Horizon Cloud 部署指南 - VMware Horizon Cloud Service€¦ · 在 Microsoft Azure...
181
Horizon Cloud 部署指南 適用於從 2020 年 3 月 17 日開始的服務層級 VMware Horizon Cloud Service
Transcript of Horizon Cloud 部署指南 - VMware Horizon Cloud Service€¦ · 在 Microsoft Azure...
Horizon Cloud 部署指南
適用於從 2020 年 3 月 17 日開始的服務層級
VMware Horizon Cloud Service
您可以在 VMware 網站上找到 新的技術文件,網址如下:
https://docs.vmware.com/tw/
如果您對於本文件有任何意見,歡迎寄至:
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
Copyright © 2017-2020 VMware, Inc. 保留所有權利。 版權與商標資訊。
Horizon Cloud 部署指南
VMware, Inc. 2
目錄
在 Microsoft Azure、內部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud 4
1 Horizon Cloud 以及將網繭上架以成為雲端連線網繭的簡介 12新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針對 2020 年 3 月服
務版本更新 14
VMware Horizon 7 搭配 Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更新 23
2 將您的第一個雲端連線網繭上架至 Horizon Cloud 租用戶環境 27當您將 Horizon 7 網繭上架以使用 Horizon 訂閱授權或雲端主控服務搭配該網繭時 28
您將手動部署之現有 Horizon 7 網繭上架以作為 Horizon Cloud 租用戶環境第一個網繭時的高階工作流程 30
當您為第一個網繭部署選擇 Microsoft Azure 雲端容量時 60
藉由部署至 Microsoft Azure 以產生第一個雲端連線網繭時的高階工作流程 65
3 現在,您的第一個網繭已完整部署並連線至 Horizon Cloud 181
VMware, Inc. 3
在 Microsoft Azure、內部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud
此處提供的說明文件主題,可供您在剛收到歡迎使用 VMware Horizon 服務電子郵件,並且已準備好上架
您的第一個網繭時使用。此上架主題集會概述 Horizon 通用授權之間的關聯性 (此授權這可讓您使用雲端主
控服務和訂閱授權),並概述第一次將網繭上架至 Horizon Cloud 的程序。第一次上架十分重要,藉此您將
能夠利用 Horizon 訂閱授權、將現有的 Horizon 7 網繭上架至其相關的雲端主控服務、在 Microsoft Azure 中建立新的網繭,以及運用 VMware Horizon® Cloud Service™ 目前為雲端連線網繭提供的所有雲端主控
服務。
在兩種主要使用案例下,您會將現有的 Horizon 7 網繭上架至雲端:用來啟用該網繭的訂閱授權,以及讓
您使用 Horizon Cloud 為該類型網繭提供的雲端主控服務。您可以使用 Horizon Cloud 管理主控台在
Microsoft Azure 中上架網繭,以將該網繭部署至您的 Microsoft Azure 雲端訂閱中。
提示 如果您至少已有一個雲端連線網繭,則可以不參考此上架主題集,而改用隨附的管理主題集,以取
得在上架第一個網繭後繼續上架後續網繭的相關資訊。
n 上架第一個網繭與 Horizon 通用授權、與該授權相關聯的 My VMware 帳戶、您的 Horizon Cloud 租用
戶以及歡迎電子郵件之間的關聯性
n 上架需求檢查清單
n 這些上架主題的修訂歷程記錄
n 預定對象
n 關於螢幕擷取畫面
n Horizon Cloud 社群
n 連絡 VMware 支援
上架第一個網繭與 Horizon 通用授權、與該授權相關聯的 My VMware 帳戶、您的 Horizon Cloud 租用戶以及歡迎電子郵件之間的關聯性
大致上來說,這些元素之間的關聯性為:
1 取得訂閱授權。目前,Horizon 通用授權是所要取得的授權。此授權會與授權要求中使用的特定 My VMware 帳戶相關聯。
VMware, Inc. 4
2 VMware 會設定新的 Horizon Cloud 租用戶帳戶、將其與 Horizon 通用授權之相同且相關聯的 My VMware 帳戶產生關聯,並為該帳戶指定其中一個區域 Horizon Cloud 控制平面執行個體。授權要求中
的資訊可用來判斷哪個區域控制平面執行個體適用於租用戶帳戶。這些區域控制平面執行個體會與主控
雲端控制平面的資料中心相關,如 Horizon Cloud Service 說明和服務層級協定頁面中提供的服務說明
文件中所述。
3 VMware 會將歡迎使用 VMware Horizon 服務電子郵件傳送至在步驟 1 的 My VMware 帳戶中設定且
與授權相關聯的電子郵件地址。如需此歡迎電子郵件的範例,請參閱下方的螢幕擷取畫面。在其他資訊
中,電子郵件會指出與租用戶帳戶相關聯的 My VMware 帳戶和區域。
備註 基於已知問題,顯示在電子郵件中的區域可能會呈現為系統字串名稱,例如 USA、
EU_CENTRAL_1、AP_SOUTHEAST_2、PROD1_NORTHCENTRALUS2_CP1、PROD1_NORTHEUROPE_CP1 和
PROD1_AUSTRALIAEAST_CP1。
Horizon Cloud 部署指南
VMware, Inc. 5
4 收到電子郵件後,您可以閱讀其中包含的資訊,並使用 [開始使用] 區段中的超文字連結開啟 URL,以
前往主要目的地,例如租用戶環境入口網站 (名為 Horizon Cloud 管理主控台)、Horizon 7 Cloud Connector 軟體下載位置和線上說明文件。
重要 首次收到電子郵件後,較謹慎的做法是使用初始 My VMware 帳戶登入租用戶環境入口網站,然後為
那些您要使其能夠上架網繭和管理已上架網繭的人員新增額外 My VMware 帳戶。在上架您的第一個網繭
之前即新增這些人員,可預防發生無法存取租用戶帳戶的狀況和存取延遲,例如,如果原有人員已離職,
而您的團隊中沒有其他人知道登入的認證。在上架網繭時必須存取您的租用戶帳戶,以及執行相關工作流
程,例如重新設定 Horizon 7 Cloud Connector。如果對租用戶帳戶的存取因主要人員離職而中斷,您必須
向 VMware 提出支援要求,以更新租用戶帳戶相關聯的 My VMware 帳戶,而這可能會導致您對上架和管
理入口網站的登入出現延遲。
如需新增其他 My VMware 帳戶以登入租用戶帳戶的步驟,請參閱新增登入 Horizon Cloud 租用戶環境的管
理員。
取得授權 您必須先取得授權,因為屆時 VMware 才會產生您的 Horizon Cloud 租用戶
帳戶和環境。
您在雲端控制平面中的新
Horizon Cloud 租用戶帳
戶
即便將訂閱授權用於現有的 Horizon 7 網繭,是您唯一的使用案例,且您不
打算將雲端主控的服務用於網繭,您的 Horizon Cloud 租用戶帳戶仍然十分
重要。此租用戶帳戶對您十分重要的原因是,相同的租用戶帳戶會同時用
來:
n 登入 Horizon 7 Cloud Connector 上架和管理入口網站。Horizon 7 Cloud Connector 入口網站可用來將 Horizon 7 網繭上架至雲端以使用訂
閱授權,以及啟用雲端主控的服務。在您完成 Horizon 7 網繭的初始上
架後,您可以隨時登入 Horizon 7 Cloud Connector 入口網站,以管理連
接器本身的功能。
n 登入 Horizon Cloud 租用戶環境入口網站 (名為 Horizon Cloud 管理主控
台)。Horizon Cloud 租用戶環境入口網站可用來新增其他管理員,讓他
們除了能使用已取得授權的初始 My VMware 帳戶以外,也能使用
Horizon 7 Cloud Connector 上架和管理入口網站。此租用戶環境入口網
站也可用來存取雲端主控的服務 (例如雲端監控服務的監控儀表板和報
告),以及用來部署至 Microsoft Azure 的網繭部署精靈。此入口網站名
為 Horizon Cloud 管理主控台。
租用戶帳戶如何與授權的
相關 My VMware 帳戶建
立關聯
在 初取得 Horizon 通用授權時必須使用 My VMware 帳戶。因此,My VMware 帳戶是向新建立 Horizon Cloud 租用戶帳戶和環境登錄的初始帳
戶,且會用於 Horizon Cloud 租用戶帳戶的登入認證 (前述的兩個入口網站
都會使用)。租用戶帳戶建立後,系統會將歡迎使用 VMware Horizon 服務
電子郵件傳送至該 My VMware 帳戶所設定的特定電子郵件地址。下列螢幕
擷取畫面顯示歡迎郵件。您必須確保您或組織中的某人能夠從與用來購買訂
閱授權之 My VMware 帳戶相關聯的電子郵件帳戶取得歡迎電子郵件,如此
您才能使用該電子郵件中的連結進行 Horizon 7 Cloud Connector 的下載、
開啟 Horizon Cloud 租用戶入口網站,和執行其他作業。
Horizon Cloud 部署指南
VMware, Inc. 6
下列螢幕擷取畫面顯示歡迎電子郵件的範例,並指出參考 My VMware 帳戶
之處。
您的新 Horizon Cloud 租用戶環境及其入口網站
即使您還沒有任何雲端連線網繭,當您收到來自 VMware 的歡迎電子郵件
後,相關聯的 My VMware 帳戶即可登入這個新建立的 Horizon Cloud 租用
戶環境。但在此初次建立期間,租用戶環境入口網站只能讓您存取單一初始
畫面,以及該畫面內少部分的雲端主控工作流程動作。
下列螢幕擷取畫面顯示您第一次建立租用戶帳戶時的入口網站。後續清單將
說明您在上架第一個網繭前可在該畫面中執行的主要動作。
Horizon Cloud 部署指南
VMware, Inc. 7
提示 按一下該入口網站畫面中的一般設定列,可查看下方主要動作的其中
兩個。
n 在內部部署資料列中,瞭解如何上架內部部署 Horizon 7 網繭。
n 從新增雲端容量資料列的新增按鈕,瞭解如何將 Horizon 7 網繭上架至
VMware Cloud on AWS 中的 SDDC 容量。
n 從相同新增雲端容量資料列的新增按鈕,將網繭部署至 Microsoft Azure 中。
n 新增您要使其能夠登入 Horizon 7 Cloud Connector 上架和管理入口網站
以及 Horizon Cloud 管理主控台 (租用戶環境的入口網站) 的管理員。依
Horizon Cloud 部署指南
VMware, Inc. 8
預設系統會在該處預先填入用來設定租用戶的 My VMware 帳戶。因
此,您會看到該資料列以綠色核取記號標示。但這只是因為在建立租用
戶環境時,一律會有一個與租用戶帳戶相關聯的初始 My VMware 帳戶。
提示 若要防止使用因故成為非作用狀態 (例如相關人員離職) 的初始 My VMware 帳戶進行存取,而導致同時遭到您的租用戶環境和 Horizon 7 Cloud Connector 的封鎖,較謹慎的做法是即使尚未上架任何網繭在收
到歡迎使用 Horizon 服務電子郵件時隨即新增其他管理員。
n 啟用雲端監控服務 (CMS)。依預設會啟用 CMS,因此您會看到該資料列
以綠色核取記號標示。此時,即使尚未將任何網繭上架,您仍可以選擇
將該功能切換為關閉。
提示 您必須有已上架的網繭,而網繭必須已啟動並處於線上狀態,並且與雲端管理平面進行通訊,同時
具有已向租用戶環境登錄的 Active Directory 網域,您才能在此入口網站中存取前述四項以外的其他動作和
工作流程。在 Active Directory 網域登錄工作流程完成之前,此入口網站會封鎖對其他管理動作的存取。如
需此工作流程的相關資訊,請參閱執行您在 Horizon Cloud 環境中的第一個 Active Directory 網域登錄。
上架需求檢查清單
如果您的第一個網繭上架會將您的 Horizon 訂閱授權用於現有的 Horizon 7 網繭,在開始進行此上架說明
文件集中所述的步驟之前,請先閱讀 VMware Horizon 7 搭配 Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更新。該主題說明要將 Horizon 7 網繭成功連線至 Horizon Cloud 所需的各種先決條件元
素。在 Horizon 7 網繭連線至雲端後,系統會將 Horizon 訂閱授權從雲端推送至網繭,此時您即可開始在
租用戶入口網站本身內為該網繭啟用雲端主控的服務。
如果您的第一個網繭上架位於 Microsoft Azure 中,在開始進行此上架說明文件集中所述的步驟之前,請先
閱讀新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針對 2020 年 3 月服務版本更新。該主題說明將第一個網繭成功部署至 Microsoft Azure 所需的各種先決條件元素。
這些上架主題的修訂歷程記錄
此主題的說明文件集會隨每個產品版本或在必要時更新。
下表提供更新歷程記錄。
Horizon Cloud 部署指南
VMware, Inc. 9
修訂版本 說明
2020 年 3 月
17 日初始版本,當所述功能已實際部署至生產環境時。
本文件說明 新的服務功能。
n 對於使用 Microsoft Azure 容量的網繭,某些新功能與此服務版本於生產環境中上線時新提供的網繭資訊清單版
本無關,而某些新功能需要新的網繭資訊清單版本,如此您才能利用那些功能。如需與此服務版本對應的網繭資
訊清單版本,以及需要該 新網繭資訊清單版本的新功能清單,請參閱服務 3.0 版本的版本說明。
針對雲端連線 Horizon 7 網繭, 新功能會對應於 Horizon 7 元件 7.12 版及更新版本,並使用 Horizon 7 Cloud Connector 1.6 版及更新版本連線至雲端控制平面。
預定對象
本文件中的資訊適用於下列領域知識、具經驗的資料中心管理員。
n VMware Horizon
n VMware Horizon® 7 Cloud Connector™
n VMware Unified Access Gateway™
n VMware Workspace ONE® Access™
n 虛擬化技術
n 網路功能
n VMware Cloud™ on AWS (VMware Cloud)
n VMware Horizon® 7 on VMware Cloud™ on AWS
n Microsoft Azure
關於螢幕擷取畫面
螢幕擷取畫面通常:
n 僅顯示整體使用者介面畫面當中與螢幕擷取畫面出現之處文字相對應的部分,而不一定會顯示完整的使
用者介面。
n 會視情況而有模糊區域,以便讓資料保持隱密。
n 在 PDF 格式中,寬度超過 6 英寸的螢幕擷取畫面影像會自動調整大小。因此,此類影像的 PDF 格式
可能會顯得模糊。在平行 HTML 頁面中,您可以按一下此類較寬的螢幕擷取畫面影像,以檢視完整大
小的影像。
備註 有些螢幕擷取畫面是以比其他畫面更高的解析度建立,因此在 PDF 中以 100% 的比例檢視時可能會
較為粗糙。但放大到 200% 時,這些影像就會變得清晰可讀。
Horizon Cloud 部署指南
VMware, Inc. 10
Horizon Cloud 社群
使用下列社群來提出問題、瀏覽其他使用者提問的解答,以及存取連結以取得有用的資訊。
n VMware Horizon Cloud Service 社群,網址為 https://communities.vmware.com/community/vmtn/horizon-cloud-service
n VMware Horizon Cloud on Microsoft Azure 子社群,網址為 https://communities.vmware.com/community/vmtn/horizon-cloud-service/horizon-cloud-on-azure,它是 VMware Horizon Cloud Service 社群的子社群。
連絡 VMware 支援
當您需要 Horizon Cloud 環境的相關協助時,請連絡 VMware 支援。
n 您可以使用您的 My VMware® 帳戶將支援要求線上提交至 VMware 支援,或透過電話提交。
n KB 2144012 《客戶支援準則》可視發生的問題而定,提供取得支援的詳細資訊。
n 在管理主控台中,按一下 > 支援,此外也會顯示該 KB 2144012 的連結。
VMware 技術出版品詞彙
VMware 技術出版品提供您可能不熟悉的術語詞彙。如需 VMware 技術說明文件中所用術語的定義,請造
訪 http://www.vmware.com/support/pubs。
Horizon Cloud 部署指南
VMware, Inc. 11
Horizon Cloud 以及將網繭上架以成為雲端連線網繭的簡介 1您的整體 Horizon Cloud 租用戶環境由 VMware 主控的雲端服務,以及已部署至其對應的容量環境中、並
連線至雲端服務的網繭所組成。網繭 (包含在支援的容量環境中部署的 VMware 軟體) 在適當上架後,即會
成為雲端連線網繭。至少有一個網繭完全上架至您的租用戶環境時,您可以接著上架其他網繭,以組成雲
端連線網繭的機群。若要使用您租用戶環境中的雲端連線網繭機群,以及服務所提供的桌面即服務功能,
您必須登入並使用租用戶環境的入口網站,即 Horizon Cloud 管理主控台。
Horizon Cloud 由 VMware 主控的雲端控制平面,可對虛擬桌面和應用程式進行集中協調和
管理。
雲端連線的網繭 VMware 軟體已部署至受支援的容量環境,且上架至雲端控制平面。支援的
容量環境如同 Microsoft Azure 雲端或 VMware Cloud™ on AWS 或內部部
署基礎結構。其中的每個容量環境分別可用於特定的網繭類型:
n Microsoft Azure 訂閱中的網繭
n Horizon 7 內部部署網繭
n VMware Cloud on AWS 中的 Horizon 7
根據您所使用的容量環境類型,您可以使用 Horizon Cloud 管理主控台來自動部署網繭並連線至 Horizon Cloud。某些網繭類型即使無法自動部署和設定,您仍可將這些網繭上架至 Horizon Cloud。
如需網繭上架概念的高階概觀,請參閱在 Microsoft Azure、內部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud。
Horizon Cloud 控制平面
VMware 會在雲端裝載 Horizon Cloud 控制平面。此雲端服務可讓使用者集中協調和管理虛擬桌面、遠端
桌面工作階段及遠端應用程式。雲端服務也會管理您的網繭。網繭的實體位於您提供的容量環境中。當您
登入雲端服務時,您就可以看到所有網繭,並對這些網繭執行管理活動,而不必理會這些網繭的實體位於
何處。
VMware 負責裝載服務,以及提供軟體即服務體驗的功能更新和增強功能。Horizon Cloud 是多租用戶環
境,具有數個區域控制平面執行個體。每個區域控制平面執行個體分別對應於其主控地理位置資料中心,
如 VMware Horizon 服務說明和服務層級協定頁面中提供的服務說明文件所述。您的租用戶帳戶在建立時
會與特定的區域執行個體產生關聯。
VMware, Inc. 12
雲端控制平面也可裝載名為 Horizon Cloud 管理主控台 (或簡稱管理主控台) 的常用管理使用者介面。管理
主控台可在業界標準的瀏覽器中執行。它可讓 IT 管理員從單一位置執行涉及使用者指派和虛擬桌面、遠端
桌面工作階段以及應用程式的管理工作。您可以隨時隨地存取管理主控台,而保有 大的彈性。
重要 管理主控台會動態反映目前服務層級上的可用項目。不過,如果您有某些雲端連線網繭尚未更新為
網繭軟體的 新層級,則管理主控台不會顯示相依於 新網繭軟體層級的功能。此外,在特定版本中,
Horizon Cloud 可能會包含單獨授權的功能,或僅適用於特定租用戶帳戶組態的功能。只有在您的授權或租
用戶帳戶組態包含使用此類功能的權限時,管理主控台才會動態反映這些功能的相關元素。如需範例,請
參閱《Horizon Cloud 管理指南》中 Horizon Cloud 管理主控台主題的導覽。
若未在管理主控台中看到預期的功能時,請連絡您的 VMware 客戶代表,以確認您的授權和租用戶帳戶組
態是否可授與其使用權限。
可以連線至 Horizon Cloud 的網繭類型
此 Horizon Cloud 版本提供下列部署類型。
備註 若要將網繭連線到 Horizon Cloud 或對自動部署使用管理主控台,您的客戶帳戶必須具有適當的授
權。如需授權資訊,請連絡您的 VMware 客戶代表。
Horizon Cloud 部署指南
VMware, Inc. 13
表 1-1. 網繭部署類型
部署類型 說明
位於您內部部署基礎結構中的 VMware Horizon 7 網繭
在您的內部部署基礎結構中部署 Horizon 7 Cloud Connector 並加以設定,以將網
繭連線至 Horizon Cloud。
您在 VMware Cloud on AWS SDDC 中手動安
裝和設定的 VMware Horizon 7 網繭
在您的 VMware Cloud on AWS SDDC 中部署 Horizon 7 Cloud Connector 並加以
設定,以將網繭連線至 Horizon Cloud。
由 Horizon Cloud 部署至您的 Microsoft Azure 雲端容量中的 Horizon Cloud Pod
使用 Horizon Cloud 管理主控台的自動部署精靈進行網繭部署。
重要 對於生產環境,請確保用於伺服器陣列和桌面指派的虛擬機器型號至少有兩 (2) 個 CPU。VMware 規模測試顯示,使用 2 個或更多 CPU 可避免非預期的使用者連線問題。即使系統不會防止您選擇具有單一
CPU 的虛擬機器型號,您也應僅將此類虛擬機器型號用於測試或概念驗證。
重要 在啟動網繭部署精靈並開始部署網繭之前,除了以下需求以外,您還必須注意下列要點:
n 若要成功完成網繭部署,您或您的 IT 團隊在 Microsoft Azure 環境中設定的任何 Microsoft Azure 原則
皆不可封鎖、拒絕或限制網繭元件的建立。此外,您必須確認 Microsoft Azure 原則的內建原則定義並
未封鎖、拒絕或限制網繭元件的建立。舉例來說,您和您的 IT 團隊必須確認您的任何 Microsoft Azure 原則都並未封鎖、拒絕或限制在 Azure 儲存體帳戶上建立元件的作業。如需 Azure 原則的相關資訊,
請參閱 Azure 原則說明文件。
n 使用網繭部署工具時,您的 Azure 儲存體帳戶必須允許部署工具使用 Azure StorageV1 帳戶類型。請
確定您的 Microsoft Azure 原則並未限制或拒絕建立需要 Azure StorageV1 帳戶類型的內容。
n 在網繭和閘道部署程式程序中,Horizon Cloud 會在您的 Microsoft Azure 訂閱中建立不含標記的資源
群組 (RG),包括為協調這些部署程序之暫時性 Jumpbox 所建立的初始資源群組。如果您嘗試將網繭
部署至 Microsoft Azure 訂閱中,且在部署時、網繭升級時或將閘道組態新增至網繭時有任何類型的資
源標記需求,則網繭部署將會失敗。您必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭
未標記的資源群組。如需部署工具所建立的 RG 清單,請參閱《管理指南》的為 Microsoft Azure 中部
署之網繭建立的資源群組主題。
n 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。
本章節討論下列主題:
n 新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針對 2020 年 3 月服務版本更新
n VMware Horizon 7 搭配 Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更新
新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針對 2020 年 3 月服務版本更新
此檢查清單將引導您準備 Microsoft Azure 訂閱和網路,以進行從 Horizon Cloud 到 Microsoft Azure 的網
繭部署。確保如下所述滿足這些需求,以同時完成成功的新網繭部署,以及成功完成部署網繭後所需完成
的那些重要工作。
Horizon Cloud 部署指南
VMware, Inc. 14
本說明文件主題中的章節如下:
n Horizon Cloud 控制平面需求
n Microsoft Azure 訂閱需求
n 網路需求
n 連接埠和通訊協定需求
n 網繭部署工作流程
n Active Directory 需求
n DNS 記錄需求
n Horizon Cloud 基礎映像、桌面和伺服器陣列
n Microsoft Windows 作業系統的授權
n 參考架構
n 資源
此檢查清單主要適用於在 2020 年 3 月服務版本後建立的 Horizon Cloud 客戶帳戶,以及尚未將其第一個網
繭部署到 Microsoft Azure 的使用者。當此類全新帳戶部署其第一個網繭時,該網繭會使用 新的網繭資訊
清單版本進行部署。成功部署網繭的需求主要取決於網繭資訊清單版本。雲端控制平面可能也會決定成功
部署的需求。
以下所列的部分需求是網繭部署本身的需求。有些則是在網繭部署後執行重要工作的需求,目的是要讓生
產租用戶環境能夠為使用者提供網繭佈建的桌面和應用程式。
網繭部署本身的需求 n Horizon Cloud 控制平面需求
n Microsoft Azure 訂閱需求
n 網路需求
n 連接埠和通訊協定需求
n 網繭部署工作流程
部署網繭後的生產環境需
求n Active Directory 需求
n DNS 記錄需求
n Horizon Cloud 基礎映像、桌面和伺服器陣列
Horizon Cloud 部署指南
VMware, Inc. 15
n Microsoft Windows 作業系統的授權
重要 在啟動網繭部署精靈並開始部署網繭之前,除了以下需求以外,您還必須注意下列要點:
n 若要成功完成網繭部署,您或您的 IT 團隊在 Microsoft Azure 環境中設定的任何 Microsoft Azure 原則
皆不可封鎖、拒絕或限制網繭元件的建立。此外,您必須確認 Microsoft Azure 原則的內建原則定義並
未封鎖、拒絕或限制網繭元件的建立。舉例來說,您和您的 IT 團隊必須確認您的任何 Microsoft Azure 原則都並未封鎖、拒絕或限制在 Azure 儲存體帳戶上建立元件的作業。如需 Azure 原則的相關資訊,
請參閱 Azure 原則說明文件。
n 使用網繭部署工具時,您的 Azure 儲存體帳戶必須允許部署工具使用 Azure StorageV1 帳戶類型。請
確定您的 Microsoft Azure 原則並未限制或拒絕建立需要 Azure StorageV1 帳戶類型的內容。
n 在網繭和閘道部署程式程序中,Horizon Cloud 會在您的 Microsoft Azure 訂閱中建立不含標記的資源
群組 (RG),包括為協調這些部署程序之暫時性 Jumpbox 所建立的初始資源群組。如果您嘗試將網繭
部署至 Microsoft Azure 訂閱中,且在部署時、網繭升級時或將閘道組態新增至網繭時有任何類型的資
源標記需求,則網繭部署將會失敗。您必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭
未標記的資源群組。如需部署工具所建立的 RG 清單,請參閱《管理指南》的為 Microsoft Azure 中部
署之網繭建立的資源群組主題。
n 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。
Horizon Cloud 控制平面需求
☐ 用來登入 Horizon Cloud 控制平面的作用中 My VMware 帳戶。
Microsoft Azure 訂閱需求
☐ 支援的 Microsoft Azure 環境 (公用 Azure、Azure China、Azure Germany 和 Azure Government) 中的有效 Microsoft Azure 訂閱。如果您要使用閘道本身的訂閱在個別的 VNet 中部署選用的外部 Unified Access Gateway,則在相同的
Microsoft Azure 環境中必須要有額外的有效 Microsoft Azure 訂閱。
☐ 該 Microsoft Azure 訂閱中的有效 Microsoft Azure 管理權限。如需其他資訊,請參閱 Microsoft 說明文件中的開始使用
Azure 入口網站中的角色型存取控制。
Horizon Cloud 部署指南
VMware, Inc. 16
☐ 在預期的桌面和應用程式工作負載以外可用於 Horizon Cloud 基礎結構的 Microsoft Azure 容量下限。請注意,只要有
此容量可供使用,Horizon Cloud 就會自動部署這些虛擬機器,而無須手動安裝。
n 網繭部署引擎,也稱為 Jumpbox (暫時性) — 1 個 Standard_F2
n 已啟用高可用性的網繭/網繭管理員 — 2 個 Standard_D4_v3 (如果區域中沒有 Standard_D4_v3,則為 2 個
Standard_D3_v2)
n 未啟用高可用性的網繭/網繭管理員 — 1 個 Standard_D4_v3 (如果區域中沒有 Standard_D4_v3,則為 1 個
Standard_D3_v2)
n 適用於 PostgreSQL 的 Microsoft Azure 資料庫服務 — 第 5 代、記憶體 佳化、2 個虛擬核心、10 GB 的儲存區
n 外部 Unified Access Gateway (選用) — 2 個 Standard_A4_v2
n 內部 Unified Access Gateway (選用) — 2 個 Standard_A4_v2
備註 網繭部署完成後,您在 Microsoft Azure 雲端中的容量也將必須容納您在該網繭中建立的基礎映像、虛擬桌面和
RDSH 伺服器陣列。請參閱下方的 Horizon Cloud 基礎映像、桌面和伺服器陣列章節。
外部 Unified Access Gateway 可以選擇性地使用與網繭相同的訂閱或不同的訂閱部署至其本身的 Microsoft Azure 虛擬
網路 (VNet) 中。將外部 Unified Access Gateway 部署至其本身的 VNet 中時,外部 Unified Access Gateway 部署所
在的訂閱中需要下列容量:
n 外部 Unified Access Gateway 部署引擎,也稱為閘道 Jumpbox (暫時性) — 1 個 Standard_F2
n 外部閘道連接器 — 1 個 Standard_A1_v2
n 外部 Unified Access Gateway — 2 個 Standard_A4_v2
☐ 為每個訂閱建立的服務主體和驗證金鑰。如需其他詳細資訊,請參閱使用入口網站建立可存取資源的 Azure Active Directory 應用程式和服務主體。
☐ 必須為每個服務主體指派適當的角色,以允許 Horizon Cloud 必須在訂閱中執行的動作。此角色可以是在訂閱層級上允
許必要動作的參與者角色或自訂角色。當您在個別訂閱的現有資源群組中部署外部閘道組態時,可以為該訂閱的服務
主體設定更精細的權限。如需關於必要角色動作的其他詳細資料,請參閱 Horizon Cloud 在您的 Microsoft Azure 訂閱
中所需的作業。
☐ 在每個 Microsoft Azure 訂閱中登錄的必要資源提供者。請參閱藉由建立應用程式登錄來建立 Horizon Cloud Pod 部署
工具所需的服務主體中的步驟 8.b。
☐ 已識別的 Microsoft Azure 訂閱識別碼、目錄識別碼、應用程式識別碼和金鑰。
☐ 如果您將在使用本身訂閱的個別 VNet 中部署選用的外部 Unified Access Gateway,且您的組織需要使用由您控制且並
非由網繭部署工具所建立的資源群組,則可以使用該功能將外部 Unified Access Gateway 部署至您自己指定的資源群
組。若要使用該功能,您必須先在該訂閱中建立該資源群組,然後才能執行網繭部署工具。您也需要確保具備必要的
權限,以讓網繭部署工具將 Unified Access Gateway 組態部署至該資源群組、管理組態,以及更新標準網繭升級程序
中的 Unified Access Gateway 軟體。如需必要權限的詳細資料,請參閱 Horizon Cloud 在您的 Microsoft Azure 訂閱中
所需的作業。
Horizon Cloud 部署指南
VMware, Inc. 17
網路需求
☐ 在所需的 Microsoft Azure 區域中建立 Microsoft Azure 虛擬網路 (VNet),且有適當的位址空間可涵蓋所需的子網路。
如需其他詳細資訊,請參閱 Azure 虛擬網路。
將選用的外部 Unified Access Gateway 部署至其本身的 VNet (與網繭的 VNet 不同) 時,請在與網繭的 VNet 相同的
Microsoft Azure 區域中建立該 Unified Access Gateway VNet,並提供適當的位址空間來涵蓋所需的子網路,且兩個
VNet 必須為對等。
☐ 在網繭的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
n 管理子網路 — 至少 27
n 租用戶子網路 — 至少 27,優先使用 /24 - /22,視桌面和 RDS 伺服器的數目而定
n DMZ 子網路 — 在網繭的 VNet 中部署 Unified Access Gateway 時,至少 /28 (選用)
子網路可以在 VNet 上手動建立,或是在部署期間由 Horizon Cloud 建立。如果使用手動建立的子網路,則無法連結任
何其他資源。
☐ 將選用的外部 Unified Access Gateway 部署至與網繭 VNet 不同的 VNet 時,在 Unified Access Gateway 的 VNet 中為子網路保留 3 個非重疊的位址範圍 (採用 CIDR 格式)。
n 管理子網路 — 至少 27
n 後端子網路 — 至少 27,優先使用 /24 - /22,視桌面和 RDS 伺服器的數目而定
n DMZ (前端) 子網路 — 至少 /28
子網路可以在 VNet 上手動建立,或是在部署期間由 Horizon Cloud 建立。如果使用手動建立的子網路,則無法連結任
何其他資源。在此使用案例中,通常會手動建立子網路。
☐ 可從 Horizon Cloud Pod 和 Unified Access Gateway 執行個體使用和存取的一或多個 NTP 伺服器。
☐ 設定 VNet (虛擬網路) DNS 伺服器,指向可解析內部機器名稱和外部名稱的有效 DNS 伺服器。
☐ 在 VNet 上對必須可解析且可使用特定連接埠和通訊協定來連線的特定 DNS 名稱進行輸出網際網路存取。在執行部署
和進行中的作業時需要此功能,請參閱 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求和使用 2019 年 9 月版本
資訊清單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定需求。
☐ 在執行 Horizon Cloud 環境的部署和進行中作業期間使用的 VNet 中進行輸出網際網路存取時可能需要的 Proxy 伺服器
資訊 (選用)
☐ 已設定 Microsoft Azure VPN/Express 路由 (選用)
☐ 用於外部或內部使用者存取的 FQDN (使用 Unified Access Gateway 部署網繭時需要)。
☐ 符合 FQDN 且採用 PEM 格式的一或多個 Unified Access Gateway 憑證 (使用 Unified Access Gateway 部署網繭時需
要)。
☐ 對內部部署 RADIUS 驗證伺服器進行雙因素驗證 (選用)
n Unified Access Gateway 用來解析驗證伺服器名稱的 DNS 位址
n Unified Access Gateway 用來解析驗證伺服器網路路由的路由
連接埠和通訊協定需求
☐ 為您 Horizon Cloud 環境上架網繭和進行中作業時需要特定的連接埠和通訊協定。請參閱使用 2019 年 9 月版本資訊清
單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定需求。
網繭部署工作流程
上述項目是開始網繭部署精靈之前所需的項目。確定您有上述項目後,請依照藉由部署至 Microsoft Azure 以產生第一個雲端連線網繭時的高階工作流程中的網繭部署步驟 1 到 4 來部署網繭。
Horizon Cloud 部署指南
VMware, Inc. 18
然後,在網繭部署成功後,請確保您已具備下一節中所述的項目,以便您可以完成該高階工作流程中的剩
餘重要步驟。
Active Directory 需求
☐ 下列其中一項支援的 Active Directory 組態:
n 透過 VPN/Express Route 連線的內部部署 Active Directory 伺服器
n 位於 Microsoft Azure 中的 Active Directory 伺服器
n Microsoft Azure Active Directory 網域服務
☐ 支援的 Active Directory 網域服務 (AD DS) 網域功能性層級:
n Microsoft Windows Server 2003
n Microsoft Windows Server 2008 R2
n Microsoft Windows Server 2012 R2
n Microsoft Windows Server 2016
☐ 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。
☐ 網域繫結帳戶
n 有權對 AD 中的物件進行讀取的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)
n 將帳戶密碼設定為永不到期
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
☐ 輔助網域繫結帳戶 — 不可使用前述的相同帳戶
n 有權對 AD 中的物件進行讀取的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)
n 將帳戶密碼設定為永不到期
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
☐ 網域加入帳戶
n 系統可用來執行 Sysprep 作業並將電腦加入網域的 Active Directory 網域加入帳戶,通常是新帳戶 (網域加入使用
者帳戶)
n 是 Horizon Cloud 管理員群組的成員
n 將帳戶密碼設定為永不到期
n 此帳戶需要下列 Active Directory 權限:列出內容、讀取全部內容、讀取權限、重設密碼、建立電腦物件、刪除電
腦物件
n 此帳戶也需要您計劃用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU) 的所有子系物件上,名為「寫入全部內
容」的 Active Directory 權限。
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
☐ 輔助網域加入帳戶 (選用,不可使用前述的相同帳戶)
n 系統可用來執行 Sysprep 作業並將電腦加入網域的 Active Directory 網域加入帳戶,通常是新帳戶 (網域加入使用
者帳戶)
n 是 Horizon Cloud 管理員群組的成員
n 將帳戶密碼設定為永不到期
n 此帳戶需要下列 Active Directory 權限:列出內容、讀取全部內容、讀取權限、重設密碼、建立電腦物件、刪除電
腦物件
n 此帳戶也需要您計劃用於伺服器陣列和 VDI 虛擬桌面的目標組織單位 (OU) 的所有子系物件上,名為「寫入全部內
容」的 Active Directory 權限。
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
Horizon Cloud 部署指南
VMware, Inc. 19
☐ Active Directory 群組
n Horizon Cloud 管理員 — Horizon Cloud 管理員的 Active Directory 安全群組。包含 Horizon Cloud 管理使用者和
網域加入帳戶。此群組會新增至 Horizon Cloud 中的超級管理員角色。
n Horizon Cloud 使用者 — 使用者的 Active Directory 安全群組,將有權在 Horizon Cloud 中存取虛擬桌面和 RDS 工作階段型桌面與已發佈的應用程式。
☐ 虛擬桌面和 RDS 工作階段型桌面和/或已發佈應用程式適用的一或多個 Active Directory 組織單位 (OU)。
DNS 記錄需求
將網繭部署至 Microsoft Azure 雲端後,並根據您的業務狀況和您想要利用的功能,請務必在可將完整網域
名稱 (FQDN) 與網繭相關 IP 位址對應的 DNS 伺服器中設定記錄。
☐ 為外部使用者存取建立符合 FQDN 的公用 DNS 記錄,指向網繭外部 Unified Access Gateway 組態中的 Microsoft Azure 外部負載平衡器 (部署的網繭具有該組態時需要)。如需其他詳細資料,請參閱為 Azure 雲端服務設定自訂網域
名稱。
☐ 為內部使用者存取建立符合 FQDN 的內部 DNS 記錄,指向網繭內部 Unified Access Gateway 組態中的 Microsoft Azure 內部負載平衡器 (部署的網繭具有該組態時需要)。
☐ 為網繭的 VMware Workspace ONE Access 連線建立,且與您要上傳至網繭本身之憑證相符的內部 DNS 記錄,指向
網繭管理員的 Microsoft Azure 內部負載平衡器。在您想要將 VMware Workspace ONE Access 與網繭搭配使用時需
要。
備註 在您想要讓內部使用者直接連線至網繭 (而非要求他們連線至網繭上的內部 Unified Access Gateway 組態) 的極
少數非典型使用案例中,也會使用此內部 DNS 記錄以及符合並上傳至網繭本身的憑證。這種直接連線是不常見的使用
案例。一般情況下會改用內部 Unified Access Gateway。
☐ 為網繭的 VMware Workspace ONE Access 連線建立,且與上述內部 DNS 記錄相符的憑證鏈結 (CA 憑證、SSL 憑證、SSL 金鑰檔案)。如需其他詳細資訊,請參閱將 SSL 憑證上傳至 Horizon Cloud Pod 以進行直接連線。(如果您使
用讓內部使用者直接連線至網繭的非典型使用案例,則也需使用。直接連線是罕見的使用方式。通常會改用內部
Unified Access Gateway。)
Horizon Cloud 基礎映像、桌面和伺服器陣列
您的 Microsoft Azure 訂閱必須符合下列需求,這取決於您想要從已部署網繭佈建的主要映像、VDI 桌面和
RDS 伺服器陣列的類型。
Horizon Cloud 部署指南
VMware, Inc. 20
☐ 主要映像的基礎 — 其中一個支援的 Microsoft Azure 虛擬機器組態。
n Standard_D4_v3 或 Standard_D2_v2
n Standard_NV6
☐ VDI 桌面指派中的桌面虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態 (與
Horizon Cloud 桌面作業不相容的除外)。
對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。
☐ 伺服器陣列中的 RDSH 虛擬機器模式選取項目 — Microsoft Azure 區域中任何可用的 Microsoft Azure 虛擬機器組態
(與 Horizon Cloud RDS 伺服器陣列作業不相容的除外)。
當該虛擬機器與 Horizon Cloud 搭配使用時,此需求也適用於執行 Microsoft Windows 10 企業版多重工作階段的虛擬
機器。如 Microsoft Azure Windows 虛擬桌面說明文件的 Microsoft Windows 10 企業版多重工作階段常見問題集中所
述,Microsoft Windows 10 企業版多重工作階段是一種遠端桌面工作階段主機 (RDSH) 類型,可允許多個並行的互動
式工作階段,此功能先前只有 Microsoft Windows Server 作業系統可提供。適用於 RDS 伺服器的 Horizon Cloud 工作
流程,即適用於 Microsoft Windows 10 多重工作階段。
對於生產環境,VMware 規模測試建議使用至少有 2 個 CPU 或更大的模式。
Microsoft Windows 作業系統的授權
這些項目與基礎主機映像、具有 RDSH 功能之伺服器陣列虛擬機器和虛擬桌面虛擬機器中的 Microsoft Windows 作業系統有關。如需 Horizon Cloud 支援的 Microsoft Windows 作業系統清單,請參閱 VMware 知識庫文章 78170 和 VMware 知識庫文章 70965。
Horizon Cloud 不會提供您在使用 Horizon Cloud 工作流程的過程中使用 Microsoft Windows 作業系統所需
的任何客體作業系統授權。您身為客戶有責任具備有效且合格的 Microsoft 授權,如此您才有權建立您選擇
要在 Horizon Cloud 租用戶環境中使用的 Windows 桌面虛擬機器和 RDSH 虛擬機器,並對其執行工作流
程和操作。所需的授權取決於您預期使用方式。
提示 如需 Windows 10 企業版多重工作階段和 Windows 7 企業版的 Microsoft Windows 虛擬桌面授權的
相關資訊,請參閱 Microsoft Azure 說明文件主題 Windows 虛擬桌面定價。
☐ 下列一或多個類型的授權:Microsoft Windows 7 企業版、Microsoft Windows 10 (用戶端類型)
☐ Microsoft Windows 10 企業版多重工作階段的授權
☐ 下列一或多個類型的授權:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
☐ Microsoft Windows RDS 授權伺服器 — 針對高可用性,建議使用備援授權伺服器
