在精靈的這個步驟中,指定在已設定一或多個閘道的情況下部署以網繭管理員為基礎的網繭所需的資訊。Unified Access Gateway 提供適用於此網繭類型的閘道環境。

重要: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如 知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。
外部閘道組態
外部閘道組態可讓您為位在公司網路外部的使用者提供桌面和應用程式存取。當網繭具有此外部閘道組態時,網繭會包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。在此情況下,每個執行個體會具有三個 NIC:管理子網路上一個 NIC、桌面子網路上一個 NIC 以及 DMZ 子網路上一個 NIC。在部署精靈中,您可以選擇將負載平衡類型指定為私人或公用,取決於您對負載平衡器需要私人 IP 或公用 IP 位址。如果您在精靈中關閉此公用 IP 切換,精靈會顯示您必須在其中指定 IP 位址的欄位。在該類型的組態中,從 Horizon 用戶端到閘道的 PCoIP 連線會使用此 IP 位址。

使用外部閘道組態時,您也可以選擇將組態部署至與網繭 VNet 不同的 VNet。VNet 必須為對等。此類型的組態可讓您將網繭部署至 Microsoft Azure 中較複雜的網路拓撲,例如中樞輪輻網路拓撲

備註: 如果您在第一個精靈步驟中啟用了讓外部閘道使用其本身訂閱的切換,則必須將外部閘道部署在其本身的 VNet 中,即與該訂閱相關聯的 VNet。如果您已啟用該切換,則可以選擇性地在該訂閱中選取現有的資源群組以作為外部閘道的資源。您必須事先準備好該資源群組,才能在此精靈步驟中加以選取。
內部閘道組態
內部閘道組態可讓位於公司網路內部的使用者對其桌面和應用程式擁有信任的 HTML Access (Blast) 連線。如果網繭未使用此內部閘道組態來設定,則當公司網路內部的使用者使用瀏覽器來對桌面和應用程式進行 HTML Access (Blast) 連線時,這些使用者會看到標準的瀏覽器未受信任憑證錯誤。當網繭具有此內部閘道組態時,網繭會包含 Azure 負載平衡器資源Unified Access Gateway 執行個體以提供此存取。在此情況下,每個執行個體會具有兩個 NIC:管理子網路上一個 NIC 以及桌面子網路上一個 NIC。依預設,此閘道的負載平衡類型為私人。

下列螢幕擷取畫面是此步驟一開始顯示時的範例。部分控制項僅在您於第一個精靈步驟中選擇對外部閘道組態使用不同的訂閱時才會顯示出來。


Horizon Cloud on Microsoft Azure:網繭部署精靈的步驟 3,最初顯示時。

必要條件

確認您已符合第一代租用戶 - 執行第一代網繭部署精靈的先決條件中說明的先決條件。

決定要用於 Unified Access Gateway 執行個體的虛擬機器型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。如果您預期您的環境會擴充至每個網繭 2,000 個工作階段,請選取 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服務限制中所述,A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。

重要: 正確選擇虛擬機器型號。在目前的服務版本中,部署閘道組態後,無法輕鬆變更已部署執行個體所使用的虛擬機器型號。部署後變更虛擬機器型號的操作涉及刪除該閘道組態並重新部署。
重要: 若要完成此步驟,則必須擁有使用者將用來存取服務的必要完整網域名稱 (FQDN),以及以該 FQDN 為基礎的已簽署 SSL 憑證 (PEM 格式)。憑證必須由信任的 CA 簽署。單一 PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。如需詳細資料,請參閱 第一代租用戶 - 將憑證檔案轉換為第一代 Horizon Cloud Pod 部署所需的 PEM 格式

確認憑證鏈結中的所有憑證皆具有有效的時間範圍。如果鏈結中的任何憑證已到期。則在稍後的網繭上架程序中可能會發生非預期的失敗。

此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個體的連線將會失敗。

當您選取外部閘道組態時,Horizon Cloud 會預期為外部閘道組態指定的 FQDN 可公開解析。如果您關閉啟用公用 IP? 切換 (在精靈中),以指定來自您的防火牆或 NAT 設定的 IP 位址,則您必須負責確保此 FQDN 已指派給防火牆或 NAT 設定中的該 IP 位址。此 FQDN 會用於閘道的 PCoIP 連線。

