此檢查清單旨在幫助您瞭解第一代 Horizon Cloud on Microsoft Azure 部署所需的元素。遵循此檢查清單,可確保成功執行網繭部署工具,並完成首日工作。
自 2022 年 8 月起,Horizon Cloud Service - next-gen 開始正式提供,並提供了自己的《使用 Horizon 控制平面下一代》指南。
在您登入您的環境並查看 Horizon Universal Console 標籤後,瀏覽器 URL 欄位中顯示的模式可指出您擁有的是下一代環境還是第一代環境。對於下一代環境,主控台的 URL 位址會包含類似 /hcsadmin/ 的部分。第一代主控台的 URL 則具有不同的內容 (/horizonadmin/)。
檢查清單對象
此檢查清單主要適用於在 2023 年 11 月 2 日服務更新之前,從未在其租用戶環境中進行 Horizon Cloud on Microsoft Azure 部署的 Horizon Cloud 客戶帳戶。您可能會聽到此類租用戶環境被稱為全新環境或綠地環境。
此處說明的集合主要用於生產部署。試驗部署和大多數的概念驗證部署通常可以使用其中一部分來處理,如簡化的概念驗證部署中所示。
下面列出的某些章節必須在執行 [新增網繭] 部署精靈之前設定就位。
某些項目可以延遲到部署完成且正在執行時再設定。
有些項目列為選用,因為它們與您選給 Horizon Cloud on Microsoft Azure 部署的選項有關。
例如,您可以在不選擇 Unified Access Gateway 組態的情況下執行 [新增網繭] 精靈,並在網繭部署後再新增閘道組態。在這種情況下,等網繭部署之後,才需履行 Unified Access Gateway 需求。
執行 [新增網繭] 精靈之前需先履行: | 可在部署網繭後再完成: |
---|---|
|
|
一些重要注意事項
在進行試驗或概念驗證 Horizon Cloud on Microsoft Azure 部署時,您可以是將用於部署之 Microsoft Azure 訂閱的擁有者,也可以代表擁有該訂閱的組織進行概念驗證。
訂閱擁有者必須確定網繭訂閱中所有作用中的 Microsoft Azure 原則都不會封鎖、拒絕或限制建立網繭的元件。
之所以要確定這一點,是因為在網繭部署過程中,網繭部署工具會使用 API 呼叫,在 [新增網繭] 精靈中指定的訂閱內建立資源。如果該訂閱中有作用中的 Microsoft Azure 原則會封鎖、拒絕或限制建立網繭的元件,則部署將失敗,此時需要向 VMware 支援團隊提交支援要求。
例如,網繭部署工具要求網繭訂閱中所有作用中的 Microsoft Azure 原則均不得封鎖、拒絕或限制在 Azure 儲存區帳戶上建立元件。
在執行 [新增網繭] 精靈之前,需向訂閱擁有者確認 Microsoft Azure 原則的內建原則定義不會封鎖、拒絕或限制建立網繭的元件。
Horizon Cloud 控制平面需求
☐ | VMware 已設定成登入 Horizon Cloud 控制平面的 VMware Customer Connect 帳戶。 如需有關此帳戶與 Horizon Cloud 租用戶帳戶之間關係的概述,您可以參閱 Horizon 服務部署和上架網繭頁面。 |
Microsoft Azure 訂閱需求
☐ | 支援的 Microsoft Azure 環境 (Azure Commercial、Azure China 或 Azure Government) 中的有效 Microsoft Azure 訂閱。如果您要使用閘道本身的訂閱在個別的 VNet 中部署外部 Unified Access Gateway,請在相同的 Microsoft Azure 環境中取得其他有效的 Microsoft Azure 訂閱。
備註:
Horizon Cloud 支援多數的 Microsoft Azure 區域。如需目前不支援的 Microsoft Azure 區域清單,請參閱
VMware 知識庫文章 Microsoft Azure Regions with Horizon Cloud Service on Microsoft Azure (Microsoft Azure 區域與 Horizon Cloud Service on Microsoft Azure) (77121)。
|
