執行網繭部署精靈之前,請確認您的環境符合這些先決條件。您必須擁有下列項目,以便您可以在網繭部署精靈中提供要求的值,並繼續執行精靈。

重要: 在啟動網繭部署精靈並開始部署網繭之前,除了以下需求以外,您還必須注意下列要點:
  • 從 2020 年 7 月服務版本開始,在全新的環境中,至少必須以一個閘道組態來部署新的網繭。如果您的客戶帳戶是在 2020 年 7 月之前建立的,但您尚未部署第一個網繭,則第一個網繭的部署在網繭部署時至少須設定一個閘道組態。
  • 若要成功完成網繭部署,您或您的 IT 團隊在 Microsoft Azure 環境中設定的任何 Microsoft Azure 原則皆不可封鎖、拒絕或限制網繭元件的建立。此外,您必須確認 Microsoft Azure 原則的內建原則定義並未封鎖、拒絕或限制網繭元件的建立。舉例來說,您和您的 IT 團隊必須確認您的任何 Microsoft Azure 原則都並未封鎖、拒絕或限制在 Azure 儲存體帳戶上建立元件的作業。如需 Azure 原則的相關資訊,請參閱 Azure 原則說明文件
  • 網繭部署工具要求您的 Azure 儲存體帳戶允許部署工具使用 Azure StorageV1StorageV2 帳戶類型。請確定您的 Microsoft Azure 原則並未限制或拒絕建立需要 Azure StorageV1StorageV2 帳戶類型的內容。
  • 在網繭和閘道部署程式程序中,Horizon Cloud 會在您的 Microsoft Azure 訂閱中建立不含標記的資源群組 (RG),包括為協調這些部署程序之暫時性 Jumpbox 所建立的初始資源群組。如果您嘗試將網繭部署至 Microsoft Azure 訂閱中,且在部署時、網繭更新時或將閘道組態新增至網繭時有任何類型的資源標記需求,網繭部署將會失敗。您必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭未標記的資源群組。如需部署工具所建立的 RG 清單,請參閱《管理指南》的為 Microsoft Azure 中部署之網繭建立的資源群組主題。
  • 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。

所有部署的先決條件

  • 確認所有準備工作皆已完成,如準備將 Horizon Cloud Pod 部署至 Microsoft Azure 中中所述。
  • 確認您具有訂閱資訊,如Horizon Cloud 網繭部署精靈的訂閱相關資訊中所述。
  • 確認您在 Microsoft Azure 訂閱中以及網繭的部署所在區域中,都有現有的虛擬網路,如在 Microsoft Azure 中設定所需的虛擬網路中所述。
    重要: 並非所有 Microsoft Azure 區域皆支援已啟用 GPU 的虛擬機器。如果您想要將網繭用於配備 GPU 的桌面或遠端應用程式,請確保您為網繭選取的 Microsoft Azure 區域可提供您想要使用的那些 NV 系列虛擬機器類型,且在此 Horizon Cloud 版本中支援。如需詳細資料,請參閱 https://azure.microsoft.com/zh-tw/regions/services/ 上的 Microsoft 說明文件。
  • 確認您的 VNet 已設定為指向可解析外部位址的 DNS。網繭部署工具必須能夠在 Horizon Cloud 控制平台中連線到外部位址,以安全地將網繭軟體下載到 Microsoft Azure 環境中。
  • 確認已符合網繭部署工具的 DNS、連接埠和通訊協定需求,如 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定需求中所述。
  • 如果您需要將 Proxy 用於連出網際網路存取,請確認您擁有 Proxy 組態的網路資訊和其所需的驗證認證 (若有的話)。網繭部署程序需要輸出網際網路存取。
  • 確認您至少具有一個要讓網繭用於時間同步化之 NTP 伺服器的資訊。NTP 伺服器可以是公用的 NTP 伺服器,或是您為此用途設定的個人 NTP 伺服器。您指定的 NTP 伺服器必須可從已設定的虛擬網路存取。如果您想要透過網域名稱 (而非數值 IP 位址) 來使用 NTP 伺服器,則也必須確定針對虛擬網路設定的 DNS 可解析 NTP 伺服器的名稱。
  • 如果您不想讓部署工具自動建立所需的子網路,請確認所需的子網路已預先建立,且存在於 VNet 上。如需預先建立所需子網路的步驟,請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時
    注意: 您在 VNet 上事先為網繭部署手動建立的子網路必須保持空白。請勿在這些子網路上放置任何資源,或以其他方式使用任何一個 IP 位址。如果子網路上已在使用某個 IP 位址,則網繭可能無法部署。
  • 如果您要讓部署工具建立所需的子網路,請確認您知道要在精靈中為管理子網路、桌面子網路和 DMZ 子網路輸入的位址範圍。當您需要外部 Unified Access Gateway 組態時,則需要 DMZ 子網路。此外,請確認那些範圍並未重疊。您可以使用 CIDR 標記法 (無類別網域間路由選擇標記法) 輸入位址範圍。如果輸入的子網路範圍彼此重疊,精靈將會顯示錯誤。管理子網路範圍必須使用至少 /27 的 CIDR。DMZ 子網路範圍必須使用至少 /28 的 CIDR。如果您想要讓管理子網路和 DMZ 子網路範圍維持共置狀態,您可以使用指定的 IP,指定與管理子網路類似的 DMZ 子網路範圍。例如,如果管理子網路為 192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。
    重要: 您在精靈的欄位中輸入的 CIDR 必須經過定義,使每個前置詞與位元遮罩的組合皆會讓 IP 位址範圍以該首碼作為起始 IP 位址。Microsoft Azure 需要以 CIDR 首碼作為範圍的開始。例如,192.168.182.48/28 的正確 CIDR 將會產生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且首碼會與起始 IP 位址 (192.168.182.48) 相同。但是,192.168.182.60/28 的不正確 CIDR 則會產生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且其起始 IP 位址會與首碼 192.168.182.60 不同。請確定您的 CIDR 會產生起始 IP 位址與 CIDR 首碼相符的 IP 位址範圍。
  • 如果您要讓部署工具建立所需的子網路,請確認具有那些位址範圍的子網路尚未存在於 VNet 上。在此案例中,部署工具本身將會使用您在精靈中提供的位址範圍自動建立子網路。如果精靈到偵測已有使用那些範圍的子網路存在,精靈將會顯示關於位址重疊的錯誤,且不會再繼續執行。此外,如果您的 VNet 為對等,請確認您計劃在精靈中輸入的 CIDR 位址空間已包含在 VNet 的位址空間中。