如果您的租用戶已設定為使用已設定雙因素驗證的 Universal Broker,則您必須設定具有雙因素驗證設定的外部 Unified Access Gateway

程序

  1. 如果您想要外部閘道組態,請完成外部閘道區段中的欄位。
    選項 說明
    啟用外部閘道? 控制網繭是否具有外部閘道組態。外部組態可讓您為位在公司網路外部的使用者提供桌面和應用程式的存取。網繭包含一個 Microsoft Azure 負載平衡器資源,和提供此存取的 Unified Access Gateway 執行個體。
    備註: 建議保留預設的已啟用設定。

    當此切換設為關閉時,用戶端必須透過與其連接器應用裝置整合的 Workspace ONE Access 直接連線至網繭管理員,或直接連線至網繭管理員的負載平衡器,或者也可以透過內部閘道組態進行連線。在提到的前兩種案例中,如果用戶端透過與網繭整合的 Workspace ONE Access 進行連線,或直接連線到負載平衡器,則需要執行一些部署後步驟。在這些案例中,在部署網繭後,請依照在網繭管理員虛擬機器上直接設定 SSL 憑證中的步驟,將 SSL 憑證上傳至網繭管理員虛擬機器。

    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,網繭部署工具將在閘道 Unified Access Gateway 執行個體的組態中指定。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。

    Horizon Cloud 會預期為外部閘道組態指定的 FQDN 可公開解析。如果您關閉啟用公用 IP? 切換,以指定來自您的防火牆或 NAT 設定的 IP 位址,則您必須負責確保此 FQDN 已指派給防火牆或 NAT 設定中的該 IP 位址。此 FQDN 會用於閘道的 PCoIP 連線。

    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。

    在將此外部 Unified Access Gateway 組態設定為對雙因素驗證伺服器使用雙因素驗證時,如果該伺服器位於部署 Unified Access Gateway 執行個體的 VNet 拓撲外部,則您將需要指定可解析該驗證伺服器主機名稱的 DNS 伺服器位址。例如,如果雙因素驗證位於內部部署的伺服器上,請輸入可解析該驗證伺服器名稱的 DNS 伺服器。

    部署先決條件中所述,用於 Horizon Cloud on Microsoft Azure 部署的 VNet 拓撲,必須能夠與您要在部署 Unified Access Gateway 執行個體期間提供外部名稱解析及其進行中作業的 DNS 伺服器進行通訊。

    依預設,會使用執行個體部署所在 VNet 上所設定的 DNS 伺服器。

    DNS 位址中指定位址時,所部署的 Unified Access Gateway 執行個體除了使用 VNet 組態中的 DNS 伺服器資訊之外,還會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由用來允許 Unified Access Gateway 解析網路路由,例如,用來與雙因素驗證伺服器進行通訊的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署驗證伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線該伺服器的正確路由。例如,如果您的內部部署驗證伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此 Horizon Cloud on Microsoft Azure 部署的 VPN 組態中,取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    繼承網繭 NTP 伺服器 依預設,會啟用此切換,好讓 Unified Access Gateway 執行個體使用指定給網繭管理員執行個體的相同 NTP 伺服器。強烈建議讓此切換維持啟用狀態。

    最佳做法是對網繭管理員執行個體、Unified Access Gateway 執行個體和 Active Directory 伺服器,使用相同的 NTP 伺服器。當這些執行個體使用不同的 NTP 伺服器時,可能會導致時間誤差。之後當閘道嘗試驗證其桌面和應用程式的使用者工作階段時,這類時間誤差可能導致失敗。

    如果啟用此切換,且您要將外部閘道部署至其本身的 VNet 中 (而非網繭的 VNet),請確定可以從您選給外部閘道部署的虛擬網路,來連線至指定給網繭管理員執行個體的 NTP 伺服器。