☐ | 該 Microsoft Azure 訂閱中的有效 Microsoft Azure 管理權限,可讓您在執行網繭部署準備步驟期間使用 Microsoft Azure 入口網站。 |
☐ | 已在網繭的訂閱中建立 Horizon Cloud 應用程式登錄和用戶端秘密金鑰。請參閱第一代租用戶 - 在網繭的訂閱中建立 Horizon Cloud 應用程式登錄。 如果您或您的組織會使用該功能,在有別於網繭訂閱的訂閱中部署外部閘道組態,則該閘道訂閱也需要 Horizon Cloud 應用程式登錄和用戶端秘密金鑰。 |
☐ | 按照標準 Microsoft Azure 行為,在訂閱中建立 Horizon Cloud 應用程式登錄時,會自動建立服務主體。 請指派角色給此服務主體,以允許 Horizon Cloud 在網繭訂閱中進行 API 呼叫。 一般而言,會在網繭訂閱層級指派 此外,該角色也可以是在網繭訂閱層級所指派的自訂角色。 當您在個別訂閱的現有資源群組中部署外部閘道組態時,可以指派自訂角色或 當您或您的組織希望 Horizon Cloud 應用程式登錄使用自訂角色時,請參閱當您的組織希望使用自訂角色時頁面,其中說明了自訂角色必須能夠執行的動作。
備註: 必須將角色直接指派給
Horizon Cloud 應用程式登錄的服務主體。不支援對此服務主體使用以群組為基礎的角色指派。
|
☐ | 在每個 Microsoft Azure 訂閱中登錄的必要資源提供者。請參閱登錄資源提供者。 |
☐ | 用來識別訂閱的訂閱識別碼、目錄識別碼、應用程式識別碼和金鑰,您將在部署精靈中指定這些值。 |
☐ | 訂閱必須允許使用 Azure StorageV2 帳戶類型。請確定訂閱的 Microsoft Azure 原則不會限制或拒絕建立需要使用 Azure StorageV2 帳戶類型的內容。 |
☐ | 除非您在網繭部署精靈中指定自訂資源標籤,訂閱必須允許建立沒有標籤的資源群組。除非您在精靈中指定自訂資源標籤,網繭部署程序會在網繭的訂閱中建立沒有標籤的資源群組。 如果您不打算使用部署精靈的自訂資源標記功能,則必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭未標記的資源群組。如果您未在精靈中指定自訂資源標籤,且您的 Microsoft Azure 訂閱具有任何類型的資源標籤需求,當您嘗試將網繭部署至該訂閱,則網繭部署將會失敗,或在網繭更新或將閘道組態新增至網繭時將會失敗。有關由部署工具建立的資源群組名稱,請參閱網繭部署工具建立的資源群組。 |
☐ | 選用。如果您的組織可能指定,對於位於個別 VNet 和不同於網繭訂閱之個別訂閱中的外部 Unified Access Gateway,必須使用預先建立並由組織指名的特定資源群組,且您的組織要求使用預先建立並由組織指名的特定資源群組,則您將需要使用該功能,將外部 Unified Access Gateway 部署至您自己指名的資源群組中。如果不使用該功能,網繭部署工具會自動使用其本身的命名慣例來建立資源群組。 使用該功能時,您必須先在該訂閱中建立該資源群組,然後才能執行網繭部署工具。您還必須確定已具備必要的權限,讓網繭部署工具能夠將 Unified Access Gateway 組態部署至該資源群組、管理組態,以及在標準網繭更新程序中更新 Unified Access Gateway 軟體。如需有關自訂角色必須包含的權限的詳細資料,請參閱當您的組織希望使用自訂角色時。 |
Microsoft Azure 容量需求
如果下表代表 Microsoft Azure 容量,則不需要手動安裝。只要訂閱中具有所述的可用容量,網繭部署工具便會自動具現化所述的虛擬機器。
針對涉及虛擬機器系列的容量,Microsoft Azure 入口網站也還使用配額一詞。
☐ | 將核心 Horizon Cloud Pod 構件部署至該訂閱中所需的 Microsoft Azure 容量。(此清單排除選用 Unified Access Gateway 組態以及所預期桌面和應用程式工作負載所需的容量。)
|
☐ | 選用。指定針對網繭使用 Unified Access Gateway 時所需的容量。
備註:
A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。
如果您訂閱的區域未提供 |
網路需求