☐ Microsoft RDS 使用者和/或裝置 CAL
參考架構
請參考下方的架構圖。
Horizon Cloud 部署指南
VMware, Inc. 21
圖 1-1. 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與網繭相同之 VNet 中的外部閘道,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
管理網路
管理員Horizon Cloud
控制平台 網際網路外部
使用者內部
使用者
閘道 VPN 或
ExpressRoute
Microsoft Azure負載平衡器
PostgresDB
基礎 虛擬機器
已發佈的映像
RG: vmw-hcs-<podID>-pool-1001
RG: vmw-hcs-<podID>-pool-100n
RG: vmw-hcs-<podID>-base-vms
RG: vmw-hcs-<podID>-jumpbox
虛擬機器:Jumpbox (暫存)
NIC/IP
RG: vmw-hcs-<podID>
虛擬機器: 網繭
管理員 1
虛擬機器: 網繭
管理員 2
DMZ網路
公用 IP
虛擬機器:
UnifiedAccess
Gateway 1
虛擬機器:
UnifiedAccess
Gateway 2
虛擬機器:
UnifiedAccess
Gateway 1
虛擬機器:
UnifiedAccess
Gateway 2
Microsoft Azure負載平衡器
RG: vmw-hcs-<podID>-uag
RG: vmw-hcs-<podID>-uag-internal
租用戶網路
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
Microsoft Azure內部負載平衡器
2 個具有 IPsec 通道的 VPN 閘道
已連線至外部網路
VPN 閘道(選用)
VPN 閘道(選用)
Horizon Cloud 部署指南
VMware, Inc. 22
圖 1-2. 外部閘道部署到其自己的 VNet (與網繭的 VNet 不同),以及部署到由網繭部署工具建立的資源群
組時,外部閘道架構元素的圖解
VNet-2 的管理子網路
管理員 網際網路Horizon Cloud
控制平面外部
使用者
虛擬機器:Jumpbox (暫存)
暫時性 Jumpbox 的 RG
NIC/IP
虛擬機器:
連接器
外部
閘道連接器
虛擬機器的 RG
外部閘道
資源的 RG
NIC/IP
VNet-2 的 DMZ(前端) 子網路
VNet-2
虛擬機器: UAG-1
Microsoft Azure負載平衡器
負載平衡器 IP
VNet-2 的後端子網路
NIC/IP
NIC/IP
NIC/IP
虛擬機器: UAG-2
NIC/IP
NIC/IP
NIC/IP
資源
如需其他資訊,請參閱下列資源。
n VMware Horizon Cloud Service 說明文件頁面,內含產品指南和版本說明的連結
n VMware Unified Access Gateway 說明文件頁面
n VMware Horizon Cloud on Microsoft Azure 的快速入門教學課程
n Microsoft Azure 資源管理員概觀 (5 分鐘)
n 使用入口網站建立 Microsoft Azure 服務主體 (6 分鐘)
n Microsoft Azure 虛擬網路 (VNet) (5 分鐘)
n Microsoft Azure 虛擬網路對等 (6 分鐘)
VMware Horizon 7 搭配 Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更新
完成下列工作,在內部部署或 VMware Cloud on AWS 中備妥 Horizon 7 環境,以與 Horizon Cloud 連線。
請確實依照下述完成每個步驟以成功完成部署。
n Horizon Cloud 控制平面需求
Horizon Cloud 部署指南
VMware, Inc. 23
n Active Directory 需求
n Horizon 7 網繭和 Horizon 7 Cloud Connector 需求
n 連接埠和通訊協定需求
n 授權
Horizon Cloud 控制平面需求
☐ 用來登入 Horizon Cloud 控制平面的作用中 My VMware 帳戶。
☐ 有效的 Horizon 通用授權。如需詳細資訊,請參閱 Horizon 通用授權頁面。
Active Directory 需求
☐ 支援的 Active Directory 網域服務 (AD DS) 網域功能性層級:
n Microsoft Windows Server 2008
n Microsoft Windows Server 2008 R2
n Microsoft Windows Server 2012
n Microsoft Windows Server 2012 R2
n Microsoft Windows Server 2016
☐ 在您連接或部署這些網繭時,所有雲端連線網繭必須對相同組 Active Directory 網域具有直視性。
☐ 網域繫結帳戶
n 有權對 AD 中的物件進行讀取的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)
n 將帳戶密碼設定為永不到期
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
☐ 輔助網域繫結帳戶 — 不可使用前述的相同帳戶
n 有權對 AD 中的物件進行讀取的 Active Directory 網域繫結帳戶 (具有讀取權的標準使用者)
n 將帳戶密碼設定為永不到期
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
☐ 網域加入帳戶
n 系統可用來執行 Sysprep 作業並將電腦加入網域的 Active Directory 網域加入帳戶,通常是新帳戶 (網域加入使用
者帳戶)
n 是 Horizon Cloud 管理員群組的成員
n 將帳戶密碼設定為永不到期
n 此帳戶需要下列 Active Directory 權限:列出內容、讀取全部內容、讀取權限、重設密碼、建立電腦物件、刪除電
腦物件
n 此帳戶也需要您計劃用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU) 之 OU 子系物件上,名為「寫入全部內
容」的 Active Directory 權限。
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
Horizon Cloud 部署指南
VMware, Inc. 24
☐ 輔助網域加入帳戶 (選用,不可使用前述的相同帳戶)
n 系統可用來執行 Sysprep 作業並將電腦加入網域的 Active Directory 網域加入帳戶,通常是新帳戶 (網域加入使用
者帳戶)
n 是 Horizon Cloud 管理員群組的成員
n 將帳戶密碼設定為永不到期
n 此帳戶需要下列 Active Directory 權限:列出內容、讀取全部內容、讀取權限、重設密碼、建立電腦物件、刪除電
腦物件
n 此帳戶也需要您計劃用於伺服器陣列和 VDI 桌面指派的目標組織單位 (OU) 之 OU 子系物件上,名為「寫入全部內
容」的 Active Directory 權限。
n 如需其他詳細資訊和需求,請參閱 Horizon Cloud 對其作業所需的服務帳戶
☐ Active Directory 群組
n Horizon Cloud 管理員 — Horizon Cloud 管理員的 Active Directory 安全群組。包含 Horizon Cloud 管理使用者和
網域加入帳戶。此群組會新增至 Horizon Cloud 中的超級管理員角色。
n Horizon Cloud 使用者 — 使用者的 Active Directory 安全群組,將有權在 Horizon Cloud 中存取虛擬桌面和 RDS 工作階段型桌面與已發佈的應用程式。
Horizon 7 網繭和 Horizon 7 Cloud Connector 需求
☐ 至少執行 Horizon 7 7.10 或更新版本的 Horizon 7 網繭。若要將 新的雲端服務和功能用於雲端連線網繭,該網繭必須
執行 新版本 Horizon 7 7.12。
☐ Horizon 7 Cloud Connector 虛擬應用裝置, 低版本為 1.5 或更新版本。若要將 新的雲端服務和功能用於雲端連線
網繭,該網繭必須執行 新版本 Horizon 7 Cloud Connector 1.6 版。
n 靜態 IP
n DNS 正向和反向查閱記錄
☐ Horizon 7 Cloud Connector 虛擬應用裝置的資源需求:
n 1.5 版:8 個 vCPU、8 GB 的記憶體 (RAM)、40 GB 的硬碟
n 1.6 版 ( 新版本):8 個 vCPU、8 GB 的記憶體 (RAM)、40 GB 的硬碟
重要 除了為 Horizon 7 管理元件 (例如連線伺服器虛擬機器、Unified Access Gateway 虛擬機器) 和其他元件保留容
量以外,您也應規劃 Horizon 7 Cloud Connector 元件的保留容量。Horizon 7 Cloud Connector 是一項部署至 Horizon 7 網繭環境中的基礎結構元件,可將 Horizon 7 網繭連線至 Horizon Cloud,以供將 Horizon 訂閱授權和雲端主控服務
用於該網繭的使用案例使用。
☐ 將 Horizon 7 Cloud Connector 與 Horizon 7 連線伺服器配對時,在網繭上架程序中使用的 Active Directory 使用者。
此 Active Directory 使用者必須具有 Horizon 7 在根存取群組上預先定義的管理員角色,如 Horizon 7 網繭的 Horizon Console 在全域管理員視圖 > 角色權限 > 管理員中所顯示。換句話說,為網繭上架程序指定的 Active Directory 使用
者,即為該網繭的超級使用者,如 Horizon 7 說明文件的 Horizon Console 管理指南中所述。
連接埠和通訊協定需求
☐ Horizon 7 Cloud Connector 和 Horizon Cloud 租用戶環境的進行中作業需要特定的連接埠和通訊協定。請參閱使用
Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求。
☐ 有效的 Horizon 通用授權。如需詳細資訊,請參閱 Horizon 通用授權頁面。
Horizon Cloud 部署指南
VMware, Inc. 25
授權
Horizon Cloud 不會提供您在使用 Horizon Cloud 工作流程的過程中使用 Microsoft Windows 作業系統所需
的任何客體作業系統授權。您身為客戶有責任具備有效且合格的 Microsoft 授權,如此您才有權建立您選擇
要在 Horizon Cloud 租用戶環境中使用的 Windows 桌面虛擬機器和 RDSH 虛擬機器,並對其執行工作流
程和操作。下表所列項目的特定需求,將取決於您所選擇要在租用戶環境中使用的類型。
☐ 下列一或多個類型的授權:Microsoft Windows 7、Microsoft Windows 10
☐ 下列一或多個類型的授權:Microsoft Windows Server 2012 R2、Microsoft Server 2016、Microsoft Server 2019
☐ Microsoft Windows RDS 授權伺服器 — 針對高可用性,建議使用備援授權伺服器
☐ Microsoft RDS 使用者和/或裝置 CAL
Horizon Cloud 部署指南
VMware, Inc. 26
將您的第一個雲端連線網繭上架至 Horizon Cloud 租用戶環境 2在您開始進行 VMware Horizon® Cloud Service™ 旅程之初,請參考本指南中的主題。在此旅程一開始
時,您的 Horizon Cloud 租用戶環境會是全新的,沒有任何雲端連線網繭。第一步是在這個全新的環境中
上架網繭。該網繭將是您的第一個雲端連線網繭。其後的主題將說明如何取得目前適用於 Horizon Cloud 之任一種網繭類型的第一個雲端連線網繭。
如需取得 Horizon Cloud 租用戶環境的程序及其與上架網繭有何關聯的高階說明,請參閱在 Microsoft Azure、內部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud。
下列螢幕擷取畫面所呈現的範例,說明您第一次登入帳戶時全新 Horizon Cloud 環境所將呈現的樣貌。
第一個網繭的畫面會圍繞在新增容量的概念上。在此,您可以將新增容量看作在不同的容量環境中部署網
繭,並將這些網繭連線至您的整體 Horizon Cloud 環境。
VMware, Inc. 27
畫面上文字的意義 這些文字與您第一個雲端連線網繭的關聯性
了解如何新增內部部署容量... 當您想要讓第一個雲端連線的網繭成為您在內部部署或在 VMware Cloud on AWS 中手動設定的現有 Horizon 7 網繭時,請使用此選項。按一下使用者介面中用來通
知您下載 Horizon Cloud Connector 的連結。然後,遵循您將手動部署之現有
Horizon 7 網繭上架以作為 Horizon Cloud 租用戶環境第一個網繭時的高階工作流程
主題中的步驟。
新增雲端容量 ... Microsoft Azure 雲端 當您想要讓您的第一個雲端連線網繭是透過精靈驅動所建立,且自動將網繭部署至
Microsoft Azure 時,請使用此選項。此程序完成後,該網繭就會成為您的第一個雲
端連線網繭。如果您想要以此方式產生第一個雲端連線網繭,請參閱當您為第一個
網繭部署選擇 Microsoft Azure 雲端容量時主題及其副主題以瞭解如何繼續操作。
新增雲端容量 ... VMware Cloud on AWS 當您想要讓第一個雲端連線的網繭成為位於 VMware Cloud on AWS 中的 Horizon 7 網繭時,請使用此選項。當您的 Horizon Cloud 客戶帳戶具有標準組態時,按一
下新增,然後 VMware Cloud on AWS 選項會通知您下載 Horizon Cloud Connector。然後,遵循您將手動部署之現有 Horizon 7 網繭上架以作為 Horizon Cloud 租用戶環境第一個網繭時的高階工作流程中的步驟。
將第一個網上架至租用戶環境後,您可以使用隨附的 《Horizon Cloud 管理指南》,以瞭解如何使用該第
一個雲端連線網繭完成 Active Directory 網域登錄工作流程。網域登錄完成後,您繼續參考這個隨附的
《Horizon Cloud 管理指南》,以瞭解您可以透過 Horizon Cloud 執行的所有工作流程,包括新增其他網
繭。在該指南中,請從 Horizon Cloud 簡介主題、開始使用 Horizon Cloud 環境及其副主題開始閱讀。
備註 n 如果您在 VMware Cloud on AWS 中有想要連線至 Horizon Cloud 的手動建立 Horizon 7 網繭,則可以
使用新增內部部署容量工作流程來連接這個現有的網繭。如果這是您完成的第一個新增容量工作流程,
該網繭就會成為您的第一個雲端連線網繭。開始進行本文件中所述的步驟之前,另請參閱 VMware Horizon 7 搭配 Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更新。該檢查清單中明確
列出要在 VMware Cloud on AWS 中成功部署第一個網繭所需的各種先決條件元素。
n 如果您要新增 Microsoft Azure 雲端容量作為第一個雲端連線網繭,在開始進行此文件說明的步驟之
前,另請參閱 新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針
對 2020 年 3 月服務版本更新。該檢查清單中明確列出要在 Microsoft Azure 中成功部署第一個網繭所
需的各種先決條件元素。
本章節討論下列主題:
n 當您將 Horizon 7 網繭上架以使用 Horizon 訂閱授權或雲端主控服務搭配該網繭時
n 當您為第一個網繭部署選擇 Microsoft Azure 雲端容量時
當您將 Horizon 7 網繭上架以使用 Horizon 訂閱授權或雲端主控服務搭配該網繭時
其中 Horizon Cloud 使用者介面表示內部部署容量,而 VMware Cloud on AWS 雲端容量是您在內部部署
基礎結構或您的 VMware Cloud on AWS SDDC 中手動安裝和設定的 VMware Horizon 7 網繭。您可以針
對兩個主要使用案例將此類 Horizon 7 網繭上架至 Horizon Cloud 租用戶環境:對 Horizon 7 網繭套用訂閱
授權,以及對該網繭使用雲端主控的服務。在該網繭上啟用訂閱授權時,該啟用也可讓您能夠利用這些雲
端主控服務。此類服務包括雲端連線網繭的功能和工作流程。這兩個使用案例都需要使用 VMware
Horizon Cloud 部署指南
VMware, Inc. 28
Horizon® 7 Cloud Connector™,也就是將 Horizon 7 部署與 Horizon Cloud 雲端式管理平面連線的元件。
該連線可用來將訂閱授權套用至您的 Horizon 7 部署,以及啟用雲端主控服務,例如雲端監控服務
(CMS)。
如需第一次將任何支援的網繭類型上架至雲端控制平面之程序的高階說明,請參閱在 Microsoft Azure、內
部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud。
虛擬 機器
CS
管理服務
系統健全狀況
Cloud Connector
Horizon 7 網繭
雲端監控服務 (CMS)
授權服務
AD
Horizon Cloud 管理平面
Horizon API
重要 您的 Horizon Cloud 環境可以包含 Microsoft Azure、Horizon 7 網繭內部部署和 VMware Cloud on AWS 中的網繭。如此一來,所有那些雲端連線的網繭皆必須對相同的 Active Directory 網域集合具有直視
性。如果您的環境在 Microsoft Azure 中已具有網繭,而您要連線您的第一個 Horizon 7 網繭,您必須確保
在連線該 Horizon 7 網繭時,該 Horizon 7 網繭對已向 Horizon Cloud 環境登錄的 Active Directory 網域具
有直視性。如需 Active Directory 網域登錄工作流程的詳細資料,請參閱執行您在 Horizon Cloud 環境中的
第一個 Active Directory 網域登錄。
使用 Horizon 7 Cloud Connector 為 Horizon 7 網繭啟用訂閱授權和啟用雲端主控服務
Horizon 7 Cloud Connector 是虛擬應用裝置,會將 Horizon 7 網繭與 Horizon Cloud 橋接。將雲端主控服
務與您的 Horizon 7 網繭 (包括 Horizon 7 訂閱授權、健全狀況狀態儀表板和 Horizon Help Desk Tool) 搭配
使用時,需要 Horizon 7 Cloud Connector。
Horizon 7 訂閱授權 Horizon 7 訂閱授權可透過獨立 Horizon 7 套件取得,並且隨附於
Workspace ONE Enterprise 服務包。Horizon 7 訂閱授權提供相同的產品,
但部署選項更具彈性。Horizon 7 訂閱授權可讓您在資料中心、私有雲和
VMware Cloud on AWS 中部署 Horizon 7。當您完成使用 Horizon 7 Cloud Connector 將網繭上架至 Horizon Cloud 的步驟後,VMware 即會啟用您的
訂閱授權。在 48 小時內,授權服務即會將授權套用至該雲端連線網繭,並
且在 Horizon 7 管理的授權畫面中顯示訊息:
Horizon Cloud 部署指南
VMware, Inc. 29
您必須擁有作用中的 My VMware 帳戶,才能透過 https://my.vmware.com 購買 Horizon 7 授權。然後,您會收到歡迎電子郵件,其中具有以 OVA 檔案
形式下載 Horizon 7 Cloud Connector 的連結。
當您從 vSphere Web Client 部署 Horizon 7 Cloud Connector 虛擬應用裝置
時,需要將 Cloud Connector 與要連線至 Horizon Cloud 以使用訂閱授權或
雲端主控環境服務之網繭的連線伺服器進行配對。作為配對程序的一部分,
Horizon 7 Cloud Connector 虛擬應用裝置會將連線伺服器連線至 Horizon Cloud 以管理 Horizon 7 訂閱授權和其他服務。利用 Horizon 7 訂閱授權,
您不需要手動輸入 VMware Horizon 7 產品啟用的 Horizon 7 授權金鑰。不
過,您需要使用這些授權金鑰來啟用支援的元件,例如 vSphere、App Volumes 和其他元件。
適用於 Horizon 7 網繭的
雲端主控服務
當您已完成使用 Horizon 7 Cloud Connector 將網繭連線到 Horizon Cloud 的步驟時,除了套用訂閱授權之外,您還可以利用由 Horizon Cloud 提供的
這些雲端主控服務、功能和工作流程,以及根據該訂閱授權可供您使用的服
務,例如雲端監控服務 (CMS)。請參閱簡介 Horizon Cloud 中所提供雲端監
控服務的整合可見度、健全狀況監控和服務台功能。
您將手動部署之現有 Horizon 7 網繭上架以作為 Horizon Cloud 租用戶環境第一個網繭時的高階工作流程
此處列出您將第一個網繭 (此網繭是手動部署的現有 Horizon 網繭) 上架至 Horizon Cloud 租用戶環境時的
高階步驟。手動部署的網繭是指您使用內部部署容量或使用 VMware Cloud on AWS 容量手動安裝及設定
的網繭。為您的第一個雲端連線網繭完成這些上架步驟後,訂閱授權即會套用至這個已上架的 Horizon 7 網繭,且您可以開始使用 Horizon Cloud 為該網繭類型提供的雲端主控服務,包括雲端監控服務 (CMS)。此時,您也可以上架其他網繭。
下圖顯示其整體流程。
Horizon Cloud 部署指南
VMware, Inc. 30
虛擬 機器
vAPP
取得 Horizon 通用/訂閱授權
使用靜態 IP 將 Horizon 7 Cloud Connector OVA 下載並部署至 Horizon 7 網繭
將網繭的 AD 網域登錄至 Horizon Cloud
將已部署的 Horizon 7 Cloud Connector 和網繭與 Horizon Cloud 配對
開始此工作流程之前,您必須已安裝和設定 Horizon 7 網繭。如需手動安裝您可以搭配此 Horizon Cloud 版本使用的 Horizon 7 網繭的相關資訊:
n 若要使用內部部署容量手動安裝網繭,請從 Horizon 7 說明文件頁面參閱 Horizon 7 新版本的相關安
裝資訊。
n 若要使用 VMware Cloud on AWS 容量手動安裝網繭,請在 VMware Cloud on AWS 上的 Horizon 7 產品頁面參閱在 VMware Cloud on AWS 上部署 Horizon 7 的 佳做法指南。
在兩種主要使用案例下,您會將現有的 Horizon 7 網繭上架至雲端:用來啟用該網繭的訂閱授權,以及讓
您使用 Horizon Cloud 為此類型網繭提供的雲端主控服務,例如雲端監控服務 (CMS)。CMS 是 Horizon Cloud 中提供的一項中心服務。CMS 可為雲端連線網繭提供可見度、健全狀況監控和服務台服務。如需將
網繭上架至雲端控制平面之程序的高階說明,請參閱在 Microsoft Azure、內部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud。
注意 完成下方所有步驟以將您的第一個網繭完全連線至 Horizon Cloud 之後,您可以開始使用所要連線且
以手動方式安裝的任何後續網繭來部署 Horizon 7 Cloud Connector。基於此版本中的已知問題,如果您已
使用 Horizon 7 Cloud Connector 將多個網繭連線至雲端,然後再完成 Active Directory 網域登錄和超級管
理員角色指派步驟至少一次,則 Active Directory 網域登錄步驟將會失敗。此時,您將必須拔除雲端連線
Horizon 7 網繭以外的所有網繭,然後您才能成功完成必要的 Active Directory 網域登錄和超級管理員角色
指派步驟。
1 符合先決條件,包括取得 Horizon 訂閱授權,例如 Horizon 通用授權。請參閱 VMware Horizon 7 搭配
Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更新和將 Horizon Cloud Service 與現有的
Horizon 7 網繭連線以使用 Horizon 訂閱授權和/或雲端主控服務中有關先決條件的小節。
2 確認您符合將 Horizon 7 網繭與 Horizon Cloud 連線的 DNS、連接埠和通訊協定需求。請參閱 使用
Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求。
Horizon Cloud 部署指南
VMware, Inc. 31
3 如果您的環境需要將 Proxy 伺服器與 Horizon 7 Cloud Connector 虛擬應用裝置搭配使用以連結網際網
路,請取得必要的 Proxy 設定,以便在部署應用裝置的 OVF 範本時可以指定這些設定。
重要 如果您計畫將 Horizon 通用代理與 Horizon 7 Cloud Connector 1.5 搭配使用,並且需要使用
Proxy 設定,則必須在部署 OVF 範本時設定那些 Proxy 設定。由於已知限制,在初始部署程序後,
Horizon 通用代理將不會提取 Horizon 7 Cloud Connector 應用裝置中對 Proxy 設定所做的變更。
由於已知問題,系統不會接受您在初始 OVF 範本部署中所指定的任何無 Proxy 主機組態。若要將無
Proxy 主機組態與 Horizon 7 Cloud Connector 應用裝置搭配使用,您必須在初始部署程序後進行設
定。請參閱修改 Horizon 7 Cloud Connector 1.5 或更早版本的 Proxy 設定以取得詳細資料。
4 選擇性地登入 Horizon Cloud 租用戶入口網站,並為您的租用戶環境設定其他管理員。
提示 雖然您可以完成後續步驟,而僅使用 初與您的租用戶環境相關聯的 My VMware 帳戶將網繭上
架,但仍建議您在此程序開始時設定其他管理員。如果只有單一 My VMware 帳戶與您的租用戶帳戶相
關聯,一旦您失去認證的存取權,則可能會發生延遲,因為您將必須向 VMware 開啟服務要求,以將
新的 My VMware 帳戶與租用戶帳戶建立關聯。若要防止這類延遲,請使用 初相關聯的 My VMware 帳戶,在 cloud.horizon.vmware.com 上登入租用戶入口網站,然後使用畫面中 [一般設定] 區段上的資
料列,執行新增登入 Horizon Cloud 租用戶環境的管理員中所述的步驟。
5 將 Horizon 7 Cloud Connector 虛擬應用裝置部署至網繭的環境中。遵循下載 Cloud Connector 並將其
部署至網繭的 vSphere 環境中中所述的 OVA 部署步驟進行。
6 開啟虛擬應用裝置的電源後,啟用對虛擬應用裝置的 SSH 存取,以自遠端執行應用裝置作業系統中的
命令。您必須使用 vSphere 環境來啟動應用裝置的主控台,使用您在應用裝置部署期間所設定的根使
用者登入應用裝置的作業系統,並執行適當的命令以啟用 SSH。遵循在將 Horizon 7 Cloud Connector 與 Horizon 7 連線伺服器配對之前啟用其 SSH 存取中的步驟。
備註 用來啟用 SSH 的那些步驟在網繭尚未成功與 Horizon Cloud 配對時使用。在網繭成功與
Horizon Cloud 配對後,您將可以使用以瀏覽器為基礎的 Horizon 7 Cloud Connector 的組態入口網
站,以啟用和停用對虛擬應用裝置的 SSH 存取。
7 如果您的環境需要使用 Proxy,但未在 OVF 部署精靈中指定 Proxy 的相關設定,請為虛擬應用裝置設
定 Proxy 相關的設定。請參閱修改 Horizon 7 Cloud Connector 1.5 或更早版本的 Proxy 設定以取得詳
細資料。
8 如果您想要使用完整網域名稱 (FQDN) 而非使用 Horizon 7 Cloud Connector 虛擬應用裝置的 IP 位址
來存取以瀏覽器為基礎的 Horizon 7 Cloud Connector 組態入口網站,請在會將 FQDN 對應到虛擬應
用裝置的 IP 位址之 DNS 伺服器中建立正向及反向查閱記錄。
Horizon Cloud 部署指南
VMware, Inc. 32
9 透過開啟對 Horizon 7 Cloud Connector 虛擬應用裝置的 SSH 工作階段,並執行 precheck.sh 診斷指
令碼,來確認網繭的系統元件和服務的健全狀況。請參閱確認 Horizon 7 網繭和 Horizon 7 Cloud Connector 已做好配對的準備以取得詳細資料。
10 使用對應的 FQDN 或虛擬應用裝置的 IP 位址,登入以瀏覽器為基礎的 Horizon 7 Cloud Connector 組態入口網站,並完成將連接器與網繭的連線伺服器配對的上架步驟。遵循使用 Horizon 7 Cloud Connector 組態入口網站完成 Horizon 7 網繭與 Horizon Cloud 的配對中說明的步驟。
提示 當連接器和連線伺服器成功配對後,Horizon 7 Cloud Connector 組態入口網站將會顯示「恭
喜」訊息。此時,VMware 會啟用您的訂閱授權。啟用 多可能需要 48 小時。授權啟用後,您將會在
標準 Horizon 7 產品授權及使用畫面中看到已連線至授權服務訊息。
11 根據您的團隊標準做法和環境,您可以選擇性地針對設定 CA 簽署的憑證和設定應用裝置根使用者的密
碼到期等方面設定 Horizon 7 Cloud Connector 虛擬應用裝置。請參閱主題。
12 在 Horizon Cloud 租用戶入口網站 (名為管理主控台) 中完成 Active Directory 網域登錄工作流程。請參
閱《管理指南》中的在 Horizon 7 網繭與 Horizon Cloud 配對後,您在 Horizon 7 Cloud Connector 上執行的一般管理和維護工作主題。
提示 完成 Active Directory 網域登錄工作流程後,您即可利用所有雲端主控服務,例如雲端監控服務
(CMS)。在將網繭的 Active directory 網域登錄至租用戶環境之前,入口網站會針對顯示 CMS 監控資
料的管理主控台畫面封鎖存取。
13 將 Horizon Cloud 超級管理員角色提供給將該網域加入帳戶納入為成員的 Active Directory 群組。請參
閱《管理指南》中的將 Horizon Cloud 管理角色指派給 Active Directory 群組。
您可以在以上的每個步驟所連結的主題或隨附指南中找到如何完成每個工作流程步驟的深入詳細資料。請
參閱 Horizon Cloud 管理指南。
使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求
當您將 Horizon 7 Cloud Connector 元件與 Horizon 7 網繭搭配使用時,必須將防火牆設定為允許 Cloud Connector 存取其所需的網域名稱服務 (DNS) 位址。此外,您的 Proxy 設定需要已設定的連接埠和通訊協
定,且 DNS 必須能依照本主題中所述解析特定名稱。然後,在 Cloud Connector 元件已部署,且您已完成
將網繭成功連線至 Horizon Cloud 的步驟後,Horizon Cloud 與 Cloud Connector 之間的進行中作業需要特
定連接埠和通訊協定。
Horizon Cloud 部署指南
VMware, Inc. 33
如當您將 Horizon 7 網繭上架以使用 Horizon 訂閱授權或雲端主控服務搭配該網繭時中所述,Cloud Connector 元件與 Horizon 7 部署搭配使用,可在 Horizon 7 上啟用訂閱授權,並能夠使用雲端主控服務搭
配 Horizon 7 部署。
連線能力和 DNS 需求
將 Horizon Cloud Service 與現有的 Horizon 7 網繭連線以使用 Horizon 訂閱授權和/或雲端主控服務,包含
使用瀏覽器來導覽至 Cloud Connector 應用裝置的 IP 位址的步驟,並且將顯示登入畫面。若要看到該登入
畫面,需要 Cloud Connector 應用裝置與 Horizon Cloud 雲端控制平面之間具有網際網路連線。應用裝置
會先使用 HTTPS 建立與 Horizon Cloud 雲端控制平面的連線,然後使用輸出網際網路連接埠 443 開放
Web 通訊端。對於進行中的作業,Cloud Connector 應用裝置與 Horizon Cloud 之間的連線需要使用連接
埠 443 的輸出網際網路連線隨時開啟。您必須確定下列 DNS 名稱皆能使用下表所列出的特定連接埠和通
訊協定進行解析和存取。
來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
Horizon 7 Cloud Connector
下列其中一個名稱,取決於您的 Horizon Cloud 租用戶帳戶中指定的區域 Horizon Cloud 控制平
面執行個體。區域執行個體會在建立帳戶時進行
設定,如在 VMware Cloud on AWS 上架至適用
於 Microsoft Azure、Horizon 7 內部部署和
Horizon 7 的 Horizon Cloud 中所述。
n cloud.horizon.vmware.com
n cloud-us-2.horizon.vmware.com
n cloud-eu-central-1.horizon.vmware.com
n cloud-eu-2.horizon.vmware.com
n cloud-ap-southeast-2.horizon.vmware.com
n cloud-ap-2.horizon.vmware.com
443 TCP 區域 Horizon Cloud 控制平面執行個體
n 美國:
cloud.horizon.vmware.com、
cloud-us-2.horizon.vmware.com
n 歐洲:cloud-eu-central-1.horizon.vmware.com、
cloud-eu-2.horizon.vmware.com
n 亞太地區:cloud-ap-southeast-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com
Horizon 7 Cloud Connector
根據您 Horizon Cloud 帳戶中指定的區域
Horizon Cloud 控制平面:
北美:
n kinesis.us-east-1.amazonaws.com
n query-prod-us-east-1.cms.vmware.com
歐洲:
n kinesis.eu-central-1.amazonaws.com
n query-prod-eu-central-1.cms.vmware.com
澳大利亞:
n kinesis.ap-southeast-2.amazonaws.com
n query-prod-ap-southeast-2.cms.vmware.com
443 TCP 雲端監控服務 (CMS)
Horizon Cloud 部署指南
VMware, Inc. 34
Horizon 7 Cloud Connector 應用裝置所需的連接埠和通訊協定
對於在 Horizon 7 Cloud Connector 與 Horizon Cloud 之間的進行中作業,需要下表中的連接埠和通訊協
定。
表 2-1. Horizon 7 Cloud Connector 連接埠
來源 目標 連接埠 通訊協定 說明
Horizon 7 Cloud Connector
Horizon Cloud 443 HTTPS 用於將 Horizon 7 Cloud Connector 與 Horizon Cloud 配對,並傳輸資料。
Horizon 7 Cloud Connector
連線伺服器 443 HTTPS 對連線伺服器的 API 呼叫。
Horizon 7 Cloud Connector
連線伺服器 4002 TCP Cloud Connector 和連線伺服
器之間的 Java Message Service (JMS) 通訊
Horizon 7 Cloud Connector 應用裝置的
新版本
Horizon 7 Cloud Connector 應用裝置的
現有版本
22 SSH 接聽啟動升級程序的要求。
網頁瀏覽器 Horizon 7 Cloud Connector
443 HTTPS 接聽初始化配對程序的要
求。
Horizon 7 Cloud Connector
憑證授權單位 * HTTP、HTTPS CRL 或 OCSP 查詢
桌面或伺服器虛擬機器
中的雲端監控服務代理
程式,來自您的網路上
的雲端連線 Horizon 7
Horizon 7 Cloud Connector 應用裝置
11002 TCP 供伺服器或桌面虛擬機器上
的雲端監控服務代理程式用
來傳送資料至 Cloud Connector
準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對
若要將現有的 Horizon 7 網繭與目前的服務版本層級連線,以將 Horizon 訂閱授權或雲端主控服務用於該
網繭,在部署 Horizon 7 Cloud Connector 應用裝置並執行上架精靈之前,請確定您已備妥下列項目。
n 確認您已符合 VMware Horizon 7 搭配 Horizon Cloud 需求檢查清單 - 已針對 2020 年 3 月服務版本更
新中說明的先決條件。
n 您已決定要將哪個網繭的連線伺服器執行個體與 Horizon 7 Cloud Connector 虛擬應用裝置配對,且您
擁有該連線伺服器執行個體的 FQDN。無論何時,Horizon 7 Cloud Connector 虛擬應用裝置都只能與
其中一個網繭所安裝的連線伺服器執行個體配對。
n 您已決定將連線伺服器與 Horizon 7 Cloud Connector 配對時所將指定的 Horizon 7 管理員帳戶,且該
管理員帳戶符合配對所需的要求。此 Active Directory 使用者必須具有 Horizon 7 在根存取群組上預先
定義的管理員角色,如 Horizon 7 網繭的 Horizon Console 在全域管理員視圖 > 角色權限 > 管理員中
所顯示。換句話說,為網繭上架程序指定的 Active Directory 使用者,即為該網繭的超級使用者,如
Horizon 7 說明文件的 Horizon Console 管理指南中所述。
Horizon Cloud 部署指南
VMware, Inc. 35
n 您在 https://my.vmware.com 上具備有效的 My VMware 帳戶。必須要有此帳戶才能購買 Horizon 7 訂閱授權,以執行將網繭與雲端服務配對的 Horizon 7 Cloud Connector 上架工作流程,以及登入
Horizon Cloud 管理主控台以將雲端主控的服務用於該網繭。
n Horizon 7 訂閱授權會與該 My VMware 帳戶相關聯。
n 您擁有歡迎電子郵件中的資訊 (傳送至該 My VMware 帳戶相關聯的電子郵件地址),包括下載 Horizon 7 Cloud Connector OVA 的連結。如果您沒有這項電子郵件資訊,您可以使用 My VMware 帳戶登入
my.vmware.com,並導覽至針對該帳戶所列出的產品下載項目以下載 OVA。
n 如果您使用 Microsoft Internet Explorer 網頁瀏覽器,請驗證已關閉相容性模式。此設定可讓您在該網
頁瀏覽器中檢視 Horizon 7 Cloud Connector 應用裝置上架使用者介面。
n 確認您已符合 使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需
求。
n 決定您將用於 Horizon 7 Cloud Connector 虛擬應用裝置的靜態 IP 位址。您在 vSphere 中部署
Horizon 7 Cloud Connector OVA 時,將需要此 IP 位址。
備註 請勿對 Horizon 7 Cloud Connector 虛擬應用裝置使用 IPv6。不支援 IPv6。
n 確認您擁有在 vSphere 環境中部署 Horizon 7 Cloud Connector OVA 時適合供環境使用的一般網路資
訊,例如 DNS 搜尋網域、DNS 伺服器 IP 位址、預設閘道位址和子網路遮罩。
備註 Horizon 7 Cloud Connector 虛擬應用裝置的自我簽署憑證不支援 Proxy SSL 組態。
重要 如果您部署的是 Horizon 7 Cloud Connector 1.5 或更早版本,且您的環境需要將 Proxy 伺服器
與應用裝置搭配使用,請在部署應用裝置之前檢閱修改 Horizon 7 Cloud Connector 1.5 或更早版本的
Proxy 設定中所述的資訊。此外,請留意下列已知限制。這些限制不適用於 Horizon 7 Cloud Connector 1.6 或更新版本。
n 基於已知限制,系統不會接受您在部署 OVF 範本時指定的任何無 Proxy 主機組態。若要為
Horizon 7 Cloud Connector 1.5 或更早版本設定無 Proxy 主機組態,您必須在部署後變更應用裝置
中的組態檔。如需詳細資料,請參閱 VMware 知識庫文章 76663。
n 如果您計劃將網繭與 Horizon 通用代理和 Horizon 7 Cloud Connector 1.5 搭配使用,且您的環境
需要使用 Proxy 設定,則必須在部署 OVF 範本時設定那些 Proxy 設定。基於 Horizon 7 Cloud Connector 1.5 的已知限制,Horizon 通用代理 將不會接受在部署後對 Proxy 設定所做的任何修
改。由於您只能在部署後設定無 Proxy 主機,此限制意味著 Horizon 通用代理 不支援無 Proxy 主機與 Horizon 7 Cloud Connector 1.5 的搭配使用。
n 確認您具有 Horizon 7 Cloud Connector 虛擬應用裝置的強式根密碼,且密碼至少包含 8 個字元,其中
要有一個大寫字母、一個數字和一個特殊字元。
重要 部署 OVF 範本時,您必須指定符合強式密碼安全性標準的根密碼。但基於已知限制,即使您指
定的根密碼不含特殊字元,OVF 部署精靈仍會繼續部署虛擬應用裝置。在此情況下,部署將會成功,
但在部署後您將遭到封鎖而無法登入虛擬應用裝置的作業系統。
若要確保您在虛擬應用裝置部署後可加以存取,當 OVF 部署精靈顯示提示時,請一律指定至少包含一
個特殊字元的強式根密碼。
Horizon Cloud 部署指南
VMware, Inc. 36
n 針對將 Horizon 訂閱授權用於 Horizon 7 網繭的 低使用案例,除了前述的先決條件以外,請確認您也
符合下列先決條件:
n 要與 Horizon 7 Cloud Connector 配對的連線伺服器執行個體,必須執行 Horizon 7 (7.6 版) 或更新
版本。7.6 版是可與雲端服務配對的 低版本。
提示 雖然就技術上而言,Horizon 7 網繭所執行的版本若早於 新的 Horizon 7 版本,仍可進行
配對,但若要讓該網繭取得 新的雲端主控功能,Horizon 7 網繭的連線伺服器 好執行 新版的
Horizon 7。只有搭配使用 新版的 Horizon 7 和 Horizon 7 Cloud Connector,您才能存取雲端主
控功能的 新功能,而不只是將訂閱授權用於該網繭。
Horizon 7 Cloud Connector 已知考量事項
使用 Horizon 7 Cloud Connector 時,請記住下列考量事項。
n 不支援搭配 Horizon 7 Cloud Connector 虛擬應用裝置使用 IPv6。
n 在 Horizon 7 Cloud Connector 虛擬應用裝置部署期間不支援 Proxy SSL 組態。
n 基於已知限制,Horizon 7 Cloud Connector 1.5 或較早版本不會接受您在部署 OVF 範本時指定的任何
無 Proxy 主機組態。若要設定無 Proxy 主機組態,您必須在部署後變更應用裝置中的組態檔。如需詳
細資料,請參閱 VMware 知識庫文章 76663。此限制不適用於 Horizon 7 Cloud Connector 1.6 或更新
版本。
n 如果您計畫將網繭與 Horizon 通用代理和 Horizon 7 Cloud Connector 1.5 搭配使用,且您的環境需要
使用 Proxy 設定,則必須在部署 OVF 範本時設定那些 Proxy 設定。基於已知限制,Horizon 通用代理
將不會接受在部署後對 Proxy 設定所做的任何修改。由於您只能在部署後設定無 Proxy 主機,此限制
意味著 Horizon 7 Cloud Connector 1.5 不支援無 Proxy 主機與 Horizon 通用代理 的搭配使用。當您將
Horizon 通用代理 與 Horizon 7 Cloud Connector 1.6 或更新版本搭配使用時,則不適用此限制。
n 已部署的 Horizon 7 Cloud Connector 虛擬應用裝置的靜態 IP 和 Proxy 設定的相關資訊,會儲存在特
定容器檔案中。如果您想要變更虛擬應用裝置上的那些設定,您需要連線至虛擬應用裝置,並編輯那些
容器檔案。如果您為 vSphere 環境中已部署的虛擬應用裝置變更了靜態 IP 位址,則必須在虛擬應用裝
置的作業系統中編輯適當的容器檔案並執行命令,以確定新的 IP 位址會在所有相依於虛擬應用裝置的
網繭元件間共用。請參閱更新 Horizon 7 Cloud Connector 虛擬應用裝置的靜態 IP。
n 從 vCenter 環境刪除 Horizon 7 Cloud Connector 虛擬應用裝置之前,請將您的瀏覽器指向 Horizon 7 Cloud Connector 應用裝置的 IP 位址,並使用拔除動作來移除網繭與 Horizon Cloud 之間的連線。
n 佳做法是對與 Horizon 7 網繭配對的 Horizon 7 Cloud Connector 使用個別的 vdadmin 帳戶。使用個