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    重要: 在目前的服務版本中,在您的訂閱中部署閘道組態後,無法輕鬆變更這些執行個體所使用的虛擬機器型號。部署後變更虛擬機器型號時,需要刪除該閘道組態並重新部署。如果您預期您的環境會擴充至每個網繭 2,000 個工作階段,請選取 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服務限制中所述, A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
    Blast Extreme TCP 連接埠 選取要在 Unified Access Gateway 組態內的 Blast Extreme TCP 設定中使用的 TCP 連接埠。該設定會透過 Unified Access Gateway 上的 Blast 安全閘道,與 Blast Extreme 產生關聯,以用於用戶端所傳送的資料流量。連接埠 8443 是優先選擇,因為對於 Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。由於這些原因,精靈將以 8443 作為預設值。另一個選項是 443,但在執行個體中的效率較低,效能較差,且會導致 CPU 壅塞,從而造成使用者用戶端中出現明顯的流量延遲。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出) 時,才應使用選項 443。
    備註: 用於 Blast Extreme 的 UDP 連接埠不受此設定影響,且一律是 UDP 8443。
    加密套件 儘管幾乎在所有情況下都不需要變更預設設定,Unified Access Gateway 仍提供此功能,以供選擇性地指定密碼編譯演算法,以用來將用戶端與 Unified Access Gateway 應用裝置間的通訊加密。

    必須從畫面上的清單中,選取至少一個加密套件。畫面上的清單會顯示 Horizon Cloud on Microsoft Azure 部署允許的加密套件。

    指定適用於此閘道 Microsoft 負載平衡器的設定。

    選項 說明
    啟用公用 IP? 控制此閘道的負載平衡類型是否設定為私人或公用。如果切換為開啟,則已部署的 Microsoft Azure 負載平衡器資源會設定為使用公用 IP 位址。如果切換為關閉,則 Microsoft Azure 負載平衡器資源會設定為使用私人 IP 位址。
    重要: 在此版本中,您無法之後將外部閘道的負載平衡類型從公用變更為私人,或從私人變更為公用。要進行此變更的唯一方式是從已部署的網繭中完全刪除閘道組態,然後編輯網繭以使用相反的設定將其新增回來。

    如果將此切換設為關閉,則會出現 Horizon FQDN 的公用 IP 欄位。

    Horizon FQDN 的公用 IP 如果您選擇不將已部署的 Microsoft Azure 負載平衡器設定為使用公用 IP,則必須提供 IP 位址 (您要為其指派您在 FQDN 欄位中指定的 FQDN)。使用者的 Horizon 用戶端將使用此 FQDN 對閘道進行 PCoIP 連線。部署工具將會在 Unified Access Gateway 組態設定中設定此 IP 位址。

    指定外部閘道的網路設定。

    選項 說明
    使用不同的虛擬網路 此切換可控制外部閘道是否將部署至其本身的 VNet 中 (與網繭的 VNet 不同)。

    下列資料列將說明不同的案例。

    備註: 當您在精靈的第一個步驟中指定將不同的訂閱用於外部閘道時,依預設會啟用此切換。在此情況下,您必須為閘道選擇 VNet。

    當開啟此切換,且繼承網繭 NTP 伺服器切換為開啟狀態時,請確定可以從您選給外部閘道部署的虛擬網路,連線至指定給網繭管理員執行個體的 NTP 伺服器。

    使用不同的虛擬網路 - 切換為關閉 當此切換設為關閉時,外部閘道將部署至網繭的 VNet 中。在此情況下,您必須指定 DMZ 子網路。
    • DMZ 子網路 - 若已在「網繭設定」精靈步驟中啟用使用現有的子網路DMZ 子網路將會列出 VNet 上為虛擬網路選取的可用子網路。選取您要用於網繭 DMZ 子網路的現有子網路。
      重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。
    • DMZ 子網路 (CIDR) - 若已在上一個精靈步驟將使用現有的子網路切換為關閉,請輸入將設定為會將 Unified Access Gateway 執行個體連線至閘道之 Microsoft Azure 公用負載平衡器的 DMZ (非軍事區) 網路的子網路 (採 CIDR 標記法)。
    使用不同的虛擬網路 — 啟用 在此切換啟用時,外部閘道將部署至其本身的 VNet 中。在此情況下,您必須選取要使用的 VNet,然後指定三個所需的子網路。請啟用使用現有的子網路切換,以從您在指定 VNet 上預先建立的子網路中進行選取。否則,請以 CIDR 標記法指定子網路。
    重要: 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業期間可能會發生非預期的結果。

