執行第一代網繭部署精靈之前,請確認您的環境符合這些先決條件。您必須擁有下列項目,以便您可以在網繭部署精靈中提供要求的值,並繼續執行精靈。
重要: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如
知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。
重要: 在啟動網繭部署精靈並開始部署網繭之前,除了以下需求以外,您還必須注意下列要點:
- 若要成功完成網繭部署,您或您的 IT 團隊在 Microsoft Azure 環境中設定的任何 Microsoft Azure 原則皆不可封鎖、拒絕或限制網繭元件的建立。此外,您必須確認 Microsoft Azure 原則的內建原則定義並未封鎖、拒絕或限制網繭元件的建立。以兩個必須獲得允許的項目為例,您和您的 IT 團隊必須確認,所有 Microsoft Azure 原則都不會封鎖、拒絕或限制在 Azure 儲存區帳戶建立元件,同時必須確認 Microsoft Azure 原則允許此 resourceType:Microsoft.MarketplaceOrdering/*。網繭部署程序要求接受由 VMware 的 vmware-inc publisherID 提供的 Azure Marketplace 產品。如需 Azure 原則的相關資訊,請參閱 Azure 原則說明文件。如需服務如何使用 Microsoft.MarketplaceOrdering/* 資源類型的相關資訊,請參閱當您的 IT 或安全組織針對 Azure Marketplace 產品使用或 Marketplace 訂購設有限制時。
- 網繭部署工具會要求您的 Azure 儲存區帳戶允許部署工具在訂閱的網繭資源群組中建立 Azure StorageV2 帳戶類型。此儲存區帳戶將用於網繭的 App Volumes 功能。在網繭部署程序期間中,請確定您的 Microsoft Azure 原則不會限制或拒絕建立需要使用 Azure StorageV2 帳戶類型的內容。
- 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。
所有部署的先決條件
- 確認所有準備工作皆已完成,如第一代租用戶 - 準備部署 Microsoft Azure 上的第一代 Horizon Cloud Pod中所述。
- 確認您具有訂閱資訊,如第一代租用戶 - Horizon Cloud Pod 部署精靈的訂閱相關資訊中所述。
- 確認您在 Microsoft Azure 訂閱中以及網繭的部署所在區域中,都有現有的虛擬網路,如第一代 Horizon Cloud --在 Microsoft Azure 中設定所需的虛擬網路中所述。
重要: 並非所有 Microsoft Azure 區域皆支援已啟用 GPU 的虛擬機器。如果您想要將網繭用於支援 GPU 的桌面或遠端應用程式,請確保您為網繭選取的 Microsoft Azure 區域可提供您想要使用的那些 NV 系列、NVv4 系列和 NCv2 系列虛擬機器類型,且在此 Horizon Cloud 版本中支援。如需詳細資料,請參閱 https://azure.microsoft.com/zh-tw/regions/services/ 上的 Microsoft 說明文件。
- 確認您的 VNet 已設定為指向可解析外部位址的 DNS。網繭部署工具必須能夠在 Horizon Cloud 控制平台中連線到外部位址,以安全地將網繭軟體下載到 Microsoft Azure 環境中。
- 確認已符合網繭部署工具的 DNS、連接埠和通訊協定需求,如 第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱和 第一代租用戶 - Horizon Cloud Pod - 連接埠和通訊協定需求中所述。
- 如果您需要將 Proxy 用於連出網際網路存取,請確認您擁有 Proxy 組態的網路資訊和其所需的驗證認證 (若有的話)。網繭部署程序需要輸出網際網路存取。
重要: 目前不支援在網繭部署於 Microsoft Azure 中後,編輯或更新網繭上的 Proxy 設定。此外,目前不支援將 Proxy 組態新增至未設定 Proxy 便部署的已部署網繭。
- 如果您希望網繭管理員執行個體和 Unified Access Gateway 執行個體使用至少一個 NTP 伺服器來進行時間同步,請確認您有該伺服器的相關資訊。NTP 伺服器可以是公用的 NTP 伺服器,或是您為此用途設定的個人 NTP 伺服器。必須能夠從您打算在其中部署網繭管理員執行個體和 Unified Access Gateway 執行個體的虛擬網路,來連線至您指定的 NTP 伺服器。如果您想要透過網域名稱 (而非數值 IP 位址) 來使用 NTP 伺服器,則也必須確定針對虛擬網路設定的 DNS 可解析 NTP 伺服器的名稱。
備註: 最佳做法是對網繭管理員執行個體、 Unified Access Gateway 執行個體和 Active Directory 伺服器,使用相同的 NTP 伺服器。當這些執行個體使用不同的 NTP 伺服器時,可能會導致時間誤差。之後當閘道嘗試驗證其桌面和應用程式的使用者工作階段時,這類時間誤差可能導致失敗。
- 如果您不想讓部署工具自動建立所需的子網路,請確認所需的子網路已預先建立,且存在於 VNet 上。如需預先建立所需子網路的步驟,請參閱第一代租用戶 - 在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路和第一代租用戶 - 在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時。