☐ | 在您的目標 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet),且有適當的位址空間可涵蓋所需的子網路。請參閱第一代 Horizon Cloud --在 Microsoft Azure 中設定所需的虛擬網路。 將外部 Unified Access Gateway 部署至其本身的 VNet (與網繭的 VNet 不同) 時,請在與網繭的 VNet 相同的 Microsoft Azure 區域中建立該 Unified Access Gateway VNet,並提供適當的位址空間來涵蓋所需的子網路,且兩個 VNet 必須對等。 |
☐ | 在網繭的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
提示: 在部署網繭後,您可以編輯網繭來新增租用戶子網路,以便與伺服器陣列和桌面指派中的虛擬機器一起使用。其他租用戶子網路可位於網繭部署所在的相同 VNet 中,或在對等 VNet 中。如需詳細資料,請參閱
使用多個租用戶子網路的概觀。
|
☐ | 將外部 Unified Access Gateway 部署至與網繭 VNet 不同的 VNet 時,在 Unified Access Gateway 的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
|
☐ | 可從 Horizon Cloud Pod 和 Unified Access Gateway 執行個體使用和存取的一或多個 NTP 伺服器。 |
☐ | 設定 VNet (虛擬網路) DNS 伺服器,指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。 |
☐ | 您用於網繭和閘道部署之 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。在執行部署和進行中的作業時需要此功能。如需有關 DNS 名稱和連接埠清單,請參閱 DNS 需求和連接埠和通訊協定需求。 |
☐ | 選用。在執行 Horizon Cloud 環境的部署和進行中作業期間使用的 VNet 中進行輸出網際網路存取時可能需要的 Proxy 伺服器資訊。 |
☐ | 選用。已設定 Microsoft Azure VPN/Express Route (當您希望在 VNet 與內部部署公司網路之間建立網路連線時)。 |
連接埠和通訊協定需求
☐ | 為您 Horizon Cloud 環境上架網繭和進行中作業時需要特定的連接埠和通訊協定。請參閱連接埠和通訊協定。 |
Unified Access Gateway 需求
您可以在不選擇 Unified Access Gateway 組態的情況下執行 [新增網繭] 精靈,並在網繭部署後再新增閘道組態。在這種情況下,等網繭部署之後,才需履行 Unified Access Gateway 需求。根據定義,外部 Unified Access Gateway 允許外部網路上的用戶端啟動虛擬桌面和應用程式,而內部 Unified Access Gateway 則允許內部網路上的用戶端建立受信任的 HTML Access (Blast) 連線。若要支援使用者透過網際網路進行連線並啟動其虛擬桌面和應用程式,網繭必須設定外部 Unified Access Gateway。
如果您在 [新增網繭] 精靈中選取了 Unified Access Gateway 選項,則精靈會要求您指定下列特定項目。
☐ | Unified Access Gateway 組態的 FQDN。 |
☐ | 符合 FQDN 且採用 PEM 格式的一或多個 Unified Access Gateway 憑證。
備註: 如果您為此目的提供的一或多個憑證使用參考了特定 DNS 名稱的 CRL (憑證撤銷清單) 或 OCSP (線上憑證狀態通訊協定) 設定,則必須確保在 VNet 上對那些 DNS 名稱的輸出網際網路存取是可供解析且可連線。在
Unified Access Gateway 閘道組態中設定您提供的憑證期間,
Unified Access Gateway 軟體將會連線至這些 DNS 名稱,以檢查憑證的撤銷狀態。如果無法連線到這些 DNS 名稱,網繭部署將會在其
連線階段失敗。這些名稱高度依存於您用來取得憑證的 CA,因此不會由 VMware 控制。
|