別的 vdmadmin 帳戶,可避免覆寫雲端和內部部署管理之間的組態。使用個別的帳戶也可對雲端式作
業提供更輕鬆的稽核。
n Horizon 7 Cloud Connector 與 Horizon Cloud 之間的連線會使用輸出網際網路連接埠 443。若要瞭解
所有連接器所需的 DNS、連接埠和通訊協定,請參閱 使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求。
n 您可以在部署期間為 Horizon 7 Cloud Connector 虛擬應用裝置的 root 使用者設定密碼。依預設,此
密碼不會過期。但根據組織的安全性原則,您可能會想要設定該 root 使用者的到期原則,以定期更新
該 root 密碼。如需相關步驟,請參閱為 Horizon 7 Cloud Connector 根使用者設定密碼到期原則。
Horizon Cloud 部署指南
VMware, Inc. 37
n 如果您的連線伺服器使用自我簽署憑證,且您在完成網繭與 Horizon Cloud 的配對後取代了這些這些自
我簽署憑證,則您必須登入 Horizon 7 Cloud Connector 介面,並且在「重新設定」工作流程中使用新
的自我簽署憑證重新執行憑證驗證步驟。登入 Horizon 7 Cloud Connector 介面後,您可以按一下重新
設定並完成精靈步驟,以從連線伺服器使用新的自我簽署憑證驗證通訊。
n 如果您已將項目新增至 /etc/hosts 檔案以解析連線伺服器的 IP 位址,則必須重新啟動 hze-core 和
csms 服務。使用下列命令:
systemctl restart hze-core
systemctl restart csms
n 若要確保 Horizon 7 Cloud Connector 虛擬應用裝置能夠正確地向 Horizon Cloud 和所需的連線伺服器
執行個體進行驗證,您必須將虛擬應用裝置的時鐘與 NTP 伺服器同步。如需詳細資訊,請參閱將
Horizon 7 Cloud Connector 虛擬應用裝置與 NTP 伺服器同步 。
將 Horizon Cloud Service 與現有的 Horizon 7 網繭連線以使用 Horizon 訂閱授權和/或雲端主控服務
將現有的 Horizon 7 網繭與 Horizon Cloud Service 連線是多個步驟的程序。購買 VMware Horizon 訂閱授
權之後,VMware 將會傳送授權訂閱電子郵件給您,其中包含下載 Horizon 7 Cloud Connector 虛擬應用裝
置的連結。然後您即可安裝虛擬應用裝置並開啟其電源。虛擬應用裝置的電源開啟,並驗證必要網繭元件
和服務的健全狀況之後,您可以使用連接器的上架工作流程,將其與要使用該訂閱授權之網繭中的連線伺
服器進行配對。在成功配對的過程中,Horizon 7 Cloud Connector 虛擬應用裝置會將連線伺服器橋接至
Horizon Cloud Service,讓雲端管理平面能夠針對此時已連線至雲端的這個網繭,管理其 Horizon 訂閱授
權和其他雲端主控服務。
虛擬 機器
CS
管理服務
系統健全狀況
Cloud Connector
Horizon 7 網繭
雲端監控服務 (CMS)
授權服務
AD
Horizon Cloud 管理平面
Horizon API
提示 如需整體 Horizon Cloud 上架程序的簡介,請參閱在 Microsoft Azure、內部部署 Horizon 7 和
Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud。
Horizon Cloud 部署指南
VMware, Inc. 38
您可以使用此處提供的步驟,將已存在、安裝於內部部署,或在 VMware Cloud™ on AWS 中安裝的
Horizon 7 環境連線至雲端管理平面。即使您未對該網繭使用任何雲端主控服務,將網繭連線至 Horizon Cloud Service 可讓您將 Horizon 訂閱授權用於該網繭。利用 Horizon 訂閱授權,您無須手動輸入 Horizon 7 授權金鑰即可啟用 Horizon 7 產品。配對完成後,VMware 一般會在您將網繭與雲端控制平面配對後的
48 小時內啟用訂閱授權。當 VMware 啟用訂閱授權後,您的 Horizon 7 主控台中將會顯示一則訊息,指出
您的 Horizon 7 環境正在使用訂閱授權。
如 在 Microsoft Azure、內部部署 Horizon 7 和 Horizon 7 on VMware Cloud on AWS 中上架至 Horizon Cloud 中所述,將 Horizon 7 網繭上架至 Horizon Cloud 的程序牽涉到下列基本概念:
n Horizon 訂閱授權需要從雲端管理平面 (Horizon Cloud) 進行管理。
n 因此,如果您想要將 Horizon 訂閱授權用於 Horizon 7 網繭,則必須將網繭與該雲端管理平面連線。如
果您想要避免將 Horizon 7 網繭連線至雲端管理平面,則無法將 Horizon 訂閱授權用於該網繭。
n 若要將這個現有的 Horizon 7 網繭與雲端管理平面連線,必須要有名為 Horizon 7 Cloud Connector 的連接器。雲端管理平面會與連接器相互通訊,而連接器繼而會與網繭的連線伺服器執行個體通訊。無論
何時,連接器都只會與其中一個網繭所安裝的連線伺服器執行個體配對。
n 由於 Horizon 7 Cloud Connector 必須同時連線到雲端管理平面和要與其配對的網繭連線伺服器執行個
體,因此必須符合特定 使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊
協定需求,Horizon 7 Cloud Connector 與網繭的配對和進行中的作業才能有成功的結果。即使是對網
繭使用訂閱授權的 低使用案例,也必須符合這些 DNS、連接埠和通訊協定需求。
n 必須要有 My VMware 帳戶才能取得 Horizon 訂閱授權,以及向雲端管理平面進行驗證以設定連接器並
建立連線,進而將該訂閱授權用於網繭。
n 您可能會想要僅將 Horizon 訂閱授權用於 Horizon 7 網繭,或是另外將雲端主控的服務用於該網繭。這
兩種使用案例都需要使用 Horizon 訂閱授權。
n 若要取得 新的功能和安全性以及錯誤修正,建議您搭配使用 新版的 Horizon 7 與 新版 Horizon 7 Cloud Connector 的組合。即便透過 Horizon 7 Cloud Connector 使用可從雲端管理平面管理的
Horizon 訂閱授權,是在 7.6 版中首度導入的功能,但該版本推出至今已超過一年,除了簡單使用訂閱
授權以外,已沒有任何現行的雲端管理服務可在該 Horizon 7 版本 (7.6 版) 中運作。如需 Horizon 7 版本與 Horizon 7 Cloud Connector 版本的建議組合,請參閱 Horizon Cloud Service 說明文件頁面中連
結的「Horizon Cloud 版本說明」。
此程序的高階步驟如下:
1 取得 My VMware 帳戶。
Horizon Cloud 部署指南
VMware, Inc. 39
2 使用 My VMware 帳戶註冊 Horizon 訂閱授權。
3 當您註冊授權時,系統會將歡迎電子郵件傳送至與該 My VMware 帳戶相關聯的電子郵件地址。該歡迎
電子郵件會包含從適當的 my.vmware.com 下載區域下載 Horizon 7 Cloud Connector OVA 的連結。
4 使用歡迎電子郵件中的連結下載 Horizon 7 Cloud Connector OVA。
5 使用靜態 IP 位址,將 OVA 部署至 Horizon 7 網繭的 vSphere 環境中。當虛擬應用裝置部署程序完成
時,開啟虛擬應用裝置的電源。
6 電源開啟後,應用裝置的藍色主控台畫面將會顯示 URL 位址,用以啟動將 Horizon 7 Cloud Connector 與網繭中連線伺服器執行個體配對的配對工作流程,並完成連線伺服器執行個體 (Horizon 7 Cloud Connector) 與雲端管理平面之間的連線。
7 開始配對工作流程之前,請執行 precheck.sh 指令碼,以確認網繭的系統元件和服務的健全狀況。
8 在瀏覽器中,使用應用裝置的藍色主控台畫面上顯示的 URL 位址,來啟動配對工作流程。來自
Horizon Cloud 的登入畫面將會顯示,您可以使用 My VMware 帳戶認證進行登入。此時瀏覽器中會出
現工作流程的使用者介面,您可以完成以下主題中詳細說明的步驟。
重要 如果在您要連接此 Horizon 7 網繭的 Horizon Cloud 環境中已有雲端連線的網繭,所有雲端連線的網
繭皆必須對相同的 Active Directory 網域集合具有直視性。執行連接 Horizon 7 網繭的步驟時,您必須確定
Horizon 7 網繭對已向 Horizon Cloud 環境登錄的 Active Directory 網域將具有直視性。
例如,如果您的環境在 Microsoft Azure 中已具有網繭,而您要連線 Horizon 7 網繭,必須確保:
n 您使用以下步驟連線的 Horizon 7 網繭與 Microsoft Azure 中現有網繭使用的 Active Directory 網域具有
直視性,因為這些網域已向您的環境的雲端平台登錄。
n 您的 Microsoft Azure 中現有雲端連線的網繭與 Horizon 7 網繭的 Active Directory 網域具有直視性,該
網域即您在下列步驟用來將 Horizon 7 Cloud Connector 虛擬應用裝置與 Horizon 7 網繭連線伺服器配
對的網域。
必要條件
確認您已符合準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對中所述的所有項目。
確認您已符合使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對時的 使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求。
確認您在網路拓撲中的 DNS 組態將可讓已部署的 Horizon 7 Cloud Connector 解析網繭連線伺服器的
FQDN。如果已部署的 Horizon 7 Cloud Connector 無法使用 DNS 解析連線伺服器,則在您輸入 Horizon 7 網域認證的步驟中,上架精靈將會遇到非預期的錯誤。
請檢閱 Horizon 7 Cloud Connector 已知考量事項以確保您瞭解那些項目。
Horizon Cloud 部署指南
VMware, Inc. 40
Horizon 7 Cloud Connector 虛擬應用裝置必須連接網際網路,才能與 Horizon Cloud 控制平面通訊。如果
您的環境需要將 Proxy 伺服器和 Proxy 組態用於虛擬應用裝置以連接網際網路,請確認您已檢閱 Proxy 相關資訊、已知限制,以及搭配 Horizon 7 Cloud Connector 應用裝置使用 Proxy 設定時的已知問題。請參閱
準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對、Horizon 7 Cloud Connector 已知考量事項和修改 Horizon 7 Cloud Connector 1.5 或更早版本的 Proxy 設定中
Proxy 相關的資訊。
重要 如果您計畫將網繭與 Horizon 通用代理和 Horizon 7 Cloud Connector 1.5 搭配使用,且您的環境需
要使用 Proxy 設定,則必須在部署 OVF 範本時設定那些 Proxy 設定。由於 Horizon 7 Cloud Connector 1.5 的已知限制,Horizon 通用代理將僅接受 OVF 範本部署時所指定的 Proxy 設定。因此,由於 Horizon 7 Cloud Connector 1.5 中的另一個已知問題,應用裝置不接受 OVF 範本部署中指定的任何無 Proxy 主機組
態,且必須在部署後進行設定,此 Horizon 通用代理與 Horizon 7 Cloud Connector 1.5 組合的已知限制需
要在 OVF 範本部署期間設定 Proxy 設定,這表示目前不支援將無 Proxy 主機用於 Horizon 通用代理。
程序
1 下載 Cloud Connector 並將其部署至網繭的 vSphere 環境中
在將 Horizon 7 網繭上架至 Horizon Cloud 的工作流程中,您可以下載 Horizon 7 Cloud Connector 並將其部署在您的 vSphere 環境中。這些步驟的結果是 Horizon 7 Cloud Connector 虛擬應用裝置會在
您的 vSphere 環境中部署並執行。
2 確認 Horizon 7 網繭和 Horizon 7 Cloud Connector 已做好配對的準備
在這個將 Horizon 7 網繭上架至 Horizon Cloud 的工作流程步驟中,您可以執行 precheck.sh 診斷工
具,以驗證網繭和 Horizon 7 Cloud Connector 是否做好進行配對程序的準備。先執行診斷並修復在
系統元件和組態中發現的任何干擾問題,即可盡量提高將網繭與 Horizon Cloud 成功配對的機率。
3 使用 Horizon 7 Cloud Connector 組態入口網站完成 Horizon 7 網繭與 Horizon Cloud 的配對
在此步驟中,將 Horizon 7 網繭上架至 Horizon Cloud 的工作流程時,您需要使用 Horizon 7 Cloud Connector 組態入口網站來指定 Horizon 7 Cloud Connector 用來與 Horizon 7 網繭連線伺服器配對的
詳細資料。成功完成這些步驟會使 Horizon 7 網繭連線至您的 Horizon Cloud 租用戶環境。
結果
當 Horizon 7 網繭成功與 Horizon Cloud 連線時,Horizon 7 Cloud Connector 組態入口網站會顯示恭喜訊
息。此時,您可以使用此相同的組態入口網站來執行管理工作,例如檢閱 Horizon 7 Cloud Connector 元件
的健全狀況狀態、啟用或停用對 Horizon 7 Cloud Connector 虛擬應用裝置的 SSH 存取,以及類似的工
作。如需詳細資料,請參閱在 Horizon 7 網繭與 Horizon Cloud 配對後,您在 Horizon 7 Cloud Connector 上執行的一般管理和維護工作主題。
Horizon Cloud 部署指南
VMware, Inc. 41
後續步驟
如果您唯一的目標是將 Horizon 訂閱授權用於目前的雲端連線網繭,則不需要執行額外的步驟,但請務必
持續符合 DNS、連接埠和通訊協定的需求,以維持 Horizon 7 Cloud Connector 與雲端控制平面之間的連
線。由於訂閱授權由雲端控制平面所管理,因此 Horizon 7 Cloud Connector 必須持續連線到雲端控制平
面,網繭才能接收您的訂閱授權資訊。
重要 安裝 Horizon 7 Cloud Connector 時,即已透過輸出網際網路連接埠 443 建立對雲端控制平面的連
線。此連線將隨時開啟。如果 Cloud Connector 與雲端控制平面之間的此連線已離線,則依預設,將此網
繭與 Horizon Cloud 之間的配對標示為到期之前,可以有 10 天的寬限期。如果發生此情況,請連絡
VMware 支援以取得協助。
如果您想要任何雲端主控服務用於雲端連線網繭,您必須登入 Horizon Cloud 管理主控台,並完成將網繭
的 Active Directory 網域登錄至 Horizon Cloud 的 Active Directory 登錄工作流程。如需該工作流程的詳細
資訊,請參閱《Horizon Cloud 管理指南》中的執行您在 Horizon Cloud 環境中的第一個 Active Directory 網域登錄。
下載 Cloud Connector 並將其部署至網繭的 vSphere 環境中
在將 Horizon 7 網繭上架至 Horizon Cloud 的工作流程中,您可以下載 Horizon 7 Cloud Connector 並將其
部署在您的 vSphere 環境中。這些步驟的結果是 Horizon 7 Cloud Connector 虛擬應用裝置會在您的
vSphere 環境中部署並執行。
必要條件
n 確認您已符合準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對中所述的連接器相關先決條件。
n 確認您已符合使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對的 使用
Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求。
n Horizon 7 Cloud Connector 虛擬應用裝置必須連接網際網路,才能與 Horizon Cloud 控制平面通訊。
如果您的環境需要將 Proxy 伺服器和 Proxy 組態用於部署的應用裝置以連接網際網路,請確認您已檢
閱 Proxy 相關資訊、已知限制,以及搭配 Horizon 7 Cloud Connector 應用裝置使用 Proxy 設定時的已
知問題。請參閱準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對、Horizon 7 Cloud Connector 已知考量事項和修改 Horizon 7 Cloud Connector 1.5 或更早
版本的 Proxy 設定中 Proxy 相關的資訊。
程序
1 依照先決條件清單中的說明,使用訂閱電子郵件中提供的連結以下載 Horizon 7 Cloud Connector 應用
裝置。
在您使用 My VMware 帳戶認證登入 my.vmware.com 後,Horizon 7 Cloud Connector 應用裝置會成為
可用的 OVA 檔案,且其當前位置會在 my.vmware.com 中。
重要 請確定已下載的版本是 新的版本 (1.6 版或更新版本),如此才能啟用 新的功能。如果您先前
已下載版本早於 1.6 的 Horizon 7 Cloud Connector OVA,您應登入 my.vmware.com 並取得 新版
本,以用於網繭的配對。
Horizon Cloud 部署指南
VMware, Inc. 42
2 使用 vSphere Web Client 將 Horizon 7 Cloud Connector 應用裝置部署為 OVF 範本到您的 Horizon 網繭。
如需關於部署 OVF 範本的一般資訊,請參閱 VMware vSphere 說明文件頁面上的《vSphere 虛擬機器
管理》指南。
OVF 部署精靈有數個步驟,您可在其中建立一般的 OVF 部署選項,例如哪個主機、哪個資料存放區以
及哪些網路等。您可以在自訂範本步驟中提供 Horizon 7 Cloud Connector 應用裝置特定的詳細資料。
重要 當您使用 VMware vSphere® Web Client 時 (一種 Flex 型使用者介面),將應用裝置部署至您的
網繭可能會有 好的成效。如果使用 VMware vSphere® Client™ (一種以 HTML5 為基礎的 新使用者
介面) 進行部署,可能會出現關於無效值的錯誤訊息。該問題是由 vSphere Client 中的某個已知問題所
導致,且對 Horizon 7 Cloud Connector 應用裝置套件而言並不是問題。如果遇到此錯誤,請改用 Flex 型使用者介面來部署應用裝置。
Horizon Cloud 部署指南
VMware, Inc. 43
3 在自訂範本精靈步驟中,針對必要欄位以及適合您環境的那些項目提供輸入。
此步驟中的輸入用於設定虛擬應用裝置。
a 為應用裝置指定符合強式密碼安全性標準的根密碼。確認密碼至少包含 8 個字元,且其中至少有一
個大寫字母、一個數字和一個特殊字元。
重要 基於已知限制,即使您指定的根密碼不含特殊字元,OVF 部署精靈仍會繼續部署虛擬應用裝
置。在此情況下,部署將會成功,但在部署後您將遭到封鎖而無法登入虛擬應用裝置的作業系統。
若要確保您在虛擬應用裝置部署後可加以存取,請確認您的根密碼至少包含一個特殊字元。
b 指定虛擬應用裝置的靜態 IP 位址。
請勿對 Horizon 7 Cloud Connector 虛擬應用裝置使用 IPv6。不支援 IPv6。
c 如果您的環境需要使用 HTTP Proxy 伺服器讓您的虛擬應用裝置存取網際網路,請設定 Proxy 相關
設定。
重要 記住以下注意事項:
n Horizon 7 Cloud Connector 虛擬應用裝置的自我簽署憑證不支援 Proxy SSL 組態。
n (Horizon 7 Cloud Connector 1.6 或更新版本) 若要確保只有對網際網路的輸出要求會透過
HTTP Proxy 進行路由,請設定接收來自應用裝置內部要求時略過 Proxy 伺服器的非 Proxy 主機。至少,針對無 Proxy,您應輸入與將和 Horizon 7 Cloud Connector 配對之網繭相關聯的
連線伺服器以及 vCenter Server 執行個體的 DNS 子網域。您也可以藉由輸入 IP 範圍 (請使用
逗號分隔符號分隔多個項目) 來指定無 Proxy 主機,如下列範例所示:
.ad-domain.example.com, 10.109.*
n (Horizon 7 Cloud Connector 1.6 或更新版本) 如果您將無 Proxy 設定保留為空白,則虛擬應用
裝置會擷取由管理員提供,或透過查詢網繭而探索到連線伺服器主機名稱,並將這些主機設定
為隱含的無 Proxy 主機。
n (Horizon 7 Cloud Connector 1.5 或更新版本) 基於已知限制,系統不會接受您在部署 OVF 範本時指定的任何無 Proxy 主機組態。若要設定無 Proxy 主機組態,您必須在部署後變更應用裝
置中的組態檔,如 VMware 知識庫文章 76663 所說明。此限制不適用於 Horizon 7 Cloud Connector 1.6 或更新版本。
n (Horizon 7 Cloud Connector 1.5) 如果您打算將網繭與 Horizon 通用代理 和 Horizon 7 Cloud Connector 1.5 搭配使用,則必須在部署 OVF 範本時設定所有必要的 Proxy 設定。基於
Horizon 7 Cloud Connector 1.5 的已知限制,Horizon 通用代理 將不會接受在部署後對 Proxy 設定所做的任何修改。由於您只能在部署後設定無 Proxy 主機,因此 Horizon 通用代理 1.5 不支援無 Proxy 主機與 Horizon 7 Cloud Connector 的搭配使用。當與 Horizon 通用代理 1.6 或更新版本搭配使用時,這些限制不適用於 Horizon 7 Cloud Connector。
4 開啟 Horizon 7 Cloud Connector 應用裝置的電源。
Horizon Cloud 部署指南
VMware, Inc. 44
5 當應用裝置的電源完全開啟時,請使用 vSphere Web Client 的選項啟動 Horizon 7 Cloud Connector 應用裝置的主控台。
此時會出現 Horizon 7 Cloud Connector 應用裝置的藍色主控台畫面。這個藍色主控台畫面會顯示在瀏
覽器中為上架工作流程載入的 URL 位址。下列螢幕擷取畫面顯示位址為 https://10.92.245.255/ 的已部署應用裝置範例。
6 完成在將 Horizon 7 Cloud Connector 與 Horizon 7 連線伺服器配對之前啟用其 SSH 存取中的步驟。
7 如果您想要使用 Horizon 7 Cloud Connector 虛擬應用裝置的完整網域名稱的 (FQDN) 並解析主機名
稱,請在會將該 FQDN 對應到 Horizon 7 Cloud Connector 虛擬應用裝置靜態 IP 之 DNS 伺服器中建
立正向及反向查閱記錄。
8 遵循確認 Horizon 7 網繭和 Horizon 7 Cloud Connector 已做好配對的準備中的步驟繼續進行網繭上架
工作流程。
在將 Horizon 7 Cloud Connector 與 Horizon 7 連線伺服器配對之前啟用其 SSH 存取如果您在執行上架精靈以將 Horizon 7 Cloud Connector 與網繭配對之前,想要能夠將 SSH 用於已部署的
Horizon 7 Cloud Connector 應用裝置,請使用下列步驟。
必要條件
確認 Horizon 7 Cloud Connector 應用裝置已依照 將 Horizon Cloud Service 與現有的 Horizon 7 網繭連線
以使用 Horizon 訂閱授權和/或雲端主控服務 中的說明成功部署在您的 vSphere 環境中,但尚未與連線伺
服器配對。
程序
1 使用 vSphere Web Client 啟動已部署應用裝置的主控台,並使用您將 OVA 部署至 vSphere 時所設定
的 root 帳戶和密碼來登入應用裝置。
2 在應用裝置的作業系統中,執行下列命令以啟用 SSH。
/opt/vmware/bin/configure-adapter.py --sshEnable
結果
對應用裝置的 SSH 存取隨即啟用。
若要停用 SSH 存取,請使用下列命令:
/opt/vmware/bin/configure-adapter.py --sshDisable
Horizon Cloud 部署指南
VMware, Inc. 45
後續步驟
執行上架精靈步驟,完成 Horizon 7 Cloud Connector 與網繭的配對。配對成功完成時,Horizon 7 Cloud Connector 入口網站使用者介面會提供一個切換,讓您用來停用對應用裝置的 SSH 存取,或在先前已停用
SSH 的狀態下將其重新啟用。
修改 Horizon 7 Cloud Connector 1.6 或更新版本的 Proxy 設定您可以在部署 Horizon 7 Cloud Connector OVF 範本期間設定 HTTP Proxy 設定。如果您想要在部署後修
改這些 Proxy 設定,則必須使用 configure-webproxy.py 命令建立指令碼。configure-webproxy.py 命令
位於已部署 Horizon 7 Cloud Connector 應用裝置的 /opt/vmware/bin 目錄中。
備註 請依照下列關於 Proxy 設定和應用裝置升級的準則操作:
n 如果您手動將 Horizon 7 Cloud Connector 1.6 升級至更新版本,則必須重新設定您的 Proxy 設定。您
的原始 Proxy 組態不會隨著手動應用裝置升級而套用。
n 如果 Horizon 7 Cloud Connector 1.6 自動升級至更新版本,則您的 Proxy 設定會隨著自動升級而套
用。您無須重新設定 Proxy 設定。
使用 configure-webproxy.py 的語法
使用下列語法以建立採用 configure-webproxy.py 的指令碼:
configure-webproxy.py [argument1 [value1]] [argument2 [value2]] ...
若要顯示命令使用方式和可用引數的清單,請執行 configure-webproxy.py -h 或 configure-webproxy.py --help。
configure-webproxy.py 的引數
所有引數對 configure-webproxy.py 指令碼而言都是選用的。
引數 說明
--proxyHost HTTP Proxy 伺服器的主機名稱或 IP 位址
--proxyPort Proxy 連線的連接埠號碼
--noProxyFor 設定為略過 HTTP Proxy 的主機或網路範圍。請使用空格分隔多
個值。
--proxySsl= 指定是否要使用 SSL 進行 Proxy 連線。允許的值為 TRUE 或
FALSE。
--proxyUsername HTTP Proxy 的使用者名稱
--proxyPassword HTTP Proxy 的密碼
--implicitNonProxyHosts= 指定是否要將配對網繭的連線伺服器和 vCenter Server 隱含地新
增至略過 HTTP Proxy 的主機清單。允許的值為 TRUE 或 FALSE。
預設值為 TRUE。
如果您的環境需要對連線伺服器和 vCenter Server 發出內部要求
才能透過 Proxy 進行路由,請將此引數設定為 FALSE。在此情況
下,只有由 --noProxyFor 明確指定的主機會略過 Proxy。
Horizon Cloud 部署指南
VMware, Inc. 46
範例指令碼
configure-webproxy.py --proxyHost PROXYEXAMPLE --proxyPort 80 --proxySsl=TRUE
--noProxyFor .AD-DOMAIN.EXAMPLE.COM 10.109.* --implicitNonProxyHosts=TRUE
此範例指令碼會設定下列 Proxy 設定:
n PROXYEXAMPLE 為 Proxy 伺服器。
n Proxy 連線使用連接埠 80。
n Proxy 連線使用 SSL。
n 位於 .AD-DOMAIN.EXAMPLE.COM 和 10.109 下方的主機。* 略過 Proxy。
n 此外,配對網繭的連線伺服器和 vCenter Server 會略過 Proxy。
修改 Horizon 7 Cloud Connector 1.5 或更早版本的 Proxy 設定您可以在部署 Horizon 7 Cloud Connector OVF 範本期間設定 HTTP Proxy 設定。如果您想要在部署後變
更 Proxy 設定或設定無 Proxy 主機,您必須修改特定的組態檔。基於已知限制,Horizon 7 Cloud Connector 1.5 或更早版本不接受在部署期間指定的無 Proxy 主機組態。若要設定無 Proxy 主機,您必須在
部署後修改特定的組態檔。
重要 基於已知限制,如果您計劃將 Horizon 通用代理與 Horizon 7 Cloud Connector 1.5 搭配使用,且您
的環境需要使用 Proxy 設定,則必須在部署 OVF 範本時設定這些 Proxy 設定。Horizon 通用代理 無法辨
識任何在部署後設定的 Proxy 設定。由於您只能在部署後設定無 Proxy 主機,此限制意味著 Horizon 7 Cloud Connector 1.5 不支援無 Proxy 主機與 Horizon 通用代理 的搭配使用。
設定 Horizon 7 Cloud Connector 1.5 或更早版本的無 Proxy 主機
在部署 Horizon 7 Cloud Connector OVF 範本期間,部署精靈會提供設定無 Proxy 主機的提示。但基於已
知問題,Horizon 7 Cloud Connector 1.5 或更早版本不接受在部署期間指定的無 Proxy 主機組態。您必須
改為在部署後修改特定的組態檔,以設定無 Proxy 主機。
若要確保只有對網際網路的輸出要求會透過 HTTP Proxy 進行路由,請設定接收來自應用裝置內部要求時
略過 Proxy 伺服器的非 Proxy 主機。至少,您應將配對網繭的連線伺服器和 vCenter Server 執行個體設定
為無 Proxy 主機。
備註 如果您將 Horizon 7 Cloud Connector 1.5 或更早版本升級至更新版本,則必須重新設定無 Proxy 主機。您的原始無 Proxy 主機組態不會隨著應用裝置升級而套用。
如需在部署虛擬應用裝置後設定無 Proxy 主機的詳細資訊,請參閱 VMware 知識庫 (KB)文章 76663:
Proxy 組態問題和 Horizon Cloud Connector 的修復。
修改 Horizon 7 Cloud Connector 1.5 或 1.4 的 Proxy 設定
部署應用裝置後,請使用下列步驟修改 Horizon 7 Cloud Connector 1.5 或 1.4 的 HTTP Proxy 設定。
1 開啟已部署 Horizon 7 Cloud Connector 虛擬應用裝置的 Secure Shell (SSH) 工作階段。
2 視需要在下列檔案中變更 Proxy 詳細資料:
n /opt/container-data/cc-settings/proxy.conf
Horizon Cloud 部署指南
VMware, Inc. 47
n /opt/container-data/data/hze-core/properties/hydra.properties
n /opt/container-data/data/hze-ccc/config/ccc-core/sn.config
3 重新啟動必要的服務。
systemctl restart hze-core
systemctl restart hze-ccc
systemctl restart csms
修改 Horizon 7 Cloud Connector 1.3 或更早版本的 Proxy 設定
部署應用裝置後,請使用下列步驟修改 Horizon 7 Cloud Connector 1.3 或更早版本的 HTTP Proxy 設定。
1 開啟已部署 Horizon 7 Cloud Connector 虛擬應用裝置的 Secure Shell (SSH) 工作階段。
2 視需要在下列檔案中變更 Proxy 詳細資料:
n /opt/vmware/var/lib/tomcat8/properties/hydra.properties
n /opt/vmware/var/lib/tomcat8/properties/sn.config
3 重新啟動必要的服務。
systemctl restart tomcat8
systemctl restart cccService
為 Horizon 7 Cloud Connector 虛擬應用裝置設定 CA 簽署的憑證為獲得增強的安全性,您可以為 Horizon 7 Cloud Connector 虛擬應用裝置設定自訂的 CA 簽署憑證。
必要條件
n 驗證完整憑證鏈結採用 PEM 格式。
n 驗證私密金鑰採用 PEM 格式。
n 驗證核發的憑證中包含 FQDN 與主體別名。
程序
1 開啟已部署 Horizon 7 Cloud Connector 虛擬應用裝置的 SSH 工作階段。
2 複製位在目錄 /root/server.crt 中的 CA 簽署憑證。
3 複製位在目錄 /root/server.key 中的 CA 簽署金鑰。
4 備份現有憑證。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
cp /opt/container-data/certs/hze-nginx/server.crt /opt/container-data/certs/hze-nginx/
server.crt.orig
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
cp /etc/nginx/ssl/server.crt /etc/nginx/ssl/server.crt.orig
Horizon Cloud 部署指南
VMware, Inc. 48
5 備份現有金鑰。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
cp /opt/container-data/certs/hze-nginx/server.key /opt/container-data/certs/hze-nginx/
server.key.orig
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
cp /etc/nginx/ssl/server.key /etc/nginx/ssl/server.key.orig
6 複製現有的 nginx conf 檔案。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
cp /opt/container-data/conf/hze-nginx/nginx.conf /opt/container-data/conf/hze-nginx/
nginx.conf.orig
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.orig
7 將 CA 憑證複製到虛擬應用裝置版本的適當目錄中。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
cp /root/server.crt /opt/container-data/certs/hze-nginx/server.crt
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
cp /root/server.crt /etc/nginx/ssl/server.crt
8 將 CA 憑證金鑰檔案複製到虛擬應用裝置版本的適當目錄中。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
cp /root/server.key /opt/container-data/certs/hze-nginx/server.key
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
cp /root/server.key /etc/nginx/ssl/server.key
9 驗證憑證和金鑰檔案的擁有者和權限。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
chown -R hze-nginx:hze-nginx /opt/container-data/certs/hze-nginx
chmod 644 /opt/container-data/certs/hze-nginx/server.crt
chmod 600 /opt/container-data/certs/hze-nginx/server.key
Horizon Cloud 部署指南
VMware, Inc. 49
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
chown -R root:root /etc/nginx/ssl
chmod -R 600 /etc/nginx/ssl
10 驗證憑證中核發的 FQDN 符合 nginx 組態檔中伺服器接聽 443 區塊中的伺服器名稱指令。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,nginx 組態檔位於 /opt/container-data/conf/hze-nginx/nginx.conf。
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,nginx 組態檔位於 /etc/nginx/nginx.conf。
11 驗證並重新啟動 nginx。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
docker exec -i hze-nginx sudo nginx -t
systemctl restart hze-nginx
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
nginx -t
systemctl restart nginx
12 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請在歡迎使用畫面更新 SSL 指紋。
使用下列命令:
docker exec -i hze-core sudo /opt/vmware/bin/configure-welcome-screen.py
/usr/bin/killall --quiet vami_login
13 在網頁瀏覽器中重新載入 Horizon 7 Cloud Connector 使用者介面 URL,測試新的憑證。
14 (選擇性) 如果憑證可正常運作,請移除備份檔案。
n 對於 Horizon 7 Cloud Connector 的 1.4 版或更新版本,請使用下列命令:
rm /opt/container-data/certs/hze-nginx/server.crt.orig
rm /opt/container-data/certs/hze-nginx/server.key.orig
rm /opt/container-data/conf/hze-nginx/nginx.conf.orig
n 對於 Horizon 7 Cloud Connector 的 1.3 版或更早版本,請使用下列命令:
rm /etc/nginx/ssl/server.crt.orig
rm /etc/nginx/ssl/server.key.orig
rm /etc/nginx/nginx.conf.orig
Horizon Cloud 部署指南
VMware, Inc. 50
15 移除根目錄中複製的 CA 憑證和金鑰檔案。
使用下列命令:
rm /root/server.crt
rm /root/server.key
將 Horizon 7 Cloud Connector 虛擬應用裝置與 NTP 伺服器同步若要確保 Horizon 7 Cloud Connector 虛擬應用裝置能夠正確地向 Horizon Cloud 和所需的連線伺服器執行
個體進行驗證,您必須將虛擬應用裝置的時鐘與網路時間通訊協定 (NTP) 伺服器同步。您可以先確定主機
與 NTP 伺服器同步,再將 Horizon 7 Cloud Connector 虛擬應用裝置上的時鐘與虛擬應用裝置所在的實體
ESXi 主機上的時鐘同步。或者,您可以直接將虛擬應用裝置的時鐘與 NTP 伺服器同步。
程序
u 將 Horizon 7 Cloud Connector 虛擬應用裝置與虛擬應用裝置所在的實體 ESXi 主機同步。
a 確認 ESXi 主機的時鐘與 NTP 伺服器同步。
如需詳細資訊,請參閱 VMware vSphere 說明文件。
b 使用 vSphere Client 開啟 Horizon 7 Cloud Connector 虛擬應用裝置的 [編輯設定] 視窗,並啟用與
主機的時間同步選項。
如需詳細指示,請參閱 VMware vSphere 說明文件。
u 直接將 Horizon 7 Cloud Connector 虛擬應用裝置與 NTP 伺服器同步。
a 開啟 Horizon 7 Cloud Connector 虛擬應用裝置的 SSH 連線,並以 root 使用者的身分登入。
b 使用文字編輯器 (例如 vi) 開啟 timesyncd.conf 檔案,以進行編輯。
vi /etc/systemd/timesyncd.conf
c 編輯 [Time] 區段,使其具有類似於下列範例的內容。將 ntpAddress 取代為您要使用之 NTP 伺服
器的網域名稱。
[Time]
#FallbackNTP=time1.google.com time2.google.com time3.google.com time4.google.com
NTP=ntpAddress
儲存您對 timesyncd.conf 檔案的變更,然後結束文字編輯器。
d 重新啟動虛擬應用裝置的網路服務。
systemctl restart systemd-networkd
e 重新啟動虛擬應用裝置的時間同步服務。
systemctl restart systemd-timesyncd
f 確認虛擬應用裝置上的時鐘現在已與指定的 NTP 伺服器同步。
Horizon Cloud 部署指南
VMware, Inc. 51
確認 Horizon 7 網繭和 Horizon 7 Cloud Connector 已做好配對的準備
在這個將 Horizon 7 網繭上架至 Horizon Cloud 的工作流程步驟中,您可以執行 precheck.sh 診斷工具,以
驗證網繭和 Horizon 7 Cloud Connector 是否做好進行配對程序的準備。先執行診斷並修復在系統元件和組
態中發現的任何干擾問題,即可盡量提高將網繭與 Horizon Cloud 成功配對的機率。
precheck.sh 診斷工具可驗證將 Horizon 7 網繭與 Horizon Cloud 成功配對所需之服務和元件的健全狀況。
此外,此工具會檢查:
n 與憑證和 Proxy 設定相關的組態是否正確。
n 是否可建立 Horizon Cloud 和連線伺服器的連線。
n Horizon 7 Cloud Connector 是否有任何 SSL 相關問題。
必要條件
確認下列項目:
n 您已完成下載 Cloud Connector 並將其部署至網繭的 vSphere 環境中中的步驟,包括在將 Horizon 7 Cloud Connector 與 Horizon 7 連線伺服器配對之前啟用其 SSH 存取的步驟。
n Horizon 7 Cloud Connector 虛擬應用裝置的電源已開啟。
程序
1 開啟已部署 Horizon 7 Cloud Connector 虛擬應用裝置的 SSH 工作階段。
2 使用下列命令執行診斷工具。將 CS-FQDN 取代為網繭之連線伺服器的完整網域名稱 (FQDN)。
/opt/vmware/bin/precheck.sh CS-FQDN
如果診斷工具發現致使 Horizon 7 網繭與 Horizon Cloud 無法配對的問題,則會報告下列資訊:
n 問題元件或服務的名稱
n 問題元件或服務的狀態
n 相關聯的錯誤訊息和詳細資料
Horizon Cloud 部署指南
VMware, Inc. 52
n 建議的修復步驟 (若有的話),用以將元件或服務還原為狀況良好且準備就緒的狀態
備註 診斷工具在其輸出中一律會報告下列一或兩個預期的情況。這兩種情況在上架工作流程的這個階
段中都是正常且符合預期的,兩者都不會妨礙 Horizon 7 網繭與 Horizon Cloud 的配對。
n Component/Service Name: "Cloud Broker Client Service"
Status: "NOT_INITIALIZED"
Message: Service is not initialized.
此情況與選用的 Horizon 通用代理 服務有關,且在依照為多雲端指派設定 Horizon 通用代理中所
述加以啟用之前,將持續處於 NOT_INITIALIZED 狀態。當 Horizon 通用代理 處於
NOT_INITIALIZED 狀態時,您仍可將 Horizon 7 網繭與 Horizon Cloud 成功配對。因此,此情況
並非構成干擾的問題,您可加以忽略。
n Component/Service Name: "Connector Client Service"
Status: "FAIL"
Message: Connector service is initialized post on-boarding.