注意: 您在 VNet 上事先為網繭部署手動建立的子網路必須保持空白。請勿重複使用已有項目在這些子網路上使用 IP 位址的現有子網路。如果子網路上已在使用某個 IP 位址,則無法部署網繭以及其他下游 IP 衝突之類的問題很有可能發生。請勿在這些子網路上放置任何資源,或以其他方式使用任何一個 IP 位址。此注意事項包括從 Horizon Cloud 部署的網繭,請勿重複使用已有已部署網繭的子網路。
- 如果您要讓部署工具建立所需的子網路,請確認您知道要在精靈中為管理子網路、桌面子網路和 DMZ 子網路輸入的位址範圍。當您需要外部 Unified Access Gateway 組態時,則需要 DMZ 子網路。此外,請確認那些範圍並未重疊。您可以使用 CIDR 標記法 (無類別網域間路由選擇標記法) 輸入位址範圍。如果輸入的子網路範圍彼此重疊,精靈將會顯示錯誤。管理子網路範圍必須使用至少 /27 的 CIDR。DMZ 子網路範圍必須使用至少 /28 的 CIDR。如果您想要讓管理子網路和 DMZ 子網路範圍維持共置狀態,您可以使用指定的 IP,指定與管理子網路類似的 DMZ 子網路範圍。例如,如果管理子網路為 192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。
重要: 您在精靈的欄位中輸入的 CIDR 必須經過定義,使每個前置詞與位元遮罩的組合皆會讓 IP 位址範圍以該首碼作為起始 IP 位址。Microsoft Azure 需要以 CIDR 首碼作為範圍的開始。例如,192.168.182.48/28 的正確 CIDR 將會產生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且首碼會與起始 IP 位址 (192.168.182.48) 相同。但是,192.168.182.60/28 的不正確 CIDR 則會產生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且其起始 IP 位址會與首碼 192.168.182.60 不同。請確定您的 CIDR 會產生起始 IP 位址與 CIDR 首碼相符的 IP 位址範圍。
- 如果您要讓部署工具建立所需的子網路,請確認具有那些位址範圍的子網路尚未存在於 VNet 上。在此案例中,部署工具本身將會使用您在精靈中提供的位址範圍自動建立子網路。如果精靈到偵測已有使用那些範圍的子網路存在,精靈將會顯示關於位址重疊的錯誤,且不會再繼續執行。此外,如果您的 VNet 為對等,請確認您計劃在精靈中輸入的 CIDR 位址空間已包含在 VNet 的位址空間中。
Unified Access Gateway 組態的先決條件
如果您打算讓網繭使用 Unified Access Gateway 組態,您必須提供:
- 使用者將用來存取服務的完整網域名稱 (FQDN)。如果您打算對外部和內部閘道組態使用相同的 FQDN,則在部署網繭後,您必須設定傳入的使用者用戶端流量,使其路由至適當的閘道負載平衡器。其目標是要設定路由,以便將來自網際網路的用戶端流量路由至外部閘道的 Microsoft Azure 公用負載平衡器,以及將來自內部網路的用戶端流量路由至內部閘道的 Microsoft Azure 內部負載平衡器。在此案例中,這兩個閘道將具有相同的 FQDN,因此您可以設定分割 DNS (分割網域名稱系統),以根據使用者用戶端的 DNS 查詢的來源網路,將閘道位址見解為外部閘道或內部閘道。然後,用戶端位於網際網路時,可以將使用者用戶端中使用的相同 FQDN 路由至外部閘道,並在用戶端位於您的內部網路時,可以將其路由至內部閘道。
重要: 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時, Unified Access Gateway 執行個體的連線將會失敗。
- 以該 FQDN 為基礎且已簽署的 SSL 伺服器憑證 (PEM 格式)。Unified Access Gateway 功能需要 SSL 才能進行用戶端連線,如 Unified Access Gateway 產品說明文件中所述。憑證必須由受信任的憑證授權單位 (CA) 所簽署。單一 PEM 檔案必須包含完整憑證鏈結與私密金鑰。例如,單一 PEM 檔案必須包含 SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。OpenSSL 是您可以用來建立 PEM 檔案的工具。
重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
- 如果您使用外部 Unified Access Gateway 組態來部署,則必須指定 DMZ (非軍事區) 子網路。您可以採用以下兩種方式之一來提供此 DMZ 子網路:
- 在 VNet 上預先建立 DMZ 子網路。使用此方法時,您也必須預先建立管理和桌面租用戶子網路。請參閱第一代租用戶 - 在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路中的步驟。