☐ | 選用,除非您想要讓使用者使用雙因素驗證。在這種情況下,必須將 Unified Access Gateway 設定成使用支援用於 Horizon Cloud on Microsoft Azure 部署的其中一種驗證系統類型,來進行雙因素驗證。 其組態應包括:
備註: 部署網繭並在
Universal Broker 設定中設定了雙因素驗證後,如果您還希望內部使用者跳過使用該雙因素驗證,還需要一些額外的組態。當網繭具有內部
Unified Access Gateway 組態時,該組態會將此類內部使用者的連線要求路由至虛擬桌面和應用程式。如果您想要讓
Universal Broker 跳過針對內部使用者的雙因素驗證步驟,則在部署網繭並設定
Universal Broker 後,請輸入與內部使用者流量對應的出口 NAT 位址範圍。這些範圍可讓
Universal Broker 識別來自內部使用者的用戶端流量,並區分來自外部使用者的流量,從而跳過雙因素驗證。如需詳細資料,請參閱說明文件主題
為 Universal Broker 定義內部網路範圍
|
網繭部署工作流程
上述項目是開始網繭部署精靈之前所需的項目。確定您有上述項目後,請依照第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 高階順序中的網繭部署步驟 1 到 4 來部署網繭。
然後,在網繭部署成功後,請確保您已具備下一節中所述的項目,以便您可以完成該高階工作流程中的剩餘重要步驟。
Active Directory 需求
主控台的 Active Directory 登錄工作流程要求下列項目。若要充分瞭解該此工作流程,請參閱執行您在 Horizon Cloud 環境中的第一個 Active Directory 網域登錄。
☐ | 下列其中一項支援的 Active Directory 組態:
|
☐ | 支援的 Active Directory 網域服務 (AD DS) 網域功能性層級:
|
☐ | 在您部署那些網繭時,相同 Horizon Cloud 客戶帳戶中所有雲端連線網繭皆必須對相同的 Active Directory 網域集合具有直視性。此需求不僅適用於您後續在第一個網繭之後部署至 Microsoft Azure 中的其他網繭,也適用於使用 Horizon Cloud Connector 雲端連線至相同客戶帳戶的任何 Horizon 網繭。 |
☐ |
|
☐ |
|
☐ |
如需更多詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 |
☐ |
如需更多詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 |
☐ | Active Directory 群組
Horizon Cloud 支援對管理員登入和使用者權利使用 Active Directory 安全群組。支援巢狀群組。群組成員身分可藉由要求 tokenGroups 計算屬性來進行評估,這表示 Horizon Cloud 沒有巢狀深度限制,但支援在 Active Directory 中設定任何內容。 當系統詢問 Active Directory 群組環境中以及 Horizon Cloud、Universal Broker 和 Workspace ONE Access Cloud 這三項的組合中,是否存在其他考量事項或其他限制時,其答案是 [否]/[無]。 如果您的租用戶環境在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於資訊清單 1600.0,則網域加入帳戶和任何輔助網域加入帳戶也必須位於 Horizon Cloud 管理員群組中,或位於獲授與 Horizon Cloud 中超級管理員角色的 Active Directory 群組中。 |
☐ | 虛擬桌面和 RDS 工作階段型桌面和/或已發佈應用程式適用的一或多個 Active Directory 組織單位 (OU)。 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 |
如果您要使用設定了 LDAPS 的 Active Directory,您必須要求在 Horizon Cloud 租用戶中啟用 LDAPS 支援的功能。如需更多詳細資料,請參閱使用設定了 LDAPS 的 Active Directory 環境。
Universal Broker 組態