完成配對程序後,Horizon 7 Cloud Connector 用戶端服務會進行初始化,因為初始化程序需要
Horizon Cloud 的連線。因此,在上架工作流程的這個階段預期會出現 FAIL 情況。將 Horizon 7 網繭與 Horizon Cloud 配對後,Horizon 7 Cloud Connector 用戶端服務會進行初始化,且 FAIL 情況
將會清除。
3 如果診斷工具報告了干擾配對程序的問題,請調查受影響的元件或服務,並執行建議的修復步驟。如前
所述,您可以忽略「雲端代理用戶端服務」和「連接器用戶端服務」的錯誤情況,因為這並非構成干擾
的問題。
如有需要,請重複步驟 2 和 3,再次執行診斷工具並疑難排解問題,直到工具未報告任何干擾配對程序
的問題為止。Horizon 7 網繭和 Horizon 7 Cloud Connector 現已做好準備,可進行配對程序。
備註 如果您在未先清除診斷工具所報告的任何干擾問題,即嘗試進行配對程序,則配對程序可能會失
敗。
4 遵循使用 Horizon 7 Cloud Connector 組態入口網站完成 Horizon 7 網繭與 Horizon Cloud 的配對中的
步驟繼續進行網繭上架工作流程。
完成配對程序之後,您可以使用 Horizon Cloud 管理主控台中的 [儀表板] 頁面,繼續監控雲端連線網
繭的健全狀況。如需詳細資訊,請參閱在 Horizon Cloud 中由雲端監控服務針對雲端連線網繭提供的健
全狀況可見度和深入解析。
使用 Horizon 7 Cloud Connector 組態入口網站完成 Horizon 7 網繭與 Horizon Cloud 的配對
在此步驟中,將 Horizon 7 網繭上架至 Horizon Cloud 的工作流程時,您需要使用 Horizon 7 Cloud Connector 組態入口網站來指定 Horizon 7 Cloud Connector 用來與 Horizon 7 網繭連線伺服器配對的詳細
資料。成功完成這些步驟會使 Horizon 7 網繭連線至您的 Horizon Cloud 租用戶環境。
Horizon Cloud 部署指南
VMware, Inc. 53
必要條件
確認您已完成下載 Cloud Connector 並將其部署至網繭的 vSphere 環境中和確認 Horizon 7 網繭和
Horizon 7 Cloud Connector 已做好配對的準備中的步驟。此外,請確認:
n Horizon 7 Cloud Connector 虛擬應用裝置已開啟電源
n 您擁有用來顯示以瀏覽器為基礎之 Horizon 7 Cloud Connector 組態入口網站的 URL。此 URL 通常會
顯示在應用裝置的藍色主控台畫面中,並以虛擬應用裝置的 IP 位址為基礎,例如 https://IP-address/,其中 IP-address 為應用裝置的 IP 位址。或者,如果您已在 DNS 伺服器中將完整網域名稱
(FQDN) 對應至 Horizon 7 Cloud Connector 虛擬應用裝置的 IP 位址,則該組態入口網站的 URL 將是
該 FQDN。
確認 Horizon 7 Cloud Connector 虛擬應用裝置已開啟電源,且您可以從應用裝置的藍色主控台畫面取得用
於啟動上架精靈的 URL。
確認您已符合準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對中所述的所有項目,尤其是:
n 您已符合使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與 Horizon Cloud 配對時的 使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠和通訊協定需求。
n 您在網路拓撲中的 DNS 組態將可讓已部署的 Horizon 7 Cloud Connector 解析網繭連線伺服器的
FQDN。如果已部署的 Horizon 7 Cloud Connector 無法使用 DNS 解析連線伺服器,則在您輸入
Horizon 7 網域認證的步驟中,上架精靈將會遇到非預期的錯誤。
n Horizon 7 Cloud Connector 虛擬應用裝置必須連線至網際網路,才能與 Horizon Cloud 控制平面通
訊,並顯示以瀏覽器為基礎的組態入口網站。如果您的環境需要將 Proxy 伺服器和 Proxy 組態用於已
部署的應用裝置,請確認您已使用環境所需的 Proxy 設定,設定已部署的 Horizon 7 Cloud Connector 應用裝置。請參閱準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與
Horizon Cloud 配對、Horizon 7 Cloud Connector 已知考量事項和修改 Horizon 7 Cloud Connector 1.5 或更早版本的 Proxy 設定中 Proxy 相關的資訊。
n 您擁有與您要配對網繭之 Horizon Cloud 客戶帳戶相關聯 My VMware 帳戶的認證。如將 Horizon Cloud Service 與現有的 Horizon 7 網繭連線以使用 Horizon 訂閱授權和/或雲端主控服務中所述,需要
My VMware 帳戶才能向雲端管理平面進行驗證,藉此設定連接器並建立連線,以將該授權用於
Horizon 訂閱產品。
程序
1 從應用裝置的藍色主控台畫面中取得用來啟動上架精靈的 URL。
Horizon Cloud 部署指南
VMware, Inc. 54
2 使用瀏覽器,導覽至應用裝置之藍色主控台畫面中顯示的該位址。
重要 在此步驟中,Horizon 7 Cloud Connector 會建立對 Horizon Cloud 的連線以顯示登入畫面,以
用來向雲端控制平面驗證您的 My VMware 帳戶認證。此連線會使用連接埠 443 的輸出 HTTPS。若未
看到登入畫面,確認您已符合 使用 Horizon 7 Cloud Connector 和 Horizon 7 網繭時的 DNS、連接埠
和通訊協定需求。
此時會顯示用於登入 Horizon 7 Cloud Connector 組態入口網站的登入畫面。
3 在登入畫面中輸入 My VMware 帳戶認證,然後按一下登入。
下列螢幕擷取畫面顯示在按一下登入之前所輸入認證的登入畫面範例。
如果出現「服務條款」訊息,請按一下接受以繼續。
組態入口網站會顯示網繭上架精靈的第一個步驟。下列螢幕擷取畫面顯示此步驟在填入任何欄位之前的
情形。
Horizon Cloud 部署指南
VMware, Inc. 55
4 在連線至 Horizon 7 連線伺服器欄位中,輸入要與 Horizon 7 Cloud Connector 配對之網繭連線伺服器
執行個體的 FQDN。
當您在欄位中輸入時,連線按鈕隨即出現。
5 在輸入 FQDN 後,按一下連線。
Horizon 7 Cloud Connector 會嘗試與指定的連線伺服器通訊,並擷取其憑證資訊。此程序需要幾分鐘
的時間。建立通訊時,頁面會顯示所擷取的憑證資訊。
如果連線伺服器沒有有效的根 CA 憑證,則會顯示警告訊息,指出憑證無法自動驗證,且您必須按一下
核取方塊來確認其有效性。下列螢幕擷取畫面是此情況的範例。
如果您看到此訊息,請確認顯示的憑證資訊正確無誤,然後按一下核取方塊,以繼續進行下一個步驟。
備註 如果連線伺服器具備有效的根 CA 憑證,精靈會自動驗證資訊,然後您可以繼續進行下一個步
驟。
下列螢幕擷取畫面顯示按一下核取方塊之後的畫面。
Horizon Cloud 部署指南
VMware, Inc. 56
6 在 [Horizon 7 認證] 區段中,輸入連線伺服器所使用的網域名稱和管理員認證,然後按一下連線。
此管理員帳戶必須符合準備執行上架精靈,以使用 Horizon 7 Cloud Connector 將 Horizon 7 網繭與
Horizon Cloud 配對中所述的需求。此帳戶必須具有 Horizon 7 在 Horizon 7 網繭的根存取群組上預先
定義的管理員角色。
下列螢幕擷取畫面顯示畫面中的這個區域。
備註 此時,系統會偵測指定的連線伺服器執行個體是否已與 Horizon 7 Cloud Connector 的另一個執
行個體配對。在此情況下,頁面會顯示一則訊息並詢問您是否要刪除現有配對,並將此連線伺服器與您
在步驟 4 中指定的 Horizon 7 Cloud Connector 執行個體配對。若要繼續進行配對網繭的下列步驟,請
選擇與畫面上的指引相符的顯示動作按鈕。
精靈的步驟 2 隨即出現。
7 在此精靈步驟中,提供有關該網繭的詳細資料。
下列螢幕擷取畫面為在此步驟中填入內容的範例。
Horizon Cloud 部署指南
VMware, Inc. 57
在雲端管理平面中會使用這些詳細資料將配對的連線伺服器 Horizon 7 Cloud Connector 執行個體與您
的 Horizon Cloud 租用戶環境建立關聯。例如,指定的名稱、位置和說明將會顯示在 Horizon Cloud 管理主控台中,以供您識別該網繭與連線到控制平面的其他網繭。
選項 說明
名稱 輸入易記名稱,以在您的 Horizon Cloud 租用戶環境中識別此網繭。
資料中心位置 選取現有位置,或按一下新增以指定要用於此網繭的新位置。在 Horizon Cloud 管理主控台中,系統會分組您的網繭,並根據您指定的位置來顯示。
在城市名稱文字方塊中,開始輸入城市的名稱。系統會自動顯示來自其後端地理查
閱表格、符合您輸入的字元的世界城市名稱,而您可以從該清單中選擇城市。
備註 您必須從系統的自動完成清單中選取城市。
說明 選用:輸入此網繭的說明。
在 VMware Cloud on AWS 中部署的網
繭
如果網繭部署於 VMware Cloud on AWS 軟體定義資料中心 (SDDC),請選取此核取
方塊。
8 按儲存繼續進行精靈的下一個步驟。
精靈的設定步驟會隨即顯示。系統會檢查對指定連線伺服器執行個體的連線,並完成 終的組態步驟。
下列螢幕擷取畫面是此步驟的範例。
Horizon Cloud 部署指南
VMware, Inc. 58
系統判斷網繭已成功連線至 Horizon Cloud 控制平面時即會顯示恭喜畫面,其中包含用於後續組態管理
工作的某些指引文字和動作按鈕。下列螢幕擷取畫面是此畫面的範例。
備註 僅在您的 Horizon Cloud 租用戶帳戶已設定 Horizon 7 Cloud Connector 的自動更新時,才會在
此處顯示設定自動 Cloud Connector 更新按鈕。如需該功能的詳細資料,請參閱《管理指南》中的
Horizon 7 Cloud Connector 虛擬應用裝置的自動升級主題。
結果
當您到達此處時,配對工作流程即會完成。此時,VMware 一般會在您將網繭與雲端控制平面配對後的 48 小時內啟用訂閱授權。當 VMware 啟用訂閱授權後,您的 Horizon 7 管理員主控台中將會顯示一則訊息,
指出您的 Horizon 7 環境正在使用授權的訂閱類型。下列螢幕擷取畫面是範例圖解。
小心 如果在 48 小時後您仍未在 Horizon Console 的授權區域中看到已連線至授權服務訊息,請與
VMware 代表連絡。
Horizon Cloud 部署指南
VMware, Inc. 59
後續步驟
此時,網繭已成功與 Horizon Cloud 配對。如需一般從這個時間點開始完成之那些 Horizon 7 Cloud Connector 管理和維護工作的詳細資料,請參閱《管理指南》中的在 Horizon 7 網繭與 Horizon Cloud 配對
後,您在 Horizon 7 Cloud Connector 上執行的一般管理和維護工作主題。
當您為第一個網繭部署選擇 Microsoft Azure 雲端容量時
您可以將 Horizon Cloud 連線至 Microsoft Azure 訂閱,以管理及傳遞 Microsoft Windows 10 VDI 桌面和虛
擬 RDSH Windows 虛擬機器,供工作階段型桌面和遠端應用程式使用。設定環境時,需要將必要的
VMware 軟體部署至您的 Microsoft Azure 容量中。部署的 VMware 軟體會建立適當設定的實體 (稱為網
繭),進而與控制平台配對。網繭部署後,您可以使用控制平面佈建 VDI 桌面和 RDSH,並為您的使用者授
與桌面和遠端應用程式的存取權。
Horizon Cloud 部署指南
VMware, Inc. 60
Microsoft Azure 中的網繭部署
Horizon Cloud 部署到 Microsoft Azure 的網繭,其實體區域位置在 Microsoft Azure 雲端中。在網繭部署精
靈中,您可以根據您的 Microsoft Azure 訂閱適用的區域,選取要將網繭置於何處。您也可以選取網繭將在
您選取的區域中使用的現有虛擬網路 (VNet)。您可以選擇將外部閘道組態部署至網繭,並將該外部閘道的
資源部署至與網繭相同的 VNet,或部署至與網繭 VNet 對等的個別 VNet 中。
備註 您可以使用網繭 VNet 預先設定 Microsoft Azure 環境,以及使用外部閘道 VNet 來設定 (如果使用該
組態選項)。您可以預先建立網繭和外部閘道組態所需的子網路,或讓網繭部署工具在部署期間建立子網
路。若未預先建立子網路,則網繭部署工具會在它將所需虛擬機器和資源部署至您的環境時建立子網路。
如果您選擇讓網繭部署工具建立其所需的子網路,則在開始啟動部署精靈之前,您必須知道要用於網繭子
網路的 IP 位址空間。如果您選擇預先建立子網路,則在開始部署程序之前,必須先確保其符合特定需求。
如需預先建立子網路時之需求的詳細資料,請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立
Horizon Cloud Pod 所需的子網路和在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時。
您可以部署多個網繭至 Microsoft Azure,並透過 Horizon Cloud 管理員主控台一併加以管理。在第一個網
繭後部署的網繭,可重複使用與第一個網繭相同的 VNet,或使用不同的 VNet。此外,各個網繭可位於不
同的 Microsoft Azure 區域,並使用每個區域中的 VNet。
重要 Microsoft Azure 中的此網繭不是租用戶。此網繭不會依循用來定義租用戶,以及您預期租用戶所將
具備的同一組特性。例如,即便租用戶與 Active Directory 網域之間會有一對一的對應,且會與其他租用戶
隔離,Microsoft Azure 中所有使用相同 Horizon Cloud 客戶帳戶記錄進行部署的 Horizon Cloud Pod 仍需
要能夠連線到相同的 Active Directory 伺服器,且 DNS 組態需要解析所有那些 Active Directory 網域。
若要使用多租戶,您必須設定多個 Horizon Cloud 客戶帳戶記錄。Horizon Cloud 客戶帳戶記錄會在您向
VMware 登錄以使用 Horizon Cloud Service 時建立,且會與您的 My VMware 認證相關聯,因此更像是租
用戶。一個 Horizon Cloud 客戶帳戶記錄會與其他 Horizon Cloud 客戶帳戶記錄互相隔離。單一客戶帳戶記
錄會對應至多個網繭,且在某人使用任何與該客戶帳戶記錄相關聯的帳戶認證登入管理主控台時,主控台
將會反映所有已對應至該客戶帳戶記錄的網繭。
網繭部署程序會自動在您的 Microsoft Azure 容量中建立一組資源群組。資源群組可用來組織整理環境所需
及建立的資產,例如:
n 網繭管理員執行個體的虛擬機器 (已啟用高可用性的網繭會有多個虛擬機器)
n Unified Access Gateway 執行個體及其負載平衡器的虛擬機器
n 在與網繭的 VNet 不同的個別 VNet 中部署外部閘道組態時,用於該組態中連接器虛擬機器的虛擬機
器。
n 具有 RDSH 功能之主要映像的虛擬機器
n 主要 VDI 桌面映像的虛擬機器
n 從主要映像建立之可指派 (已發佈) 映像的虛擬機器
n 提供 RDSH 桌面和遠端應用程式之 RDSH 伺服器陣列的虛擬機器
n VDI 桌面的虛擬機器
Horizon Cloud 部署指南
VMware, Inc. 61
n 虛擬機器和環境針對支援之作業所需的其他資產,如網路介面、IP 位址、磁碟、金鑰保存庫、適用於
PostgreSQL 的 Microsoft Azure 資料庫伺服器資源,以及諸如此類的各種項目。網繭部署程序也可以
使用您在部署精靈中指定的值來建立所需的虛擬子網路。
下圖說明針對高可用性而啟用的已部署網繭,此網繭同時具有外部和內部類型的閘道組態,且外部閘道位
於與網繭本身相同的 VNet 中。在此圖中,RG 代表資源群組。外部閘道組態中的 Unified Access Gateway 執行個體具有非軍事 (DMZ) 網路上的 NIC。使用外部閘道組態時,您可以讓位於網際網路中、公司網路外
的使用者透過該組態存取其網繭佈建的虛擬桌面和應用程式。使用內部閘道組態時,您可以讓位於內部網
路中、公司網路內的使用者透過該閘道對其網繭佈建的虛擬桌面和應用程式進行受信任的連線。網繭部署
精靈會提供選項供您預先部署同時具有這兩種組態的網繭。或者,您也可以部署僅具有一個閘道組態或兩
種組態都沒有的網繭,然後在稍後編輯已部署的網繭來新增未選擇的閘道組態。
您也可以在部署精靈中選擇不啟用高可用性選項,然後在稍後編輯已部署的網繭以在其上啟用高可用性。
從這個版本開始,新網繭一律會使用適用於 PostgreSQL 的 Microsoft Azure 資料庫伺服器資源和網繭負載
平衡器一起部署,即使您在此精靈中未啟用高可用性選項也是如此。讓這些資源可供使用,可讓您在已部
署的網繭上啟用高可用性。只有在網繭上已啟用高可用性時,才會部署第二個網繭管理員虛擬機器。如需
詳細資訊,請參閱《管理指南》中的 Microsoft Azure 說明文件主題中的高可用性和您的 Horizon Cloud Pod。
Horizon Cloud 部署指南
VMware, Inc. 62
圖 2-1. 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與網繭相同之 VNet 中的外部閘道,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
虛擬 機器
管理網路
管理員Horizon Cloud
控制平台 網際網路外部
使用者內部
使用者
閘道 VPN 或
ExpressRoute
Microsoft Azure負載平衡器
PostgresDB
基礎 虛擬機器
已發佈的映像
RG: vmw-hcs-<podID>-pool-1001
RG: vmw-hcs-<podID>-pool-100n
RG: vmw-hcs-<podID>-base-vms
RG: vmw-hcs-<podID>-jumpbox
虛擬機器:Jumpbox (暫存)
NIC/IP
RG: vmw-hcs-<podID>
虛擬機器: 網繭
管理員 1
虛擬機器: 網繭
管理員 2
DMZ網路
公用 IP
虛擬機器:
UnifiedAccess
Gateway 1
虛擬機器:
UnifiedAccess
Gateway 2
虛擬機器:
UnifiedAccess
Gateway 1
虛擬機器:
UnifiedAccess
Gateway 2
Microsoft Azure負載平衡器
RG: vmw-hcs-<podID>-uag
RG: vmw-hcs-<podID>-uag-internal
租用戶網路
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
NIC/IP
Microsoft Azure內部負載平衡器
2 個具有 IPsec 通道的 VPN 閘道
已連線至外部網路
VPN 閘道(選用)
VPN 閘道(選用)
下圖說明當您選擇讓外部閘道位於其本身的 VNet 中 (與網繭的 VNet 不同) 的選項時所部署的資源。這兩個
VNet 必須為對等。當您選擇讓外部閘道的資源使用不同於網繭所使用的 Microsoft Azure 訂閱部署時也適
用此圖。由於 VNet 無法跨訂閱,因此只要選擇讓外部閘道位於其本身的 VNet 中,便會將外部閘道部署至
其本身的訂閱中。
提示 將外部閘道組態部署至其本身的 VNet 中,可讓您將這些 Horizon Cloud Pod 部署至使用 Azure 中的
中樞輪輻網路拓撲的複雜 Microsoft Azure 環境。
Horizon Cloud 部署指南
VMware, Inc. 63
圖 2-2. 此圖顯示將外部閘道部署至其本身的 VNet (與網繭的 VNet 不同) 時的外部閘道架構元素
VNet-2 的管理子網路
管理員 網際網路Horizon Cloud
控制平面外部
使用者
虛擬機器:Jumpbox (暫存)
暫時性 Jumpbox 的 RG
NIC/IP
虛擬機器:
連接器
外部
閘道連接器
虛擬機器的 RG
外部閘道
資源的 RG
NIC/IP
VNet-2 的 DMZ(前端) 子網路
VNet-2
虛擬機器: UAG-1
Microsoft Azure負載平衡器
負載平衡器 IP
VNet-2 的後端子網路
NIC/IP
NIC/IP
NIC/IP
虛擬機器: UAG-2
NIC/IP
NIC/IP
NIC/IP
Microsoft Azure 術語和參考
VMware Horizon Cloud Service on Microsoft Azure 產品說明文件在 VMware Horizon Cloud Service on Microsoft Azure 工作流程的說明和工作步驟中會使用適當的 Microsoft Azure 術語。如果您不熟悉
Microsoft Azure 術語,則可以使用下列 Microsoft Azure 產品說明文件中的適用參考以深入瞭解。
備註 下方引用中的所有大小寫和拼字,皆與 Microsoft Azure 說明文件中連結文章所使用的大小寫和拼字
一致。
實用的 Microsoft Azure 參考 說明
Microsoft Azure 詞彙:Azure 平台上
的雲端術語字典
使用此詞彙解釋,可瞭解術語用於 Microsoft Azure 雲端環境時的內容,例如負載平衡器、區
域、資源群組、訂閱、虛擬機器和虛擬網路 (vnet) 等術語。
備註 Microsoft Azure 詞彙解釋並未包含「服務主體」一詞,因為服務主體是在 Microsoft Azure 中建立應用程式登錄時自動建立於 Microsoft Azure 中的資源。在您 Microsoft Azure 訂閱中建立應用程式登錄的目的在於您需要以此方式將 Horizon Cloud 授權為要使用
Microsoft Azure 容量的應用程式。應用程式登錄及其隨附的服務主體可讓 Horizon Cloud Cloud Service 作為應用程式提供服務,以存取您 Microsoft Azure 訂閱中的資源。請使用下
方的參考,瞭解可對 Microsoft Azure 中資源進行存取的應用程式和服務主體。
使用入口網站建立可存取資源的
Azure Active Directory 應用程式和服
務主體
閱讀本文以瞭解應用程式與服務主體之間在 Microsoft Azure 雲端中的關聯性。
Azure 資源管理員概觀 閱讀本文以瞭解資源、資源群組和資源管理員之間在 Microsoft Azure 中的關聯性。
Horizon Cloud 部署指南
VMware, Inc. 64
實用的 Microsoft Azure 參考 說明
Azure VNet 閱讀本文以瞭解 Microsoft Azure 中的 Azure 虛擬網路 (VNet) 服務。另請參閱 Azure 虛擬網
路的常見問題 (FAQ)。
Azure VNet 對等 閱讀本文以瞭解 Microsoft Azure 中的虛擬網路對等關係。
Azure 中的中樞輪輻網路拓撲 閱讀本文以瞭解 Microsoft Azure 中的中樞輪輻網路拓撲。
Microsoft Azure ExpressRoute 概觀 閱讀本文以瞭解 Microsoft Azure ExpressRoute,以及如何用它來建立您的內部部署網路、
Microsoft Azure 與 Horizon Cloud Pod 之間的連線。
關於 VPN 閘道
VPN 閘道的規劃和設計
在 Azure 入口網站中建立站台對站台
的連線
閱讀這些文章以瞭解如何在 Microsoft Azure 中設定 VPN。
什麼是 Azure 負載平衡器? 閱讀本文以瞭解針對網繭部署的 Azure 負載平衡器:用於網繭管理員虛擬機器的負載平衡器
和閘道組態的負載平衡器。
什麼是適用於 PostgreSQL 的 Azure 資料庫?
閱讀本文以瞭解適用於 PostgreSQL 的 Microsoft Azure 資料庫服務。
什麼是 Windows 虛擬桌面? 閱讀本文以瞭解 Microsoft Windows 虛擬桌面,以及其與 Windows 10 企業版多重工作階段
和具有延伸安全性更新之 Microsoft Windows 7 企業版的關係。當您的 Horizon Cloud 租用戶
帳戶具有 Horizon Cloud Service on Microsoft Azure 延伸 Microsoft Windows 虛擬桌面的組
態時,將會提供使用 Microsoft Windows 10 企業版多重工作階段和 Microsoft Windows 7 企業版搭配 Microsoft Azure 中所部署網繭的支援。
其他 VMware 資源
下列資源提供關於此服務的深入技術詳細資料。
其他 VMware 技術資源 說明
需求檢查清單 使用此檢查清單以瞭解您在開始進行網繭部署程序之前所需要取得並設定的資產。
Microsoft Azure 搭配 VMware Horizon Cloud 時的網路和 Active Directory 考量
閱讀本文以瞭解網路連線以及將 Microsoft Active Directory 與 Microsoft Azure 中 Horizon Cloud Pod 搭配使用的各種選項和 佳做法。
Horizon Cloud Service on Microsoft Azure 安全性考量
閱讀本文以取得環境的安全性詳細資料以及所儲存資料類型的相關資訊。
Horizon Cloud on Microsoft Azure:
RDS 桌面和應用程式延展性 (白皮書下
載)
閱讀本文以透過分析 RDS 桌面和遠端應用程式延展性、 佳的使用者密度,以及與伺服
器陣列部署和電源管理設定相關成本考量來深入瞭解相關資訊。
藉由部署至 Microsoft Azure 以產生第一個雲端連線網繭時的高階工作流程
此清單列出藉由將網繭部署至 Microsoft Azure 容量,使用 Horizon Cloud 中的精靈來產生您的第一個雲端
連線網繭的高階步驟。在這第一個雲端連線網繭已完整部署,且您已完成將網繭的預定 Active Directory 網域登錄至 Horizon Cloud 的步驟後,您即可使用 Horizon Cloud 提供的所有功能,尤其是從該網繭為您的使
用者佈建 VDI 桌面、RDSH 工作階段型桌面或 RDSH 型遠端應用程式。
Horizon Cloud 部署指南
VMware, Inc. 65
在部署您的第一個雲端連線網繭時,如果您要使用精靈將其部署至 Microsoft Azure,請執行下列步驟。
1 滿足必要條件。請參閱新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清
單 - 已針對 2020 年 3 月服務版本更新。
2 在 Horizon Cloud 外執行準備工作。請參閱準備將 Horizon Cloud Pod 部署至 Microsoft Azure 中。
3 確認您符合部署網繭的 DNS、連接埠和通訊協定需求。請參閱 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求與使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定
需求。
4 部署網繭。請參閱將 Horizon Cloud Pod 部署至 Microsoft Azure。
5 將您的 Active Directory 網域登錄至已部署的網繭,包括提供網域加入帳戶的名稱。請參閱《Horizon Cloud 管理指南》。
6 將 Horizon Cloud 超級管理員角色提供給將該網域加入帳戶納入為成員的 Active Directory 群組。
重要 您必須確定在登錄網域時所輸入的網域加入帳戶,也屬於您為其指派 Horizon Cloud 超級管理員
角色的其中一個 Active Directory 群組。系統的網域加入作業取決於具有 Horizon Cloud 超級管理員角
色的網域加入帳戶。請參閱《VMware Horizon Cloud Service on Microsoft Azure 管理指南》。
7 如果您計劃使用 Workspace ONE Access 搭配網繭,或計劃讓 Horizon Clients 直接連線至網繭 (而非
透過網繭閘道組態),則請執行下列步驟:
n 在您的 DNS 伺服器中,將完整網域名稱 (FQDN) 對應至網繭的租用戶應用裝置 IP 位址
n 取得基於該對應 FQDN 的 SSL 憑證
您會根據已在 DNS 中與網繭的租用戶應用裝置 IP 位址相對應的 FQDN,將 SSL 憑證上傳至網繭,使
連至網繭的連線將進行信任的連線。此類連線包括您提供該對應 FQDN 的使用者的 Horizon Clients,
以及將 Workspace ONE Access 與網繭整合時所使用的 Workspace ONE Access Connector。Workspace ONE Access Connector 必須使用對應至網繭租用戶應用裝置 IP 位址的 FQDN 連線至網
繭。
小心 在整合 Workspace ONE Access 與網繭時,您必須將 SSL 憑證上傳至網繭,並設定
Workspace ONE Access 以指向網繭,而非網繭的 Unified Gateway Access 組態。
但請記住,當您根據 DNS 對應的 FQDN 上傳 SSL 憑證時,如果您嘗試藉由直接在瀏覽器中輸入該
FQDN 來連線,而非透過正確設定的 Workspace ONE Access 連線,則使用的純 FQDN 在瀏覽器中將
會顯示為不受信任的連線。原因僅是在將該 FQDN 載入瀏覽器是使用 HTML Access (Blast) 的連線,
而那是 HTML Access (Blast) 的預期行為。因此,當您將該 FQDN 載入瀏覽器時,會顯示一般的不受
信任的憑證錯誤。
在未使用 Workspace ONE Access 的情況下,若要讓使用 HTML Access (Blast) 的連線 (一般是使用
瀏覽器) 避免顯示不受信任的憑證錯誤,您必須在網繭上放置閘道組態,並讓這些連線使用來自該閘道
組態的負載平衡器和 Unified Access Gateway 執行個體。如果您不想向網際網路公開您的 FQDN,則
可以部署內部 Unified Access Gateway 組態。此內部 Unified Access Gateway 組態會使用 Microsoft 內部負載平衡器,作為公司網路內部使用者可以將進行連線的目標。
Horizon Cloud 部署指南
VMware, Inc. 66
8 如果您想要至少有前述步驟中所述的其中一個或兩個使用案例,請使用管理主控台中的網繭摘要頁面,
將 SSL 憑證直接上傳至網繭。請參閱《Horizon Cloud 管理指南》。
提示 如果您想要支援的唯一存取使用案例是,連線會透過連線到網繭 Unified Access Gateway 執行
個體的負載平衡器前往這些執行個體,則直接上傳 SSL 憑證至網繭是多餘的。然而,執行上面的步驟
6 和步驟 7 是建議的做法,因為這可確保某天將您將 FQDN 提供給使用者在其 Horizon Clients 中輸入
時,那些用戶端可以有信任的連線。執行步驟 6 和此步驟 7 也可讓您更快速地將網繭與 Workspace ONE Access 整合,因為您已有對應的 FQDN 且 SSL 憑證已在網繭上備妥。
9 匯入主要映像。在 [已匯入的虛擬機器] 頁面上,使用 重設代理程式配對動作將新的主要映像與
Horizon Cloud 配對。請參閱《Horizon Cloud 管理指南》。
10 根據您的主要映像是要用於佈建 VDI 桌面或用於 RDSH 型工作階段桌面和 RDSH 型遠端應用程式,
請適當地執行以下一或多個步驟。如需詳細步驟,請參閱《Horizon Cloud 管理指南》。
n 在 VDI 桌面的主要映像中,安裝您要讓使用者在其 VDI 桌面中使用的第三方應用程式,並設定其
他適用的自訂 (例如設定桌面底色圖案)、安裝 NVIDIA GPU 驅動程式 (適用於啟用 GPU 的映像),以及執行相關作業。此外, 佳化映像以符合 Microsoft Sysprep 佳做法 (如果沒有在完成匯入映
像程序期間完成)。請參閱《Horizon Cloud 管理指南》。
n 在具有 RDS 功能的、且用來佈建 RDSH 型工作階段桌面和遠端應用程式的主要映像中,安裝您要
從該 RDS 映像提供給使用者的第三方應用程式,並設定其他適用的自訂 (例如設定桌面底色圖
案)、安裝 NVIDIA GPU 驅動程式 (適用於啟用 GPU 的映像),以及執行相關作業。此外, 佳化
映像以符合 Microsoft Sysprep 佳做法 (如果沒有在完成匯入映像程序期間完成)。如果已匯入的
虛擬機器所執行的 Microsoft Windows 10 企業版多重工作階段系統依預設包含 Office 365 專業增
強版,則您應確認已為虛擬機器設定 Office 365 專業增強版的共用電腦啟用,如 Microsoft 說明文
件主題 Office 365 專業增強版的共用電腦啟用概觀中所述。如果未在已匯入的虛擬機器中設定
Office 365 專業增強版的共用電腦啟用,請使用您環境所適用的 Microsoft 文件所描述的方法。請
參閱《Horizon Cloud 管理指南》。
11 將該主要映像轉換為可指派的映像,也稱為密封或發佈映像。請參閱《Horizon Cloud 管理指南》。
12 若要從發佈的主要伺服器映像佈建工作階段型 RDSH 桌面和遠端應用程式:
a 建立提供工作階段桌面的桌面 RDSH 伺服器陣列,並建立讓使用者有權使用那些桌面的指派。請
參閱《Horizon Cloud 管理指南》。
b 建立提供遠端應用程式的應用程式 RDSH 伺服器陣列,接著將應用程式新增至您的應用程式詳細
目錄,並建立讓使用者有權使用那些遠端應用程式的指派。請參閱《Horizon Cloud 管理指南》。
13 若要從已發佈主要 VDI 桌面映像佈建 VDI 桌面,請建立專用或浮動的 VDI 桌面指派。請參閱
《Horizon Cloud 管理指南》。
Horizon Cloud 部署指南
VMware, Inc. 67
14 如果網繭是使用閘道組態部署,則您必須在 DNS 伺服器中建立 CNAME 記錄,將您在部署精靈中輸入
的完整網域名稱 (FQDN) 對應至該閘道的網繭中所設定的適當 Azure 負載平衡器資源。
n 對於啟用了公用 IP 位址的外部閘道,請將您在部署精靈中輸入的 FQDN 對應至閘道的 Azure 負載
平衡器資源自動產生的公用 FQDN。您的 DNS 伺服器記錄會將該負載平衡器自動產生的公用
FQDN 與您的使用者所將使用的 FQDN 對應,而這也會在上傳的憑證中使用。下列程式碼行為示
範的範例。登錄 Active Directory 網域後,您可以在管理主控台的網繭詳細資料頁面中找到要使用
的識別碼。如果外部閘道部署在其本身的 VNet 中,請使用部署識別碼欄位中顯示的識別碼。
ourApps.ourOrg.example.com vwm-hcs-ID-uag.region.cloudapp.azure.com
n 對於沒有公用 IP 位址的內部閘道或外部閘道,請將您在部署精靈中輸入的 FQDN 對應至閘道的
Azure 負載平衡器資源的私人 IP 位址。您的 DNS 伺服器記錄會將該負載平衡器的 IP 位址與您的
使用者所將使用的 FQDN 對應,而這也會在上傳的憑證中使用。下列程式碼行為示範的範例。
ourApps.ourOrg.example.com Azure-load-balancer-private-IP
在網繭上架,且您可以存取管理主控台中的 [容量] 頁面後,請導覽至 [容量] 頁面,以查看在您的 DNS 中對應 FQDN 時所需的 vmw-hcs-識別碼-uag.region.cloudapp.azure.com 值。
如需如何在管理主控台中找出負載平衡器 FQDN 的詳細資料,請參閱 《Horizon Cloud 管理指南》。
15 將網繭部署為對網繭的閘道使用 RADIUS 雙因素驗證時,您必須完成下列工作:
n 如果您已使用 RADIUS 設定來設定外部閘道,並且該 RADIUS 伺服器無法在網繭所使用的相同
VNet 中連線,或無法在對等的 VNet 拓撲中連線 (如果您將外部閘道部署至其本身的 VNet 中),請
確認並設定該 RADIUS 伺服器,以允許來自外部閘道負載平衡器的 IP 位址的用戶端連線。在外部
閘道組態中,Unified Access Gateway 執行個體會嘗試與使用該負載平衡器位址的 RADIUS 伺服
器連絡。若要允許連線,請確保已在 RADIUS 伺服器組態中將該外部閘道資源群組中的負載平衡
器資源的 IP 位址指定為用戶端。
n 如果您已設定內部閘道或外部閘道,且您的 RADIUS 伺服器可在網繭所使用的相同 VNet 中連線,
請將 RADIUS 伺服器設定為允許來自 Microsoft Azure 必須與 RADIUS 伺服器進行通訊的閘道資源
群組中所建立的適當 NIC 的連線。網路管理員會判斷 RADIUS 伺服器對網繭的 Azure 虛擬網路和
子網路的網路可見度。您的 RADIUS 伺服器必須允許來自與網路管理員已為其提供 RADIUS 伺服
器網路可見度的子網路對應的這些閘道 NIC 的 IP 位址的用戶端連線。Microsoft Azure 中的閘道資
源群組有四個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭完成升級後將成為作用中的 NIC。若要支援用於進行中網繭
作業和每個網繭升級後的閘道與 RADIUS 伺服器之間的連線,請確保已在 RADIUS 伺服器組態中
將這四個 NIC IP 位址指定為用戶端。
如需如何取得這些 IP 位址的相關資訊,請參閱《管理指南》。
完成前述工作流程步驟後,您的使用者即可在 Horizon Client 中或透過 HTML Access 使用您的 FQDN 啟動其有權使用的桌面和遠端應用程式。
您可以在以上的每個步驟所連結的主題或隨附指南中找到如何完成每個工作流程步驟的深入詳細資料。請
參閱《Horizon Cloud 管理指南》。
Horizon Cloud 部署指南
VMware, Inc. 68
準備將 Horizon Cloud Pod 部署至 Microsoft Azure 中在第一次登入 Horizon Cloud 管理主控台並執行網繭部署精靈之前,您必須先執行下列準備工作。
1 符合新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針對 2020 年
3 月服務版本更新中所述的先決條件,尤其是:
n 確定您的 Microsoft Azure 帳戶和訂閱包含網繭所需的虛擬機器數目和大小,包括選用的 Unified Access Gateway 組態 (如果您打算要部署)。請參閱 Microsoft Azure 中 Horizon Cloud Pod 的
Microsoft Azure 虛擬機器需求。
如果您要以使用其本身的訂閱 (與網繭的訂閱不同) 的外部閘道組態來部署網繭,請確定其他訂閱
包含外部閘道所需的虛擬機器數目和大小。在此使用案例中,該個別訂閱將需要其本身的 VNet,因為 VNet 不會跨訂閱。此外,此訂閱必須與網繭的訂閱位於相同的區域中,因為支援的 VNet 拓撲會連接相同 Microsoft Azure 區域內的 VNet。
n 如新網繭部署的 VMware Horizon Cloud Service on Microsoft Azure 需求檢查清單 - 已針對 2020 年 3 月服務版本更新中所述,請確定您的訂閱對於 Azure StorageV1 帳戶類型的使用並無限制、
對於未標記資源群組的建立並無限制,或要求須對其資源群組使用特定標記,且沒有 Azure 原則會
在該訂閱中封鎖、拒絕或限制網繭元件的建立。
注意 如果您的訂閱限制了這些項目,則網繭部署程序將在初期失敗,因為建立暫時性 Jumpbox 的資源群組和部署 Jumpbox 的第一個步驟將無法完成。因此,如果您的網繭部署程序在兩個小時
後逾時,請先檢查您的訂閱是否設定了 Azure 原則,而根據特定準則封鎖、拒絕或限制資源群組的
建立。
n 確定有虛擬網路 (VNet) 存在於要部署網繭的區域中,且該虛擬網路符合 Horizon Cloud Pod 的需
求。如果您沒有現有的 VNet,請建立符合需求的虛擬網路。請參閱在 Microsoft Azure 中設定所需
的虛擬網路。
如果您要以使用本身的 VNet (與網繭的 VNet 不同) 或使用本身的訂閱 (與網繭的訂閱不同) 的外部
閘道組態來部署網繭,請確定該 VNet 與網繭的 VNet 位於相同的區域中,且符合在 Microsoft Azure 中設定所需的虛擬網路。在此使用案例中,這兩個 VNet 必須為對等。
重要 並非所有 Microsoft Azure 區域皆支援已啟用 GPU 的虛擬機器。如果您想要將網繭用於配備
GPU 的桌面或遠端應用程式,請確保您為網繭選取的 Microsoft Azure 區域可提供您想要使用的那
些 NV 系列虛擬機器類型,且在此 Horizon Cloud 版本中支援。如需詳細資料,請參閱 https://azure.microsoft.com/zh-tw/regions/services/ 上的 Microsoft 說明文件。
n 如果您想要在部署網繭前預先在您的 VNet 上手動為網繭建立子網路,請確定已在 VNet 上建立所
需的子網路數目,且其位址空間符合在 Microsoft Azure 中設定所需的虛擬網路,且其中不含資
源。在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路。
注意 您在 VNet 上為網繭部署建立的這些子網路必須是空白。您可以在部署網繭之前建立子網
路,但請勿在這些子網路上放置任何資源,或使用任何一個 IP 位址。如果子網路上已在使用某個
IP 位址,則網繭可能無法部署。
如果您不想預先建立子網路,網繭部署程序將會使用您在精靈畫面上輸入的 CIDR 資訊來建立子網
繭。
Horizon Cloud 部署指南
VMware, Inc. 69
n 確定虛擬網路已設定為指向可解析外部名稱的有效網域名稱服務 (DNS)。請參閱設定您將在
Microsoft Azure 中用於 Horizon Cloud Pod 之 VNet 拓撲所需的 DNS 伺服器設定。
重要 網繭的部署程序需要解析外部和內部名稱。如果 VNet 指向無法解析外部名稱的 DNS 伺服
器,則部署程序將會失敗。
n 如果您計劃將具有外部閘道組態的網繭部署至您在閘道訂閱以外訂閱中建立的現有資源群組 (而非
讓部署工具自動建立該資源群組),請在啟動網繭部署精靈之前確定資源群組存在於該訂閱中。決
定要在資源群組層級還是訂閱層級上設定 Horizon Cloud 所需的權限。請參閱 Horizon Cloud 在您
的 Microsoft Azure 訂閱中所需的作業。
n 確定您具有可支援使用此版本的 Active Directory 設定,且您的虛擬網路可加以連線,以及 DNS 伺服器可解析其名稱。請參閱 Active Directory 網域組態。
2 根據您規劃的部署選項,建立所需數量的服務主體。如果您要將網繭的外部閘道組態部署至其本身的訂
閱中,您將需要該訂閱的服務主體,以及網繭本身所使用之訂閱的服務主體。如需詳細步驟,請參閱藉
由建立應用程式登錄來建立 Horizon Cloud Pod 部署工具所需的必要服務主體。
重要 您設定要用於 Horizon Cloud 的每個服務主體,皆必須在該服務主體相關聯的訂閱中指派適當的
角色。服務主體的角色必須允許 Horizon Cloud 需要在該服務主體相關聯的 Microsoft Azure 訂閱中對
Horizon Cloud 所管理資源執行的動作。網繭訂閱的服務主體必須要有允許特定動作的角色,以透過這
些動作成功部署網繭、在網繭和網繭管理的資源上運作,以滿足使用 Horizon Cloud 管理主控台起始的
管理員工作流程,以及長時間維護網繭。對網繭的外部 Unified Access Gateway 組態使用個別的訂閱
時,該訂閱的服務主體必須要有允許特定動作的角色,以透過這些動作成功部署該閘道組態所需的資
源、在 Horizon Cloud 管理的這些資源上運作以滿足管理員工作流程,以及長時間維護這些閘道相關資
源。
如 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業中所述,您必須使用下列其中一種方法為
服務主體授與存取權:
n 在訂閱層級,指派參與者角色。參與者角色是 Microsoft Azure 內建的角色之一。Microsoft Azure 說明文件中的 Azure 資源的內建角色包含參與者角色的相關說明。
n 在訂閱層級上指派您已設定的自訂角色,以為服務主體提供 Horizon Cloud 部署網繭相關資源以及
管理員起始的現行工作流程與網繭維護作業所需的 Horizon Cloud 在您的 Microsoft Azure 訂閱中
所需的作業。
n 對外部 Unified Access Gateway 組態使用個別的訂閱,並將其部署至現有的資源群組時,有效的
動作組合是使用提供範圍較窄權限的角色為服務主體授與存取該資源群組和相關 VNet 的權限,並
使用內建的讀取者角色為服務主體授與存取訂閱的權限。
3 在 Microsoft Azure 入口網站中,針對網繭的訂閱及其外部閘道的訂閱 (如果使用該部署選項),從
Microsoft Azure 入口網站取得 Microsoft Azure 訂閱識別碼、應用程式識別碼、應用程式驗證金鑰和
Microsoft Azure AD 目錄識別碼的值。Horizon Cloud 會使用這些資源在您的 Microsoft Azure 訂閱中
執行其作業。請參閱 Horizon Cloud 網繭部署精靈的訂閱相關資訊。
Horizon Cloud 部署指南
VMware, Inc. 70
4 如果您打算使用 Unified Access Gateway 組態來部署網繭,請取得可允許您使用者用戶端信任對桌面
和遠端應用程式連線的已簽署 TLS/SSL 伺服器憑證。此憑證應符合您使用者將在其用戶端中使用的
FQDN,且應由信任的憑證授權單位 (CA) 簽署。此外,憑證鏈結中的所有憑證皆必須具有有效的時間
範圍,包括任何中繼憑證。如果鏈結中的任何憑證已到期,則在稍後的網繭上架程序中可能會發生非預
期的失敗。
Unified Access Gateway 會顯示您由 CA 簽署的憑證,讓使用者的用戶端能夠信任連線。若要支援來
自網際網路的信任存取,您可以為網繭部署外部 Unified Access Gateway 組態。若要支援您公司網路
內的信任存取,您可以使用內部 Unified Access Gateway 組態。這兩種組態類型都可在初始網繭部署
程序期間部署,或網繭部署後使用「編輯網繭」工作流程來部署。
重要 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個
體的連線將會失敗。
5 如果您要搭配 Unified Access Gateway 組態使用的已簽署 SSL 伺服器憑證不是採用 PEM 格式,或不
是包含完整憑證鏈結和私密金鑰的單一 PEM 檔案,請將憑證資訊轉換為所需的 PEM 格式。請參閱將
憑證檔案轉換為網繭部署所需的 PEM 格式中的步驟。
6 取得 My VMware 帳戶並登錄 Horizon Cloud (如果您尚未登錄)。
完成這些準備工作後,請使用您的 My VMware 帳戶經由 cloud.horizon.vmware.com 登入 Horizon Cloud 管理主控台。登入之後,您會在畫面上看見新增雲端容量區域,您可以按一下新增以開始執行網繭部署精
靈。請在各個畫面中輸入必要資訊,以完成精靈。如需詳細步驟,請參閱將 Horizon Cloud Pod 部署至
Microsoft Azure。
備註 Horizon Cloud 管理主控台中的登入驗證需依賴 My VMware 帳戶認證。如果 My VMware 帳戶系統
發生系統中斷而無法接受驗證要求,則在該期間內,您將無法登入管理主控台。如果您在登入管理主控台
的第一個登入畫面時發生問題,請查看 https://status.horizon.vmware.com 上的 Horizon Cloud [系統狀態] 頁面,以確認 新的系統狀態。在該頁面上,您也可以訂閱以接收更新。
Microsoft Azure 中 Horizon Cloud Pod 的 Microsoft Azure 虛擬機器需求
針對網繭部署、網繭閘道組態的部署和標準作業,您的 Microsoft Azure 雲端容量中必須要有特定類型和大
小的虛擬機器 (VM)。您的訂閱需要適當的配額和組態,以支援這些虛擬機器。當您使用將網繭的外部閘道
部署在個別訂閱中的選項時,該訂閱必須要有足夠的配額且組態可支援該外部閘道組態。
Horizon Cloud 部署指南
VMware, Inc. 71
重要 網繭部署精靈會驗證您的 Microsoft Azure 環境是否有足夠的核心配額可建置網繭和您指定的閘道組
態 (若有的話)。如果精靈根據您在精靈中指定的訂閱資訊判斷沒有足夠的配額,則會顯示螢幕訊息,且精
靈將不會繼續進行下一個步驟。
從 2019 年 9 月版本的網繭資訊清單版本開始,無論是以該版本新部署的網繭還是升級至該版本的網繭,
每個網繭都會有 Microsoft Azure 負載平衡器和適用於 PostgreSQL 的 Microsoft Azure 資料庫伺服器。當
網繭升級至 2019 年 9 月的資訊清單或更新版本時,已升級的網繭會包含 Microsoft Azure 負載平衡器和適
用於 PostgreSQL 的 Microsoft Azure 資料庫伺服器。適用於 PostgreSQL 的 Microsoft Azure 資料庫伺服
器是使用單一伺服器部署來部署。
備註 已啟用 GPU 的虛擬機器僅在部分 Microsoft Azure 區域提供。如需詳細資料,請參閱各區域的
Microsoft Azure 產品。
在下表中,[虛擬機器規格] 資料行提供:
n Microsoft Azure 說明文件中使用的系列名稱
n Microsoft Azure 入口網站所顯示配額中使用的 vCPU 系列名稱
n 來自該系列的虛擬機器類型特定名稱
若要在 Microsoft Azure 入口網站中查看訂閱的目前配額,請導覽至所有服務 > 訂閱,並按一下訂閱,然後
按一下使用量 + 配額。如需 Microsoft Azure 中關於 Microsoft Windows 虛擬機器大小的詳細資訊,請參閱
Microsoft Azure 說明文件中的此主題及其副主題:https://docs.microsoft.com/zh-tw/azure/virtual-machines/windows/sizes。
表 2-2. 網繭 Jumpbox 虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
Jumpbox Linux 標準 F 系列:
Standard_F2 (2 個核心、4 GB 的記
憶體)
作業系統磁碟:標準 HDD 30 GiB
每個網繭
1 個
在 Microsoft Azure 環境中建立的虛擬機器,於初始網繭建立期間及環境中後續的
軟體更新期間使用。您所部署的每個網繭各需要一個 Jumpbox 虛擬機器。當網繭
的建立或更新程序完成,且後續不再需要此 Jumpbox 虛擬機器時,系統就會自動
刪除此虛擬機器。
備註 新部署的 Jumpbox 虛擬機器可用於建立網繭、用於在下一個版本的網繭軟
體可供使用時建立升級的綠色元件、用於在網繭上協調藍/綠升級程序,以及用於
新增閘道組態的程序至現有的網繭。
Horizon Cloud 部署指南
VMware, Inc. 72
表 2-3. 將外部閘道置於個別 VNet 中時:Jumpbox 虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
