在第一次登入第一代 Horizon Universal Console並執行網繭部署精靈之前,您必須先執行下列準備工作。此網繭部署精靈會部署以網繭管理員為基礎的網繭類型。
- 符合先決條件檢查清單中所述的先決條件,尤其是:
- 確定您的 Microsoft Azure 帳戶和訂閱包含網繭所需的虛擬機器數目和大小,包括選用的 Unified Access Gateway 組態 (如果您打算要部署)。請參閱第一代租用戶 - Microsoft Azure 中 Horizon Cloud Pod 的 Microsoft Azure 虛擬機器需求。
如果您要以使用其本身的訂閱 (與網繭的訂閱不同) 的外部閘道組態來部署網繭,請確定其他訂閱包含外部閘道所需的虛擬機器數目和大小。在此使用案例中,該個別訂閱將需要其本身的 VNet,因為 VNet 不會跨訂閱。此外,此訂閱必須與網繭的訂閱位於相同的區域中,因為支援的 VNet 拓撲會連接相同 Microsoft Azure 區域內的 VNet。
- 如先決條件檢查清單中所述:
- 確保您的訂閱未限制使用 Azure StorageV2 帳戶類型。App Volumes 功能需要一個儲存區帳戶。
- 如果您不打算在網繭部署精靈中指定自訂資源標記,請確定您的訂閱不要求在其資源群組上使用特定的標記名稱。
- 確保您的訂閱上沒有會封鎖、拒絕或限制在該訂閱中建立網繭元件的 Azure 原則。
注意: 如果您的訂閱在建立資源群組方面存在限制,則網繭部署程序可能會提前失敗。如果您的訂閱與上述項目不符,在為網繭管理員虛擬機器建立資源群組的過程中,第一個步驟就無法完成。因此,如果您的網繭部署程序在一個小時後逾時,請先檢查您的訂閱是否設定了 Azure 原則,而根據特定準則封鎖、拒絕或限制資源群組的建立。 - 確定有虛擬網路 (VNet) 存在於要部署網繭的區域中,且該虛擬網路符合 Horizon Cloud Pod 的需求。如果您沒有現有的 VNet,請建立符合需求的虛擬網路。請參閱第一代 Horizon Cloud --在 Microsoft Azure 中設定所需的虛擬網路。
如果您要以使用本身的 VNet (與網繭的 VNet 不同) 或使用本身的訂閱 (與網繭的訂閱不同) 的外部閘道組態來部署網繭,請確定該 VNet 與網繭的 VNet 位於相同的區域中,且符合文件所載的 Horizon Cloud VNet 需求。在此使用案例中,這兩個 VNet 必須為對等。
重要: 並非所有 Microsoft Azure 區域皆支援已啟用 GPU 的虛擬機器。如果您想要將網繭用於支援 GPU 的桌面或遠端應用程式,請確保您為網繭選取的 Microsoft Azure 區域可提供您想要使用的那些 NV 系列、NVv4 系列和 NCv2 系列虛擬機器類型,且在此 Horizon Cloud 版本中支援。如需詳細資料,請參閱 https://azure.microsoft.com/zh-tw/regions/services/ 上的 Microsoft 說明文件。 - 如果您想要在部署網繭前預先在您的 VNet 上手動為網繭建立子網路,請確定已在 VNet 上建立所需的子網路數目,且其位址空間符合文件所載的 Horizon Cloud VNet 需求,且其中不含資源。第一代租用戶 - 在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路。
注意: 您在 VNet 上為網繭部署建立的這些子網路必須是空白。您可以在部署網繭之前建立子網路,但請勿在這些子網路上放置任何資源,或使用任何一個 IP 位址。如果子網路上已在使用某個 IP 位址,則網繭可能無法部署。
如果您不想預先建立子網路,網繭部署程序將會使用您在精靈畫面上輸入的 CIDR 資訊來建立子網繭。
- 確定虛擬網路已設定為指向可解析外部名稱的有效網域名稱服務 (DNS)。請參閱第一代租用戶 - 設定您將在 Microsoft Azure 中用於 Horizon Cloud Pod 之 VNet 拓撲所需的 DNS 伺服器設定。
重要: 網繭的部署程序需要解析外部和內部名稱。如果 VNet 指向無法解析外部名稱的 DNS 伺服器,則部署程序將會失敗。
- 如果您計劃將具有外部閘道組態的網繭部署至您在閘道訂閱以外訂閱中建立的現有資源群組 (而非讓部署工具自動建立該資源群組),請在啟動網繭部署精靈之前確定資源群組存在於該訂閱中。決定要在資源群組層級還是訂閱層級上設定 Horizon Cloud 所需的權限。請參閱第一代租用戶 - 當您的組織希望對第一代 Horizon Cloud 應用程式登錄使用自訂角色時。
- 確定您具有可支援使用此版本的 Active Directory 設定,且您的虛擬網路可加以連線,以及 DNS 伺服器可解析其名稱。請參閱第一代租用戶 - Horizon Cloud - Active Directory 網域組態。
- 確定您的 Microsoft Azure 帳戶和訂閱包含網繭所需的虛擬機器數目和大小,包括選用的 Unified Access Gateway 組態 (如果您打算要部署)。請參閱第一代租用戶 - Microsoft Azure 中 Horizon Cloud Pod 的 Microsoft Azure 虛擬機器需求。
- 根據您規劃的部署選項,建立所需數量的服務主體。如果您要將網繭的外部閘道組態部署至其本身的訂閱中,您將需要該訂閱的服務主體,以及網繭本身所使用之訂閱的服務主體。如需詳細步驟,請參閱第一代租用戶 - 在網繭的訂閱中建立 Horizon Cloud 應用程式登錄。