    在此情況下,閘道的 VNet 和網繭的 VNet 為對等。最佳做法是預先建立子網路,而不在此處使用 CIDR 項目。請參閱使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件

    • 管理子網路 - 指定要用於閘道管理子網路的子網路。需要至少 /27 的 CIDR。此子網路必須已將 Microsoft.SQL 服務設定為服務端點。
    • 後端子網路 - 指定要用於閘道後端子網路的子網路。需要至少 /27 的 CIDR。
    • 前端子網路 - 針對將設定為會將 Unified Access Gateway 執行個體連線至閘道的 Microsoft Azure 公用負載平衡器的前端子網路指定其子網路。
  2. (選擇性) 外部閘道區段中,選擇性地設定外部閘道的雙因素驗證。
  3. (選擇性) 部署區段中,使用切換選擇性地選取現有的資源群組,讓部署工具將外部閘道組態的資源部署到其中。
    當您在精靈的第一個步驟中指定要對外部閘道使用不同的訂閱時,就會顯示此切換。當您啟用切換時會出現一個欄位,您可以在其中搜尋及選取資源群組。
  4. 內部閘道區段中,如果您想要使用內部閘道組態,請切換啟用內部閘道? 切換,並完成顯示的欄位。
    選項 說明
    啟用內部閘道? 控制網繭是否具有內部閘道組態。內部組態可為公司網路內部的使用者提供使用 HTML Access (Blast) 連線對桌面和應用程式的信任存取。網繭包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。依預設,此閘道的負載平衡類型為私人。負載平衡器已設定為使用私人 IP 位址。
    FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,並具有可驗證該 FQDN 的憑證 (PEM 格式)。
    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
    DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。

    在將此內部 Unified Access Gateway 組態設定為對雙因素驗證伺服器使用雙因素驗證時,如果該伺服器位於部署 Unified Access Gateway 執行個體的 VNet 拓撲外部,則您將需要指定可解析該驗證伺服器主機名稱的 DNS 伺服器位址。例如,如果雙因素驗證位於內部部署的伺服器上,請輸入可解析該驗證伺服器名稱的 DNS 伺服器。

    部署先決條件中所述,用於 Horizon Cloud on Microsoft Azure 部署的 VNet 拓撲,必須能夠與您要在部署 Unified Access Gateway 執行個體期間提供外部名稱解析及其進行中作業的 DNS 伺服器進行通訊。

    依預設,會使用執行個體部署所在 VNet 上所設定的 DNS 伺服器。

    DNS 位址中指定位址時,所部署的 Unified Access Gateway 執行個體除了使用 VNet 組態中的 DNS 伺服器資訊之外,還會使用這些位址。

    路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂路由。指定的路由用來允許 Unified Access Gateway 解析網路路由,例如,用來與雙因素驗證伺服器進行通訊的網路路由。

    將此網繭設定為使用雙因素驗證搭配內部部署驗證伺服器時,您必須輸入 Unified Access Gateway 執行個體可用來連線該伺服器的正確路由。例如,如果您的內部部署驗證伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。

    請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

    繼承網繭 NTP 伺服器 依預設,會啟用此切換,好讓 Unified Access Gateway 執行個體使用指定給網繭管理員執行個體的相同 NTP 伺服器。強烈建議讓此切換維持啟用狀態。

    最佳做法是對網繭管理員執行個體、Unified Access Gateway 執行個體和 Active Directory 伺服器,使用相同的 NTP 伺服器。當這些執行個體使用不同的 NTP 伺服器時,可能會導致時間誤差。之後當閘道嘗試驗證其桌面和應用程式的使用者工作階段時,這類時間誤差可能導致失敗。