Jumpbox Linux 標準 F 系列:
Standard_F2 (2 個核心、4 GB 的記
憶體)
作業系統磁碟:標準 HDD 30 GiB
每個網繭
1 個
選擇性地將外部閘道部署至其本身的 VNet 或訂閱時,必須要有與網繭本身的核心
資源所使用的 Jumpbox 虛擬機器不同的 Jumpbox 虛擬機器。此 Jumpbox 虛擬機
器會在 Microsoft Azure 環境中建立於網繭之 Jumpbox 虛擬機器以外的資源群組
中,並在外部閘道組態的初始部署期間以及該外部閘道的後續軟體更新期間使用。
每個外部閘道都有一個 Jumpbox 虛擬機器,位於其本身的 VNet 或您部署的訂閱
中。當外部閘道的部署或更新程序完成,且後續不再需要此 Jumpbox 虛擬機器
時,系統就會自動刪除此虛擬機器。
備註 新部署的 Jumpbox 虛擬機器會用來在這些外部閘道本身的 VNet 或訂閱中建
立其中一個閘道 (在網繭建立期間,或在使用「編輯網繭」工作流程將外部閘道新
增至現有網繭時),以在下一個版本的外部閘道或網繭軟體可供您使用時用來為該
外部閘道建立升級的綠色元件,以及用來協調該外部閘道上的藍/綠升級程序。
表 2-4. 網繭管理虛擬機器需求 - 適用於網繭的核心虛擬機器,不包括閘道組態
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
未啟用高可
用性的網
繭:網繭管
理執行個體
Linux - 標準 Dv3 系列:
Standard_D4_v3 (4 個核心、16 GB
的記憶體)。
作業系統磁碟:標準 HDD 30 GiB
備註 如果您的 Microsoft Azure 區
域並未提供有 Standard_D4_v3 類
型,部署工具會改為使用來自標準
Dv2 系列的 Standard_D3_v2 (4 個
核心、14 GB 的記憶體)。
在穩定狀態作業期間,每個網繭 1 個
在網繭的藍/綠升級程序的端對端時間期
間,每個網繭 2 個。
對於未啟用高可用性的網繭,在穩定狀態作業期間,
存在一個已開啟電源的虛擬機器,並執行網繭。當
VMware 營運團隊提供新的網繭資訊清單,且系統開
始為網繭的藍/綠升級程序建立綠色元件時,會建立
第二個執行個體並開啟其電源。在端對端升級程序的
過程中,您可以排程系統切換到使用綠色元件的時
間。切換完成後,網繭會使用新建立的虛擬機器進行
穩定狀態作業,而先前在藍色元件集中使用的虛擬機
器將停止然後刪除。
您的環境大小必須可容納兩個網繭管理員執行個體在
端對端升級期間並排執行,從系統開始為藍/綠升級
程序建立網繭的綠色元件的時間開始,到升級活動已
完成並且將網繭切換為使用新的綠色元件為止。如需
網繭藍/綠升級程序的說明,請參閱《管理指南》。
已啟用高可
用性的網
繭:網繭管
理執行個體
Linux - 標準 Dv3 系列:
Standard_D4_v3 (4 個核心、16 GB
的記憶體)。
作業系統磁碟:標準 HDD 30 GiB
備註 如果您的 Microsoft Azure 區
域並未提供有 Standard_D4_v3 類
型,網繭部署工具會改為使用來自標
準 Dv2 系列的 Standard_D3_v2 (4
個核心、14 GB 的記憶體)。
在穩定狀態作業期間,每個網繭 2 個
在網繭的藍/綠升級程序的端對端時間期
間,每個網繭 4 個。
針對已啟用高可用性的網繭,在穩定狀態作業期間,
會存在已開啟電源的兩個虛擬機器,並執行網繭。當
VMware 營運團隊提供新的網繭資訊清單,且系統開
始為網繭的藍/綠升級程序建立綠色元件時,會建立
第二個執行個體每個網繭管理員虛擬機器,並開啟其
電源。此時,執行網繭管理員的虛擬機器總數為四
(4) 個。在端對端升級程序的過程中,您可以排程系
統切換到使用綠色元件的時間。切換完成後,網繭會
使用兩個新建立的虛擬機器進行穩定狀態作業,而先
前在藍色元件集中使用的兩個虛擬機器將停止然後刪
除。
您的環境大小必須可容納四個網繭管理員執行個體在
端對端升級期間並排執行,從系統開始為藍/綠升級
程序建立網繭的綠色元件的時間開始,到升級活動已
完成並且將網繭切換為使用新的綠色元件為止。如需
網繭藍/綠升級程序的說明,請參閱《管理指南》。
Horizon Cloud 部署指南
VMware, Inc. 73
表 2-5. Unified Access Gateway 虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
Unified
Access
Gateway
執行個體
Linux 標準 Av2 系列:
Standard_A4_v2 Standard (4 個核
心、8 GB 的記憶體)
作業系統磁碟:標準 HDD 20 GiB
根據您為相同網繭選擇具有外部和/或內
部 Unified Access Gateway 組態類型而
有所不同。
針對僅限外部或僅限內部的組態:
n 在穩定狀態作業期間,每個網繭 2
個
n 在網繭相關藍/綠升級活動的端對端
時間期間,每個網繭 4 個。
針對同時具有外部和內部 Unified
Access Gateway 組態的網繭,
n 在穩定狀態作業期間,每個網繭 4
個
n 在網繭相關藍/綠升級活動的端對端
時間期間,每個網繭 8 個。
Unified Access Gateway 是選用功能,當您在部署
精靈中設定閘道設定時,即會為您的網繭部署。如果
您決定將 Unified Access Gateway 執行個體用於網
繭,則您的環境必須可容納這些在網繭的端對端藍/
綠升級程序期間執行的執行個體。穩定狀態執行個體
數目取決於您是否同時選擇擁有外部和內部 Unified
Access Gateway 組態。
當您僅有外部或僅有內部 Unified Access Gateway
組態時,穩定狀態作業期間會存在兩個開啟電源的執
行個體,並提供 Unified Access Gateway 功能。在
升級程序執行期間,將會額外建立兩個執行個體並開
啟電源,以執行 Unified Access Gateway 上的軟體
更新。升級完成後,網繭會移轉到使用新建立的虛擬
機器,且先前在藍色元件集中使用的虛擬機器將停止
然後刪除。
如果同時擁有外部和內部 Unified Access Gateway
組態,則在穩定狀態作業期間會存在四個開啟電源的
執行個體,並提供 Unified Access Gateway 功能。
兩個執行個體提供外部組態的功能,而另外兩個執行
個體提供內部組態的功能。在升級程序執行期間,將
會針對每個組態額外建立兩個執行個體並開啟電源,
以執行 Unified Access Gateway 上的軟體更新。升
級完成後,網繭會移轉到使用新建立的虛擬機器,且
先前在藍色元件集中使用的虛擬機器將停止然後刪
除。
您的環境大小必須可容納指示的 Unified Access
Gateway 執行個體在端對端升級期間並排執行,從
系統開始為藍/綠升級程序建立網繭的綠色元件的時
間開始,到升級活動已完成並且將網繭切換為使用新
的綠色元件為止。如需網繭藍/綠升級程序的說明,
請參閱《管理指南》。
表 2-6. 將外部閘道置於個別 VNet 中時:閘道連接器虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
閘道連接器
執行個體
Linux 標準 Av2 系列:
Standard_A1_v2 Standard (1 個核
心、2 GB 的記憶體)
作業系統磁碟:標準 HDD 10 GiB
在穩定狀態作業期間,每個此類型外部
閘道 1 個
在網繭相關藍/綠升級活動的端對端時間
期間,每個此類型外部閘道 2 個。
當外部閘道部署至個別的 VNet 時,將會建立此虛擬
機器,並將其用於該外部閘道組態的雲端管理作業。
進行升級程序期間,將會建立額外的執行個體並開啟
其電源,以執行外部閘道組態中的 Unified Access
Gateway 軟體更新。升級完成後,系統會執行移轉
至新建立的虛擬機器的作業,並停止先前使用的虛擬
機器,然後將其刪除。如果您決定使用此選用組態,
則在網繭相關的藍/綠升級活動期間,您的環境必須
可容納這些執行端對端的執行個體。
Horizon Cloud 部署指南
VMware, Inc. 74
表 2-7. 映像虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
主要映像
主要映像不
一定已啟用
GPU,取
決於您在建
立這些映像
時所做的選
取。
針對已啟用 GPU 的主要映像,系統
會使用:
n NV 系列 NV6 標準 (來自標準
NV 系列 vCPU)
n 作業系統磁碟:標準 HDD 127
GiB
視您的需
要而不同
主要映像是一種 Microsoft Windows 作業系統虛擬機器,且已經過設定可讓
Horizon Cloud 將其轉換為已發佈的映像。具有 RDSH 功能的 Windows Server 作
業系統虛擬機器可提供用來在伺服器陣列中建立 RDSH 的基礎,進而為您的使用
者提供工作階段型桌面和遠端應用程式。Windows 用戶端作業系統虛擬機器提供
用於建立 VDI 桌面的基礎。每個主要映像皆為 Microsoft Windows 作業系統以及
該映像是否已啟用 GPU 的組合。因此,如果您想要讓網繭提供:
n 使用 Microsoft Windows 2016 Datacenter 而沒有 GPU 的 RDSH 桌面
n 使用 Microsoft Windows 2016 Datacenter 且具有 GPU 的 RDSH 桌面
您需要至少 2 個主要映像虛擬機器。
將主要映像轉換為已發佈映像的程序有時稱為發佈映像,或者也稱為密封映像。產
生的已發佈映像有時稱為密封映像或可指派的映像,因為此類映像處於已完成狀態
而可用於指派中。
系統會在主要映像發佈時 (當您在管理主控台中對主要映像執行轉換為映像動作
時),自動關閉該映像的電源。當您更新已發佈的映像時,系統再次開啟虛擬機器
的電源。
備註 當您使用管理主控台複製映像時,系統會將主要映像的虛擬機器暫時開啟電
源,以取得其用於複製的組態,然後再次關閉其電源。
如需如何建立主要映像的相關資訊,請參閱管理指南中的〈在 Microsoft Azure 中
為 Horizon Cloud Pod 建立桌面映像〉主題。
對於非啟用 GPU 的主要映像和
Microsoft Windows 用戶端作業系
統,系統會使用:
n Standard_D4_v3 (來自標準
Dv3 系列 vCPU)
n 作業系統磁碟:標準 HDD 127
GiB
如果 Microsoft 並未在您部署網繭的
Microsoft Azure 區域提供標準 Dv3
系列,系統會改為使用來自標準
Dv2 系列的 Standard_D3_v2。
對於未啟用 GPU 的主要映像和不具
有 RDSH 功能的 Microsoft
Windows 作業系統,系統會使用:
n Standard_D2_v3 (來自標準
Dv3 系列 vCPU)
n 作業系統磁碟:標準 HDD 127
GiB
如果 Microsoft 並未在您部署網繭的
Microsoft Azure 區域提供標準 Dv3
系列,系統會改為使用來自標準
Dv2 系列的 Standard_D2_v2。
Horizon Cloud 部署指南
VMware, Inc. 75
表 2-8. 伺服器陣列虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
RDSH 伺
服器陣列
從此版本開始,您可以自訂在您網
繭中建立伺服器陣列時,可供選取
的一組 Microsoft Azure 虛擬機器類
型。您可以從標準 Microsoft Azure
區域中一般可用的一組 Microsoft
Azure 虛擬機器大小,自訂您的清
單。如需自訂可在您伺服器陣列中
使用之一組虛擬機器類型的詳細資
訊,請參閱《Horizon Cloud 管理指
南》。
建立或編輯伺服器陣列時,您可以
為伺服器陣列的 RDSH 執行個體自
訂作業系統磁碟大小,以將其變更
為系統預設以外的值。
如需標準 Microsoft Azure 區域中一
般可用的 Windows 虛擬機器大小的
特定詳細資料,請參閱 Microsoft 說
明文件,網址 https://
docs.microsoft.com/en-us/azure/
virtual-machines/windows/sizes。
備註 對於生產環境,請確保您用於
伺服器陣列的虛擬機器類型至少有
兩 (2) 個 CPU。符合此準則可避免
非預期的使用者連線問題。此準則
是由於 Horizon Agent 建議至少要
有 2 個 CPU,才能從版本 7.x 或更
新版本安裝或升級 Horizon Agent。
此 Horizon Agent 準則已在 Horizon
7 說明文件主題從版本 7.7 起的虛擬
機器上安裝 Horizon Agent 中說
明。
取決於您
的需求以
及在您
Horizon
Cloud 環
境中自訂
虛擬機器
大小的方
式。
RDSH 伺服器陣列虛擬機器是具有 RDS 功能的執行個體,可為您的使用者提供工
作階段型桌面和遠端應用程式。您需要至少一個 RDSH 伺服器陣列,才能將工作
階段桌面和一個 RDSH 伺服器陣列提供給遠端應用程式。為了符合管理員或使用
者的需求,您可以決定部署其他伺服器陣列。
這些虛擬機器的電源狀態會隨著伺服器陣列組態設定和使用者需求而不同。
備註 在此版本中,您無法同時從相同的伺服器陣列傳遞工作階段型桌面和遠端應
用程式。
Horizon Cloud 部署指南
VMware, Inc. 76
表 2-9. VDI 桌面虛擬機器需求
虛擬機器 Microsoft Azure 虛擬機器規格 數量 說明
VDI 桌面 從此版本開始,您可以自訂在您網
繭中建立 VDI 桌面指派時,可供選
取的一組 Microsoft Azure 虛擬機器
類型。您可以從標準 Microsoft
Azure 區域中一般可用的一組
Microsoft Azure 虛擬機器大小,自
訂您的清單。如需自訂可在您 VDI
桌面指派中使用之一組虛擬機器類
型的詳細資訊,請參閱《Horizon
Cloud 管理指南》。
備註 系統將自動忽略且不使用
Microsoft 判斷不適用於 VDI 使用案
例的一小組 Microsoft Azure 虛擬機
器大小,例如 Standard_B2ls 和
Standard_B1s。
建立或編輯 VDI 桌面指派時,您可
以為 VDI 桌面執行個體自訂作業系
統磁碟大小,以將其變更為系統預
設以外的值。
如需那些 Windows 虛擬機器大小的
特定詳細資料,請參閱 Microsoft 說
明文件,網址為 https://
docs.microsoft.com/en-us/azure/
virtual-machines/windows/sizes。
備註 對於生產環境,請確保您用於
VDI 桌面指派的虛擬機器類型至少
有兩 (2) 個 CPU。符合此準則可避
免非預期的使用者連線問題。此準
則是由於 Horizon Agent 建議至少
要有 2 個 CPU,才能從版本 7.x 或
更新版本安裝或升級 Horizon
Agent。此 Horizon Agent 準則已在
Horizon 7 說明文件主題從版本 7.7
起的虛擬機器上安裝 Horizon Agent
中說明。
取決於您
的需求以
及在您
Horizon
Cloud 環
境中自訂
虛擬機器
大小的方
式。
VDI 桌面虛擬機器即為提供 VDI 桌面給使用者的執行個體。
這些虛擬機器的電源狀態會隨著 VDI 桌面指派設定和使用者需求而有所不同。
VMware Horizon Cloud Service on Microsoft Azure 服務限制
本主題說明部分常見的 VMware Horizon Cloud Service on Microsoft Azure 限制,也稱為支援的 大值。
本主題目前說明支援的 大值在單一訂閱中可以部署的桌面和伺服器陣列 RDSH 虛擬機器數目,以及您在
每個網繭可擁有的並行連線工作階段總數。本主題將會隨著時間更新以列出更多的已知限制。
進行測試的服務在單一訂閱中 多可達特定數目的已部署虛擬機器,以及網繭可容納的同時連線數目。
每個訂閱 多 2,000 個桌
面虛擬機器以及伺服器陣
列 RDSH 虛擬機器
此限制以單一訂閱中提供的 Microsoft Azure API 限制為基礎。為了在標準作
業期間可在這些 API 限制下順利運作,Horizon Cloud 支援每個訂閱 多
2,000 個桌面虛擬機器以及伺服器陣列 RDSH 虛擬機器。
Horizon Cloud 部署指南
VMware, Inc. 77
每個訂閱 2,000 個數目包括 VDI 桌面虛擬機器和伺服器陣列 RDSH 虛擬機
器,且適用於單一訂閱中的所有網繭。例如,如果您的訂閱中具有一個網
繭,則在該網繭上您可能擁有 多 2,000 個 VDI 桌面,或 1,950 個 VDI 桌面加上 50 個伺服器陣列 RDSH 虛擬機器。如果您的訂閱中有多個網繭,則
所有網繭中的 VDI 桌面和伺服器陣列 RDSH 虛擬機器的數目不得超過 2,000 個。
每個網繭 多 2,000 個工
作階段
Horizon Cloud 支援每個網繭執行 多 2,000 個並行連線工作階段。2,000 個數目包括 VDI 桌面、RDS 桌面以及網繭所提供 RDS 應用程式的連線數目。
網繭的工作階段處理功能會決定此 大值。
在 Microsoft Azure 中設定所需的虛擬網路
Microsoft Azure 環境必須具有現有的虛擬網路,您才能將 Horizon Cloud Pod 部署至環境中。如果您在即
將進行部署的區域中還沒有虛擬網路 (VNet),則必須建立虛擬網路。如果您想將網繭的外部閘道部署至其
本身的 VNet 中 (不同於網繭的 VNet),您也必須建立該 VNet,然後使兩個 VNet 成為對等。如果要讓網繭
的外部閘道使用其本身的訂閱 (不同於網繭的訂閱),則必須建立要在該訂閱中用於該外部閘道的個別
VNet,且兩個 VNet 必須對等。由於單一 VNet 不會跨訂閱,因此若要選擇將外部閘道部署至其本身的訂閱
中,外部閘道也必須使用與網繭不同的 VNet,並建立兩者的對等關係。
注意 您在 VNet 上事先為網繭部署手動建立的子網路必須保持空白。請勿在這些子網路上放置任何資源,
或以其他方式使用任何一個 IP 位址。如果子網路上已在使用某個 IP 位址,則網繭可能無法部署。
部署網繭時讓外部閘道使
用網繭的 VNet使用此組態時,您可以在 VNet 上預先建立子網路,並在網繭部署精靈中指
定這些子網路,或直接在精靈中輸入所需子網路的位址空間,讓網繭部署工
具在 VNet 中建立子網路。
重要 如果您現有的 VNet 為對等,部署工具即無法自動更新該 VNet 的位址
空間。如果 VNet 為對等, 佳做法是預先建立子網路,如在部署網繭之
前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路
中所述。如果您不想要預先建立子網路,且您在部署精靈中輸入的子網路
CIDR 未包含在 VNet 的現有位址空間中,則精靈將會顯示錯誤訊息,且您
將需要指定有效的子網路位址空間才能繼續,或使用非對等的虛擬網路。
此組態必須要有下列子網路:
n 管理子網路,用於與網繭本身的管理活動相關之虛擬機器所使用的 IP 位址
Horizon Cloud 部署指南
VMware, Inc. 78
n 桌面子網路,用於該子網路上的 RDSH 伺服器虛擬機器和 VDI 桌面虛擬
機器所使用的 IP 位址在部署精靈中指定內部 Unified Access Gateway 組態時,Unified Access Gateway 虛擬機器也會使用來自此子網路的 IP 位址。
重要 VDI 桌面的虛擬機器、具有 RDS 功能的映像,以及網繭伺服器陣
列中的每個 RDSH 虛擬機器都會耗用這些 IP 位址。由於此桌面子網路
在網繭部署後即無法擴充,因此請確定您所設定的這個範圍足以容納您
預期此網繭所將提供的桌面數目。例如,如果您預期此網繭未來將提供
超過 1000 個桌面,請確定此範圍足以因應超過該數目的 IP 位址。
n DMZ 子網路,供選用外部 Unified Access Gateway 組態使用的 IP 位址。
當您讓部署工具自動建立子網路時,部署工具一律會在對應的 VNet 中建立
新的子網路。就 VNet 的位址空間而言,部署工具會依照下列方式處理您在
精靈中輸入的子網路位址空間:
n 如果您在精靈中指定的位址空間尚未位於 VNet 的位址空間中,則部署
工具將會自動更新 VNet 的組態以新增那些位址空間。接著,它會在
VNet 中建立新的子網路。
n 如果在精靈中指定的位址空間已包含在 VNet 的現有位址空間內,則部
署工具會直接使用指定的位址空間在 VNet 中建立新的子網路。
部署網繭時選擇讓外部閘
道使用其本身的 VNet 或訂閱 (與網繭的 VNet 或訂閱不同)
使用此組態時,由於涉及兩個 VNet,且這兩個 VNet 必須對等,因此 佳做
法是在 VNet 上預先建立子網路,並在網繭部署精靈中指定這些子網路。依
照在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路中所述預先建立子網路。即便部署精靈可讓您選擇直接在
精靈中輸入所需子網路的位址空間,讓部署工具為您建立子網路,但若您指
定的位址空間尚未存在於 VNet 的位址空間中,部署工具將無法將其新增至
VNet,因為它為對等 VNet。
在此情況下,一個 VNet 將具有網繭的子網路,而另一個 VNet 將具有外部
閘道的子網路。這兩個 VNet 必須為對等。我們可將網繭的 VNet 視為
VNet-1,並將外部閘道的 VNet 視為 VNet-2。對於這兩個 VNet,您可以為
網繭部署工具將自動建立的子網路指定位址空間,或指定您已預先建立的子
網路。
Horizon Cloud 部署指南
VMware, Inc. 79
在此類型的部署中,閘道的 VNet (VNet-1) 會取得管理子網路和桌面子網
路,其用途與針對外部閘道位於網繭本身 VNet 時所述的內容相同。但在此
組態中,網繭的 VNet 不會取得 DMZ 子網路,因為 DMZ 子網路將由外部
Unified Access Gateway 組態使用,而在此組態中位於另一個 VNet (VNet-2) 中。在此部署組態中,外部閘道的 VNet 會取得下列子網路:
n 管理子網路,用於涉及外部閘道本身管理活動中虛擬機器 (暫時性的
Jumpbox、閘道的連接器虛擬機器,以及外部閘道的 Unified Access Gateway 執行個體) 所使用的 IP 位址
n 外部閘道的 Unified Access Gateway 執行個體所使用的後端子網路
n 外部閘道的 Unified Access Gateway 執行個體所使用的 DMZ 子網路
您可以使用您已登錄的帳戶適用的 Microsoft Azure 入口網站來執行這些步驟。例如,下列 Microsoft Azure 雲端皆有其特定的入口網站端點。
n Microsoft Azure (標準全域)
n Microsoft Azure Germany
n Microsoft Azure China
n Microsoft Azure US Government
請使用適用於您帳戶的 URL 登入入口網站。
程序
1 從 Microsoft Azure 入口網站的左側導覽列,按一下 (虛擬網路),然後按一下新增。
建立虛擬網路精靈隨即出現,並顯示其基礎步驟。
2 依照精靈顯示在畫面上的步驟指定下列資訊。
選項 說明
訂閱 選取您預計要在部署網繭時使用的相同訂閱。
資源群組 您可以選擇現有的資源群組,或使用在建立虛擬網路時所建立的新群組。
名稱 指定 VNet 的名稱。
地區 選取您預計要用來部署網繭的相同 Microsoft Azure 區域。
位址空間 指定 VNet 的位址空間。
子網路和位址範圍 建立 VNet 時,Microsoft Azure 會要求建立一個子網路。您可以保留預設值,或自
訂名稱和範圍。如果您想要對網繭的其中一個必要子網路使用此子網路,請根據網
繭部署工具需求指定適當的位址範圍。例如,如果您想要使用此子網路作為網繭的
租用戶子網路,請確保其具有的 IP 位址範圍符合部署精靈要求的 /27 小值。請參
閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需
的子網路。
重要 如果您對網繭的其中一個必要的子網路使用此子網路,則您也無法將它用於其
他資源。
Horizon Cloud 部署指南
VMware, Inc. 80
保留選用設定的預設值。
3 繼續執行檢閱步驟,然後按一下建立。
結果
虛擬網路 (VNet) 會建立在您的 Microsoft Azure 帳戶中。
後續步驟
如果您要手動建立所需的子網路,而非讓網繭部署程序建立這些子網路,請使用將用於網繭的子網路來設
定新建立的 VNet。請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需
的子網路和在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時中的步驟。
為新建立的 VNet 設定運作中的 DNS 服務,以及將用於網繭之 Active Directory 服務的連線。請參閱設定
您將在 Microsoft Azure 中用於 Horizon Cloud Pod 之 VNet 拓撲所需的 DNS 伺服器設定中的步驟。
確定您的 VNet 組態在防火牆與其他網路行為方面皆符合網繭部署 DNS、連接埠和通訊協定的需求,如
Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求和使用 2019 年 9 月版本資訊清單或更新版本的
Horizon Cloud Pod 的連接埠和通訊協定需求中所述。
重要 網繭的暫存 Jumpbox 虛擬機器和網繭的管理員虛擬機器需要 Microsoft Azure VNet 上的輸出網際網
路存取。如果您要將外部閘道部署至其本身的 VNet 中,則該 VNet 必須支援外部閘道的暫時性
Jumpbox,以及可存取輸出網際網路的閘道連接器虛擬機器。如果您需要 Proxy 型連出網際網路存取,則
必須在完成網繭部署精靈中的欄位時指定 Proxy 伺服器資訊。
在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路
如果您使用的是對等 VNet, 佳做法是在部署網繭之前建立所需的子網路,以確保您在執行部署精靈之前
已考量子網路在 VNet 中所需的位址空間。即使 VNet 不為對等,您也可以在 VNet 上預先建立所需的子網
路,而不使用網繭部署程序建立子網路。
重要 從 2019 年 9 月版本的網繭資訊清單版本開始,對於在該資訊清單版本 (或更新版本) 上新部署的網
繭,以及升級至該版本 (或更新版本) 的網繭,網繭的管理子網路也必須支援網繭的適用於 PostgreSQL 的
Microsoft Azure 資料庫服務資源的網路通訊。部署新的網繭或升級現有的網繭前,您建立的網繭管理子網
路必須將 Microsoft.Sql 服務列為服務端點。部署或升級程序將檢查子網路是否有端點,如果未在子網路上
啟用端點,則不會繼續。如需詳細資料,請參閱在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網
路時。
預先建立子網路時,您必須確保採用無類別網域間路由選擇 (CIDR) 標記法的位址範圍遵循網繭部署精靈的
低需求:
n 管理子網路必須使用 /27 或以上的 CIDR。此子網路用於與網繭本身的管理活動相關之虛擬機器所使用
的 IP 位址。
Horizon Cloud 部署指南
VMware, Inc. 81
n 桌面租用戶子網路必須使用 /27 或以上的 CIDR。對於生產環境,建議使用 /24 至 /21 (256 個位址至
2048 個位址) 的 CIDR。此子網路用於該子網路上的 RDSH 伺服器虛擬機器和 VDI 桌面虛擬機器所使
用的 IP 位址。網繭的管理員虛擬機器會使用來自此子網路的 IP 位址。如果網繭將使用內部 Unified Access Gateway 組態,則那些 Unified Access Gateway 虛擬機器也會使用來自此子網路的 IP 位址。
如果網繭將使用以網繭之 VNet 部署的外部閘道組態,則該外部閘道的 Unified Access Gateway 虛擬
機器也會使用來自此子網路的 IP 位址。
重要 VDI 桌面的虛擬機器、具有 RDS 功能的映像,以及網繭伺服器陣列中的每個 RDSH 虛擬機器都
會耗用這些 IP 位址。由於此桌面子網路在網繭部署後即無法擴充,因此請確定您所設定的這個範圍足
以容納您預期此網繭所將提供的桌面數目。例如,如果您預期此網繭未來將提供超過 1000 個桌面,請
確定此範圍足以因應超過該數目的 IP 位址。
n 如果您想要使用在網繭之 VNet 中部署的外部 Unified Access Gateway 組態,則需要 DMZ 子網路,並
使用 /28 或以上的 CIDR。此子網路用於 Unified Access Gateway 虛擬機器的 NIC 用來與此外部閘道
組態之負載平衡器進行通訊的 IP 位址。如果您想要讓管理子網路和 DMZ 子網路範圍維持共置狀態,
您可以使用指定的 IP,指定與管理子網路類似的 DMZ 子網路範圍。例如,如果管理子網路為
192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。
n 如果您要將外部 Unified Access Gateway 組態部署至其本身與網繭不同的 VNet 中,該 VNet 將需要三
個子網路:
n 一個管理子網路 (需要 /27 以上的 CIDR)。此子網路用於涉及外部閘道整體管理活動之虛擬機器
(例如閘道連接器虛擬機器) 所使用的 IP 位址。
n 一個後端子網路 (需要 /27 以上的 CIDR)。此子網路用於 Unified Access Gateway 虛擬機器的 NIC 透過對等 VNet 與網繭 VNet 進行通訊時所使用的 IP 位址。
n 一個前端 (DMZ) 子網路 (使用 /28 或以上的 CIDR)。此子網路用於 Unified Access Gateway 虛擬
機器的 NIC 用來與外部閘道之負載平衡器進行通訊的 IP 位址。如果您想要讓管理子網路和前端子
網路範圍在此 VNet 中維持共置狀態,您可以使用指定的 IP,指定與管理子網路類似的 DMZ 子網
路範圍。例如,如果管理子網路為 192.168.8.0/27,則相符的前端子網路將是 192.168.8.32/27。
重要 對於每個 CIDR,請確保每個前置詞與位元遮罩的組合皆會讓 IP 位址範圍以該首碼作為起始 IP 位址。Microsoft Azure 需要以 CIDR 首碼作為範圍的開始。例如,192.168.182.48/28 的正確 CIDR 將會產
生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且首碼會與起始 IP 位址 (192.168.182.48) 相同。但
是,192.168.182.60/28 的不正確 CIDR 則會產生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且其起
始 IP 位址會與首碼 192.168.182.60 不同。請確定您的 CIDR 會產生起始 IP 位址與 CIDR 首碼相符的 IP 位址範圍。
必要條件
確定您的 Microsoft 區域具有您打算用於網繭的 VNet。請參閱在 Microsoft Azure 中設定所需的虛擬網路。
確保您計劃用於子網路的位址範圍不會重疊。如果子網路範圍彼此重疊,則網繭部署精靈將會顯示錯誤。
程序
1 在 Microsoft Azure 入口網站中,導覽至需要建立前述子網路的 VNet。
2 按一下子網路。
Horizon Cloud 部署指南
VMware, Inc. 82
3 按一下 + 子網路。
新增子網路畫面隨即顯示。
4 提供必要欄位的資訊。
選項 說明
名稱 指定子網路的名稱。
位址範圍 (CIDR 區塊) 輸入子網路的 CIDR。
5 如果此子網路將成為管理子網路,請在服務端點區段中選取 Microsoft.Sql 服務。
6 按一下確定。
子網路隨即新增至 VNet。
7 重複步驟 3 到 5,以新增剩餘所需的子網路。
8 如果您要將外部閘道部署在其本身的 VNet 中,請對該 VNet 的子網路重複上述步驟。
結果
注意 您在 VNet 上事先為網繭部署手動建立的子網路必須保持空白。請勿在這些子網路上放置任何資源,
或以其他方式使用任何一個 IP 位址。如果子網路上已在使用某個 IP 位址,則網繭可能無法部署。
後續步驟
對於您所建立的任何管理子網路,請務必啟用 Microsoft.Sql 服務作為服務端點。請參閱在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時。您必須在網繭的管理子網路中啟用此服務,且如果您要將外
部閘道部署在其本身的 VNet 中,您也必須在該閘道的管理子網路上啟用此服務。
在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時從 2019 年 9 月版本開始,對於使用該資訊清單版本 (或更新版本) 新部署的網繭,以及升級至該資訊清單
版本 (或更新版本) 的網繭,網繭的管理子網路也必須支援適用於 PostgreSQL 的 Microsoft Azure 資料庫服
務端點的網路通訊。部署新的網繭或升級現有的網繭前,您建立的網繭管理子網路必須啟用 Microsoft.Sql 服務作為服務端點。部署或升級程序將檢查子網路是否有端點,如果未在管理子網路上啟用端點,則不會
繼續。除了啟用該服務端點之外,如果您的管理子網路上有防火牆或網路安全性群組 (NSG) 規則,您必須
先將其設定為允許適用於 PostgreSQL 的 Microsoft Azure 資料庫服務的流量,然後再部署新的網繭或升級
現有的網繭。
重要 2019 年 12 月版本推出了將網繭的外部 Unified Access Gateway 組態部署至其本身的 VNet (不同於
網繭的 VNet) 的功能。使用該功能時,外部閘道 VNet 中的管理子網路也必須符合此需求,才能啟用
Microsoft.Sql 服務以作為該子網路上的服務端點。
Horizon Cloud 部署指南
VMware, Inc. 83
2019 年 9 月版本導入了使用適用於 PostgreSQL 的 Microsoft Azure 資料庫服務作為 Microsoft Azure 中的
Horizon Cloud Pod 必要元素的功能。如 Microsoft 說明文件中所述,適用於 PostgreSQL 的 Microsoft Azure 資料庫是完全管理的資料庫即服務的服務供應項目。在網繭部署或升級中,會使用部署的單一伺服
器類型,將適用於 PostgreSQL 的 Microsoft Azure 資料庫伺服器資源部署在網繭的資源群組中。部署和升
級程序也會自動將 VNet 規則新增至網繭的 VNet。此 VNet 規則會將適用於 PostgreSQL 的 Microsoft Azure 資料庫伺服器的流量限制至網繭的管理子網路。網繭與適用於 PostgreSQL 的 Microsoft Azure 資料
庫伺服器之間的通訊會使用管理子網路,這會在網繭的管理子網路上實施某些需求。
在管理子網路上,啟用 Microsoft.Sql 服務作為服務端點
將已部署適用於 PostgreSQL 的 Microsoft Azure 資料庫伺服器的流量限制在管理子網路的 VNet 規則,需
要將子網路將 Microsoft.Sql 服務端點啟用。在您有網繭部署工具建立子網路的案例中,部署工具可確保網
繭的管理子網路在其建立的管理子網路上啟用了 Microsoft.Sql 服務端點。但是,當您自行建立管理子網路
時,必須先確保管理子網路符合這些需求,然後才能部署新的網繭或升級現有的網繭。下列螢幕擷取畫面
為範例,說明如何使用 Microsoft Azure 入口網站,將 Microsoft.Sql 服務啟用為子網路上的服務端點。在
入口網站中按一下子網路後,於服務端點區段中,使用服務下拉式清單來選取 Microsoft.Sql,然後儲存。
您可以使用 Microsoft Azure 入口網站來導覽至管理子網路,然後在服務下拉式清單中選取 Microsoft.Sql。
Horizon Cloud 部署指南
VMware, Inc. 84
確保您的防火牆或 NSG 允許對適用於 PostgreSQL 的 Microsoft Azure 資料庫服務的網繭通訊
如 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求中所列,您必須在管理子網路上設定管理子網路的
網路規則,以允許從網繭到適用於 PostgreSQL 的 Microsoft Azure 資料庫服務的通訊。您必須先確保管理
子網路符合此需求,然後才能部署新的網繭或升級現有的網繭。
如果您的防火牆或 NSG 支援使用服務標記來指定存取,則使用下列其中一項來允許網繭通訊:
n 全域 Azure SQL 服務標記:Sql
n 部署網繭所在 Azure 區域的區域特定 SQL 服務標記:Sql.region,例如 Sql.WestUS。
如果您的防火牆或 NSG 不支援使用服務標記來指定存取,則可以使用在網繭資源群組中建立的資料庫伺服
器資源的主機名稱。伺服器資源的名稱會遵循模式 *.postgres.database.azure.com。
如需安全群組中服務標記的相關資訊,請參閱 Microsoft Azure 說明文件中的服務標記主題。
設定您將在 Microsoft Azure 中用於 Horizon Cloud Pod 之 VNet 拓撲所需的 DNS 伺服器設定
您 Horizon Cloud Pod 部署到的 VNet 必須能夠解析內部機器名稱和外部名稱。在網繭部署程序中,部署工
具會在 Horizon Cloud 控制平台中從外部位址將網繭軟體安全地下載到您的 Microsoft Azure 環境中。當網
繭的 Horizon Cloud Active Directory 網域加入作業進行時,若有虛擬機器部署在您 Microsoft Azure 環境
中,則需要解析內部虛擬機器 (VM) 名稱的能力。
重要 終的關鍵需求是,需要連線特定 DNS 名稱的網繭相關虛擬機器能夠執行此操作。您需要設定
VNet 拓撲,讓必須能夠解析內部機器名稱和外部名稱的網繭相關虛擬機器能夠執行該操作。您需要確定無
論您在 Microsoft Azure 中使用何種要用來部署網繭的 VNet 拓撲,皆允許部署在相關必要子網路上的網繭
虛擬機器進行該 DNS 名稱解析。如需 DNS 解析需求的詳細資訊,請參閱 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求。
如果您要使用將外部閘道部署至其本身 VNet (與網繭的 VNet 不同) 的功能,則這些 VNet 必須為對等,且
您和網路團隊必須確定,對等的 VNet 拓撲會提供該拓撲的 DNS 設定,以符合網繭的主要 DNS 需求,如
前一段所述。Horizon Cloud 說明文件集不會詳細說明網路團隊可能已為您自訂以供使用的此類進階 VNet 拓撲。
在 Microsoft Azure 訂閱中依預設不會設定內部網路連線。針對生產環境,您或網路團隊通常會將虛擬網路
的 DNS 設定為指向可解析外部名稱的有效 DNS 伺服器,且可在 Microsoft Azure 中為您的公司機器運
作。例如,您可能會在該虛擬網路中部署 Microsoft Windows Server 2016 虛擬機器以作為 DNS 伺服器,
並在設定虛擬網路的 DNS 設定時,使其指向已部署之 DNS 伺服器的 IP 位址。
在概念驗證的環境中,如果您組織的隱私權和安全性原則允許,您可以設定內部 DNS,並將其委派給外部
公用 DNS 進行外部名稱解析。某些組織和 ISP 針對此用途提供了公用遞迴名稱伺服器,例如 OpenDNS 的 208.67.222.222 或 Google Public DNS 的 8.8.8.8。如需公用遞迴名稱伺服器的範例清單,請參閱維基
百科文章 Public recursive name server (公用遞迴名稱伺服器)。
必要條件
確定您的 Microsoft Azure 區域具有您打算要在網繭部署工具精靈中指定的 VNet 拓撲。請參閱在 Microsoft Azure 中設定所需的虛擬網路。
Horizon Cloud 部署指南
VMware, Inc. 85
確定您或網路團隊要為該 VNet 拓撲設定的 DNS 伺服器設定可連線並解析特定外部名稱,以順利進行網繭
部署。如需詳細資料,請參閱 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求。
程序
1 從 Microsoft Azure 入口網站的左側導覽列,按一下 (虛擬網路),然後按一下要用於網
繭的虛擬網路。
2 按一下 DNS 伺服器,以顯示虛擬網路的 DNS 伺服器設定。
3 使用自訂選項,新增要用於名稱解析之 DNS 伺服器的位址,然後按一下儲存。
後續步驟
確定網繭部署工具已符合從您 VNet 拓撲存取 DNS、連接埠和通訊協定的需求。請參閱 Microsoft Azure 中
Horizon Cloud Pod 的 DNS 需求與使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud Pod 的連
接埠和通訊協定需求。
Active Directory 網域組態
一個 Horizon Cloud 環境需要將至少一個 Active Directory (AD) 網域登錄至 Horizon Cloud Pod。本主題說
明在 Microsoft Azure 中可支援用於您 Horizon Cloud Pod 的組態。
支援的組態如下:
n 內部部署 AD 伺服器,並使用 VPN/MPLS 或 Microsoft Azure Express Route 連線該內部部署 AD 與您
的 Microsoft Azure 環境。
n 在您 Microsoft Azure 環境中執行的 AD 伺服器。
n 使用 Microsoft Azure Active Directory 網域服務。如需取得 Microsoft Azure 所提供這些服務的概觀,
請參閱 Microsoft 說明文件中的這篇 Azure AD 網域服務文章。
Horizon Cloud 部署指南
VMware, Inc. 86
如需每個支援組態的深入技術說明、每個組態的某些選項,以及每個組態優缺點,請參閱 VMware 白皮書
Microsoft Azure 搭配 VMware Horizon Cloud 時的網路和 Active Directory 考量。
重要 您的 Horizon Cloud 環境可以包含 Microsoft Azure、Horizon 7 網繭內部部署和 VMware Cloud on AWS 中的網繭。如此一來,所有那些雲端連線的網繭皆必須對相同的 Active Directory 網域集合具有直視
性。如果您的環境已具有雲端連線 Horizon 7 網繭,而您想要將第一個網繭部署至 Microsoft Azure,則必
須確保該網繭對已向 Horizon Cloud 環境登錄的 Active Directory 網域具有直視性。請參閱《Horizon Cloud 管理指南》中 Active Directory 相關的主題以取得詳細資料。
Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求
若要讓網繭部署程序成功部署您的網繭至 Microsoft Azure,您必須設定防火牆,以允許 Horizon Cloud 存取它所需的網域名稱服務 (DNS) 位址。此外,您的 DNS 必須能解析特定名稱,如本主題中所述。除了主
要網繭部署以外,當您將外部閘道部署在其本身的 VNet 中時,該 VNet 的子網路必須符合與個別網繭
VNet 之管理子網路相同的 DNS 需求,如本主題所述。
重要 網繭部署程序會使用 Jumpbox 虛擬機器。此 Jumpbox 虛擬機器在網繭部署程序方面有連接埠和通
訊協定需求,且在您為網繭部署 Unified Access Gateway 組態期間設定網繭的 Unified Access Gateway 虛擬機器的設定時,也有這些需求。請參閱網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協
定。
將外部閘道部署在其本身的 VNet 中時,也會使用其本身與網繭不同的 Jumpbox 虛擬機器。該 Jumpbox 虛擬機器在進行閘道部署程序時有其本身的連接埠和通訊協定需求。請參閱當外部閘道部署在其本身的
VNet 中時:外部閘道組態的 Jumpbox 在閘道部署和更新期間所需的連接埠和通訊協定。
網繭成功部署後,進行中的 Horizon Cloud 作業將需要特定連接埠和通訊協定。所需的特定連接埠和通訊
協定取決於網繭是使用 2019 年 9 月版本的資訊清單版本,還是使用先前的資訊清單版本。
n 對於在 2019 年 9 月版本之後建立或升級至該版本的資訊清單版本或更新版本的網繭,請參閱使用
2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定需求。這類網繭的資
訊清單版本為 1593 或更新版本。
n 對於在 2019 年 9 月版本之前建立且尚未升級至該版本的資訊清單版本的網繭,請參閱在 2019 年 9 月版本之前部署的 Horizon Cloud Pod 的連接埠和通訊協定需求。這類網繭的資訊清單版本為 1493.1 或更早版本。
n 拱形網繭部署程序、網繭升級和進行中作業的 DNS 需求
n 網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定
n 當外部閘道部署在其本身的 VNet 中時:外部閘道組態的 Jumpbox 在閘道部署和更新期間所需的連接
埠和通訊協定
Horizon Cloud 部署指南
VMware, Inc. 87
拱形網繭部署程序、網繭升級和進行中作業的 DNS 需求
您必須確定下列 DNS 名稱皆能使用下表所指出的特定連接埠和通訊協定,從管理和租用戶子網路進行解析
和存取。Horizon Cloud 會使用特定的輸出連接埠將網繭軟體安全地下載到您的 Microsoft Azure 環境中,
以便網繭能夠連回 Horizon Cloud 控制平面。您必須設定網路防火牆,讓 Horizon Cloud 能夠在其所需的連
接埠上聯繫 DNS 位址。否則,網繭部署程序將會失敗。
重要 當您使用將外部閘道部署在其本身 VNet 中的功能時,該 VNet 中的管理子網路必須符合下表中針對
網繭 VNet 中的管理子網路所述的相同 DNS 需求。外部閘道 VNet 的後端子網路和 DMZ 子網路沒有特定
的 DNS 需求。
您的「歡迎使用 Horizon 服務」電子郵件將會指出您的租用戶帳戶是在哪個區域控制平面執行個體中建立
的。基於已知問題,歡迎電子郵件可能會顯示用於各個區域的系統字串名稱,而非讓人們易記的名稱。如
果您在歡迎電子郵件中看到系統字串名稱,則可以使用下表將電子郵件中顯示的名稱與區域控制平面 DNS 名稱產生關聯。
表 2-10. 歡迎電子郵件中對應至區域控制平面 DNS 名稱的區域
您的歡迎電子郵件會指出 區域 DNS 名稱
USA cloud.horizon.vmware.com
EU_CENTRAL_1 cloud-eu-central-1.horizon.vmware.com
AP_SOUTHEAST_2 cloud-ap-southeast-2.horizon.vmware.com
PROD1_NORTHCENTRALUS2_CP1 cloud-us-2.horizon.vmware.com
PROD1_NORTHEUROPE_CP1 cloud-eu-2.horizon.vmware.com
PROD1_AUSTRALIAEAST_CP1 cloud-ap-2.horizon.vmware.com
Horizon Cloud 部署指南
VMware, Inc. 88
表 2-11. 網繭部署和作業的 DNS 需求
子網路來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
管理 下列其中一個名稱,取決於您的 Horizon Cloud 租用戶帳戶中指定的區域 Horizon Cloud 控制平
面執行個體。區域執行個體會在建立帳戶時進行
設定,如在 VMware Cloud on AWS 上架至適用
於 Microsoft Azure、Horizon 7 內部部署和
Horizon 7 的 Horizon Cloud 中所述。
n cloud.horizon.vmware.com
n cloud-us-2.horizon.vmware.com
n cloud-eu-central-1.horizon.vmware.com
n cloud-eu-2.horizon.vmware.com
n cloud-ap-southeast-2.horizon.vmware.com
n cloud-ap-2.horizon.vmware.com
443 TCP 區域 Horizon Cloud 控制平面執行個體
n 美國:
cloud.horizon.vmware.com、
cloud-us-2.horizon.vmware.com
n 歐洲:cloud-eu-central-1.horizon.vmware.com、
cloud-eu-2.horizon.vmware.com
n 亞太地區:cloud-ap-southeast-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com
管理 softwareupdate.vmware.com 443 TCP VMware 軟體套件伺
服器。用來下載系統
映像相關作業中所使
用代理程式相關軟體
的更新。
Horizon Cloud 部署指南
VMware, Inc. 89
表 2-11. 網繭部署和作業的 DNS 需求 (續)
子網路來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
管理 下列其中一個名稱,取決於哪個區域 DNS 名稱
適用於您的帳戶。
n d1mes20qfad06k.cloudfront.net
n hydra-softwarelib-cdn.azureedge.net
443 TCP Horizon Cloud 內容傳
遞伺服器。在管理子
網路中,此站台可用
來下載網繭管理員和
Unified Access Gateway 虛擬機器的
VHD (虛擬硬碟)。此
外也可用於閘道連接
器虛擬機器的 VHD (如果外部閘道位於其
本身的 VNet 中)
d1mes20qfad06k.cloudfront.net 對應於
cloud.horizon.vmware.com、cloud-eu-central-1.horizon.vmware.com、cloud-ap-southeast-2.horizon.vmware.com 的區域執
行個體。
hydra-softwarelib-cdn.azureedge.net 對應於 cloud-us-2.horizon.vmware.com、cloud-eu-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com 的區域執行個體
管理 packages.microsoft.com 443 和
11371TCP Microsoft 軟體套件伺
服器。用來安全地下
載 Microsoft Azure 命令列介面 (CLI) 軟體。
管理 azure.archive.ubuntu.com 80 TCP Ubuntu 軟體套件伺服
器。供網繭相關的
Linux 型虛擬機器用
於 Ubuntu 作業系統
更新。
管理 api.snapcraft.io 443 TCP Ubuntu 軟體套件伺服
器。供網繭的 Linux 型虛擬機器用於
Ubuntu 作業系統更
新。
Horizon Cloud 部署指南
VMware, Inc. 90
表 2-11. 網繭部署和作業的 DNS 需求 (續)
子網路來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
管理 archive.ubuntu.com 80 TCP Ubuntu 軟體套件伺服
器。供網繭的 Linux 型虛擬機器用於
Ubuntu 作業系統更
新。
管理 changelogs.ubuntu.com 80 TCP Ubuntu 軟體套件伺服
器。供網繭的 Linux 型虛擬機器用於追蹤
Ubuntu 作業系統更
新。
管理 security.ubuntu.com 80 TCP Ubuntu 軟體套件伺服