- 讓部署工具在部署期間自動建立 DMZ 子網路。使用此方法,您必須擁有要在精靈中輸入為 DMZ 子網路的位址範圍,並確認範圍不會與管理和桌面租用戶子網路的範圍重疊。您可以使用 CIDR 標記法 (無類別網域間路由選擇標記法) 輸入位址範圍。如果輸入的子網路範圍彼此重疊,精靈將會顯示錯誤。DMZ 子網路範圍必須使用至少 /28 的 CIDR。如果您想要讓管理子網路和 DMZ 子網路範圍維持共置狀態,您可以使用指定的 IP,指定與管理子網路相同的 DMZ 子網路範圍。例如,如果管理子網路為 192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。另請參閱所有部署的先決條件中關於確保 IP 位址範圍為前置詞和位元遮罩組合 (使範圍具有與起始 IP 位址相同的前置詞) 的重要注意事項。
- 如果您要使用外部 Unified Access Gateway 組態進行部署,並且想要防止組態的負載平衡器使用公用 IP 位址的功能,您必須指定已在 DNS 設定中對應的 IP 位址;此 IP 位址對應於您的使用者在其 Horizon 用戶端中進行 PCoIP 連線時所將使用的 FQDN。
如需關於 Unified Access Gateway 所需的 PEM 檔案考量事項的詳細資訊,請參閱第一代租用戶 - 將憑證檔案轉換為第一代 Horizon Cloud Pod 部署所需的 PEM 格式。
使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件
備註: 使用本身的 VNet 部署外部閘道時,將會部署閘道連接器虛擬機器。在
Horizon Cloud Pod 的連接埠和通訊協定需求中,說明閘道連接器虛擬機器的連接埠和通訊協定的小節,也會提供此閘道連接器虛擬機器的說明,指出此閘道連接器虛擬機器的名稱包含
vmw-hcs-ID 之類的部分 (其中,
ID 是閘道的部署工具識別碼),以及
node 部分。
除了前述在使用 Unified Access Gateway 組態進行部署時的先決條件以外,在將外部閘道部署至其本身 VNet 或訂閱的使用案例中,還必須符合下列特定先決條件。使用本身的訂閱是使用本身 VNet 的特殊案例,因為 VNet 的範圍限制為訂閱,因此個別的訂閱必須有其本身的 VNet。
- 閘道的 VNet 必須與網繭的 VNet 對等。
- 確認所需的子網路已預先建立並存在於 VNet 上,或您預計要在精靈中輸入的 CIDR 位址空間已包含在 VNet 的位址空間中。由於 VNet 為對等,如果您在精靈中輸入的 CIDR 位址空間尚未包含在 VNet 的位址空間中,部署工具將無法自動擴充 VNet。如果發生這種情況,部署程序將會失敗。
提示: 最佳做法是預先建立子網路。如需預先建立所需子網路的步驟,請參閱 第一代租用戶 - 在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路和 第一代租用戶 - 在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時。
- 若要讓外部閘道使用個別的訂閱,請確認您具有訂閱資訊,如第一代租用戶 - Horizon Cloud Pod 部署精靈的訂閱相關資訊中所述。
- 如果您要對外部閘道使用個別的訂閱,且預計要將閘道部署至您建立的具名資源群組中,而非讓部署工具自動建立資源群組,請確認您已在該訂閱中建立該資源群組。您將在精靈中依名稱選取資源群組。此外,請確認您已為部署工具授與對該資源群組的必要存取權以便在其中運作,如第一代租用戶 - 當您的組織希望對第一代 Horizon Cloud 應用程式登錄使用自訂角色時中所述。
使用雙因素驗證組態部署時的先決條件
如果您計劃使用雙因素驗證功能,或將其與內部部署的雙因素驗證伺服器搭配使用,請確認您的驗證伺服器組態中具有下列資訊,以便您可在 [新增網繭] 精靈的必要欄位中提供這些資訊。
根據您擁有的類型,取得下列資訊。
- RADIUS
-
如果您要同時設定主要和輔助 RADIUS 伺服器的設定,請分別取得它們的資訊。
- 驗證伺服器的 IP 位址或 DNS 名稱
- 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
- 驗證連接埠號,對於 RADIUS,通常為 1812/UDP。
- 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
備註: 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比 MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
- RSA SecurID
-
備註: 執行資訊清單 3139.x 或更新版本的 Horizon Cloud on Microsoft Azure 部署可支援 RSA SecurID 類型。從 2022 年 3 月中旬開始,[新增網繭] 和 [編輯網繭] 精靈中用來指定 RSA SecurID 類型的 UI 選項將變為可見且可供選擇。
- RSA SecurID Authentication Manager 伺服器的存取金鑰。
- RSA SecurID 通訊連接埠號。依照 RSA SecurID 驗證 API 的 RSA Authentication Manager 系統設定中所設定,通常為 5555。
- RSA SecurID Authentication Manager 伺服器的主機名稱。
- RSA SecurID Authentication Manager 伺服器的 IP 位址。
- 如果 RSA SecurID Authentication Manager 伺服器或其負載平衡器伺服器具有自我簽署憑證,則您需要在 [新增網繭] 精靈中提供 CA 憑證。該憑證應為 PEM 格式 (檔案類型為
.cer、.cert或.pem)。