對於 Universal Broker 組態,請確定滿足下表中適用於您所要選項的各個項目。如需完整詳細資料,請參閱設定 Universal Broker。
☐ | 您用於網繭之 VNet 上的輸出網際網路存取,必須使用特定的連接埠和通訊協定來解析和連線到特定 DNS 名稱。Universal Broker 組態和進行中的作業需要此功能。如需 DNS 名稱和連接埠的清單,請參閱第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱和第一代租用戶 - Horizon Cloud Pod - 連接埠和通訊協定需求。 |
☐ | 取決於您想要提供的使用者連線類型:
|
☐ | 選用。如果您希望 Universal Broker 強制執行雙因素驗證,則網繭必須將外部 Unified Access Gateway 設定成使用支援用於 Horizon Cloud on Microsoft Azure 部署的其中一種驗證系統類型,來進行雙因素驗證。 Universal Broker 會將驗證要求傳遞至 Unified Access Gateway,後者會與驗證伺服器通訊,然後將回應轉送回 Universal Broker。 該外部 Unified Access Gateway 組態需要下列項目:
|
☐ | 選用:您的使用者將用來存取 Universal Broker 服務的自訂 FQDN,以及以該 FQDN 為基礎的憑證。如果您想要使用 VMware 提供的代理 FQDN,則不需要自訂 FQDN。 |
DNS 記錄需求
將網繭部署至 Microsoft Azure 雲端後,並根據您的業務狀況和您想要利用的功能,請務必在可將完整網域名稱 (FQDN) 與網繭相關 IP 位址對應的 DNS 伺服器中設定記錄。如需關於 DNS 記錄對應的背景資訊,請參閱 Microsoft 雲端服務說明文件頁面為 Azure 雲端服務設定自訂網域名稱。
- 為租用戶的 Universal Broker 設定自訂 FQDN 時
-
☐ 建立一個公用 DNS 記錄,以將自訂 FQDN 對應至您 Universal Broker 組態中 VMware 提供的代理 FQDN。請參閱設定 Universal Broker。 - 當網繭具有外部 Unified Access Gateway 時
-
☐ 為外部使用者存取建立一個公用 DNS 記錄,該記錄與外部閘道組態上的 FQDN 相符。此 DNS 記錄會將該 FQDN 指向網繭外部 Unified Access Gateway 組態中的 Microsoft Azure 外部負載平衡器。 如需關於 DNS 記錄對應的背景資訊,請參閱 Microsoft 說明文件頁面為 Azure 雲端服務設定自訂網域名稱。
- 當網繭具有內部 Unified Access Gateway 時
-
☐ 為內部使用者存取建立一個內部 DNS 記錄,該記錄與內部閘道組態上的 FQDN 相符。此 DNS 記錄會將該 FQDN 指向網繭內部 Unified Access Gateway 組態中的 Microsoft Azure 內部負載平衡器。
Horizon Cloud 最佳配置映像、桌面和伺服器陣列
您的 Microsoft Azure 訂閱必須符合下列需求,這取決於您想要從已部署網繭佈建的最佳配置映像、VDI 桌面和 RDS 伺服器陣列的類型。
此外,若為客體作業系統 Windows 10 和 Windows 11,請注意以下有關使用 Microsoft Azure 虛擬機器型號第 1 代虛擬機器和第 2 代虛擬機器的支援對照表。
Azure 虛擬機器型號 | Windows 10 | Windows 11 |
---|---|---|
第 1 代虛擬機器 | 支援 | 不支援 |
第 2 代虛擬機器 | 不支援 | 支援 |
☐ | 最佳配置映像的基礎 - 一或多個支援的 Microsoft Azure 虛擬機器組態。
使用主控台的 [從 Marketplace 匯入虛擬機器] 自動化精靈來建立基礎虛擬機器時,依預設系統會自動使用上述其中一個虛擬機器大小。系統的預設選擇是以其內部設定和特定作業系統 (OS) 為依據。 系統會將如下所示的型號用於單一網繭映像和多網繭映像。 |
