和內部閘道組態部署網繭,在網繭部署後,請設定分割 DNS (分割網域名稱系統),以根據使用者用戶端的 DNS 查詢的來源網路,將閘道位址解析為外部閘道或內部閘道。
如果您使用自訂 FQDN 設定了 Universal Broker,請建立一個公用 DNS 記錄,將您的自訂 FQDN 對應至 Universal Broker 組態中由 VMware 提供的代理 FQDN。請參閱設定 Universal Broker
為外部使用者存取建立與外部閘道組態上的 FQDN 相符的公用 DNS 記錄,指向網繭外部 Unified Access Gateway 組態中的 Microsoft Azure 外部負載平衡器 (部署的網繭具有該組態時需要)。如需其他詳細資料,請參閱為 Azure 雲端服務設定自訂網域名稱
為內部使用者存取建立與內部閘道組態上的 FQDN 相符的內部 DNS 記錄,指向網繭內部 Unified Access Gateway 組態中的 Microsoft Azure 內部負載平衡器 (部署的網繭具有該組態時需要)。
當您計劃選擇單一網繭代理進行部署時,系統會建立內部 DNS 記錄,且您會將部署與 VMware Workspace ONE Access 進行整合。在此案例中,此內部 DNS 記錄支援 VMware Workspace ONE Access 與網繭的連線,其中 VMware Workspace ONE Access Connector 會從網繭同步使用者指派的相關資訊。此內部 DNS 記錄與您所要上傳至網繭之憑證中的 FQDN 相符,且會指向網繭管理員的 Microsoft Azure 內部負載平衡器。當您想要在針對單一網繭代理設定的環境中將 VMware Workspace ONE Access 與網繭搭配使用時需要。
備註: 在您想要讓內部使用者直接連線至網繭 (而非要求他們連線至網繭上的內部 Unified Access Gateway 組態) 的極少數非典型使用案例中,也會使用此內部 DNS 記錄以及符合並上傳至網繭本身的憑證。此類直接連線是不常見的使用案例。一般情況下會改用內部 Unified Access Gateway
為網繭的 VMware Workspace ONE Access 連線建立,且與上述內部 DNS 記錄相符的憑證鏈結 (CA 憑證、SSL 憑證、SSL 金鑰檔案)。如需其他詳細資料,請參閱將 SSL 憑證上傳至 Horizon Cloud Pod 以進行直接連線。(如果您使用讓內部使用者直接連線至網繭的非典型使用案例,則也需使用。直接連線是罕見的使用方式。通常會改用內部 Unified Access Gateway。)

Horizon Cloud 最佳配置映像、桌面和伺服器陣列

您的 Microsoft Azure 訂閱必須符合下列需求,這取決於您想要從已部署網繭佈建的最佳配置映像、VDI 桌面和 RDS 伺服器陣列的類型。

備註: 如果您的帳戶已啟用 App Volumes 功能,且您使用主控台的 擷取動作將 App Volumes 應用程式新增至詳細目錄,則系統會產生兩個桌面虛擬機器的桌面指派,以支援該擷取工作流程。在執行擷取工作流程時,您的容量也必須足以建立這些桌面。當您為環境完成應用程式的擷取後,您可以刪除該桌面指派。
最佳配置映像的基礎 — 其中一個支援的 Microsoft Azure 虛擬機器組態。
  • Standard_D3_v2、Standard_D4_v3
  • Standard_D2_v2、Standard_D2_v3
  • Standard_NV6
備註: 使用「從 Marketplace 匯入虛擬機器」精靈自動建立基礎虛擬機器時,依預設系統會自動使用上述其中一個虛擬機器大小。系統的預設選項是以內部演算法為基礎,包括檢查網繭之 Microsoft Azure 區域中可用的大小。使用此精靈建立已啟用 GPU 的虛擬機器時,依預設會建立 Standard_NV6 大小的虛擬機器。使用此精靈建立伺服器作業系統型虛擬機器時,系統會建立 Standard_D2_v2 或 Standard_D2_v3 的虛擬機器。建立用戶端作業系統型虛擬機器或 Windows 10 多重工作階段虛擬機器時,系統會建立 Standard_D3_v2 或 Standard_D4_v3 的虛擬機器。
VDI 桌面指派中的桌面虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud 桌面作業不相容的除外)。

