這是您在執行網繭部署工具將以網繭管理員為基礎的網繭部署至 Microsoft Azure 訂閱並產生第一個雲端連線網繭時,所適用的高階步驟清單。此網繭類型以 VMware Horizon Cloud Pod 管理員技術為基礎 (不同於以 Horizon Connection Server 軟體元件為基礎的 Horizon 網繭)。在這第一個雲端連線網繭已完整部署,且您已完成將網繭的預定 Active Directory 網域登錄至 Horizon Cloud 的步驟後,您即可使用 Horizon Cloud 提供的所有功能,尤其是從該網繭為您的使用者佈建 VDI 桌面、RDSH 工作階段型桌面或 RDSH 型遠端應用程式。如果您的客戶帳戶設定為將 App Volumes 功能用於 Microsoft Azure 中的網繭,您也可以從這些 App Volumes 功能佈建應用程式,並將其授權給使用者。

重要: 以下這個工作流程不適用於 Azure VMware Solution (AVS) 上的 Horizon 網繭。AVS 上的 Horizon 網繭是 VMware SDDC 上的 Horizon 網繭,因為如 Microsoft 說明文件 教學課程:在 Azure 中部署 Azure VMware Solution 私有雲中所述,AVS 是 vSphere 叢集,而根據 VMware SDDC (軟體定義的資料中心) 的定義, vSphere 叢集是 VMware SDDC。下列 Tech Zone 文章會詳細說明 AVS 上的 Horizon 網繭: Azure VMware Solution 上的 Horizon 組態Azure VMware Solution 上的 Horizon 架構
重要: 管理主控台會動態反映目前服務層級上的可用項目。不過,如果您有某些雲端連線網繭尚未更新為網繭軟體的最新層級,則主控台不會顯示相依於最新網繭軟體層級的功能。此外,在特定版本中, Horizon Cloud 可能會包含單獨授權的功能,或僅適用於特定租用戶帳戶組態的功能。只有在您的授權或租用戶帳戶組態包含使用此類功能的權限時,主控台才會動態反映這些功能的相關元素。如需範例,請參閱 用於 Horizon Cloud 中管理工作的雲端式主控台導覽

若未在管理主控台中看到預期的功能時,請連絡您的 VMware 客戶代表,以確認您的授權和租用戶帳戶組態是否可授與其使用權限。

在部署您的第一個雲端連線網繭時,如果您要在 Horizon 通用主控台 中使用網繭部署精靈將網繭部署至 Microsoft Azure,請執行下列步驟。

  1. 滿足必要條件。請參閱 VMware Horizon Cloud Service on Microsoft Azure 新網繭部署的需求檢查清單
  2. Horizon Cloud 外執行準備工作。請參閱準備將 Horizon Cloud Pod 部署至 Microsoft Azure
  3. 確認您符合部署網繭的 DNS、連接埠和通訊協定需求。請參閱 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求使用 2019 年 9 月版本的資訊清單或更新版本之 Horizon Cloud 網繭的連接埠和通訊協定需求
  4. 部署網繭
  5. 將您的 Active Directory 網域登錄至已部署的網繭,包括提供服務帳戶的名稱。確保這些服務帳戶符合 Horizon Cloud 作業所需的服務帳戶中所述的需求
  6. 將適當的角色指派給組織中的個人,以便進行驗證以及在管理主控台中執行作業。Horizon Cloud 中使用兩種類型的角色。請參閱關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用雲端式主控台工作的最佳做法
  7. 在罕見的非典型情況下,租用戶環境在 Microsoft Azure 中已有 Horizon Cloud Pod 執行的資訊清單早於資訊清單 1600.0 時,則您必須將 Horizon Cloud 超級管理員角色指定給包含網域加入帳戶作為成員的 Active Directory 群組。請參閱《管理指南》中的將 Horizon Cloud 管理角色指派給 Active Directory 群組
  8. 選取您要讓租用戶的網繭在代理使用者的網繭佈建資源時使用的代理類型。請參閱 Universal Broker 和單一網繭代理的簡介及其相關主題和副主題。
    小心: 最佳做法是在將其他網繭部署至 Microsoft Azure 之前完成此代理選擇步驟。
  9. 與前述步驟相關,如果您在先前的步驟中選取單一網繭代理組態,且您計劃將 Workspace ONE Access 與網繭搭配使用,或者您計劃讓 Horizon Clients 直接連線至網繭 (而非透過網繭閘道組態),請執行下列步驟:
    • 在您的 DNS 伺服器中,將完整網域名稱 (FQDN) 對應至網繭管理員的 Microsoft Azure 負載平衡器 IP 位址
    • 取得基於該對應 FQDN 的 SSL 憑證

    您會根據已在 DNS 中與網繭管理員的 Microsoft Azure 負載平衡器 IP 位址相對應的 FQDN,將 SSL 憑證上傳至網繭,使連至網繭管理員虛擬機器的連線進行信任的連線。此類連線包括您提供該對應 FQDN 的使用者的 Horizon Clients,以及在單一網繭代理組態中將 Workspace ONE Access 與網繭整合時所使用的 Workspace ONE Access Connector。Workspace ONE Access Connector 必須使用與網繭管理員的 Microsoft Azure 負載平衡器 IP 位址相對應的 FQDN 連線至網繭。