    虛擬機器型號 選取要用於 Unified Access Gateway 執行個體的型號。您必須確定為此網繭指定的 Microsoft Azure 訂閱,可提供所選型號之兩個虛擬機器所需的容量。
    重要: 在目前的服務版本中,在您的訂閱中部署閘道組態後,無法輕鬆變更這些執行個體所使用的虛擬機器型號。部署後變更虛擬機器型號時,需要刪除該閘道組態並重新部署。如果您預期您的環境會擴充至每個網繭 2,000 個工作階段,請選取 F8s_v2。如 VMware Horizon Cloud Service on Microsoft Azure 服務限制中所述, A4_v2 虛擬機器型號僅足夠用於概念驗證 (PoC)、試驗,或您知道網繭上不會超過 1,000 個作用中工作階段的較小型環境。
    憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
    Blast Extreme TCP 連接埠 選取要在 Unified Access Gateway 組態內的 Blast Extreme TCP 設定中使用的 TCP 連接埠。該設定會透過 Unified Access Gateway 上的 Blast 安全閘道,與 Blast Extreme 產生關聯,以用於用戶端所傳送的資料流量。連接埠 8443 是優先選擇,因為對於 Unified Access Gateway 執行個體,它的效率更高,效能更佳,且耗用的資源更少。由於這些原因,精靈將以 8443 作為預設值。另一個選項是 443,但在執行個體中的效率較低,效能較差,且會導致 CPU 壅塞,從而造成使用者用戶端中出現明顯的流量延遲。只有在您的組織已設定用戶端限制 (例如,您的組織僅允許 443 輸出) 時,才應使用選項 443。
    備註: 用於 Blast Extreme 的 UDP 連接埠不受此設定影響,且一律是 UDP 8443。
    加密套件 儘管幾乎在所有情況下預設設定已夠用,Unified Access Gateway 仍提供此功能,以供指定密碼編譯演算法,以用來將用戶端與 Unified Access Gateway 應用裝置間的通訊加密。

    必須從畫面上的清單中,選取至少一個加密套件。畫面上的清單會顯示 Horizon Cloud on Microsoft Azure 部署允許的加密套件。

  5. (選擇性) 內部閘道區段中,選擇性地設定內部 Unified Access Gateway 的雙因素驗證。
  6. (選擇性) Azure 資源標記區段中,選擇性地將自訂標記新增至包含您為網繭設定之所有內部和外部 Unified Access Gateway 執行個體的資源群組。
    選項 說明
    繼承網繭標記

    將此切換設為開啟,以將閘道的資源標記新增至包含您已設定所有 Unified Access Gateway 執行個體的資源群組。每個資源群組會接收您在網繭設定精靈步驟中定義的資源標記。

    將此切換設為關閉,可為 Unified Access Gateway 執行個體定義新的資源標記。

    Azure 資源標記

    當您將繼承網繭標記切換為關閉時,即會顯示此設定。使用此設定可將新的資源標記新增至包含您已設定 Unified Access Gateway 執行個體的資源群組。

    若要建立第一個標記,請在 [名稱] 和 [值] 欄位中輸入資訊。若要建立其他標記,請按一下 +,然後在現有標記下所出現的 [名稱] 和 [值] 欄位中輸入資訊。

    • 您最多可以建立 10 個標記。
    • 標記名稱限制只能有 512 個字元,標記值則限制只能有 256 個字元。針對儲存區帳戶,標記名稱限制只能有 128 個字元,標記值則限制只能有 256 個字元。
    • 標記名稱不可包含下列字元:< > % & \ ? /
    • 標記名稱不可包含下列不區分大小寫的字串:azurewindowsmicrosoft
    • 標記名稱和標記值只能包含 ASCII 字元。不允許使用標準 128 字元 ASCII 集 (也稱為高位元 ASCII 或延伸 ASCII 字元) 以外的空格和字元。

結果

提供與您選取選項相關聯的必要資訊時,您可以按一下 驗證並繼續以繼續進行精靈的最後步驟。 請參閱第一代租用戶 - 驗證並繼續,然後啟動網繭部署程序