重要: 您設定要用於 Horizon Cloud 的每個服務主體,皆必須在該服務主體相關聯的訂閱中指派適當的角色。服務主體的角色必須允許 Horizon Cloud 在該服務主體相關聯的 Microsoft Azure 訂閱中對 Horizon Cloud 所管理資源執行所需的動作。網繭訂閱的服務主體必須要有允許特定動作的角色,以透過這些動作成功部署網繭、在網繭和網繭管理的資源上運作,以滿足使用管理主控台起始的管理員工作流程,以及長時間維護網繭。對網繭的外部 Unified Access Gateway 組態使用個別的訂閱時,該訂閱的服務主體必須要有允許特定動作的角色,以透過這些動作成功部署該閘道組態所需的資源、在 Horizon Cloud 管理的這些資源上運作以滿足管理員工作流程,以及長時間維護這些閘道相關資源。
如第一代租用戶 - 當您的組織希望對第一代 Horizon Cloud 應用程式登錄使用自訂角色時中所述,您必須使用下列其中一種方法為服務主體授與存取權:
- 在訂閱層級,指派參與者角色。參與者角色是 Microsoft Azure 內建的角色之一。Microsoft Azure 說明文件中的 Azure 資源的內建角色包含參與者角色的相關說明。
- 在訂閱層級上指派您已設定的自訂角色,以為服務主體提供 Horizon Cloud 部署網繭相關資源以及管理員起始的現行工作流程與網繭維護作業所需的最少一組允許動作。
- 對外部 Unified Access Gateway 組態使用個別的訂閱,並將其部署至現有的資源群組時,有效的動作組合是使用提供範圍較窄權限的角色為服務主體授與存取該資源群組和相關 VNet 的權限,並使用內建的讀取者角色為服務主體授與存取訂閱的權限。
此外,必須將該角色直接指派給用於 Horizon Cloud 的服務主體。不支援對服務主體使用以群組為基礎的角色指派 (在其中會將角色指派給群組,且服務主體為該群組中的成員)。
- 確認 Horizon Cloud 所需的資源提供者均顯示已登錄狀態,如第一代租用戶 - Microsoft Azure 訂閱中第一代 Horizon Cloud 要求必須處於已登錄狀態的資源提供者中所述。
- 在 Microsoft Azure 入口網站中,針對網繭的訂閱及其外部閘道的訂閱 (如果使用該部署選項),從 Microsoft Azure 入口網站取得 Microsoft Azure 訂閱識別碼、應用程式識別碼、應用程式驗證金鑰和 Microsoft Azure AD 目錄識別碼的值。Horizon Cloud 會使用這些資源在您的 Microsoft Azure 訂閱中執行其作業。請參閱第一代租用戶 - Horizon Cloud Pod 部署精靈的訂閱相關資訊。
- 如果您打算使用 Unified Access Gateway 組態來部署網繭,請取得可允許您使用者用戶端信任對桌面和遠端應用程式連線的已簽署 TLS/SSL 伺服器憑證。此憑證應符合您使用者將在其用戶端中使用的 FQDN,且應由信任的憑證授權單位 (CA) 簽署。此外,憑證鏈結中的所有憑證皆必須具有有效的時間範圍,包括任何中繼憑證。如果鏈結中的任何憑證已到期,則在稍後的網繭上架程序中可能會發生非預期的失敗。
Unified Access Gateway 會顯示您由 CA 簽署的憑證,讓使用者的用戶端能夠信任連線。若要支援來自網際網路的信任存取,您可以為網繭部署外部 Unified Access Gateway 組態。若要支援您公司網路內的信任存取,您可以使用內部 Unified Access Gateway 組態。這兩種組態類型都可在初始網繭部署程序期間部署,或網繭部署後使用「編輯網繭」工作流程來部署。
重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。 - 如果您要搭配 Unified Access Gateway 組態使用的已簽署 SSL 伺服器憑證不是採用 PEM 格式,或不是包含完整憑證鏈結和私密金鑰的單一 PEM 檔案,請將憑證資訊轉換為所需的 PEM 格式。請參閱第一代租用戶 - 將憑證檔案轉換為第一代 Horizon Cloud Pod 部署所需的 PEM 格式中的步驟。
- 如果您尚未登錄以取得 Horizon Cloud 的存取權,請確認這兩個項目中的一個已備妥:
- 取得 VMware Customer Connect 帳戶,並使用該帳戶登錄 Horizon Cloud 存取權。
- 如果您的群組或組織使用 VMware Cloud Services 參與平台來登錄使用 Horizon Cloud,或使用 VMware Cloud services 或 Workspace ONE 登錄使用 Horizon Cloud,則您會收到邀請電子郵件,其中含有他們邀請您加入其 VMware Cloud services 組織空間的啟用連結,如 VMware Cloud services 說明文件主題將使用者新增至組織中所述。如果您已收到此類電子郵件,請先完成電子郵件的指示,然後再嘗試存取 Horizon Cloud。
完成這些準備工作後,請登入 Horizon Universal Console,網址為 cloud.horizon.vmware.com。該位址會重新導向到您使用 VMware Cloud Services 認證或 VMware Customer Connect 認證來登入的 VMware Cloud Services 登入頁面。
完成登入流程後,您會看到主控台的新增雲端容量區域,您可以按一下 ,以啟動網繭部署精靈。請在各個畫面中輸入必要資訊,以完成精靈。如需詳細步驟,請參閱第一代租用戶 - 使用第一代 Horizon Universal Console 在 Microsoft Azure 中執行網繭的自動部署。