    小心: 當您的環境針對單一網繭代理設定且您在整合 Workspace ONE Access 與網繭時,您必須將 SSL 憑證上傳至網繭,並設定 Workspace ONE Access Connector 以指向網繭,而非網繭的 Unified Gateway Access 組態。

    但請記住,當您根據 DNS 對應的 FQDN 上傳 SSL 憑證時,如果您嘗試藉由直接在瀏覽器中輸入該 FQDN 來連線,而非透過正確設定的 Workspace ONE Access 連線,則使用的純 FQDN 在瀏覽器中將會顯示為不受信任的連線。原因僅是在將該 FQDN 載入瀏覽器是使用 HTML Access (Blast) 的連線,而那是 HTML Access (Blast) 的預期行為。因此,當您將該 FQDN 載入瀏覽器時,會顯示一般的不受信任的憑證錯誤。

    在未於此組態類型中使用 Workspace ONE Access 的情況下,若要讓使用 HTML Access (Blast) 的連線 (一般是使用瀏覽器) 避免顯示不受信任的憑證錯誤,您必須在網繭上放置閘道組態,並讓這些連線使用來自該閘道組態的負載平衡器和 Unified Access Gateway 執行個體。如果您不想向網際網路公開您的 FQDN,則可以部署內部 Unified Access Gateway 組態。此內部 Unified Access Gateway 組態會使用公司網路內部使用者可連線到的 Microsoft Azure 內部負載平衡器。

  10. 如果您想要至少有前述步驟中所述的其中一個或兩個使用案例,請使用管理主控台中的網繭摘要頁面,將 SSL 憑證直接上傳至網繭。請參閱設定 Horizon Cloud 網繭的管理員虛擬機器上的 SSL 憑證
    提示: 如果您想要支援的唯一存取使用案例是,連線會透過連線到網繭 Unified Access Gateway 執行個體的負載平衡器前往這些執行個體,則直接上傳 SSL 憑證至網繭是多餘的。然而,執行前述步驟與此處的步驟是建議的做法,因為這可確保某天將您將 FQDN 提供給使用者在其 Horizon Clients 中輸入時,那些用戶端可以有信任的連線。執行前述步驟與此處的步驟也可讓您更快速地將單一網繭代理環境中的網繭與 Workspace ONE Access 整合,因為您已有對應的 FQDN 且 SSL 憑證已在網繭上備妥。
  11. 選用:如果您的 Horizon Cloud 租用戶帳戶尚未使用 VMware Cloud Services 參與平台上架,請考慮立即將其上架。上架至 VMware Cloud Services 參與平台是為您在 Microsoft Azure 中部署的網繭啟用 Horizon 基礎結構監控功能的必要條件。請參閱使用雲端式主控台將 Horizon Cloud 租用戶上架至 VMware Cloud Services 參與平台
  12. 選用:啟用 Horizon 基礎結構監控。此啟用的必要條件是必須將您的 Horizon Cloud 租用戶上架至 VMware Cloud Services 參與平台。請參閱 Horizon 基礎結構監控和您 Horizon Cloud 環境中的網繭
  13. 匯入基礎映像。如需匯入基礎映像的各種方式,請參閱為 Microsoft Azure 中的 Horizon Cloud Pod 建立桌面映像
  14. 在 Microsoft Azure 中為 Horizon Cloud Pod 建立桌面映像中所述,根據用來建立基礎映像的方法,新映像虛擬機器中的代理程式可能尚未與建立虛擬機器所在的網繭管理員虛擬機器配對。如果您看到訊息指出代理程式未配對,請使用 [已匯入的虛擬機器] 頁面的重設代理程式配對動作以完成該配對。
  15. 根據最終將使用映像的使用者指派類型,視需要執行下列一或多個步驟。
  16. 將該映像轉換為可指派的映像,也稱為密封或發佈映像。請參閱將已設定的虛擬機器轉換為可指派的映像
  17. 若要從已發佈的伺服器映像佈建工作階段型 RDSH 桌面和遠端應用程式:
    1. 建立提供工作階段桌面的桌面 RDSH 伺服器陣列,並建立讓使用者有權使用那些桌面的指派。請參閱建立伺服器陣列建立 RDSH 工作階段桌面指派
    2. 建立提供遠端應用程式的應用程式 RDSH 伺服器陣列,接著將應用程式新增至您的應用程式詳細目錄,並建立讓使用者有權使用那些遠端應用程式的指派。請參閱建立伺服器陣列從 RDSH 伺服器陣列匯入新的遠端應用程式以及建立遠端應用程式指派
  18. 若要從已發佈 VDI 桌面映像佈建 VDI 桌面,請建立專用或浮動的 VDI 桌面指派。請參閱關於您的 Horizon Cloud 環境在 Microsoft Azure 中網繭所適用的桌面指派及其建立這些桌面指派的相關小節。
  19. 若要將 App Volumes 應用程式佈建給您的使用者,請將 App Volumes 應用程式新增至應用程式詳細目錄,然後建立讓使用者有權使用這些應用程式的應用程式指派。然後,建立桌面指派以針對可讓這些使用者使用這些應用程式的基礎桌面授權使用者。應用程式指派會在使用者有權使用之桌面的 Windows 作業系統內,授權使用者使用其已獲授權的 App Volumes 應用程式。請參閱 App Volumes 應用程式 - 概觀和必要條件
  20. 如果網繭是使用閘道組態部署,則您必須在 DNS 伺服器中建立 CNAME 記錄,將您在部署精靈中輸入的完整網域名稱 (FQDN) 對應至該閘道的網繭中所設定的適當 Microsoft Azure 負載平衡器資源。
    • 對於啟用了公用 IP 位址的外部閘道,請將您在部署精靈中輸入的 FQDN 對應至閘道的 Microsoft Azure 負載平衡器資源自動產生的公用 FQDN。您的 DNS 伺服器記錄會將該 Microsoft Azure 負載平衡器自動產生的公用 FQDN 與您的使用者所將使用的 FQDN 對應 (此 FQDN 也會用於上傳的憑證中)。下列程式碼行為示範的範例。登錄 Active Directory 網域後,您可以在主控台的網繭詳細資料頁面中找到要使用的識別碼。如果外部閘道部署在其本身的 VNet 中,請使用部署識別碼欄位中顯示的識別碼。
      ourApps.ourOrg.example.com   vwm-hcs-ID-uag.region.cloudapp.azure.com
    • 對於沒有公用 IP 位址的內部閘道或外部閘道,請將您在部署精靈中輸入的 FQDN 對應至閘道的 Microsoft Azure 負載平衡器資源的私人 IP 位址。您的 DNS 伺服器記錄會將該 Microsoft Azure 負載平衡器的 IP 位址與您的使用者所將使用的 FQDN 對應 (此 FQDN 也會用於上傳的憑證中)。下列程式碼行為示範的範例。
      ourApps.ourOrg.example.com   Azure-load-balancer-private-IP