器。供網繭的 Linux 型虛擬機器用於安全
性相關的 Ubuntu 作業系統更新。
管理 根據您將網繭部署至哪個 Microsoft Azure 雲端
而適用於下列其中一項:
n Microsoft Azure (全域):login.microsoftonline.com
n Microsoft Azure Germany:
login.microsoftonline.de
n Microsoft Azure China:
login.chinacloudapi.cn
n Microsoft Azure US Government:login.microsoftonline.us
443 TCP 應用程式通常會使用
此網址來對 Microsoft Azure 服務進行驗
證。如需 Microsoft Azure 說明文件中的
部分說明,請參閱
OAuth 2.0 授權碼流
程、Azure Active Directory v2.0 和
OpenID Connect 通訊協定,以及國家雲
端。國家雲端主題將
說明每個 Microsoft Azure 國家雲端為什
麼有不同的 Azure AD 驗證端點。
管理 根據您將網繭部署至哪個 Microsoft Azure 雲端
而適用於下列其中一項:
n Microsoft Azure (全域):management.azure.com
n Microsoft Azure Germany:
management.microsoftazure.de
n Microsoft Azure China:
management.chinacloudapi.cn
n Microsoft Azure US Government:management.usgovcloudapi.net
443 TCP 用於對 Microsoft Azure 資源管理員服
務的網繭 API 要求,
以使用 Microsoft Azure 資源管理員端
點。Microsoft Azure 資源管理員提供一致
性的管理層,以透過
Azure PowerShell、Azure CLI、Azure 入口網站、REST API 和用戶端 SDK 來執行
工作。
Horizon Cloud 部署指南
VMware, Inc. 91
表 2-11. 網繭部署和作業的 DNS 需求 (續)
子網路來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
管理 根據您將網繭部署至哪個 Microsoft Azure 雲端
而適用於下列其中一項:
n Microsoft Azure (全域):graph.windows.net
n Microsoft Azure Germany:
graph.cloudapi.de
n Microsoft Azure China:
graph.chinacloudapi.cn
n Microsoft Azure US Government:graph.windows.net
443 TCP 存取 Azure Active Directory (Azure AD) 圖形 API,這會用於
讓網繭透過 OData REST API 端點以程
式設計方式存取
Azure Active Directory (Azure AD)。
管理 下列其中一項,具體取決於您將網繭部署至哪個
Microsoft Azure 雲端:
n Microsoft Azure (全域):*.blob.core.windows.net
n Microsoft Azure Germany:
*.blob.core.cloudapi.de
n Microsoft Azure China:
*.blob.core.chinacloudapi.cn
n Microsoft Azure US Government:*.blob.core.usgovcloudapi.net
443 TCP 用於讓網繭以程式設
計方式存取 Azure Blob 儲存區。Azure Blob 儲存區是一種用
來儲存大量非結構化
物件資料 (例如文字或
二進位資料) 的服務。
管理 下列其中一項,具體取決於您將網繭部署至哪個
Microsoft Azure 雲端:
n Microsoft Azure (全域):*.vault.azure.net
n Microsoft Azure Germany:
*.vault.microsoftazure.de
n Microsoft Azure China:*.vault.azure.cn
n Microsoft Azure US Government:*.vault.usgovcloudapi.net
443 TCP 用於讓網繭具備以程
式設計方式搭配使用
Azure Key Vault 雲端
服務的能力。Azure Key Vault 是一種雲端
服務,提供安全的密
碼存放區。
管理 如果您的防火牆或網路安全性群組 (NSG) 支援
使用服務標記,請執行下列其中一項:
n 全域 Azure SQL 服務標記:Sql
n 部署網繭所在 Azure 區域的區域特定 SQL 服務標記:Sql.region,例如
Sql.WestUS。
如果您的防火牆或網路安全性群組 (NSG) 不支
援使用服務標記,您可以使用資料庫的主機名
稱。此名稱遵循
*.postgres.database.azure.com 模式。
5432 TCP 用於網繭與 Microsoft Azure PostgreSQL 資料庫伺服器的通訊。
從 2019 年 9 月版本
開始,在該發行日期
後新部署的網繭,以
及升級至該版本的資
訊清單版本的網繭,
會設定使用 Microsoft Azure PostgreSQL 資料庫伺服器。
如需安全群組中服務
標記的相關資訊,請
參閱 Microsoft Azure 說明文件中的服務標
記主題。
Horizon Cloud 部署指南
VMware, Inc. 92
表 2-11. 網繭部署和作業的 DNS 需求 (續)
子網路來源 目的地 (DNS 名稱) 連接埠 通訊協定 用途
租用戶 下列其中一個名稱,取決於哪個區域 DNS 名稱
適用於您的帳戶。
n d1mes20qfad06k.cloudfront.net
n hydra-softwarelib-cdn.azureedge.net
443 TCP Horizon Cloud 內容傳
遞伺服器。在承租人
子網路上,系統自動
匯入映像程序會使用
此站台來下載代理程
式相關軟體的安裝程
式。
d1mes20qfad06k.cloudfront.net 對應於
cloud.horizon.vmware.com、cloud-eu-central-1.horizon.vmware.com、cloud-ap-southeast-2.horizon.vmware.com 的區域執
行個體。
hydra-softwarelib-cdn.azureedge.net 對應於 cloud-us-2.horizon.vmware.com、cloud-eu-2.horizon.vmware.com、cloud-ap-2.horizon.vmware.com 的區域執行個體
租用戶 根據您 Horizon Cloud 帳戶中指定的區域
Horizon Cloud 控制平面:
北美:
n kinesis.us-east-1.amazonaws.com
n query-prod-us-east-1.cms.vmware.com
歐洲:
n kinesis.eu-central-1.amazonaws.com
n query-prod-eu-central-1.cms.vmware.com
澳大利亞:
n kinesis.ap-southeast-2.amazonaws.com
n query-prod-ap-southeast-2.cms.vmware.com
443 TCP 雲端監控服務 (CMS)
Horizon Cloud 部署指南
VMware, Inc. 93
網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定
如 Microsoft Azure 中 Horizon Cloud Pod 的 Microsoft Azure 虛擬機器需求中所述,Jumpbox 虛擬機器用
於網繭的初始建立,以及網繭環境上的後續軟體更新期間。建立網繭之後,即會刪除 Jumpbox 虛擬機器。
然後,當網繭正在更新時,Jumpbox 虛擬機器會重新建立以執行該更新程序,並於更新完成時刪除。這類
更新包括編輯網繭以新增 Unified Access Gateway 組態的情況。
備註 在 Microsoft Azure 中使用 2019 年 9 月版本開始部署的新網繭,或升級至 2019 年 9 月版本資訊清
單層級並啟用高可用性的網繭,會有兩個管理員虛擬機器。下列段落對「虛擬機器」一詞使用複數形式
(VMs),表示 Jumpbox 虛擬機器必須與網繭的所有管理員虛擬機器通訊,而無論僅有一個網繭還是有兩個
網繭。
執行這些程序時,該 Jumpbox 虛擬機器會與下列目標進行通訊:
n 網繭的管理員虛擬機器 (使用 SSH 連線至管理員虛擬機器的連接埠 22)。如此一來,在網繭部署程序與
網繭更新程序期間,必須滿足 Jumpbox 虛擬機器和管理員虛擬機器連接埠 22 之間的通訊需求。作為
來源的 Jumpbox 虛擬機器與作為目的地的管理員虛擬機器之間,必須允許管理員虛擬機器的連接埠
22。
n Unified Access Gateway 虛擬機器 (使用 HTTPS 連線至這些虛擬機器的連接埠 9443,且使用 Unified Access Gateway 組態部署網繭,或編輯網繭以新增該組態)。如此一來,在網繭部署程序與網繭更新
程序期間,如果網繭組態包含 Unified Access Gateway,則必須滿足 Jumpbox 虛擬機器和 Unified Access Gateway 虛擬機器連接埠 9443 之間的通訊需求。作為來源的 Jumpbox 虛擬機器與作為目的
地的 Unified Access Gateway 虛擬機器之間,必須允許 Unified Access Gateway 虛擬機器的連接埠
9443。
由於系統會以動態方式為這些虛擬機器指派 IP 位址,因此應使用允許此通訊的網路規則:
n 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 22、任何來源連接埠,以及通訊協定
TCP)。
n 涉及 Unified Access Gateway 組態時,使用管理子網路 CIDR 同時作為來源和目的地 (使用目的地連
接埠 9443、任何來源連接埠,以及通訊協定 TCP)。
備註 進行中的網繭作業不需要在網繭的管理員虛擬機器上連接埠 22 的可用性。不過,如果您對 VMware 提出支援要求,而支援團隊判斷對該要求進行偵錯的方式,是將用於 SSH 通訊的 Jumpbox 虛擬機器部署
至網繭的管理員虛擬機器,則在 VMware 支援團隊需要連接埠來偵錯問題的期間,您必須符合此連接埠需
求。當有任何適用的支援情況時,VMware 支援團隊將會通知您相關需求。
當外部閘道部署在其本身的 VNet 中時:外部閘道組態的 Jumpbox 在閘道部署和更新期間所需的連接埠和通訊協定
如 Microsoft Azure 中 Horizon Cloud Pod 的 Microsoft Azure 虛擬機器需求所述,Jumpbox 虛擬機器會用
於在初次將外部閘道建立於其本身的 VNet 中時,以及後續在該閘道上進行軟體更新期間。將外部閘道建立
於其本身的 VNet 中之後,即會刪除 Jumpbox 虛擬機器。然後,當外部閘道進行更新時,Jumpbox 虛擬機
器會重新建立以執行該更新程序,並於更新完成後刪除。在編輯網繭以將外部閘道新增至其本身的 VNet 時,也會進行此類更新。
Horizon Cloud 部署指南
VMware, Inc. 94
執行這些程序時,該 Jumpbox 虛擬機器會與下列目標進行通訊:
n 進行這些程序時,該 Jumpbox 虛擬機器會使用 SSH 連至閘道連接器虛擬機器的連接埠 22 與該連接器
虛擬機器進行通訊。因此,在進行閘道部署程序與更新程序期間,必須符合 Jumpbox 虛擬機器與連接
器虛擬機器連接埠 22 之間的通訊需求。作為來源的 Jumpbox 虛擬機器與作為目的地的連接器虛擬機
器之間,必須允許連接器虛擬機器的連接埠 22。
n Unified Access Gateway 虛擬機器 (使用 HTTPS 連線至這些虛擬機器的連接埠 9443)。如此一來,在
網繭部署程序與網繭更新程序期間,如果網繭組態包含 Unified Access Gateway,則必須滿足
Jumpbox 虛擬機器和 Unified Access Gateway 虛擬機器連接埠 9443 之間的通訊需求。作為來源的
Jumpbox 虛擬機器與作為目的地的 Unified Access Gateway 虛擬機器之間,必須允許 Unified Access Gateway 虛擬機器的連接埠 9443。
由於系統會以動態方式為這些虛擬機器指派 IP 位址,因此應使用允許此通訊的網路規則:
n 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 22、任何來源連接埠,以及通訊協定
TCP)。
n 管理子網路 CIDR 同時作為來源和目的地 (使用目的地連接埠 9443、任何來源連接埠,以及通訊協定
TCP)。
備註 進行中的網繭作業不需使用閘道連接器虛擬機器上的連接埠 22。不過,如果您對 VMware 提出支援
要求,而支援團隊決定對該要求進行偵錯的方式,是將用於 SSH 通訊的 Jumpbox 虛擬機器部署至該閘道
的連接器虛擬機器,則在 VMware 支援團隊需要以該連接埠來偵錯問題時,您必須符合此連接埠需求。當
有任何適用的支援情況時,VMware 支援團隊將會通知您相關需求。
使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定需求
對於進行中的 Horizon Cloud 作業,在 Microsoft Azure 中使用 2019 年 9 月版本及更新版本部署的新網
繭,或升級至 2019 年 9 月版本層級的網繭,具有與先前部署的網繭不同的特定連接埠和通訊協定需求。
新部署或升級至 2019 年 9 月版本的網繭,具有的資訊清單版本為 1600 或更新版本。
重要 除了此處所述的連接埠和通訊協定之外,您還必須符合 DNS 需求。如需詳細資料,請參閱
Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求。
用於進行中作業之主要網繭元件所需的連接埠和通訊協定
除了 DNS 需求以外,網繭也需要下表中的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。
在下方的表格中,管理員虛擬機器一詞是指網繭的管理員虛擬機器。在 Microsoft Azure 入口網站中,此虛
擬機器的名稱會包含 vmw-hcs-podID 之類的部分 (其中的 podID 是網繭的 UUID),以及 node 部分。
重要 已啟用高可用性的網繭具有兩個管理員虛擬機器。已停用高可用性的網繭僅有一個管理員虛擬機
器。在下表中,在您看到管理員虛擬機器一詞之處,除非另有指示,否則便適用已啟用高可用性網繭中的
所有管理員虛擬機器。
使用 2019 年 9 月版本的資訊清單版本或更新版本的所有網繭,都會有網繭 Microsoft Azure 負載平衡器。
涉及網繭負載平衡器的表格列適用於 1600 或更新版本的資訊清單層級的所有網繭。
Horizon Cloud 部署指南
VMware, Inc. 95
表 2-12. 網繭作業連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
管理員虛擬
機器
網繭的其他
管理員虛擬
機器
4101
TCP 對於已啟用高可用性的網繭,此流量會在管理員虛擬機器之間進行 JMS 路由。
管理員虛擬
機器
Unified Access Gateway 虛擬機器
9443
HTTPS 網繭管理員虛擬機器會透過管理子網路使用此連接埠,以設定網繭 Unified Access Gateway 組態中的設定。當您初次使用 Unified Access Gateway 組態
部署網繭時,以及編輯網繭以新增 Unified Access Gateway 組態或更新該
Unified Access Gateway 組態的設定時,皆適用此連接埠需求。
網繭的
Microsoft Azure 負載
平衡器
管理員虛擬
機器
8080
HTTP 負載平衡器的後端集區中虛擬機器的健全狀況檢查。當使用此版本的資訊清單
版本的網繭未啟用高可用性時,負載平衡器的後端集區會有一個管理員虛擬機
器需要檢查。
管理員虛擬
機器
網域控制站 389 TCP
UDP
LDAP 服務。在 Active Directory 組態中包含網域控制站角色的伺服器。網繭必
須登錄至 Active Directory。
管理員虛擬
機器
通用類別目
錄
3268
TCP LDAP 服務。在 Active Directory 組態中包含通用類別目錄角色的伺服器。網繭
必須登錄至 Active Directory。
管理員虛擬
機器
網域控制站 88 TCP
UDP
Kerberos 服務。在 Active Directory 組態中包含網域控制站角色的伺服器。網
繭必須登錄至 Active Directory。
管理員虛擬
機器
DNS 伺服
器
53 TCP
UDP
DNS 服務。
管理員虛擬
機器
NTP 伺服
器
123 UDP NTP 服務。提供 NTP 時間同步化的伺服器。
管理員虛擬
機器
True SSO 註冊伺服器
32111
TCP True SSO 註冊伺服器。如果您並未對網繭使用 True SSO 註冊伺服器功能,
則此為選用項目。
管理員虛擬
機器
Workspace ONE Access 服務
443 HTTPS 如果您並未對網繭使用 Workspace ONE Access,則此為選用項目。用來建立
網繭與 Workspace ONE Access 服務之間的信任關聯性。請確定網繭可在連接
埠 443 上連線到您所使用的 Workspace ONE Access 環境 (內部部署或雲端服
務)。如果您使用 Workspace ONE Access 雲端服務,也請在 VMware 知識庫
文章 2149884 中,參閱 Workspace ONE Access Connector 和網繭必須能夠
存取的 Workspace ONE Access 服務 IP 位址的清單。
Horizon Cloud 部署指南
VMware, Inc. 96
表 2-12. 網繭作業連接埠和通訊協定 (續)
來源 目標 連接
埠
通訊協定 用途
暫時性
Jumpbox 虛擬機器
管理員虛擬
機器
22 TCP 如上方的網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定
中所述,在網繭部署和網繭更新程序期間會使用暫時性的 Jumpbox。即使進行
中的程序不需要這些連接埠,在網繭部署和網繭更新程序期間,此 Jumpbox 虛擬機器必須使用 SSH 連至管理員虛擬機器的連接埠 22 來與管理員虛擬機器
進行通訊。如需有關 Jumpbox 虛擬機器需要此通訊之案例的詳細資料,請參
閱網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定。
備註 使用資訊清單版本 1600 或更新版本且已啟用高可用性功能的網繭,將
會有兩個管理員虛擬機器。前述段落對「虛擬機器」一詞使用複數形式
(VMs),表示 Jumpbox 虛擬機器必須與網繭的所有管理員虛擬機器通訊,而無
論僅有一個網繭還是有兩個網繭。
暫時性
Jumpbox 虛擬機器
Unified Access Gateway 虛擬機器
9443
HTTPS Jumpbox 虛擬機器會透過管理子網路使用此連接埠,以設定網繭 Unified Access Gateway 組態中的設定。當您初次使用 Unified Access Gateway 組態
部署網繭時,以及編輯網繭以將 Unified Access Gateway 組態新增至網繭時,
皆適用此連接埠需求。
閘道連接器虛擬機器的連接埠和通訊協定需求
下表適用於您在個別 VNet 中部署外部閘道時所使用的閘道連接器虛擬機器。除了 DNS 需求以外,外部閘
道也需要下表中的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。
在下表中,「連接器虛擬機器」一詞是指管理雲端管理平面與外部閘道之間連線的閘道連接器虛擬機器。
在 Microsoft Azure 入口網站中,此虛擬機器的名稱會包含 vmw-hcs-ID 之類的部分 (其中的 ID 是閘道的部
署工具識別碼),以及 node 部分。
表 2-13. 網繭作業連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
連接器虛擬
機器
DNS 伺服
器
53 TCP
UDP
DNS 服務。
連接器虛擬
機器
NTP 伺服
器
123 UDP NTP 服務。提供 NTP 時間同步化的伺服器。
暫時性
Jumpbox 虛擬機器
連接器虛擬
機器
22 TCP 如上方的網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定
中所述,在部署外部閘道期間和進行更新程序期間會使用暫時性的 Jumpbox。
即使進行中的程序不需要這些連接埠,在部署和更新程序期間,此 Jumpbox 虛擬機器仍須使用 SSH 連至連接器虛擬機器的連接埠 22,與連接器虛擬機器
進行通訊。
Unified Access Gateway 虛擬機器的連接埠和通訊協定需求
除了 DNS 和前述主要連接埠和通訊協定需求以外,您已在網繭上設定的閘道也需要下表中相關的連接埠和
通訊協定,才能在部署後為進行中的作業正常運作。
針對使用已設定 Unified Access Gateway 執行個體設定、已啟用高可用性網繭的連線,必須允許從網繭之
Unified Access Gateway 執行個體傳輸至目標的流量,如下表所列。在網繭部署期間,系統會在您的
Microsoft Azure 環境中建立網路安全性群組 (NSG),供網繭的 Unified Access Gateway 軟體使用。
Horizon Cloud 部署指南
VMware, Inc. 97
表 2-14. 從網繭 Unified Access Gateway 執行個體傳輸流量時的連接埠需求
來源 目標 連接埠 通訊協定 用途
Unified Access Gateway
網繭的 Microsoft Azure 負載平衡
器
8443 TCP 登入驗證流量。來自 Unified Access Gateway 執行個體的流量會透
過網繭的負載平衡器到達網繭的管理員虛擬機器。
Unified Access Gateway
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
4172 TCP
UDP
PCoIP
Unified Access Gateway
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
22443 TCP
UDP
Blast Extreme
依預設,在使用 Blast Extreme 時,用戶端磁碟機重新導向 (CDR) 流量和 USB 流量會在此連接埠中進行旁通道傳輸。如果您想改用其
他方式,可以將 CDR 流量區隔至 TCP 9427 連接埠,並將 USB 重新導向流量區隔至 TCP 32111 連接埠。
Unified Access Gateway
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
9427 TCP 用戶端驅動程式重新導向 (CDR) 和多媒體重新導向 (MMR) 流量的
選用項目。
Unified Access Gateway
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
32111 TCP USB 重新導向流量的選用項目。
Unified Access Gateway
您的 RADIUS 執行個體
1812 UDP 使用 RADIUS 雙因素驗證搭配該 Unified Access Gateway 組態時。
RADIUS 的預設值顯示如下。
使用者連線流量的連接埠和通訊協定需求
如需使用者可用於 Horizon Cloud Pod 之各種 Horizon Client 的相關詳細資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Horizon-Client/index.html 的 Horizon Client 說明文件頁面。必須開啟哪些
連接埠,讓來自使用者連線的流量能夠到達其網繭佈建的虛擬桌面和遠端應用程式,取決於您為使用者連
線方式所做的選擇:
當您選擇在網繭本身的
VNet 中使用外部閘道組
態的部署工具選項時
部署工具會在您的 Microsoft Azure 環境中部署 Unified Access Gateway 執行個體,並將 Microsoft Azure 負載平衡器資源部署至該負載平衡器後端集
區中的那些執行個體。該負載平衡器會與 DMZ 子網路上這些執行個體的
NIC 通訊,並設定為 Microsoft Azure 中的公用負載平衡器。圖表 圖 2-1. 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與
網繭相同之 VNet 中的外部閘道,以及為外部閘道的負載平衡器啟用了公用
IP 的 Horizon Cloud Pod 架構 說明此公用負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的網繭具有此組態時,來自網際網路的使
用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連
Horizon Cloud 部署指南
VMware, Inc. 98
接埠和通訊協定來連線到負載平衡器。部署後,外部閘道的負載平衡器會位
於名為 vmw-hcs-podID-uag 的資源群組中,其中的 podID 為網繭的 UUID。
當您選擇使用內部
Unified Access Gateway 組態的部署工具
選項時
依預設會將內部閘道組態部署至網繭本身的 VNet 中。部署工具會在您的
Microsoft Azure 環境中部署 Unified Access Gateway 執行個體,並將
Microsoft Azure 負載平衡器資源部署至其後端集區中的那些執行個體。該負
載平衡器會與租用戶子網路上這些執行個體的 NIC 通訊,並設定為
Microsoft Azure 中的內部負載平衡器。圖表 圖 2-1. 此圖顯示已啟用高可用
性且同時設定了外部和內部閘道組態的網繭、部署至與網繭相同之 VNet 中的外部閘道,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構 說明此內部負載平衡器和 Unified Access Gateway 執行個體的位
置。 當您的網繭具有此組態時,來自公司網路的使用者流量會移動到該負載
平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,
您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到
負載平衡器。部署後,內部閘道的負載平衡器會位於名為 vmw-hcs-podID-uag-internal 的資源群組中,其中的 podID 為網繭的 UUID。
當您選擇在本身的 VNet 中 (而非在網繭中) 使用外
部閘道組態的部署工具選
項時,或選擇使用本身訂
閱的選項時 (這是使用本
身 VNet 的特殊子案例,
因為 VNet 不會跨訂閱)
部署工具會在您的 Microsoft Azure 環境中部署 Unified Access Gateway 執行個體,並將 Microsoft Azure 負載平衡器資源部署至該負載平衡器後端集
區中的那些執行個體。該負載平衡器會與 DMZ 子網路上這些執行個體的
NIC 通訊,並設定為 Microsoft Azure 中的公用負載平衡器。圖表 圖 2-2. 此圖顯示將外部閘道部署至其本身的 VNet (與網繭的 VNet 不同) 時的外部閘
道架構元素 說明此公用負載平衡器和 Unified Access Gateway 執行個體在
閘道本身的 VNet 中所在的位置。 當您的網繭具有此組態時,來自網際網路
的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所
列出的連接埠和通訊協定來連線到負載平衡器。部署後,外部閘道的負載平
衡器會位於名為 vmw-hcs-ID-uag 的資源群組中,其中的 ID 為網繭詳細資料
頁面之部署工具識別碼欄位中顯示的值。如《管理指南》所述,您可以從管
理主控台的 [容量] 頁面進入網繭的詳細資料頁面。
當您選擇在網繭上使用零
Unified Access Gateway 組態時;例如,
當您將 Workspace ONE Access 與網繭整合時,
或允許內部使用者透過
VPN 直接連線時
小心 在生產系統中,內部使用者存取的 佳做法是在網繭上使用內部
Unified Access Gateway 閘道組態,而非直接連線至網繭。
Workspace ONE Access 與網繭整合時,您通常會讓使用者透過 Workspace ONE Access 連線。當 Workspace ONE Access 與 Microsoft Azure 中的
Horizon Cloud Pod 整合時,您必須將其設定為直接指向網繭。屆時,當您
的使用者使用 Workspace ONE Access 連線至其網繭佈建的資源時,網繭上
將不需要 Unified Access Gateway 組態。在此組態中,您需要在管理主控台
中使用網繭摘要頁面上傳 SSL 憑證至網繭的管理員虛擬機器,如《VMware Horizon Cloud Service 管理指南》中所述。然後,您即可完成將 Workspace ONE Access 與網繭整合的步驟。
Horizon Cloud 部署指南
VMware, Inc. 99
表 2-15. 外部使用者連線在網繭組態具有外部 Unified Access Gateway 執行個體時的連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向
(MMR)、USB 重新導向,以及通道 RDP 流量。
依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用
連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指
南》中的〈瞭解什麼是 URL 內容重新導向〉主題。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
4172 TCP
UDP
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 UDP 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
8443 UDP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。
瀏覽器 這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP HTML Access
表 2-16. 內部使用者連線在網繭組態具有內部 Unified Access Gateway 執行個體時的連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向
(MMR)、USB 重新導向,以及通道 RDP 流量。
依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用
連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指
南》中的〈瞭解什麼是 URL 內容重新導向〉主題。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
4172 TCP
UDP
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP
Horizon Cloud 部署指南
VMware, Inc. 100
表 2-16. 內部使用者連線在網繭組態具有內部 Unified Access Gateway 執行個體時的連接埠和通訊協定 (續)
來源 目標 連接
埠
通訊協定 用途
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 UDP 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
8443 UDP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。
瀏覽器 這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP HTML Access
表 2-17. 內部使用者連線在使用直接網繭連線 (例如透過 VPN) 時的連接埠和通訊協定
來源 目標 連接埠 通訊協
定
用途
Horizon Client
網繭的 Microsoft Azure 負載平衡
器
443 TCP 登入驗證流量。來自用戶端的流量會透過網繭的負載平衡器到達網繭的管理
員虛擬機器。
Horizon Client
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
4172 TCP
UDP
PCoIP
Horizon Client
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
22443 TCP
UDP
Blast Extreme
Horizon Client
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
32111 TCP USB 重新導向
Horizon Cloud 部署指南
VMware, Inc. 101
表 2-17. 內部使用者連線在使用直接網繭連線 (例如透過 VPN) 時的連接埠和通訊協定 (續)
來源 目標 連接埠 通訊協
定
用途
Horizon Client
桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
9427 TCP 用戶端磁碟機重新導向 (CDR) 和多媒體重新導向 (MMR)
瀏覽器 桌面或伺服器陣
列 RDSH 虛擬機
器中的 Horizon Agent
443 TCP HTML Access
Horizon Agent 連至 VDI 桌面和伺服器陣列所需的連接埠和通訊協定
下列連接埠必須允許從安裝在桌面虛擬機器和伺服器陣列 RDSH 虛擬機器中的 Horizon Agent 相關軟體對
高可用性網繭的管理員虛擬機器傳輸流量。
來源 目標 連接埠 通訊協定 用途
桌面或伺服
器陣列
RDSH 虛擬
機器中的
Horizon Agent
管理員虛擬機器 4002 TCP 使用增強安全性 (預設值) 時的 Java Message Service (JMS)
桌面或伺服
器陣列
RDSH 虛擬
機器中的
Horizon Agent
管理員虛擬機器 4001 TCP 舊版 Java Message Service (JMS)
桌面或伺服
器陣列
RDSH 虛擬
機器中的
Horizon Agent
管理員虛擬機器 3099 TCP 桌面訊息伺服器
桌面或伺服
器陣列
RDSH 虛擬
機器中的
FlexEngine 代理程式
(VMware Dynamic Environment Manager 的代理程式)
您設定以供桌面
或伺服器陣列
RDSH 虛擬機器
中的執行中
FlexEngine 代理
程式使用的檔案
共用
445 TCP FlexEngine 代理程式會存取 SMB 檔案共用 (如果您使用 VMware Dynamic Environment Manager 功能)。
Horizon Cloud 部署指南
VMware, Inc. 102
隨著網繭部署程序,部署工具會在所有已部署虛擬機器的網路介面 (NIC) 上建立網路安全性群組 (NSG)。如需在這些 NSG 中定義之規則的詳細資料,請參閱 Horizon Cloud 管理指南。
備註 我們不會在 Horizon Cloud 知識庫 (KB) 文章列出 DNS 名稱、IP 位址、連接埠和通訊協定,而是在
此處提供它們以作為核心 Horizon Cloud 說明文件的一部分。
在 2019 年 9 月版本之前部署的 Horizon Cloud Pod 的連接埠和通訊協定需求
對於進行中的 Horizon Cloud 作業,在 2019 年 9 月版本之前部署於 Microsoft Azure 中的網繭具有的特定
連接埠和通訊協定需求,不同於使用 2019 年 9 月版本的資訊清單版本部署的網繭,或是升級至 2019 年 9 月版本的資訊清單版本的網繭。在 2019 年 9 月版本之前部署的網繭,具有的資訊清單版本為 1493.1 或更
早版本。
重要 除了此處所述的連接埠和通訊協定之外,您還必須符合 DNS 需求。如需詳細資料,請參閱
Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求。
資訊清單版本網繭的進行中作業所需的連接埠和通訊協定
除了 DNS 需求以外,網繭也需要下表中的連接埠和通訊協定,才能在部署後為進行中的作業正常運作。
備註 在此區段的表格中,管理員虛擬機器一詞是指網繭的管理員虛擬機器。在 Microsoft Azure 入口網站
中,此虛擬機器的名稱會包含 vmw-hcs-podID 之類的部分 (其中的 podID 是網繭的 UUID),以及 node 部分。
表 2-18. 網繭作業連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
管理員虛擬
機器
網域控制站 389 TCP
UDP
LDAP 服務。在 Active Directory 組態中包含網域控制站角色的伺服器。網繭必
須登錄至 Active Directory。
管理員虛擬
機器
通用類別目
錄
3268
TCP LDAP 服務。在 Active Directory 組態中包含通用類別目錄角色的伺服器。網繭
必須登錄至 Active Directory。
管理員虛擬
機器
網域控制站 88 TCP
UDP
Kerberos 服務。在 Active Directory 組態中包含網域控制站角色的伺服器。網
繭必須登錄至 Active Directory。
管理員虛擬
機器
DNS 伺服
器
53 TCP
UDP
DNS 服務。
管理員虛擬
機器
NTP 伺服
器
123 UDP NTP 服務。提供 NTP 時間同步化的伺服器。
管理員虛擬
機器
True SSO 註冊伺服器
32111
TCP True SSO 註冊伺服器。如果您並未對網繭使用 True SSO 註冊伺服器功能,
則此為選用項目。
Horizon Cloud 部署指南
VMware, Inc. 103
表 2-18. 網繭作業連接埠和通訊協定 (續)
來源 目標 連接
埠
通訊協定 用途
管理員虛擬
機器
Workspace ONE Access 服務
443 HTTPS 如果您並未對網繭使用 Workspace ONE Access,則此為選用項目。用來建立
網繭與 Workspace ONE Access 服務之間的信任關聯性。請確定網繭可在連接
埠 443 上連線到您所使用的 Workspace ONE Access 環境 (內部部署或雲端服
務)。如果您使用 Workspace ONE Access 雲端服務,也請在 VMware 知識庫
文章 2149884 中,參閱 Workspace ONE Access Connector 和網繭必須能夠
存取的 Workspace ONE Access 服務 IP 位址的清單。
暫時性
Jumpbox 虛擬機器
管理員虛擬
機器
22 TCP 如網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定中所
述,在網繭部署和網繭更新程序期間會使用暫時性的 Jumpbox。即使進行中的
程序不需要這些連接埠,在網繭部署和網繭更新程序期間,此 Jumpbox 虛擬
機器必須使用 SSH 連至管理員虛擬機器的連接埠 22 來與網繭的管理員虛擬機
器進行通訊。如需有關 Jumpbox 虛擬機器需要此通訊之案例的詳細資料,請
參閱網繭 Jumpbox 在網繭部署和網繭更新期間所需的連接埠和通訊協定。
必須開啟哪些連接埠,讓來自使用者連線的流量能夠到達其網繭佈建的虛擬桌面和遠端應用程式,取決於
您為使用者連線方式所做的選擇:
n 如果您選擇具有外部閘道組態的選項,則系統會在 Microsoft Azure 環境中自動部署 Unified Access Gateway 執行個體,並將 Microsoft Azure 負載平衡器資源部署至在其後端集區中的那些執行個體。該
負載平衡器會與 DMZ 子網路上這些執行個體的 NIC 通訊,並設定為 Microsoft Azure 中的公用負載平
衡器。圖表 圖 2-1. 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態的網繭、部署至與網繭
相同之 VNet 中的外部閘道,以及為外部閘道的負載平衡器啟用了公用 IP 的 Horizon Cloud Pod 架構
說明此公用負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的網繭具有此組態時,來自
網際網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。
針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通訊協定來連線到負載平衡器。
針對部署的網繭,外部閘道的負載平衡器會位於名為 vmw-hcs-podID-uag 的資源群組中,其中 podID 為網繭的 UUID。
n 如果您選擇具有內部 Unified Access Gateway 組態的選項,則系統會在 Microsoft Azure 環境中自動部
署 Unified Access Gateway 執行個體,並將 Microsoft Azure 負載平衡器資源部署至在其後端集區中的
那些執行個體。該負載平衡器會與租用戶子網路上這些執行個體的 NIC 通訊,並設定為 Microsoft Azure 中的內部負載平衡器。圖表 圖 2-1. 此圖顯示已啟用高可用性且同時設定了外部和內部閘道組態
的網繭、部署至與網繭相同之 VNet 中的外部閘道,以及為外部閘道的負載平衡器啟用了公用 IP 的
Horizon Cloud Pod 架構 說明此內部負載平衡器和 Unified Access Gateway 執行個體的位置。 當您的
網繭具有此組態時,來自公司網路的使用者流量會移動到該負載平衡器,並將要求散佈至 Unified Access Gateway 執行個體。針對此組態,您必須確定這些使用者連線可使用下方所列出的連接埠和通
訊協定來連線到負載平衡器。針對部署的網繭,內部閘道的負載平衡器會位於名為 vmw-hcs-podID-uag-internal 的資源群組中,其中 podID 為網繭的 UUID。
n 如果您並未選擇任一 Unified Access Gateway 組態,則您可以改為讓使用者直接連線至網繭,例如使
用 VPN。在此組態中,您需要在管理主控台中使用網繭摘要頁面上傳 SSL 憑證至網繭的管理員虛擬機
器,如《VMware Horizon Cloud Service 管理指南》中所述。
如需使用者可用於 Horizon Cloud Pod 之各種 Horizon Client 的相關詳細資訊,請參閱位於 https://docs.vmware.com/tw/VMware-Horizon-Client/index.html 的 Horizon Client 說明文件頁面。
Horizon Cloud 部署指南
VMware, Inc. 104
表 2-19. 外部使用者連線在網繭組態具有外部 Unified Access Gateway 執行個體時的連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向
(MMR)、USB 重新導向,以及通道 RDP 流量。
依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用
連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指
南》中的〈瞭解什麼是 URL 內容重新導向〉主題。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
4172 TCP
UDP
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 UDP 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
8443 UDP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。
瀏覽器 這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP HTML Access
Horizon Cloud 部署指南
VMware, Inc. 105
表 2-20. 內部使用者連線在網繭組態具有內部 Unified Access Gateway 執行個體時的連接埠和通訊協定
來源 目標 連接
埠
通訊協定 用途
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 登入驗證流量。也能執行用戶端磁碟機重新導向 (CDR)、多媒體重新導向
(MMR)、USB 重新導向,以及通道 RDP 流量。
依預設會為用戶端連線啟用 SSL (HTTPS 存取)。在某些情況下,可以使用
連接埠 80 (HTTP 存取)。請參閱《VMware Horizon Cloud Service 管理指
南》中的〈瞭解什麼是 URL 內容重新導向〉主題。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
4172 TCP
UDP
透過 Unified Access Gateway 上 PCoIP 安全閘道的 PCoIP
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 UDP 透過 Unified Access Gateway 而用於資料流量的 Blast Extreme。
Horizon Client
這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
8443 UDP 透過 Unified Access Gateway 上 Blast 安全閘道而用於資料流量的 Blast Extreme (Adaptive Transport)。
瀏覽器 這些 Unified Access Gateway 執行個體適用的
Microsoft Azure 負載平衡器
443 TCP HTML Access
表 2-21. 內部使用者連線在使用直接網繭連線 (例如透過 VPN) 時的連接埠和通訊協定
來源 目標 連接埠 通訊協
定
用途
Horizon Client
管理員虛擬機器 443 TCP 登入驗證流量
Horizon Client
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
4172 TCP
UDP
PCoIP
Horizon Cloud 部署指南
VMware, Inc. 106
表 2-21. 內部使用者連線在使用直接網繭連線 (例如透過 VPN) 時的連接埠和通訊協定 (續)
來源 目標 連接埠 通訊協
定
用途
Horizon Client
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
22443 TCP
UDP
Blast Extreme
Horizon Client
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
32111 TCP USB 重新導向
Horizon Client
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
9427 TCP 用戶端磁碟機重新導向 (CDR) 和多媒體重新導向 (MMR)
瀏覽器 桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
443 TCP HTML Access
如果連線使用以 Unified Access Gateway 執行個體設定的網繭,則必須允許從網繭之 Unified Access Gateway 執行個體傳輸至目標的流量,如下表所列。在網繭部署期間,系統會在您的 Microsoft Azure 環境
中建立網路安全性群組 (NSG),供網繭的 Unified Access Gateway 軟體使用。
表 2-22. 從網繭 Unified Access Gateway 執行個體傳輸流量時的連接埠需求
來源 目標 連接埠 通訊協定 用途
Unified Access Gateway
管理員虛擬機器 443 TCP 登入驗證流量
Unified Access Gateway
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
4172 TCP
UDP
PCoIP
Unified Access Gateway
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
22443 TCP
UDP
Blast Extreme
依預設,在使用 Blast Extreme 時,用戶端磁碟機重新導向 (CDR) 流量和 USB 流量會在此連接埠中進行旁通道傳輸。如果您想改用其
他方式,可以將 CDR 流量區隔至 TCP 9427 連接埠,並將 USB 重新導向流量區隔至 TCP 32111 連接埠。
Unified Access Gateway
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
9427 TCP 用戶端驅動程式重新導向 (CDR) 和多媒體重新導向 (MMR) 流量的
選用項目。
Horizon Cloud 部署指南
VMware, Inc. 107
表 2-22. 從網繭 Unified Access Gateway 執行個體傳輸流量時的連接埠需求 (續)
來源 目標 連接埠 通訊協定 用途
Unified Access Gateway
桌面或伺服器陣
列的伺服器虛擬
機器中的
Horizon Agent
32111 TCP USB 重新導向流量的選用項目。
Unified Access Gateway
您的 RADIUS 執行個體
1812 UDP 使用 RADIUS 雙因素驗證搭配該 Unified Access Gateway 組態時。
RADIUS 的預設值顯示如下。
下列連接埠必須允許從安裝在桌面虛擬機器和伺服器陣列伺服器虛擬機器中的 Horizon Agent 相關軟體傳
輸流量。
來源 目標 連接埠 通訊協定 用途
桌面或伺服
器陣列的伺
服器虛擬機
器中的
Horizon Agent
管理員虛擬機器 4002 TCP 使用增強安全性 (預設值) 時的 Java Message Service (JMS)
桌面或伺服
器陣列的伺
服器虛擬機
器中的
Horizon Agent
管理員虛擬機器 4001 TCP 舊版 Java Message Service (JMS)
桌面或伺服
器陣列的伺
服器虛擬機
器中的
Horizon Agent
管理員虛擬機器 3099 TCP 桌面訊息伺服器
桌面或伺服
器陣列伺服
器虛擬機器
中的
FlexEngine 代理程式
(VMware Dynamic Environment Manager 的代理程式)
您設定以供桌面
或伺服器陣列伺
服器虛擬機器中
的執行中
FlexEngine 代理
程式使用的檔案
共用
445 TCP FlexEngine 代理程式會存取 SMB 檔案共用 (如果您使用 VMware Dynamic Environment Manager 功能)。