Unified Access Gateway 組態的先決條件

如果您計劃讓網繭使用 Unified Access Gateway 組態,則必須提供:

  • 使用者將用來存取服務的完整網域名稱 (FQDN)。從 2020 年 7 月季度服務版本所提供的新網繭資訊清單開始,在網繭上同時部署兩個閘道組態時,您必須為兩個閘道組態指定相同的 FQDN。同時使用外部和內部閘道組態部署網繭後,您必須將傳入的使用者用戶端流量設定為路由至適當的負載平衡器。其目標是要設定路由,以便將來自網際網路的用戶端流量路由至外部閘道的 Microsoft Azure 公用負載平衡器,以及將來自內部網路的用戶端流量路由至內部閘道的 Microsoft Azure 內部負載平衡器。由於這兩個閘道將具有相同的 FQDN,因此您可以設定分割 DNS (分割網域名稱系統),以根據使用者用戶端的 DNS 查詢的來源網路,將閘道位址解析為外部閘道或內部閘道。然後,用戶端位於網際網路時,可以將使用者用戶端中使用的相同 FQDN 路由至外部閘道,並在用戶端位於您的內部網路時,可以將其路由至內部閘道。
    重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
  • 以該 FQDN 為基礎且已簽署的 SSL 伺服器憑證 (PEM 格式)。Unified Access Gateway 功能需要 SSL 才能進行用戶端連線,如 Unified Access Gateway 產品說明文件中所述。憑證必須由受信任的憑證授權單位 (CA) 所簽署。單一 PEM 檔案必須包含完整憑證鏈結與私密金鑰。例如,單一 PEM 檔案必須包含 SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。OpenSSL 是您可以用來建立 PEM 檔案的工具。
    重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
  • 如果您使用外部 Unified Access Gateway 組態來部署,則必須指定 DMZ (非軍事區) 子網路。您可以採用以下兩種方式之一來提供此 DMZ 子網路:
    • 在 VNet 上預先建立 DMZ 子網路。使用此方法時,您也必須預先建立管理和桌面租用戶子網路。請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路中的步驟。
    • 讓部署工具在部署期間自動建立 DMZ 子網路。使用此方法,您必須擁有要在精靈中輸入為 DMZ 子網路的位址範圍,並確認範圍不會與管理和桌面租用戶子網路的範圍重疊。您可以使用 CIDR 標記法 (無類別網域間路由選擇標記法) 輸入位址範圍。如果輸入的子網路範圍彼此重疊,精靈將會顯示錯誤。DMZ 子網路範圍必須使用至少 /28 的 CIDR。如果您想要讓管理子網路和 DMZ 子網路範圍維持共置狀態,您可以使用指定的 IP,指定與管理子網路相同的 DMZ 子網路範圍。例如,如果管理子網路為 192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。另請參閱所有部署的先決條件中關於確保 IP 位址範圍為前置詞和位元遮罩組合 (使範圍具有與起始 IP 位址相同的前置詞) 的重要注意事項。
  • 如果您要使用外部 Unified Access Gateway 組態進行部署,並且想要停用讓組態的負載平衡器使用公用 IP 位址的功能,您必須指定已在 DNS 設定中對應的 IP 位址;此 IP 位址對應於您的使用者在其 Horizon 用戶端中進行 PCoIP 連線時所將使用的 FQDN。

如需關於 Unified Access Gateway 所需的 PEM 檔案考量事項的詳細資訊,請參閱將憑證檔案轉換為網繭部署所需的 PEM 格式

使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件

除了前述在使用 Unified Access Gateway 組態進行部署時的先決條件以外,在將外部閘道部署至其本身 VNet 或訂閱的使用案例中,還必須符合下列特定先決條件。使用本身的訂閱是使用本身 VNet 的特殊案例,因為 VNet 的範圍限制為訂閱,因此個別的訂閱必須有其本身的 VNet。

使用雙因素驗證組態部署時的先決條件

如果您想要使用雙因素驗證功能,或將其與內部部署的雙因素驗證伺服器搭配使用,請確認您的驗證伺服器組態中使用了下列資訊,而讓您可在網繭部署精靈的適當欄位中加以提供。如果您同時有主要和次要伺服器,請取得兩者的資訊。

  • 驗證伺服器的 IP 位址或 DNS 名稱
  • 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
  • 驗證連接埠號碼,通常為 1812 UDP 連接埠。
  • 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
    備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。