對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。

伺服器陣列中的 RDSH 虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud RDS 伺服器陣列作業不相容的除外)。

當該虛擬機器與 Horizon Cloud 搭配使用時,此需求也適用於執行 Microsoft Windows 10 企業版多重工作階段的虛擬機器。如 Microsoft Azure Windows 虛擬桌面說明文件的 Microsoft Windows 10 企業版多重工作階段常見問題集中所述,Microsoft Windows 10 企業版多重工作階段是一種遠端桌面工作階段主機 (RDSH) 類型,可允許多個並行的互動式工作階段,此功能先前只有 Microsoft Windows Server 作業系統可提供。適用於 RDS 伺服器的 Horizon Cloud 工作流程,即適用於 Microsoft Windows 10 企業版多重工作階段。

對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。

Microsoft Windows 作業系統的授權

這些項目與已匯入的虛擬機器、最佳配置映像、具有 RDSH 功能之伺服器陣列虛擬機器和虛擬桌面虛擬機器中的 Microsoft Windows 作業系統有關。如需 Horizon Cloud 支援的 Microsoft Windows 作業系統清單,請參閱 VMware 知識庫文章 78170VMware 知識庫文章 70965

Horizon Cloud 不會提供您在使用 Horizon Cloud 工作流程的過程中使用 Microsoft Windows 作業系統所需的任何客體作業系統授權。您身為客戶有責任具備有效且合格的 Microsoft 授權,如此您才有權建立您選擇要在 Horizon Cloud 租用戶環境中使用的 Windows 桌面虛擬機器和 RDSH 虛擬機器,並對其執行工作流程和操作。所需的授權取決於您預期使用方式。

提示: 如需 Windows 10 企業版多重工作階段和 Windows 7 企業版的 Microsoft Windows 虛擬桌面授權的相關資訊,請參閱 Microsoft Azure 說明文件主題 Windows 虛擬桌面定價
下列一或多個類型的授權:Microsoft Windows 7 企業版、Microsoft Windows 10 (用戶端類型)
Microsoft Windows 10 企業版多重工作階段的授權
下列一或多個類型的授權:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
Microsoft Windows RDS 授權伺服器 — 針對高可用性,建議使用備援授權伺服器
Microsoft RDS 使用者和/或裝置 CAL

Horizon 基礎結構監控需求

如果您的 Horizon Cloud 租用戶已啟用可使用 Horizon 基礎結構監控,則您可以使用 Horizon 通用主控台在您選擇的網繭上啟用該功能。當您選擇在某個網繭上啟用該功能時,系統會自動將虛擬應用裝置建置至該網繭所在的相同 Microsoft Azure 訂閱中,並將該應用裝置設定為收集基礎結構資料。必須先將您的租用戶上架至 VMware Cloud Services,然後才能啟用此監控功能。請參閱將 Horizon Cloud 租用戶上架至 VMware Cloud ServicesHorizon 基礎結構監控和您 Horizon Cloud 環境中的網繭

將您的租用戶上架至 VMware Cloud Services
對於您將在其上啟用 Horizon 基礎結構監控功能的每個網繭,網繭的 Microsoft Azure 訂閱必須符合這些額外的需求。
  • Horizon Edge 虛擬應用裝置 - 1 x Standard_D4_v3

參考架構

請參考下方的架構圖。

圖 1. 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與網繭相同之 VNet 中的外部閘道、外部閘道虛擬機器上有三個 NIC、內部閘道虛擬機器上有兩個 NIC,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構

此架構圖顯示已啟用高可用性和兩種 Unified Access Gateway 組態,且外部閘道與網繭位於相同 VNet 中之網繭的資源群組、虛擬機器和子網路。

圖 2. 顯示外部閘道在部署至其本身的 VNet (與網繭的 VNet 不同,具有三個 NIC),以及部署到由網繭部署工具建立的資源群組時,所具備的架構元素

外部閘道部署到其自己的 VNet (與網繭的 VNet 不同),以及部署到由網繭部署工具建立的資源群組時,外部閘道架構元素的圖解

資源

如需其他資訊,請參閱下列資源。