隨著網繭部署程序,部署工具會在所有已部署虛擬機器的網路介面 (NIC) 上建立網路安全性群組 (NSG)。如需在這些 NSG 中定義之規則的詳細資料,請參閱 Horizon Cloud 管理指南。
備註 我們不會在 Horizon Cloud 知識庫 (KB) 文章列出 DNS 名稱、IP 位址、連接埠和通訊協定,而是在
此處提供它們以作為核心 Horizon Cloud 說明文件的一部分。
Horizon Cloud 部署指南
VMware, Inc. 108
藉由建立應用程式登錄來建立 Horizon Cloud Pod 部署工具所需的必要服務主體
Horizon Cloud Pod 部署工具需要有服務主體,才能存取及使用您的 Horizon Cloud Pod 的 Microsoft Azure 訂閱容量。在您登錄 Microsoft Azure AD 應用程式時,也會建立服務主體。此外,您必須產生驗證
金鑰,並在訂閱層級上將角色指派給服務主體。如果您要使用讓外部閘道使用其本身的訂閱 (不同於網繭的
訂閱) 的功能,您也必須針對與該訂閱相關聯的服務主體執行類似步驟。
如需關於建立服務主體的 新深入詳細資料和螢幕擷取畫面,請參閱 Microsoft Azure 說明文件說明文件主
題作法:使用入口網站來建立可存取的資源的 Azure AD 應用程式和服務主體。
重要 您設定要用於 Horizon Cloud 的每個服務主體,皆必須在該服務主體相關聯的訂閱中指派適當的角
色。服務主體的角色必須允許 Horizon Cloud 需要在該服務主體相關聯的 Microsoft Azure 訂閱中對
Horizon Cloud 所管理資源執行的動作。網繭訂閱的服務主體必須要有允許特定動作的角色,以透過這些動
作成功部署網繭、在網繭和網繭管理的資源上運作,以滿足使用 Horizon Cloud 管理主控台起始的管理員
工作流程,以及長時間維護網繭。對網繭的外部 Unified Access Gateway 組態使用個別的訂閱時,該訂閱
的服務主體必須要有允許特定動作的角色,以透過這些動作成功部署該閘道組態所需的資源、在 Horizon Cloud 管理的這些資源上運作以滿足管理員工作流程,以及長時間維護這些閘道相關資源。
如 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業中所述,您必須使用下列其中一種方法為服務
主體授與存取權:
n 在訂閱層級,指派參與者角色。參與者角色是 Microsoft Azure 內建的角色之一。Microsoft Azure 說明
文件中的 Azure 資源的內建角色包含參與者角色的相關說明。
n 在訂閱層級上指派您已設定的自訂角色,以為服務主體提供 Horizon Cloud 部署網繭相關資源以及管理
員起始的現行工作流程與網繭維護作業所需的 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作
業。
n 對外部 Unified Access Gateway 組態使用個別的訂閱,並將其部署至現有的資源群組時,有效的動作
組合是使用提供範圍較窄權限的角色為服務主體授與存取該資源群組和相關 VNet 的權限,並使用內建
的讀取者角色為服務主體授與存取訂閱的權限。
您可以使用您已登錄的帳戶適用的 Microsoft Azure 入口網站來執行這些步驟。例如,下列 Microsoft Azure 雲端皆有其特定的入口網站端點。
n Microsoft Azure (標準全域)
n Microsoft Azure Germany
n Microsoft Azure China
Horizon Cloud 部署指南
VMware, Inc. 109
n Microsoft Azure US Government
備註 執行這些步驟時,您可以收集部署精靈所將需要的某些值 (如 Horizon Cloud 網繭部署精靈的訂閱相
關資訊中所說明),尤其是:
n 應用程式識別碼
n 驗證金鑰
注意 雖然您可以將祕密金鑰的到期期間設為特定的時間範圍,但若您這麼做,就務必要記得在金鑰到期
前加以重新整理,否則相關聯的 Horizon Cloud Pod 將停止運作。Horizon Cloud 無法偵測或得知您所設定
的期間。為求作業順暢,請將金鑰的到期設為永不。
如果您不想將到期設為永不,而想要改為在金鑰到期前重新整理,則必須記得在到期日之前要登入 Horizon Cloud 管理主控台,並在相關聯網繭的訂閱資訊中輸入新的金鑰值。如需詳細步驟,請參閱 VMware Horizon Cloud Service on Microsoft Azure 管理指南中的〈更新與已部署網繭相關聯的訂閱資訊〉。
在下列步驟中,步驟 7.a 說明在訂閱層級上被授與存取權的服務主體。
必要條件
如果您想要將自訂角色指派給服務主體,而非內建的參與者角色,請確認您的訂閱中有該自訂角色存在。
確認自訂角色允許 Horizon Cloud 所需的管理作業,如 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需
的作業中所述。
程序
1 在 Microsoft Azure 入口網站的左導覽列中,按一下 (Azure Active
Directory),然後按一下 (應用程式登錄)。
2 按一下新增應用程式登錄。
3 輸入描述性名稱,然後選取支援的帳戶類型。
4 在 [重新導向 URI] 區段中,選取 Web、輸入 http://localhost:8000,然後按一下登錄。
選項 說明
名稱 名稱由您決定。您可以透過此名稱,來區分 Horizon Cloud 所使用的這個服務主
體,與相同訂閱中可能存在的任何其他服務主體。
重新導向 URI 確保已選取 Web。
輸入如畫面顯示的 http://localhost:8000。Microsoft Azure 將此標示為必填欄
位。由於 Horizon Cloud 的服務主體不需要登入 URL,因此會使用 http://localhost:8000 來滿足 Microsoft Azure 需求。
畫面上會顯示新建立的應用程式登錄。
Horizon Cloud 部署指南
VMware, Inc. 110
5 將應用程式識別碼和目錄 (租用戶) ID 複製並儲存到您後續在執行部署精靈時可加以擷取的位置。
6 在服務主體的詳細資料畫面中,建立服務主體的驗證祕密金鑰。
a 按一下 (憑證和密碼)。
b 按一下新增用戶端密碼。
Horizon Cloud 部署指南
VMware, Inc. 111
c 輸入說明、選取到期期間,然後按一下新增。
金鑰說明的長度必須在 16 個字元以內,例如 Hzn-Cloud-Key1。
注意 您可以將到期期間設為永不,或設為特定時間範圍。但是,如果您設定特定的持續期間,則
必須記得要在金鑰到期之前重新整理,並在 Horizon Cloud 管理主控台將新金鑰輸入網繭的訂閱資
訊中。否則,相關聯的網繭將停止運作。Horizon Cloud 無法偵測或得知您所設定的期間。
重要 在您將祕密金鑰值複製並貼到您後續可加以擷取的位置之前,請讓此畫面保持開啟。完成祕
密值的複製前,請不要關閉此畫面。
d 將祕密值複製到您後續在執行部署精靈時可加以擷取的位置。
Horizon Cloud 部署指南
VMware, Inc. 112
7 在訂閱層級上將角色指派給服務主體。
注意 如果服務主體被指派的角色不允許網繭部署工具所需的作業,根據您在部署精靈中選取的選項,
精靈將會防止您完成精靈的步驟。若要瞭解已指派的角色必須提供的權限,請參閱 Horizon Cloud 在您
的 Microsoft Azure 訂閱中所需的作業。
a 在 Microsoft Azure 入口網站的主導覽列中按一下所有服務,以導覽至訂閱的設定畫面,接著按一
下訂閱,然後按一下要用於網繭之訂閱的名稱。
備註 此時,您可以從畫面中複製後續在部署精靈中將會用到的訂閱識別碼。
b 按一下 (存取控制 (IAM)),然後按一下新增 > 新增指派以開啟新增角色指派畫
面。
c 在新增角色指派畫面中,針對角色,根據 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作
業中所述的規則選取您要指派的角色。
Horizon Cloud 部署指南
VMware, Inc. 113
d 使用選取方塊依您提供的名稱搜尋您的服務主體。
以下螢幕擷取畫面說明此步驟,其中已選取參與者角色作為服務主體。
備註 確定指派存取權給下拉式清單設為 Azure AD 使用者、群組或應用程式。
e 按一下您的服務主體使其成為選取的成員,然後按一下儲存。
Horizon Cloud 部署指南
VMware, Inc. 114
8 確認您的訂閱擁有網繭所需的已登錄資源提供者。
a 從您在前一個步驟中使用的 [存取控制 (IAM)] 畫面,在訂閱的功能表中按一下 (資源提供者),以導覽至訂閱的資源提供者清單。
b 確認下列資源提供者處於 (已登錄) 狀態,若非如此,請加以登錄。
n Microsoft.Compute
n microsoft.insights
n Microsoft.Network
n Microsoft.Storage
n Microsoft.KeyVault
n Microsoft.Authorization
n Microsoft.Resources
n Microsoft.ResourceHealth
n Microsoft.DBforPostgreSQL
n Microsoft.Sql
結果
至此,您已建立並設定網繭的服務提供者,且擁有您在網繭部署精靈的第一個步驟所需的訂閱相關值。四
個訂閱相關值如下:
n 訂閱識別碼
n Azure Active Directory 識別碼
n 應用程式識別碼
Horizon Cloud 部署指南
VMware, Inc. 115
n 應用程式金鑰值
後續步驟
確認您已收集所有將在部署精靈中輸入的訂閱相關資訊。請參閱 Horizon Cloud 網繭部署精靈的訂閱相關
資訊。
如果您要使用個別的訂閱將外部 Unified Access Gateway 組態部署至現有資源群組中,且想要授與精細且
範圍較窄的權限 (而非訂閱層級的存取權),請參閱 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作
業以取得詳細資料。請確定已為服務主體授與適當的存取權,以符合 Horizon Cloud 部署工具的需求。
Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業Horizon Cloud 用來在您的 Microsoft Azure 訂閱和資源群組中執行作業的服務主體需要指派的角色,以指
定服務主體可在該訂閱及其資源群組中執行的允許作業。即便使用 Microsoft Azure 內建的參與者角色可以
執行 Horizon Cloud 所需的所有作業,但必須授與 大範圍的權限。您可以不在訂閱層級上使用 Microsoft Azure 內建的參與者角色,而改為建立具有 低權限集的自訂角色 (範圍限制在 Horizon Cloud 在相關聯訂
閱中所需的 少一組作業),並在訂閱層級上將該自訂角色指派給服務主體。如果您採用將個別訂閱用於網
繭的外部 Unified Access Gateway 組態的方法,並選擇將閘道資源部署至您所建立並維護的資源群組中,
則您可以選擇在該個別訂閱中為服務主體指派更精細且範圍較窄的權限。
主要的概念是,Horizon Cloud 需要在您的訂閱及其資源群組中執行特定作業,以成功建立並維護為網繭
及其閘道進行設定所需的資源。其中一個簡單的範例是,由於網繭和閘道架構需要具有 NIC 的虛擬機器,
因此 Horizon Cloud 必須在您的訂閱中建立虛擬機器和 NIC,並將這些 NIC 連結至訂閱 VNet 中的子網
路。您為網繭和閘道部署選擇的部分選項,將決定 Horizon Cloud 所需執行的一組特定作業。您可以依照
以下說明的規則,根據您為了部署網繭及設定其外部閘道而採用的選項,將 Horizon Cloud 在您訂閱中的
能力限制在所需作業的 小範圍。
如需 Microsoft Azure 中自訂角色和建立自訂角色所採取步驟的詳細資料,請參閱 Microsoft Azure 說明文
件主題 適用於 Azure 資源的自訂角色。如需有關角色運作方式、其結構和管理作業結構的詳細資料,請參
閱 Microsoft Azure 說明文件中的瞭解 Azure 資源的角色定義。如該說明文件主題中所述,角色定義為權限
的集合。此角色定義簡稱為角色。角色會列出該角色獲指派服務主體可執行的管理作業,以及無法執行的
作業。管理作業為在該資源上所執行資源與動作的組合。
此主題包含以下小節。
n 可用使用案例的概觀
n 將單一訂閱用於網繭及其閘道組態時,或將個別的訂閱用於外部 Unified Access Gateway 組態,且在
訂閱層級上設定權限集時
n 將個別的訂閱用於外部 Unified Access Gateway 組態時,在訂閱層級指派讀取者角色,並且在精細的
層級上指派其他所需權限,以部署至自訂資源群組中
可用使用案例的概觀
討論 Horizon Cloud 在您的 Microsoft Azure 訂閱和資源群組中所需的作業時,涉及下列使用案例。
備註 服務主體的角色若是針對為雙訂閱使用案例中剩餘網繭資源指定的訂閱而建立的,則必須遵循單一
訂閱使用案例所需的相同規則。
Horizon Cloud 部署指南
VMware, Inc. 116
使用案例 說明
Horizon Cloud 會將單一訂閱用於網繭及其外部 Unified Access Gateway 組態。
在此案例中,必須在訂閱層級為服務主體授與存取權。在該層級
指派給服務主體的角色,必須允許 Horizon Cloud 在您的訂閱中
必須執行的相關動作,以在該訂閱中成功建立所需的資源,並在
一段時間內對這些資源執行作業。舉例來說,在此案例中,該角
色必須提供建立預設資源群組、網路安全性群組、虛擬機器等項
目的能力。
您有兩個訂閱,並且想要讓 Horizon Cloud 在外部閘道的指定訂
閱中自動建立閘道所需的資源群組和資源,並以相同方式在另一
個訂閱中建立剩餘網繭資源。
n 一個訂閱指定用於外部 Unified Access Gateway 組態資源
n 另一個訂閱用於剩餘網繭資源
使用此選項時,必須在訂閱層級為每個訂閱的服務主體授與存取
權,以及允許前述單一訂閱使用案例之相同動作的權限。
同樣有兩個訂閱,但不要讓 Horizon Cloud 自動建立外部閘道所
需的資源群組和資源,而是在該外部閘道的指定訂閱中預先建立
資源群組,並且讓 Horizon Cloud 將外部閘道的資源部署至那個
現有的資源群組中。
要為服務主體授與部署外部閘道的存取權,可使用兩個選項:
n 在訂閱層級上授與存取權的方式與上述案例相同。
n 使用下列組合:
n 在訂閱層級上,使用內建的讀取者角色授與存取權。
n 在具名資源群組的層級上,使用自訂角色中定義的權限
授與存取權。在資源群組層級授與的權限必須可支援
Horizon Cloud 需要在資源群組中執行的相關作業,以在
該處部署和設定外部閘道的資源。
除了資源群組的權限以外,取決於您的部署計劃,
Horizon Cloud 需要執行下列動作的權限:
n 如果此部署將使用您在該訂閱的 VNet 上預先建立的
子網路,則 Horizon Cloud 需要能夠在這些子網路上
建立 NIC 和網路安全性群組 (NSG)。對子網路所屬
VNet 所需的權限為 Microsoft.Network/virtualNetworks/subnets/* 和 Microsoft.Network/networkSecurityGroups/*
n 如果此部署要讓 Horizon Cloud 產生子網路,則除了
上方的 Microsoft.Network/virtualNetworks/subnets/* 和 Microsoft.Network/networkSecurityGroups/* 權限以外,Horizon Cloud 也需要能夠建立子網路。對 VNet 所需的權限為
Microsoft.Network/virtualNetworks/write
n 如果您的外部閘道部署將指定使用公用 IP 位址,則
Horizon Cloud 必須能夠在具名資源群組中建立公用
IP 位址。對具名資源群組所需的權限為
Microsoft.Network/publicIPAddresses
將單一訂閱用於網繭及其閘道組態時,或將個別的訂閱用於外部 Unified Access Gateway 組態,且在訂閱
層級上設定權限集時
在這些使用案例中,應在訂閱層級上指派權限。若您在 Horizon Cloud 工作流程的「訂閱」步驟中所指定
服務主體上設定了自訂角色,則自訂角色定義中需要下列動作。* (萬用字元) 允許存取與列出的資源提供者
作業中的字串相符合的所有作業。如需作業的說明,請參閱以下列出連結中的 Microsoft Azure 說明文件。
Horizon Cloud 部署指南
VMware, Inc. 117
表 2-23. 在訂閱層級上指派權限時,自訂角色中必須允許的 Microsoft Azure 資源作業
作業 Microsoft Azure 說明文件中的描述
Microsoft.Authorization/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftauthorization
Microsoft.Compute/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/availabilitySets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/disks/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/images/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Horizon Cloud 部署指南
VMware, Inc. 118
表 2-23. 在訂閱層級上指派權限時,自訂角色中必須允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Compute/locations/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/snapshots/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/virtualMachines/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/virtualMachineScaleSets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.DBforPostgreSQL/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftdbforpostgresql
Horizon Cloud 部署指南
VMware, Inc. 119
表 2-23. 在訂閱層級上指派權限時,自訂角色中必須允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.KeyVault/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftkeyvault
Microsoft.KeyVault/vaults/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftkeyvault
Microsoft.KeyVault/vaults/secrets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftkeyvault
Microsoft.Network/loadBalancers/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/networkInterfaces/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Horizon Cloud 部署指南
VMware, Inc. 120
表 2-23. 在訂閱層級上指派權限時,自訂角色中必須允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Network/networkSecurityGroups/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/publicIPAddresses/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/write https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Horizon Cloud 部署指南
VMware, Inc. 121
表 2-23. 在訂閱層級上指派權限時,自訂角色中必須允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Network/virtualNetworks/subnets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.ResourceHealth/availabilityStatuses/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftresourcehealth
Microsoft.Resources/subscriptions/resourceGroups/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftresources
Microsoft.Resources/deployments/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftresources
Horizon Cloud 部署指南
VMware, Inc. 122
表 2-23. 在訂閱層級上指派權限時,自訂角色中必須允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Storage/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftstorage
Microsoft.Storage/storageAccounts/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftstorage
下列 JSON 程式碼區塊是一個範例,說明名為 Horizon Cloud Pod 的自訂角色定義在具有一組前述作業
時可能呈現的內容。如需內容和使用量資訊的描述,請參閱 Microsoft Azure 說明文件主題 Azure 資源的自
訂角色中的自訂角色內容區段。識別碼為自訂角色的唯一識別碼。使用 Azure PowerShell 或 Azure CLI 建立自訂角色時,此識別碼會在建立新角色時自動產生。如教學課程:使用 Azure CLI 為 Azure 資源建立自
訂角色中所述,mysubscriptionId1 為您自己的訂閱識別碼。
Horizon Cloud 部署指南
VMware, Inc. 123
{"Name": "Horizon Cloud Pod","Id": "uuid","IsCustom": true,"Description": "Minimum set of Horizon Cloud pod required operations","Actions": [ "Microsoft.Authorization/*/read" "Microsoft.Compute/*/read" "Microsoft.Compute/availabilitySets/*" "Microsoft.Compute/disks/*" "Microsoft.Compute/images/*" "Microsoft.Compute/locations/*" "Microsoft.Compute/virtualMachines/*" "Microsoft.Compute/virtualMachineScaleSets/*" "Microsoft.Compute/snapshots/*" "Microsoft.DBforPostgreSQL/*" "Microsoft.KeyVault/*/read" "Microsoft.KeyVault/vaults/*" "Microsoft.KeyVault/vaults/secrets/*" "Microsoft.Network/loadBalancers/*" "Microsoft.Network/networkInterfaces/*" "Microsoft.Network/networkSecurityGroups/*" "Microsoft.Network/publicIPAddresses/*" "Microsoft.Network/virtualNetworks/read" "Microsoft.Network/virtualNetworks/write" "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read" "Microsoft.Network/virtualNetworks/subnets/*" "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read" "Microsoft.Resources/subscriptions/resourceGroups/*" "Microsoft.ResourceHealth/availabilityStatuses/read" "Microsoft.Resources/deployments/*" "Microsoft.Storage/*/read" "Microsoft.Storage/storageAccounts/*" ],"NotActions": [],"DataActions": [],"NotDataActions": [],"AssignableScopes": [ "/subscriptions/mysubscriptionId1" ]}
將個別的訂閱用於外部 Unified Access Gateway 組態時,在訂閱層級指派讀取者角色,並且在精細的層級
上指派其他所需權限,以部署至自訂資源群組中
在此使用案例中,您可以在訂閱層級將內建的讀取者角色指派給服務主體,然後使用指定下表所含權限的
自訂角色在具名資源群組的層級授與存取權。根據您計劃的部署選項,在子網路上和 VNet 上必須要有某些
其他權限:
n 如果此外部閘道部署將使用您預先建立的子網路,則 Horizon Cloud 需要能夠在這些子網路上建立 NIC 和網路安全性群組 (NSG)。對子網路所屬的 VNet 所需的權限為 Microsoft.Network/virtualNetworks/subnets/* 和 Microsoft.Network/networkSecurityGroups/*
n 如果此外部閘道部署要讓 Horizon Cloud 產生子網路,則除了前述的 Microsoft.Network/virtualNetworks/subnets/* 和 Microsoft.Network/networkSecurityGroups/* 權限以外,Horizon Cloud 還必須能夠建立子網路。對訂閱的 VNet 所需的權限為 Microsoft.Network/virtualNetworks/write
Horizon Cloud 部署指南
VMware, Inc. 124
n 如果您的部署將為外部閘道組態指定使用公用 IP 位址,則 Horizon Cloud 需要能夠在具名資源群組中
建立公用 IP 位址。對具名資源群組所需的權限為 Microsoft.Network/publicIPAddresses
具名資源群組中需要下列允許的作業。* (萬用字元) 允許存取與列出的資源提供者作業中的字串相符合的所
有作業。如需作業的說明,請參閱以下列出連結中的 Microsoft Azure 說明文件。
表 2-25. 必須在指定資源群組上允許的 Microsoft Azure 資源作業
作業 Microsoft Azure 說明文件中的描述
Microsoft.Authorization/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftauthorization
Microsoft.Compute/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/availabilitySets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/disks/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/images/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Horizon Cloud 部署指南
VMware, Inc. 125
表 2-25. 必須在指定資源群組上允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Compute/locations/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/snapshots/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/virtualMachines/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.Compute/virtualMachineScaleSets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftcompute
Microsoft.DBforPostgreSQL/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftdbforpostgresql
Horizon Cloud 部署指南
VMware, Inc. 126
表 2-25. 必須在指定資源群組上允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.KeyVault/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftkeyvault
Microsoft.KeyVault/vaults/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftkeyvault
Microsoft.KeyVault/vaults/secrets/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftkeyvault
Microsoft.Network/loadBalancers/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/networkInterfaces/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Horizon Cloud 部署指南
VMware, Inc. 127
表 2-25. 必須在指定資源群組上允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Network/publicIPAddresses/* (如果您的部署要指定將公用 IP 位址用於外部閘道部署)。 https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftnetwork
Microsoft.ResourceHealth/availabilityStatuses/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftresourcehealth
Horizon Cloud 部署指南
VMware, Inc. 128
表 2-25. 必須在指定資源群組上允許的 Microsoft Azure 資源作業 (續)
作業 Microsoft Azure 說明文件中的描述
Microsoft.Resources/subscriptions/resourceGroups/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftresources
Microsoft.Resources/deployments/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftresources
Microsoft.Storage/*/read https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftstorage
Microsoft.Storage/storageAccounts/* https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftstorage
Horizon Cloud 網繭部署精靈的訂閱相關資訊
使用 Horizon Cloud Pod 部署精靈時,您需要提供下列幾項 Microsoft Azure 訂閱中的資訊。如果您要將外
部閘道部署至其本身的訂閱中 (與網繭的訂閱不同),則部署工具需要這兩個訂閱的該項資訊。
重要 您必須取得您在 Microsoft Azure 入口網站中產生的應用程式金鑰。如需相關資訊,請參閱藉由建立
應用程式登錄來建立 Horizon Cloud Pod 部署工具所需的必要服務主體。您可以隨時使用您的 Microsoft Azure 帳戶認證登入 Microsoft Azure 入口網站來取得其他幾項資訊。
識別碼即為 UUID,格式為 8-4-4-4-12。下表所述的識別碼和金鑰會用於網繭部署精靈的第一個步驟。
Horizon Cloud 部署指南
VMware, Inc. 129
所需值 收集方式 您的值
環境 您在登錄 Microsoft Azure 訂閱登錄時便會決定
Microsoft Azure 雲端環境。那時,您的帳戶和訂閱會
建立在特定的 Microsoft Azure 環境中。
訂閱識別碼 在 Microsoft Azure 入口網站的主導覽列中依序按一下
所有服務、訂閱,以及要用於網繭之訂閱的名稱,以
導覽至訂閱的設定畫面。找出顯示的訂閱識別碼。
目錄識別碼 在 Microsoft Azure 入口網站中,按一下
> (在管理下方)。
應用程式識別碼 在 Microsoft Azure 入口網站中,按一下
>
,然後按一下您使用藉由建立應用
程式登錄來建立 Horizon Cloud Pod 部署工具所需的
必要服務主體中的步驟為 Horizon Cloud 建立的應用
程式登錄。
應用程式金鑰 取得您在 Microsoft Azure 入口網站中產生的金鑰。請
參閱藉由建立應用程式登錄來建立 Horizon Cloud Pod 部署工具所需的必要服務主體。
將憑證檔案轉換為網繭部署所需的 PEM 格式
您網繭中的 Unified Access Gateway 功能需要 SSL 以進行用戶端連線。當您想要讓網繭具有 Unified Access Gateway 組態,則網繭部署精靈需要 PEM 格式檔案,才能將 SSL 伺服器憑證鏈結提供給網繭的
Unified Access Gateway 組態。單一 PEM 檔案必須包含完整憑證鏈結,包括私密金鑰:SSL 伺服器憑
證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。
如需與 Unified Access Gateway 中所使用憑證類型相關的其他詳細資料,請參閱 Unified Access Gateway 產品說明文件中的〈選取正確的憑證類型〉主題。
在關於閘道設定的網繭部署精靈步驟中,您需要上傳憑證檔案。在部署程序中,此檔案會提交至已部署
Unified Access Gateway 執行個體的組態中。當您在精靈介面中執行上傳步驟時,精靈會驗證您上傳的檔
案是否符合下列需求:
n 檔案可以剖析為 PEM 格式。
n 其中包含有效的憑證鏈結和私密金鑰。
n 該私密金鑰符合伺服器憑證的公開金鑰。
如果您沒有作為憑證資訊的 PEM 格式檔案,則必須將憑證資訊轉換為符合前述需求的檔案。您必須將非
PEM 格式檔案轉換為 PEM 格式,並建立包含完整憑證鏈結和私密金鑰的單一 PEM 檔案。您也必須編輯
檔案以移除額外的資訊 (若有的話),使精靈在剖析檔案時不會發生任何問題。高階步驟如下:
1 將憑證資訊轉換為 PEM 格式,並建立包含憑證鏈結和私密金鑰的單一 PEM 檔案。
2 編輯檔案以移除每組 ----BEGIN CERTIFICATE---- 與 -----END CERTIFICATE----- 標記之間憑證資訊
外部的額外憑證資訊 (若有的話)。
Horizon Cloud 部署指南
VMware, Inc. 130
下列步驟中的程式碼範例假設您已開始使用名為 mycaservercert.pfx 的檔案,其包含根 CA 憑證、中繼
CA 憑證資訊和私密金鑰。
必要條件
n 確認您擁有憑證檔案。檔案可能是 PKCS#12 (.p12 或 .pfx) 格式,也可能是 Java JKS 或 JCEKS 格式。
重要 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。Unified Access Gateway 虛擬機器需要鏈結
中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在
將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
n 自行熟悉您可用來轉換憑證的 openssl 命令列工具。請參閱 https://www.openssl.org/docs/apps/openssl.html。
n 如果憑證是 Java JKS 或 JCEKS 格式,請自行熟悉 Java keytool 命令列工具,以先將憑證轉換
為 .p12 或 .pks 格式,之後才能再轉換為 .pem 檔案。
程序
1 如果憑證是 Java JKS 或 JCEKS 格式,請使用 keytool 將憑證轉換為 .p12 或 .pks 格式。
重要 在此轉換期間,請使用相同的來源和目的地密碼。
2 如果憑證是 PKCS#12 (.p12 或 .pfx) 格式,或已將憑證轉換為 PKCS#12 格式後,請使用 openssl 將憑證轉換為 .pem 檔案。
例如,如果憑證的名稱是 mycaservercert.pfx,您可以使用下列命令轉換憑證:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
上方第一行會取得 mycaservercert.pfx 中的憑證,且會以 PEM 格式將其寫入
mycaservercertchain.pem。上方第二行會取得來自 mycaservercert.pfx 的私密金鑰,且會以
PEM 格式將其寫入 mycaservercertkey.pem
3 (選擇性) 如果私密金鑰不是 RSA 格式,請將私密金鑰轉換為 RSA 私密金鑰格式。
Unified Access Gateway 執行個體需要 RSA 私密金鑰格式。若要確認您是否需要執行此步驟,請在
PEM 檔案中查看私密金鑰資訊的開頭是否為
-----BEGIN PRIVATE KEY-----
如果私密金鑰的開頭即為該行,則您應將私密金鑰轉換為 RSA 格式。如果私密金鑰的開頭為 -----BEGIN RSA PRIVATE KEY-----,則無須執行此步驟以轉換私密金鑰。
Horizon Cloud 部署指南
VMware, Inc. 131
若要將私密金鑰轉換為 RSA 格式,請執行下列命令。
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
PEM 檔案中的私密金鑰現在為 RSA 格式 (-----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY-----)。
4 結合憑證鏈結 PEM 檔案和私密金鑰 PEM 檔案中的資訊以形成單一 PEM 檔案。
以下範例顯示的例子會顯示 mycaservercertkeyrsa.pem 的內容 (RSA 格式的私密金鑰),後面接著來自
mycaservercertchain.pem (即主要 SSL 憑證) 的內容,接著是一個中繼憑證,再來是根憑證。
-----BEGIN CERTIFICATE-----
.... (your primary SSL certificate)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.... (the intermediate CA certificate)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.... (the trusted root certificate)
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
.... (your server key from mycaservercertkeyrsa.pem)
----- END RSA PRIVATE KEY-----
備註 伺服器憑證應在前方,接著是任何中繼憑證,然後才是受信任的根憑證。
5 如果 BEGIN 和 END 標記之間存在任何不必要的憑證項目或無關的資訊,請編輯檔案以移除這些內容。
結果
產生的 PEM 檔案會符合網繭部署精靈的需求。
將 Horizon Cloud Pod 部署至 Microsoft Azure您可以執行網繭部署精靈,以部署共同組成網繭及其閘道組態的元件。網繭的連接器元件會與 Horizon Cloud 配對,讓您能夠將 Microsoft Azure 容量與 Horizon Cloud 搭配使用。
部署工具會使用您在精靈的每個步驟中所提供的資訊來決定如何設定網繭。在特定步驟中提供要求的資訊
之後,請按下一步繼續進行下一個步驟。
注意 下列步驟中所提及的 IP 位址皆為範例。請使用符合組織需要的位址範圍。請在提及 IP 位址範圍的
每個步驟中,將這些位址範圍替換為組織適用的位址範圍。
必要條件
開始網繭部署精靈之前,請確認您擁有必要的項目。您需要在精靈中提供的項目取決於您想要的網繭組態
選項。如需先決條件,請參閱執行網繭部署精靈的先決條件。
網繭組態選項包括:
n 選取預先建立的現有子網路或讓網繭部署工具自動建立子網路
Horizon Cloud 部署指南
VMware, Inc. 132
n 選取是否啟用網繭的高可用性。如果您部署網繭但未啟用高可用性,可以稍後編輯網繭來將其啟用。
n 讓部署程序建立 VMware Workspace ONE® Access™ 租用戶。
n 使用外部或內部的 Unified Access Gateway 組態部署,或同時使用這兩個組態部署。如果部署時僅使
用一個類型的閘道組態,則可以稍後編輯網繭以新增另一個非設定的類型。
如果您將 Unified Access Gateway 組態部署為... 您可以稍後編輯網繭以新增...
外部 內部
內部 外部
無 兩者之一或兩個同時
n 部署時讓外部 Unified Access Gateway 組態位於其本身的 VNet 中 (不同於網繭的 VNet)。
n 部署時讓外部 Unified Access Gateway 組態位於其本身的訂閱中 (不同於網繭的訂閱)。由於 VNet 不會跨訂閱,因此這個選項是個別 VNet 案例的特殊案例 — 當外部閘道使用其本身的訂閱進行部署時,
也意味著該閘道位於本身的 VNet 中。
n 要將哪個 SKU 用於外部和內部閘道組態的 Microsoft Azure 負載平衡器。其選項包括標準 Azure 負載
平衡器 SKU 或基本 Azure 負載平衡器 SKU。如需兩個 SKU 的比較,請參閱 Microsoft Azure 說明文
件主題負載平衡器 SKU 比較。
n 使用網繭閘道組態上設定的 RADIUS 雙因素驗證選項進行部署。如果部署時未使用網繭的閘道組態上
所設定的 RADIUS 設定,則可以稍後編輯網繭以新增另一個非設定的類型。
n 對於外部 Unified Access Gateway 組態,您可以選擇性地選取組態的負載平衡器上不要有公用 IP 位址。如果您選取負載平衡器上不要有公用 IP 位址的精靈選項,則必須在精靈中指定已與 DNS 伺服器
中 FQDN 相對應的 IP 值。該 FQDN 是一種將在使用者的 Horizon 用戶端中用來對此閘道進行 PCoIP 連線的類型。在部署程序中,部署工具會在 Unified Access Gateway 的 Horizon 組態設定中設定該 IP 位址。在 Unified Access Gateway 說明文件中,此 IP 值稱為 PCoIP 外部 URL。即使 Unified Access Gateway 說明文件將其稱為 URL,輸入的值仍必須是 IP 位址。您可以將此 IP 位址對應至 DNS 中的
FQDN,也就是使用者的 Horizon 用戶端中用來透過網繭外部 Unified Access Gateway 組態建立
PCoIP 工作階段的 FQDN。
注意 您無法於稍後編輯已部署的網繭,來變更外部閘道之負載平衡器的這個 IP 位址設定。因此,請
確定您在部署精靈中輸入的公用 IP 位址與對應於 FQDN 的 DNS 相符,且 FQDN 與您在部署精靈中所
上傳憑證中包含的 FQDN 相同。
程序
1 執行網繭部署精靈的先決條件
執行網繭部署精靈之前,請確認您的環境符合這些先決條件。您必須擁有下列項目,以便您可以在網
繭部署精靈中提供要求的值,並繼續執行精靈。
2 啟動網繭部署精靈
當您將第一個網繭部署至 Microsoft Azure 時,您需要使用 Horizon Cloud 管理主控台上 [開始使用] 頁面的新增雲端容量功能來啟動網繭部署精靈。
Horizon Cloud 部署指南
VMware, Inc. 133
3 為新網繭指定 Microsoft Azure 訂閱資訊
在網繭部署精靈的這個步驟中,您可以提供要用於此網繭的 Microsoft Azure 訂閱資訊。
4 指定網繭組態資訊
在網繭部署精靈的 [網繭設定] 步驟中,您可以指定詳細資料,例如網繭名稱以及網路資訊。在此步驟
中,您也可以選擇性地讓部署程序建立 Workspace ONE Access 租用戶。
5 指定 Horizon Cloud Pod 的閘道組態
在精靈的這個步驟中,指定在已設定閘道的情況下部署網繭所需的資訊。Unified Access Gateway 為部署到 Microsoft Azure 的網繭提供閘道環境。部署新網繭時,您可以選擇在相同網繭上有一個外部
或內部閘道組態或同時有這兩個類型。您也可以部署不含任何閘道組態的網繭,並決定在部署網繭後
再新增組態。依預設,當此精靈步驟顯示時,會選取外部閘道組態。
6 驗證並繼續,然後啟動網繭部署程序
當您按一下驗證並繼續後,系統會確認您指定的值。如果每項驗證皆通過,精靈會顯示資訊摘要供您
檢閱。接著,您將啟動部署程序。
執行網繭部署精靈的先決條件
執行網繭部署精靈之前,請確認您的環境符合這些先決條件。您必須擁有下列項目,以便您可以在網繭部
署精靈中提供要求的值,並繼續執行精靈。
重要 在啟動網繭部署精靈並開始部署網繭之前,除了以下需求以外,您還必須注意下列要點:
n 若要成功完成網繭部署,您或您的 IT 團隊在 Microsoft Azure 環境中設定的任何 Microsoft Azure 原則
皆不可封鎖、拒絕或限制網繭元件的建立。此外,您必須確認 Microsoft Azure 原則的內建原則定義並
未封鎖、拒絕或限制網繭元件的建立。舉例來說,您和您的 IT 團隊必須確認您的任何 Microsoft Azure 原則都並未封鎖、拒絕或限制在 Azure 儲存體帳戶上建立元件的作業。如需 Azure 原則的相關資訊,
請參閱 Azure 原則說明文件。
n 使用網繭部署工具時,您的 Azure 儲存體帳戶必須允許部署工具使用 Azure StorageV1 帳戶類型。請
確定您的 Microsoft Azure 原則並未限制或拒絕建立需要 Azure StorageV1 帳戶類型的內容。
n 在網繭和閘道部署程式程序中,Horizon Cloud 會在您的 Microsoft Azure 訂閱中建立不含標記的資源
群組 (RG),包括為協調這些部署程序之暫時性 Jumpbox 所建立的初始資源群組。如果您嘗試將網繭
部署至 Microsoft Azure 訂閱中,且在部署時、網繭升級時或將閘道組態新增至網繭時有任何類型的資
源標記需求,則網繭部署將會失敗。您必須確認您的 Microsoft Azure 原則允許在目標訂閱中建立網繭
未標記的資源群組。如需部署工具所建立的 RG 清單,請參閱《管理指南》的為 Microsoft Azure 中部
署之網繭建立的資源群組主題。
n 在您部署這些網繭時,所有雲端連線網繭必須對相同的 Active Directory 網域集合具有直視性。
所有部署的先決條件
n 確認所有準備工作皆已完成,如準備將 Horizon Cloud Pod 部署至 Microsoft Azure 中中所述。
n 確認您具有訂閱資訊,如 Horizon Cloud 網繭部署精靈的訂閱相關資訊中所述。
Horizon Cloud 部署指南
VMware, Inc. 134
n 確認您在 Microsoft Azure 訂閱中以及網繭的部署所在區域中,都有現有的虛擬網路,如在 Microsoft Azure 中設定所需的虛擬網路中所述。
重要 並非所有 Microsoft Azure 區域皆支援已啟用 GPU 的虛擬機器。如果您想要將網繭用於配備
GPU 的桌面或遠端應用程式,請確保您為網繭選取的 Microsoft Azure 區域可提供您想要使用的那些
NV 系列虛擬機器類型,且在此 Horizon Cloud 版本中支援。如需詳細資料,請參閱 https://azure.microsoft.com/zh-tw/regions/services/ 上的 Microsoft 說明文件。
n 確認您的 VNet 已設定為指向可解析外部位址的 DNS。網繭部署工具必須能夠在 Horizon Cloud 控制
平台中連線到外部位址,以安全地將網繭軟體下載到 Microsoft Azure 環境中。
n 確認已符合網繭部署工具的 DNS、連接埠和通訊協定需求,如 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求和 使用 2019 年 9 月版本資訊清單或更新版本的 Horizon Cloud Pod 的連接埠和通訊協定
需求中所述。
n 如果您需要將 Proxy 用於連出網際網路存取,請確認您擁有 Proxy 組態的網路資訊和其所需的驗證認
證 (若有的話)。網繭部署程序需要輸出網際網路存取。
n 確認您至少具有一個要讓網繭用於時間同步化之 NTP 伺服器的資訊。NTP 伺服器可以是公用的 NTP 伺服器,或是您為此用途設定的個人 NTP 伺服器。您指定的 NTP 伺服器必須可從已設定的虛擬網路
存取。如果您想要透過網域名稱 (而非數值 IP 位址) 來使用 NTP 伺服器,則也必須確定針對虛擬網路
設定的 DNS 可解析 NTP 伺服器的名稱。
n 如果您不想讓部署工具自動建立所需的子網路,請確認所需的子網路已預先建立,且存在於 VNet 上。
如需預先建立所需子網路的步驟,請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立
Horizon Cloud Pod 所需的子網路和在 Microsoft Azure 中使用 Horizon Cloud Pod 的現有子網路時。
注意 您在 VNet 上事先為網繭部署手動建立的子網路必須保持空白。請勿在這些子網路上放置任何資
源,或以其他方式使用任何一個 IP 位址。如果子網路上已在使用某個 IP 位址,則網繭可能無法部
署。
n 如果您要讓部署工具建立所需的子網路,請確認您知道要在精靈中為管理子網路、桌面子網路和 DMZ 子網路輸入的位址範圍。當您需要外部 Unified Access Gateway 組態時,則需要 DMZ 子網路。此