☐ | VDI 桌面指派中的桌面虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud 桌面作業不相容的那些組態除外)。 對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。 |
☐ | 伺服器陣列中的 RDSH 虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與 Horizon Cloud RDS 伺服器陣列作業不相容的那些組態除外)。 當該虛擬機器與 Horizon Cloud 搭配使用時,此需求也適用於執行 Microsoft Windows 10 企業版多重工作階段或 Windows 11 企業版多重工作階段的虛擬機器。如 Microsoft Azure 虛擬桌面說明文件的 Microsoft Windows 企業版多重工作階段常見問題集中所述,Microsoft Windows 企業版多重工作階段是一種遠端桌面工作階段主機 (RDSH) 類型,可允許多個並行的互動式工作階段,此功能先前只有 Microsoft Windows Server 作業系統可提供。適用於 RDS 伺服器的 Horizon Cloud 工作流程,即適用於 Microsoft Windows 企業版多重工作階段。 對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。 |
映像管理服務 (IMS) 需求
從 2021 年 7 月版本開始,當您的 Horizon Cloud Pod 皆執行資訊清單 2632 或更新版本,且您的租用戶環境已啟用 Universal Broker,Horizon 映像管理服務功能可與這些網繭搭配使用。使用服務提供的多網繭映像功能具有其他需求。如需使用這些功能的完整系統需求詳細資料,請參閱 Horizon 映像管理服務系統需求中的〈Microsoft Azure〉一節。下表列出當使用多網繭映像時,還需在網繭訂閱方面以及該訂閱的 Horizon Cloud 應用程式登錄及服務主體方面,應符合的額外需求。
☐ | 那些參與多網繭映像網繭所使用的訂閱,必須位於單一 Microsoft Azure Active Directory (AAD) 租用戶內。 |
☐ | 參與多網繭映像網繭所使用的 Horizon Cloud 應用程式登錄服務主體,必須符合下列其中一項需求:
由於網繭可能位於不同的訂閱中,讀取存取需求可讓每個參與網繭的訂閱對其他參與網繭的訂閱具有直視性。服務需要此直視性才能使用 Azure 共用映像庫的功能來建立多網繭映像。 |
☐ | 參與網繭之服務主體所使用的任何自訂角色,必須包含與使用 Azure 共用映像庫相關的下列權限。
|
Microsoft Windows 作業系統的授權
這些項目與已匯入的虛擬機器、最佳配置映像、支援 RDSH 的伺服器陣列虛擬機器和虛擬桌面虛擬機器中的 Microsoft Windows 作業系統有關。如需 Horizon Cloud 支援的 Microsoft Windows 作業系統清單,請參閱 VMware 知識庫文章 78170 和 VMware 知識庫文章 70965。
Horizon Cloud 不會提供您在使用 Horizon Cloud 工作流程的過程中使用 Microsoft Windows 作業系統所需的任何客體作業系統授權。您身為客戶有責任具備有效且合格的 Microsoft 授權,如此您才有權建立您選擇要在 Horizon Cloud 租用戶環境中使用的 Windows 桌面虛擬機器和 RDSH 虛擬機器,並對其執行工作流程和操作。所需的授權取決於您預期使用方式。
☐ | 下列一或多個類型的授權:Microsoft Windows 7 企業版、Microsoft Windows 10、Microsoft Windows 11 (單一工作階段,VDI 用戶端類型) |
☐ | Microsoft Windows 10 企業版多重工作階段或 Microsoft Windows 11 企業版多重工作階段的授權 |
☐ | 下列一或多個類型的授權:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019 |
☐ | Microsoft Windows RDS 授權伺服器 — 針對高可用性,建議使用備援授權伺服器 |
☐ | Microsoft RDS 使用者和/或裝置 CAL |
參考架構
請參考下方的架構圖。