    在網繭上架,且您可以存取管理主控台中的 [容量] 頁面後,請導覽至 [容量] 頁面,以查看在您的 DNS 中對應 FQDN 時所需的vmw-hcs-識別碼-uag.region.cloudapp.azure.com值。若要進一步瞭解如何在主控台中找出 Microsoft Azure 負載平衡器的 FQDN,請參閱取得要在您的 DNS 伺服器中對應的網繭閘道的負載平衡器資訊

  21. 將網繭部署為對網繭的閘道使用 RADIUS 雙因素驗證時,您必須完成下列工作:
    • 如果您已使用 RADIUS 設定來設定外部閘道,並且該 RADIUS 伺服器無法在網繭所使用的相同 VNet 中連線,或無法在對等的 VNet 拓撲中連線 (如果您將外部閘道部署至其本身的 VNet 中),請確認並設定該 RADIUS 伺服器,以允許來自外部閘道負載平衡器的 IP 位址的用戶端連線。在外部閘道組態中,Unified Access Gateway 執行個體會嘗試與使用該負載平衡器位址的 RADIUS 伺服器連絡。若要允許連線,請確保已在 RADIUS 伺服器組態中將該外部閘道資源群組中的負載平衡器資源的 IP 位址指定為用戶端。
    • 如果您已設定內部閘道或外部閘道,且您的 RADIUS 伺服器可在網繭所使用的相同 VNet 中連線,請將 RADIUS 伺服器設定為允許來自 Microsoft Azure 必須與 RADIUS 伺服器進行通訊的閘道資源群組中所建立的適當 NIC 的連線。網路管理員會判斷 RADIUS 伺服器對網繭的 Azure 虛擬網路和子網路的網路可見度。您的 RADIUS 伺服器必須允許來自與網路管理員已為其提供 RADIUS 伺服器網路可見度的子網路對應的這些閘道 NIC 的 IP 位址的用戶端連線。Microsoft Azure 中的閘道資源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭完成更新後將成為作用中的 NIC。若要支援用於進行中網繭作業和每個網繭更新後的閘道與 RADIUS 伺服器之間的連線,請確定您已在 RADIUS 伺服器組態中將這四個 NIC IP 位址指定為用戶端。

    如需如何取得這些 IP 位址的相關資訊,請參閱使用所需的 Horizon Cloud Pod 閘道資訊更新您的 RADIUS 系統

完成上述工作流程步驟後,您的使用者可以使用 Horizon Client 或 Horizon HTML Access (Web Client) 來啟動其已授權的桌面和遠端應用程式:

  • 在設定為使用 Universal Broker 的環境中,透過在其用戶端中使用 Universal Broker 代理 FQDN。
  • 在設定為使用單一網繭代理的環境中,透過在其用戶端中使用您的 FQDN (即您在 DNS 中使用 CNAME 記錄所對應的)。

您可以在以上的每個步驟所連結的主題中找到如何完成每個工作流程步驟的深入詳細資料。