外,請確認那些範圍並未重疊。您可以使用 CIDR 標記法 (無類別網域間路由選擇標記法) 輸入位址範
圍。如果輸入的子網路範圍彼此重疊,精靈將會顯示錯誤。管理子網路範圍必須使用至少 /27 的
CIDR。DMZ 子網路範圍必須使用至少 /28 的 CIDR。如果您想要讓管理子網路和 DMZ 子網路範圍維
持共置狀態,您可以使用指定的 IP,指定與管理子網路類似的 DMZ 子網路範圍。例如,如果管理子網
路為 192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。
重要 您在精靈的欄位中輸入的 CIDR 必須經過定義,使每個前置詞與位元遮罩的組合皆會讓 IP 位址
範圍以該首碼作為起始 IP 位址。Microsoft Azure 需要以 CIDR 首碼作為範圍的開始。例如,
192.168.182.48/28 的正確 CIDR 將會產生 192.168.182.48 到 192.168.182.63 的 IP 範圍,且首碼會
與起始 IP 位址 (192.168.182.48) 相同。但是,192.168.182.60/28 的不正確 CIDR 則會產生
192.168.182.48 到 192.168.182.63 的 IP 範圍,且其起始 IP 位址會與首碼 192.168.182.60 不同。請
確定您的 CIDR 會產生起始 IP 位址與 CIDR 首碼相符的 IP 位址範圍。
Horizon Cloud 部署指南
VMware, Inc. 135
n 如果您要讓部署工具建立所需的子網路,請確認具有那些位址範圍的子網路尚未存在於 VNet 上。在此
案例中,部署工具本身將會使用您在精靈中提供的位址範圍自動建立子網路。如果精靈到偵測已有使用
那些範圍的子網路存在,精靈將會顯示關於位址重疊的錯誤,且不會再繼續執行。此外,如果您的
VNet 為對等,請確認您計劃在精靈中輸入的 CIDR 位址空間已包含在 VNet 的位址空間中。
在網繭部署期間建立 Workspace ONE Access 雲端租用戶時的先決條件
網繭部署精靈提供選項可隨著網繭部署在 Workspace ONE Access 雲端服務中建立 Workspace ONE Access 租用戶。選取該選項時,網繭部署程序會在 Workspace ONE Access 雲端服務中建立並設定租用
戶。在某些租用戶建立後的組態步驟之後,您可以使用該 Workspace ONE Access 租用戶搭配您在
Microsoft Azure 中使用相同 Horizon Cloud 帳戶部署的網繭。
如果您計劃在精靈中使用此選項,請確認您知道:
n 您想在其中建立 Workspace ONE Access 租用戶之 Workspace ONE Access 資料中心區域的名稱。在
網繭部署精靈中,您將會從下拉式功能表選取此資料中心區域。
n 您要用於 Workspace ONE Access 租用戶的名稱。
n 您要用於租用戶管理員帳戶的使用者名稱。
n 電子郵件地址。您在精靈中輸入的電子郵件地址將與租用戶的管理員帳戶相關聯。當系統建立
Workspace ONE Access 租用戶時,歡迎電子郵件會傳送至該電子郵件地址。
佳做法是使用與您 VMware Horizon Cloud Service on Microsoft Azure 客戶帳戶記錄相關聯,且為
My VMware 帳戶中所反映的相同電子郵件。此 佳做法可為歡迎電子郵件提供關於新租用戶會前往傳
送自 Horizon Cloud 之電子郵件所在的相同電子郵件地址。亦即,當您登入管理主控台來部署您的第一
個網繭時,您會使用 [email protected] 形式的 My VMware 名稱登入,如啟動網繭部署精靈中所述。
使用該相同名稱作為 Workspace ONE Access 租用戶的電子郵件地址可讓初始體驗更輕鬆。
使用 Unified Access Gateway 組態部署時的先決條件
如果您計劃讓網繭使用 Unified Access Gateway 組態,則必須提供:
n 使用者將用來存取服務的完整網域名稱 (FQDN)。如果您要同時為網繭部署外部和內部 Unified Access Gateway 組態類型,且想要對兩者使用相同的 FQDN,則必須決定如何將傳入的使用者用戶端流量路
由至適當的負載平衡器。在此案例中,您需要設定路由,以便將來自網際網路的用戶端流量路由至
Microsoft 公用負載平衡器,以及將來自內部網路的用戶端流量路由至 Microsoft 內部負載平衡器。
重要 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個
體的連線將會失敗。
n 以該 FQDN 為基礎且已簽署的 SSL 伺服器憑證 (PEM 格式)。Unified Access Gateway 功能需要 SSL 才能進行用戶端連線,如 Unified Access Gateway 產品說明文件中所述。憑證必須由受信任的憑證授
權單位 (CA) 所簽署。單一 PEM 檔案必須包含完整憑證鏈結與私密金鑰。例如,單一 PEM 檔案必須
包含 SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。OpenSSL 是您可以用來建
立 PEM 檔案的工具。
重要 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。Unified Access Gateway 虛擬機器需要鏈結
中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在
將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
Horizon Cloud 部署指南
VMware, Inc. 136
n 如果您使用外部 Unified Access Gateway 組態來部署,則必須指定 DMZ (非軍事區) 子網路。您可以
採用以下兩種方式之一來提供此 DMZ 子網路:
n 在 VNet 上預先建立 DMZ 子網路。使用此方法時,您也必須預先建立管理和桌面租用戶子網路。
請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路
中的步驟。
n 讓部署工具在部署期間自動建立 DMZ 子網路。使用此方法,您必須擁有要在精靈中輸入為 DMZ 子網路的位址範圍,並確認範圍不會與管理和桌面租用戶子網路的範圍重疊。您可以使用 CIDR 標記法 (無類別網域間路由選擇標記法) 輸入位址範圍。如果輸入的子網路範圍彼此重疊,精靈將會
顯示錯誤。DMZ 子網路範圍必須使用至少 /28 的 CIDR。如果您想要讓管理子網路和 DMZ 子網路
範圍維持共置狀態,您可以使用指定的 IP,指定與管理子網路相同的 DMZ 子網路範圍。例如,如
果管理子網路為 192.168.8.0/27,則相符的 DMZ 子網路將是 192.168.8.32/27。另請參閱所有部署
的先決條件中關於確保 IP 位址範圍為前置詞和位元遮罩組合 (使範圍具有與起始 IP 位址相同的前
置詞) 的重要注意事項。
n 如果您要使用外部 Unified Access Gateway 組態進行部署,並且想要停用讓組態的負載平衡器使用公
用 IP 位址的功能,您必須指定已在 DNS 設定中對應的 IP 位址;此 IP 位址對應於您的使用者在其
Horizon 用戶端中進行 PCoIP 連線時所將使用的 FQDN。
如需關於 Unified Access Gateway 所需的 PEM 檔案考量事項的詳細資訊,請參閱將憑證檔案轉換為網繭
部署所需的 PEM 格式。
使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決條件
除了前述在使用 Unified Access Gateway 組態進行部署時的先決條件以外,在將外部閘道部署至其本身
VNet 或訂閱的使用案例中,還必須符合下列特定先決條件。使用本身的訂閱是使用本身 VNet 的特殊案
例,因為 VNet 的範圍限制為訂閱,因此個別的訂閱必須有其本身的 VNet。
n 閘道的 VNet 必須與網繭的 VNet 對等。
n 確認所需的子網路已預先建立並存在於 VNet 上,或您預計要在精靈中輸入的 CIDR 位址空間已包含在
VNet 的位址空間中。由於 VNet 為對等,如果您在精靈中輸入的 CIDR 位址空間尚未包含在 VNet 的位址空間中,部署工具將無法自動擴充 VNet。如果發生這種情況,部署程序將會失敗。
提示 佳做法是預先建立子網路。如需預先建立所需子網路的步驟,請參閱在部署網繭之前,使用
Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網路和在 Microsoft Azure 中使用
Horizon Cloud Pod 的現有子網路時。
n 若要讓外部閘道使用個別的訂閱,請確認您具有訂閱資訊,如 Horizon Cloud 網繭部署精靈的訂閱相關
資訊中所述。
n 如果您要對外部閘道使用個別的訂閱,且預計要將閘道部署至您建立的具名資源群組中,而非讓部署工
具自動建立資源群組,請確認您已在該訂閱中建立該資源群組。您將在精靈中依名稱選取資源群組。此
外,請確認您已為部署工具授與對該資源群組的必要存取權以便在其中運作,如 Horizon Cloud 在您的
Microsoft Azure 訂閱中所需的作業中所述。
Horizon Cloud 部署指南
VMware, Inc. 137
使用雙因素驗證組態部署時的先決條件
如果您想要使用雙因素驗證功能,或將其與內部部署的雙因素驗證伺服器搭配使用,請確認您的驗證伺服
器組態中使用了下列資訊,而讓您可在網繭部署精靈的適當欄位中加以提供。如果您同時有主要和次要伺
服器,請取得兩者的資訊。
n 驗證伺服器的 IP 位址或 DNS 名稱
n 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
n 驗證連接埠號碼,通常為 1812 UDP 連接埠。
n 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊
協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
備註 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定
的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個
體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比
MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與
更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
啟動網繭部署精靈
當您將第一個網繭部署至 Microsoft Azure 時,您需要使用 Horizon Cloud 管理主控台上 [開始使用] 頁面的
新增雲端容量功能來啟動網繭部署精靈。
備註 Horizon Cloud 管理主控台中的登入驗證需依賴 My VMware 帳戶認證。如果 My VMware 帳戶系統
發生系統中斷而無法接受驗證要求,則在該期間內,您將無法登入管理主控台。如果您在登入管理主控台
的第一個登入畫面時發生問題,請查看 https://status.horizon.vmware.com 上的 Horizon Cloud [系統狀態] 頁面,以確認 新的系統狀態。在該頁面上,您也可以訂閱以接收更新。
必要條件
確認您已符合執行網繭部署精靈的先決條件中說明的先決條件。
程序
1 使用您 My VMware 帳戶的認證登入 Horizon Cloud 管理主控台,網址為 https://cloud.horizon.vmware.com。
帳戶認證是主要電子郵件地址 (例如 [email protected]) 以及帳戶的設定檔中所設定的密碼。
Horizon Cloud 部署指南
VMware, Inc. 138
如果您先前未接受使用這些 My VMware 認證的 Horizon Cloud 服務條款,則在您按一下登入按鈕後,
系統將顯示服務條款通知方塊。請接受服務條款以繼續作業。
登入之後,Horizon Cloud 管理主控台會隨即開啟。如果您沒有現有網繭,則會依預設顯示將 [容量] 區段展開的 [開始使用] 精靈以及 [新增雲端容量] 列。
2 在 [新增雲端容量] 列中,按一下新增。
系統會顯示選取視窗,您可以在其中選取要部署此網繭的雲端。
Horizon Cloud 部署指南
VMware, Inc. 139
3 按一下 Microsoft Azure 雲端的選取。
[新增雲端容量] 精靈隨即開啟,並顯示其第一個步驟。
4 依照為新網繭指定 Microsoft Azure 訂閱資訊中的步驟,指定要用於此網繭的訂閱。
為新網繭指定 Microsoft Azure 訂閱資訊
在網繭部署精靈的這個步驟中,您可以提供要用於此網繭的 Microsoft Azure 訂閱資訊。
必要條件
n 確認您已符合將 Horizon Cloud Pod 部署至 Microsoft Azure 中說明的先決條件。
n 針對此精靈步驟,確認您具有訂閱相關資訊,如 Horizon Cloud 網繭部署精靈的訂閱相關資訊中所述。
n 完成啟動網繭部署精靈中的步驟。
Horizon Cloud 部署指南
VMware, Inc. 140
程序
1 在精靈的第一個步驟中,選取先前已輸入的訂閱名稱或輸入新的訂閱資訊,以指定要用於此網繭的訂
閱。
如果您選取現有的訂閱,則會在此步驟中填入先前在系統中為該訂閱輸入的資訊。
備註 當您從初始的 [開始使用] 頁面中部署網繭時,可能會納悶為何會有先前輸入的訂閱資訊。先前輸
入的訂閱資訊可能會出現在下列範例所說明的情況中:
n 您啟動精靈並在第一個精靈步驟中輸入了訂閱資訊,然後按一下新增以將訂閱資訊提交至系統,並
繼續執行精靈。接著在後續步驟中,您在完成所有步驟之前取消了精靈。在此情況下,系統已在您
按一下新增之後,儲存了您在第一個精靈步驟中輸入的訂閱資訊。即便您在後續步驟中取消精靈,
系統仍會保留先前輸入的訂閱資訊。
n 您先前曾使用此 Horizon Cloud 客戶帳戶記錄,部署該帳戶記錄第一個和後續的網繭,然後在某個
時間點刪除了那些網繭。當您使用與 Horizon Cloud 客戶帳戶記錄相關聯的認證重新登入時,先前
輸入的訂閱資訊仍與該客戶記錄相關聯,且先前的訂閱名稱會顯示在下拉式清單中。
Horizon Cloud 部署指南
VMware, Inc. 141
選項 說明
套用訂閱 選取先前輸入的訂閱名稱,或選取新增以輸入新的訂閱資訊。
訂閱名稱 提供新的訂閱資訊時請輸入易記名稱,以便區分此訂閱與先前輸入的其他訂閱。
名稱開頭必須是字母,且只能包含字母、虛線和數字。
環境 選取與您的訂閱相關聯的雲端環境,例如:
n Azure (適用於標準全域 Microsoft Azure 雲端)
n Azure - China (適用於 Microsoft Azure China 雲端)
n Azure - Germany (適用於 Microsoft Azure Germany 雲端)
n Azure - US Government (適用於 Microsoft Azure US Government 雲端)
訂閱識別碼 輸入您的雲端容量訂閱識別碼 (採 UUID 格式)。此訂閱識別碼在您選取的環境中必須是有效的。使用 Microsoft Azure 時,您可以從 Microsoft Azure 入口網站的 [訂閱] 區域取得此 UUID。
目錄識別碼 輸入您的 Microsoft Azure AD 目錄識別碼 (採 UUID 格式)。使用 Microsoft Azure 時,可以從您在 Microsoft Azure 入口網站中的 Microsoft Azure Active Directory 內容取得此 UUID。
應用程式識
別碼
輸入與您在 Microsoft Azure 入口網站中建立的服務主體相關聯的應用程式識別碼 (採 UUID 格式)。在您的
Microsoft Azure Active Directory 中建立應用程式登錄及其相關聯的服務主體是先決條件。
應用程式金
鑰
輸入您在 Microsoft Azure 入口網站中建立的服務主體驗證金鑰的金鑰值。建立此金鑰是先決條件。
對外部閘道
使用不同的
訂閱
如果您想要將外部 Unified Access Gateway 組態部署至其本身的訂閱 (與網繭的訂閱不同) 中,請啟用此切換。對
外部閘道使用個別的訂閱,可讓您的組織根據其專業技能領域,彈性地指派個別的團隊來控制這些訂閱。如此,
存取控制將更加精細,可指定組織中的哪些人員可存取網繭在其訂閱資源群組中的資產,以及哪些人員可存取閘
道的資產。
此切換開啟時,會顯示輸入閘道訂閱資訊的欄位。在這些欄位中指定資訊的方式,與指定網繭訂閱資訊相同。
重要 在此畫面中,您無法刪除先前輸入、且與特定訂閱名稱相關聯的訂閱值。雖然這並不常見,但您
可以設想以下情況:
a 在 Microsoft Azure 中設定訂閱相關項目。
b 啟動 [新增雲端容量] 精靈,在第一個步驟中輸入這些訂閱值,然後繼續執行下一個精靈步驟。
c 不過,在讀取下一個精靈步驟中要求的網路值時,您取消了此精靈並開啟新的瀏覽器索引標籤而進
入 Microsoft Azure 入口網站,然後調整您的網路組態以符合先決條件。
d 在 Microsoft Azure 入口網站中,接著您也決定要建立新的應用程式登錄,以使用具有不同名稱的
服務提供者。
e 您返回已開啟 [開始使用] 頁面的瀏覽器,並重新啟動 [新增雲端容量] 精靈。
此時,您先前輸入的訂閱名稱仍位於套用訂閱下拉式清單中。不過,如果您選取該名稱,所有欄位都會
預先填入先前的值 (包括舊的應用程式識別碼),且您無法變更畫面中的值,也無法編輯或刪除該訂閱名
稱而從頭加以設定。如果發生此情況,請取消精靈並重新啟動精靈,接著在第一個步驟中,藉由選取新
增來建立全新的訂閱名稱,然後輸入您要使用的目前值並繼續執行精靈。
下列螢幕擷取畫面是此步驟完成時的範例。
Horizon Cloud 部署指南
VMware, Inc. 142
2 繼續進行下一個精靈步驟。
當您按一下要繼續進行下一步的按鈕時,系統會驗證所有指定值的有效性,以及指定值之間是否具有適
當的關聯性,例如:
n 指定的訂閱識別碼在選取的環境中是否有效。
n 指定的目錄識別碼、應用程式識別碼和應用程式金鑰在該訂閱中是否有效。
n 是否為指定應用程式識別碼的應用程式服務主體指派角色,以允許部署程序針對您進行中的部署類
型執行所需的所有作業。如需服務主體及其角色需求的說明,請參閱藉由建立應用程式登錄來建立
必要的服務主體主題和 Horizon Cloud 在您的 Microsoft Azure 訂閱中所需的作業。
如果您看見關於修正值的錯誤訊息,表示其中至少有一個值無效,原因可能是該值不存在於您的訂閱
中,或它與其他值之間不具備有效的關聯性。以下列出可能導致該錯誤訊息的部分情況 (不一定是所有
情況):
n 如果您指定了存在於訂閱中的目錄識別碼,但您指定的應用程式識別碼值位於不同的目錄中。
n 如果已指定服務主體的指派角色不允許網繭部署工具所需的作業。
重要 顯示該錯誤訊息時,可能表示有多個項目無效。如果您看見該錯誤訊息,請驗證您所收集到的訂
閱相關資訊和服務主體的組態。
3 依照指定網繭組態資訊中的步驟,指定網繭詳細資料和網路資訊。
指定網繭組態資訊
在網繭部署精靈的 [網繭設定] 步驟中,您可以指定詳細資料,例如網繭名稱以及網路資訊。在此步驟中,
您也可以選擇性地讓部署程序建立 Workspace ONE Access 租用戶。
注意 下列步驟中所提及的 IP 位址皆為範例。請使用符合組織需要的位址範圍。請在提及 IP 位址範圍的
每個步驟中,將這些位址範圍替換為組織適用的位址範圍。
Horizon Cloud 部署指南
VMware, Inc. 143
必要條件
確認您已符合執行網繭部署精靈的先決條件中說明的先決條件。
如果您要讓部署程序自動建立所需的子網路,請確認您計劃在精靈欄位中為那些子網路指定的 CIDR 位址
範圍尚未準備好提供 Microsoft Azure 中 VNet 上的現有子網路使用。
如果您已預先建立子網路以用於此網繭,請確認這些子網路沒有已附加的任何資源,並確認您建立用於管
理子網路的子網路已將 Microsoft.SQL 服務設定為該子網路的服務端點。網繭部署精靈會驗證
Microsoft.SQL 服務已設定為管理子網路上的服務端點。
注意 您在 VNet 上為網繭部署建立的這些子網路必須是空白。您可以在部署網繭之前建立子網路,但請勿
在這些子網路上放置任何資源,或使用任何一個 IP 位址。如果子網路上已在使用某個 IP 位址,則網繭可
能無法部署。
程序
1 在精靈的這個步驟中,請提供關於網繭的詳細資料和必要的網路資訊。
下列螢幕擷取畫面是此步驟一開始顯示時的範例。
Horizon Cloud 部署指南
VMware, Inc. 144
選項 說明
網繭名稱 為此網繭輸入易記名稱。此名稱可在管理主控台中用來區分這個網繭與您其他的網繭。
位置 選取現有城市名稱,或按一下新增以指定新城市。
系統會根據城市名稱來群組您的網繭,並在管理主控台 [儀表板] 頁面的 Horizon 全域磁碟使用量地圖上描繪
它們。
按一下新增時即可開始輸入城市名稱。系統會自動顯示來自其後端地理查閱表格、符合您輸入的字元的世界
城市名稱,而您可以從該清單中選擇城市。
備註 您必須從系統的自動完成清單中選取城市。
Horizon Cloud 部署指南
VMware, Inc. 145
選項 說明
Microsoft Azure 區域
選取您要網繭部署到的實際地理 Microsoft Azure 區域。可用的區域是由先前選取的 Microsoft Azure 環境所
決定。
建議您根據預計要使用此網繭之使用者的所在位置來選擇鄰近的區域。位置愈鄰近延遲就愈低。
重要 並非所有 Microsoft Azure 區域皆支援已啟用 GPU 的虛擬機器。如果您想要將網繭用於配備 GPU 的桌
面或遠端應用程式,請確保您為網繭選取的 Microsoft Azure 區域可提供您想要使用的那些 NV 系列虛擬機器
類型,且在此 Horizon Cloud 版本中支援。如需詳細資料,請參閱 https://azure.microsoft.com/zh-tw/regions/services/ 上的 Microsoft 說明文件。
說明 選用:輸入此網繭的說明。
高可用性 啟用此切換可部署設定了高可用性的網繭。如需高可用性和網繭的詳細資料,請參閱《管理指南》。
如果停用此切換,即會部署網繭但無高可用性。
虛擬網路 從清單中選取虛擬網路。
在 Microsoft Azure 區域欄位中選取的區域所包含的虛擬網路 (VNet),才會顯示於此處。您必須已在
Microsoft Azure 訂閱中建立您要在該區域中使用的 VNet。
使用現有的子網
路
如果您已預先建立子網路以符合網繭的子網路需求,請啟用此切換。將此切換設為否時,精靈用來指定子網
路的欄位會變更為下拉式選取項目功能表。
重要 精靈不支援使用現有的子網路作為其中一個所需的子網路,且會輸入其他所需子網路的 CIDR 位址。將
此切換設為否時,您必須從現有子網路選取,以作為所有網繭的所需子網路。
管理子網路
管理子網路
(CIDR)
將使用現有的子網路啟用時,管理子網路會列出 VNet 上為虛擬網路選取的可用子網路。選取您要用於網繭的
管理子網路的現有子網路。
重要 n 選取已將 Microsoft.SQL 服務設定為該子網路之服務端點的子網路。此服務端點支援透過管理子網路在
網繭管理員虛擬機器和網繭的 Azure Postgres 資料庫之間進行所需的通訊。
選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業
期間可能會發生非預期的結果。
使用現有的子網路停用時,請在管理子網路 (CIDR) 中輸入部署工具用來建立、供網繭和 Unified Access Gateway 執行個體連線之子網路的子網路位址範圍 (採 CIDR 標記法),例如 192.168.8.0/27。管理子網路必
須使用至少 /27 的 CIDR。
注意 如果您沒有選取精靈選項以使用現有子網路,則 Microsoft Azure 環境中不得存在子網路。如果已存
在,當您嘗試繼續進行下一個精靈步驟時,將會收到錯誤。
桌面子網路
桌面子網路
(CIDR)
將使用現有的子網路啟用時,桌面子網路會列出 VNet 上為虛擬網路選取的可用子網路。選取您想要用於網繭
之桌面租用戶子網路的現有子網路。
重要 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作
業期間可能會發生非預期的結果。
將使用現有的子網路停用時,請在桌面子網路 (CIDR) 中輸入子網路位址範圍 (採 CIDR 標記法),讓部署工具
建立此網繭所有用於使用者遠端桌面和應用程式之 VDI 桌面與伺服器陣列 RDSH 虛擬機器所將連線的子網
路,例如 192.168.12.0/22。針對桌面子網路,需要至少使用 /27 的 CIDR,且建議使用 /22 的 CIDR。
重要 確保您輸入的範圍大小足以容納您預期將要讓此網繭提供的桌面數目。部署網繭之後,無法擴充此桌面
子網路。
注意 如果您沒有選取精靈選項以使用現有子網路,則 Microsoft Azure 環境中不得存在子網路。如果已存
在,當您嘗試繼續進行下一個精靈步驟時,將會收到錯誤。
Horizon Cloud 部署指南
VMware, Inc. 146
選項 說明
NTP 伺服器 輸入要用於時間同步化的 NTP 伺服器清單,並以逗號分隔。
您輸入的 NTP 伺服器可以是公用的 NTP 伺服器,或是您設定用來提供時間同步化的個人 NTP 伺服器。您在
此處指定的 NTP 伺服器,必須可從您在虛擬網路欄位中所選取供網繭使用的虛擬網路存取。在此欄位中,您
可以用數值 IP 位址或網域名稱來指定每個 NTP 伺服器。如果您在此欄位中提供網域名稱 (而非數值 IP 位址),則必須確定針對虛擬網路設定的 DNS 可解析指定的名稱。
公用 NTP 伺服器網域名稱的範例包括 time.windows.com、us.pool.ntp.org、time.google.com。
使用 Proxy 如果您需要 Proxy 用於輸出網際網路連線,請將此切換啟用,並完成相關聯的顯示欄位。
網繭部署工具需要對外存取網際網路,以便將軟體安全地下載至 Microsoft Azure 雲端環境,並連線回
Horizon Cloud 雲端控制平面。若要讓網繭可使用您的 Proxy 組態,在啟用切換之後,您必須提供下列資訊。
n Proxy (必填):輸入 Proxy 伺服器的主機名稱或 IP 位址。
n 連接埠 (必填):輸入 Proxy 伺服器組態中指定的連接埠號碼。
如果您的 Proxy 伺服器組態需要使用者名稱和密碼以便用於驗證,請一併提供那些驗證資訊。
下列螢幕擷取畫面是讓部署程序自動建立子網路並啟用高可用性時,完成此步驟的範例。在此範例中,
不需要 Proxy 即可符合輸出網際網路連線需求。
Horizon Cloud 部署指南
VMware, Inc. 147
2 在 Workspace ONE Access 區段中,如果您想讓網繭部署程序建立 Workspace ONE Access 雲端租
用戶,請啟用 Workspace ONE Access 租用戶切換,並完成相關聯的顯示欄位。
重要 系統可以在此建立網繭的工作流程中建立 Workspace ONE Access 租用戶。在此版本中,您無
法之後編輯現有網繭以讓系統為您建立 Workspace ONE Access 租用戶。如果您建立網繭時將此區段
的切換啟用,且之後想要在此客戶帳戶中使用 Workspace ONE Access 租用戶搭配 Horizon Cloud Pod,則必須透過訂閱 Workspace ONE Access 雲端主控環境來取得您的租用戶。
選項 說明
資料中心區域 選取新租用戶的 Workspace ONE Access 區域。
租用戶名稱 輸入租用戶的名稱。
Horizon Cloud 部署指南
VMware, Inc. 148
選項 說明
使用者名稱 輸入要用於 Workspace ONE Access 租用戶的管理員帳戶名稱。
電子郵件 在使用者名稱中輸入要用於管理員帳戶的電子郵件地址。當系統建立 Workspace ONE Access 租用戶時,歡迎
電子郵件會傳送至該電子郵件地址。
佳做法是使用與其中一個 My VMware 帳戶電子郵件地址相同的電子郵件,這些電子郵件地址在 [開始使用] 畫面的 [My VMware 帳戶] 區域中列為客戶管理員,您的 Horizon Cloud 客戶帳戶記錄為此 Horizon Cloud 租用戶
環境的擁有者。此 佳做法可為歡迎電子郵件提供關於新租用戶會前往傳送自 Horizon Cloud 之電子郵件所在的
相同電子郵件地址。亦即,當您登入管理主控台來部署您的第一個網繭時,您會使用 [email protected] 形式的
My VMware 名稱登入,如啟動網繭部署精靈中所述。使用該相同名稱作為 Workspace ONE Access 租用戶的
電子郵件地址可讓初始體驗更輕鬆。
下列螢幕擷取畫面顯示已填寫欄位的區段。
備註 部署網繭後,需要進一步的步驟,才能將新 Workspace ONE Access 租用戶與您的網繭整合。
如需這些後續的步驟,請參閱 《Horizon Cloud 管理指南》 和其〈整合 Horizon Cloud Pod 與
Workspace ONE Access 環境〉主題和副主題。網繭部署工具不會部署整合網繭與 Workspace ONE Access 服務所需的 Workspace ONE Access 連接器應用裝置。
3 按下一步繼續進行下一個步驟。
4 遵循指定 Horizon Cloud Pod 的閘道組態中的步驟來指定詳細資料,以便讓網繭具有 Unified Access Gateway 組態。為了讓使用者可透過網際網路存取其桌面和遠端應用程式,您需要外部 Unified Access Gateway 組態。
指定 Horizon Cloud Pod 的閘道組態
在精靈的這個步驟中,指定在已設定閘道的情況下部署網繭所需的資訊。Unified Access Gateway 為部署
到 Microsoft Azure 的網繭提供閘道環境。部署新網繭時,您可以選擇在相同網繭上有一個外部或內部閘道
組態或同時有這兩個類型。您也可以部署不含任何閘道組態的網繭,並決定在部署網繭後再新增組態。依
預設,當此精靈步驟顯示時,會選取外部閘道組態。
外部閘道組態 外部 Unified Access Gateway 組態可讓您為位在公司網路外部的使用者提供
桌面和應用程式存取。當網繭具有此外部閘道組態時,網繭會包含一個
Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存
取。在此情況下,每個執行個體會具有三個 NIC:管理子網路上一個 NIC、
桌面子網路上一個 NIC 以及 DMZ 子網路上一個 NIC。在部署精靈中,您可
Horizon Cloud 部署指南
VMware, Inc. 149
以選擇將負載平衡類型指定為私人或公用,取決於您對負載平衡器需要私人
IP 或公用 IP 位址。如果停用公用 IP 切換,則必須指定您已在 DNS 伺服器
中對應至 FQDN 的 IP 位址,因為使用者的 Horizon 用戶端將使用該 FQDN 對閘道進行 PCoIP 連線。
使用外部閘道組態時,您也可以選擇將組態部署至與網繭 VNet 不同的
VNet。VNet 必須為對等。此類型的組態可讓您將網繭部署至 Microsoft Azure 中較複雜的網路拓撲,例如中樞輪輻網路拓撲。
備註 如果您在第一個精靈步驟中啟用了讓外部閘道使用其本身訂閱的切
換,則必須將外部閘道部署在其本身的 VNet 中,即與該訂閱相關聯的
VNet。如果您已啟用該切換,則可以選擇性地在該訂閱中選取現有的資源群
組以作為外部閘道的資源。您必須事先準備好該資源群組,才能在此精靈步
驟中加以選取。
內部閘道組態 內部 Unified Access Gateway 組態可讓位於公司網路內部的使用者對其桌面
和應用程式擁有信任的 HTML Access (Blast) 連線。如果網繭未使用此內部
閘道組態來設定,則當公司網路內部的使用者使用瀏覽器來對桌面和應用程
式進行 HTML Access (Blast) 連線時,這些使用者會看到標準的瀏覽器未受
信任憑證錯誤。當網繭具有此內部閘道組態時,網繭會包含 Azure 負載平衡
器資源和 Unified Access Gateway 執行個體以提供此存取。在此情況下,每
個執行個體會具有兩個 NIC:管理子網路上一個 NIC 以及桌面子網路上一個
NIC。依預設,此閘道的負載平衡類型為私人。
下列螢幕擷取畫面是此步驟一開始顯示時的範例。部分控制項僅在您於第一個精靈步驟中選擇對外部
Unified Access Gateway 閘道組態使用不同的訂閱時才會顯示出來。
Horizon Cloud 部署指南
VMware, Inc. 150
Horizon Cloud 部署指南
VMware, Inc. 151
必要條件
確認您已符合執行網繭部署精靈的先決條件中說明的先決條件。
重要 若要完成此步驟,則必須擁有使用者將用來存取服務的必要完整網域名稱 (FQDN),以及以該 FQDN 為基礎的已簽署 SSL 憑證 (PEM 格式)。憑證必須由信任的 CA 簽署。單一 PEM 檔案必須包含整個憑證鏈
結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。如需詳細資料,請參閱將憑證檔案轉換為網
繭部署所需的 PEM 格式。
確認憑證鏈結中的所有憑證皆具有有效的時間範圍。如果鏈結中的任何憑證已到期。則在稍後的網繭上架
程序中可能會發生非預期的失敗。
此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個體的連線
將會失敗。
程序
1 如果您想要外部閘道組態,請完成外部 UAG 區段中的欄位。
選項 說明
啟用外部
UAG?
控制網繭是否具有外部閘道組態。外部組態可讓您為位在公司網路外部的使用者提供桌面和應用程式的存取。網繭
包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此存取。
備註 建議保留預設的已啟用設定。
當此切換設為關閉時,用戶端必須透過與網繭整合的 Workspace ONE Access 連線,或直接連線至網繭管理員的
負載平衡器,否則就會透過內部閘道組態進行連線。如果用戶端透過與網繭整合的 Workspace ONE Access 進行
連線或直接連線,則需要進行一些部署後的步驟。在此情況下,於網繭部署後,請參閱《Horizon Cloud 管理指
南》中上傳 SSL 憑證至網繭的相關資訊。
FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,
並具有可驗證該 FQDN 的憑證 (PEM 格式)。
重要 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個體的連線將
會失敗。
DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。將此外部
Unified Access Gateway 組態設定為使用雙因素驗證搭配您的內部部署 RADIUS 伺服器時,需要指定可對內部部
署 RADIUS 伺服器名稱進行解析之 DNS 伺服器的位址。
如所有部署的先決條件中所說明,您必須在訂閱中內部設定 DNS 伺服器,並設定為提供外部名稱解析。依預設,
Unified Access Gateway 執行個體會使用該 DNS 伺服器。如果您在此欄位中指定位址,則除了您在訂閱的虛擬網
路中所設定先決條件 DNS 伺服器之外,已部署的 Unified Access Gateway 執行個體也會使用這些位址。
路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自訂
路由。指定的路由會用來讓 Unified Access Gateway 解析如雙因素驗證所需之 RADIUS 伺服器的網路路由。
將此網繭設定為使用雙因素驗證搭配內部部署 RADIUS 伺服器時,您必須輸入 Unified Access Gateway 執行個體
可用來連線 RADIUS 伺服器的正確路由。例如,如果您的內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的
VPN 組態中取得預設路由閘道位址。
請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:
192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2。
憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必
須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
Horizon Cloud 部署指南
VMware, Inc. 152
指定適用於此閘道 Microsoft 負載平衡器的設定。
選項 說明
啟用公用 IP? 控制此閘道的負載平衡類型是否設定為私人或公用。如果切換為開啟,則已部署的 Microsoft Azure 負載平衡器
資源會設定為使用公用 IP 位址。如果切換為關閉,則 Microsoft Azure 負載平衡器資源會設定為使用私人 IP 位址。
重要 在此版本中,您無法之後將外部閘道的負載平衡類型從公用變更為私人,或從私人變更為公用。要進行此
變更的唯一方式是從已部署的網繭中完全刪除閘道組態,然後編輯網繭以使用相反的設定將其新增回來。
如果停用此切換,則會出現 Horizon FQDN 的公用 IP 欄位。
Horizon FQDN 的公用
IP
如果您選擇不使用公用 IP 設定已部署的 Microsoft Azure 負載平衡器,則必須提供您在 DNS 中對應至 FQDN 的 IP 位址,因為使用者的 Horizon 用戶端將使用該 FQDN 對閘道進行 PCoIP 連線。部署工具將會在 Unified Access Gateway 組態設定中設定此 IP 位址。
類型 選取部署工具將用於此外部閘道組態的 Microsoft Azure 負載平衡器所要使用的 SKU。選項包括標準或基本。
如需兩個 SKU 的比較,請參閱 Microsoft Azure 說明文件主題負載平衡器 SKU 比較。
指定外部閘道的網路設定。
選項 說明
使用不同的
虛擬網路
此切換可控制外部閘道是否將部署至其本身的 VNet 中 (與網繭的 VNet 不同)。
下列資料列將說明不同的案例。
備註 當您在精靈的第一個步驟中指定將不同的訂閱用於外部閘道時,依預設會啟用此切換。在此情況下,您必
須為閘道選擇 VNet。
使用不同的
虛擬網路 — 停用
在此切換停用時,外部閘道將部署至網繭的 VNet 中。在此情況下,您必須指定 DMZ 子網路。
n DMZ 子網路 - 若已在「網繭設定」精靈步驟中啟用使用現有的子網路,DMZ 子網路將會列出 VNet 上為虛擬
網路選取的可用子網路。選取您要用於網繭 DMZ 子網路的現有子網路。
重要 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作
業期間可能會發生非預期的結果。
n DMZ 子網路 (CIDR) - 若已在上一個精靈步驟中停用使用現有的子網路,請輸入將設定為會將 Unified Access Gateway 執行個體連線至閘道之 Microsoft Azure 公用負載平衡器的 DMZ (非軍事區) 網路的子網路 (採 CIDR 標記法)。
使用不同的
虛擬網路 — 啟用
在此切換啟用時,外部閘道將部署至其本身的 VNet 中。在此情況下,您必須選取要使用的 VNet,然後指定三個
所需的子網路。請啟用使用現有的子網路切換,以從您在指定 VNet 上預先建立的子網路中進行選取。否則,請
以 CIDR 標記法指定子網路。
重要 選取空白的子網路,即沒有附加任何其他資源的子網路。如果子網路不是空白的,則部署程序或網繭作業
期間可能會發生非預期的結果。
在此情況下,閘道的 VNet 和網繭的 VNet 為對等。 佳做法是預先建立子網路,而不在此處使用 CIDR 項目。請
參閱使用本身 VNet 或訂閱 (與網繭的 VNet 或訂閱不同) 以外部 Unified Access Gateway 組態進行部署時的先決
條件。
n 管理子網路 - 指定要用於閘道管理子網路的子網路。需要至少 /27 的 CIDR。此子網路必須已將
Microsoft.SQL 服務設定為服務端點。
n 後端子網路 - 指定要用於閘道後端子網路的子網路。需要至少 /27 的 CIDR。
n 前端子網路 - 針對將設定為會將 Unified Access Gateway 執行個體連線至閘道的 Microsoft Azure 公用負載平
衡器的前端子網路指定其子網路。
Horizon Cloud 部署指南
VMware, Inc. 153
2 (選擇性) 在外部 UAG 區段中,選擇性地設定外部 Unified Access Gateway 的雙因素驗證。
完成為網繭指定雙因素驗證功能中的步驟。
3 (選擇性) 在部署區段中,使用切換選擇性地選取現有的資源群組,讓部署工具將外部 Unified Access Gateway 組態的資源部署到其中。
當您在精靈的第一個步驟中指定要對外部閘道使用不同的訂閱時,就會顯示此切換。當您啟用切換時會
出現一個欄位,您可以在其中搜尋及選取資源群組。
4 在內部 UAG 區段中,如果您想要內部 Unified Access Gateway 組態,請將啟用內部 UAG? 開關切換
為開啟,並完成出現的欄位。
選項 說明
啟用內部
UAG?
控制網繭是否具有內部閘道組態。內部組態可為公司網路內部的使用者提供使用 HTML Access (Blast) 連線對桌面
和應用程式的信任存取。網繭包含一個 Azure 負載平衡器資源和一個 Unified Access Gateway 執行個體以提供此
存取。依預設,此閘道的負載平衡類型為私人。負載平衡器已設定為使用私人 IP 位址。
FQDN 輸入必要的完整網域名稱 (FQDN),例如 ourOrg.example.com,供使用者用來存取服務。您必須擁有該網域名稱,
並具有可驗證該 FQDN 的憑證 (PEM 格式)。
重要 此 FQDN 不可包含底線。在此版本中,當 FQDN 包含底線時,Unified Access Gateway 執行個體的連線將
會失敗。
DNS 位址 選擇性地輸入 Unified Access Gateway 可用於名稱解析之其他 DNS 伺服器的位址,並以逗號分隔。將此內部
Unified Access Gateway 組態設定為使用雙因素驗證搭配您的內部部署 RADIUS 伺服器時,需要指定可對內部部
署 RADIUS 伺服器名稱進行解析之 DNS 伺服器的位址。
如所有部署的先決條件中所說明,您必須在訂閱中設定 DNS 伺服器,並設定為提供名稱解析。依預設,Unified Access Gateway 執行個體會使用該 DNS 伺服器。如果您在此欄位中指定位址,則除了您在訂閱的虛擬網路中所
設定先決條件 DNS 伺服器之外,已部署的 Unified Access Gateway 執行個體也會使用這些位址。
路由 選擇性地指定您想要讓已部署 Unified Access Gateway 執行個體用來為使用者存取解析網路路由之其他閘道的自
訂路由。指定的路由會用來讓 Unified Access Gateway 解析如雙因素驗證所需之 RADIUS 伺服器的網路路由。
將此網繭設定為使用雙因素驗證搭配內部部署 RADIUS 伺服器時,您必須輸入 Unified Access Gateway 執行個體
可用來連線 RADIUS 伺服器的正確路由。例如,如果您的內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以輸入 10.10.60.0/24 和預設路由閘道位址作為自訂路由。您可以從 Express Route 或用於此環境的
VPN 組態中取得預設路由閘道位址。
請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:
192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2。
憑證 上傳 PEM 格式的憑證供 Unified Access Gateway 使用,讓用戶端信任對 Microsoft Azure 中執行的 Unified Access Gateway 執行個體建立的連線。憑證必須以您輸入的 FQDN 為基礎,且由信任的 CA 簽署。PEM 檔案必
須包含整個憑證鏈結和私密金鑰:SSL 憑證中繼憑證、根 CA 憑證、私密金鑰。
負載平衡
器類型
選取部署工具將用於此外部閘道組態的 Microsoft Azure 負載平衡器所要使用的 SKU。選項包括標準或基本。如需
兩個 SKU 的比較,請參閱 Microsoft Azure 說明文件主題負載平衡器 SKU 比較。
5 (選擇性) 在內部 UAG 區段中,選擇性地設定內部 Unified Access Gateway 的雙因素驗證。
完成為網繭指定雙因素驗證功能中的步驟。
結果
提供與您選取選項相關聯的必要資訊時,您可以按一下驗證並繼續以繼續進行精靈的 後步驟。請參閱驗
證並繼續,然後啟動網繭部署程序。
Horizon Cloud 部署指南
VMware, Inc. 154
為網繭指定雙因素驗證功能在網繭部署精靈步驟中指定其 Unified Access Gateway 組態時,您也可以指定使用雙因素驗證,讓使用者
透過那些閘道組態存取其桌面和應用程式。您可以在提供 Unified Access Gateway 組態詳細資料之後,指
定這些雙因素驗證詳細資料。
必要條件
確認您已符合執行網繭部署精靈的先決條件中說明的先決條件。
針對您要輸入雙因素驗證詳細資料的外部或內部 Unified Access Gateway 組態,確認您已完成精靈中
Unified Access Gateway 組態的欄位,如指定 Horizon Cloud Pod 的閘道組態中所述。設定對內部部署驗
證伺服器的雙因素驗證時,您也可以提供下列欄位中的資訊,使 Unified Access Gateway 執行個體能夠解
析該內部部署伺服器的路由。
選項 說明
DNS 位址 指定能夠對內部部署驗證伺服器名稱進行解析之 DNS 伺服器的一或多個位址。
路由 指定一或多個可讓網繭的 Unified Access Gateway 執行個體對您內部部署驗證伺服器之網路路由進行解析的自訂路由。
例如,如果您有內部部署 RADIUS 伺服器使用 10.10.60.20 作為其 IP 位址,則您可以使用 10.10.60.0/24 和預設路由閘
道位址作為自訂路由。您可以從 Express Route 或用於此環境的 VPN 組態中取得預設路由閘道位址。
請以 ipv4-network-address/bits ipv4-gateway-address 的形式指定逗號分隔的自訂路由清單,例如:192.168.1.0/24
192.168.0.1, 192.168.2.0/24 192.168.0.2。
請確認您驗證伺服器的組態中使用了下列資訊,以便在網繭部署精靈的適當欄位中提供。如果您同時有主
要和次要伺服器,請取得兩者的資訊。
n 驗證伺服器的 IP 位址或 DNS 名稱
n 在驗證伺服器的通訊協定訊息中用於加密和解密的共用密碼
n 驗證連接埠號碼,通常為 1812 UDP 連接埠。
n 驗證通訊協定類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊
協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
備註 檢查您的 RADIUS 廠商的說明文件,以取得 RADIUS 廠商建議的驗證通訊協定,並遵循其指定
的通訊協定類型。網繭支援使用 RADIUS 搭配雙因素驗證的功能是由 Unified Access Gateway 執行個
體提供,而 Unified Access Gateway 支援 PAP、CHAP、MSCHAP1 以及 MSCHAP2。PAP 通常比
MSCHAP2 更不安全。PAP 也是比 MSCHAP2 更簡單的通訊協定。因此,雖然多數 RADIUS 廠商與
更簡單的 PAP 通訊協定相容,某些 RADIUS 廠商則與更安全的 MSCHAP2 不相容。
程序
1 將啟用雙因素驗證開關切換為開啟。
將此切換啟用時,精靈會顯示其他組態欄位。請使用捲軸存取所有欄位。
下列螢幕擷取畫面為您在外部 UAG 區段中將此切換設為開啟之後顯示的畫面範例。
Horizon Cloud 部署指南
VMware, Inc. 155
2 在下拉式清單中選取您的雙因素驗證方法。
此版本支援 RADIUS 驗證。
3 在名稱欄位中,輸入此組態的識別名稱。
4 在 [內容] 區段中,指定使用者與登入畫面互動的相關詳細資料,以便後續用於存取驗證。
選項 說明
顯示名稱 您可以將此欄位保留空白。即使此欄位會在精靈中顯示,它僅會在 Unified Access Gateway 中設定內部名稱。
Horizon 用戶端不會使用此名稱。
顯示提示 選擇性地輸入文字字串,其在使用者用戶端登入畫面上提示使用者輸入 RADIUS 使用者名稱與密碼時,將在訊息中
向使用者顯示。指定的提示會向使用者顯示為 Enter your DisplayHint user name and passcode,其中的
DisplayHint 是您在此欄位中指定的文字。
此提示可協助引導使用者輸入正確的 RADIUS 密碼。例如,指定以下的範例公司使用者名稱和網域密碼之類的詞語
會造成的提示為 Enter your Example Company user name and domain password below for user name and passcode。
名稱 ID 尾碼
此設定用在 SAML 案例中,在其中,您的網繭設定為使用 TrueSSO 進行單一登入。選擇性地提供系統將附加至傳
送至代理的 SAML 判斷提示使用者名稱的字串。例如,如果在登入畫面上輸入使用者名稱 user1,並且已在此處指
定名稱 ID 字尾 @example.com,則系統會傳送 SAML 判斷提示使用者名稱 [email protected] 至代理。
反覆運算
的次數
輸入使用者嘗試使用此 RADIUS 系統登入時所允許的失敗驗證嘗試次數上限。
維護使用
者名稱
啟用此切換可在對 Horizon Cloud 進行驗證期間保有使用者的 RADIUS 使用者名稱。啟用時:
n 使用者對於 RADIUS 必須使用與其 Horizon Cloud 的 Active Directory 驗證相同的使用者名稱認證。
n 使用者無法變更登入畫面中的使用者名稱。
如果停用此切換,則使用者將可在登入畫面中輸入不同的使用者名稱。
備註 針對啟用維護使用者名稱與 Horizon Cloud 中網域安全性設定之間的關聯性,請參閱《Horizon Cloud 管理指
南》中的一般設定頁面上的網域安全性設定主題。
Horizon Cloud 部署指南
VMware, Inc. 156
5 在 [主要伺服器] 區段中,指定驗證伺服器的相關詳細資料。
選項 說明
主機名稱/IP 位址
輸入驗證伺服器的 DNS 名稱或 IP 位址。
共用密碼 輸入與驗證伺服器通訊的密碼。此值必須與伺服器設定的值相同。
驗證連接埠 指定在驗證伺服器上設定用來傳送或接收驗證流量的 UDP 連接埠。預設值為 1812。
帳戶處理連接
埠
選擇性地指定在驗證伺服器上設定用來傳送或接收帳戶處理流量的 UDP 連接埠。預設值為 1813。
機制 選取指定的驗證伺服器支援,且您想要讓已部署網繭使用的驗證通訊協定。
伺服器逾時 指定網繭應等待驗證伺服器回應的秒數。經過此秒數後,如果伺服器仍未回應,則系統會傳送重試。
重試次數上限 指定網繭應對驗證伺服器重試失敗要求的次數上限。
領域前置詞 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將放置在名稱開頭的字串。使用者帳戶位置稱為領域。
例如,如果在登入畫面上輸入使用者名稱 user1,而先前已在此處指定領域前置詞 DOMAIN-A\,則系統會將
DOMAIN-A\user1 傳送至驗證伺服器。如果未指定領域前置詞,則僅會傳送輸入的使用者名稱。
領域字尾 選擇性地提供系統在使用者名稱傳送至驗證伺服器時將附加至名稱結尾的字串。例如,如果在登入畫面上輸入
使用者名稱 user1,而先前已在此處指定領域字尾 @example.com,則系統會將 [email protected] 傳送至驗證
伺服器。
6 (選擇性) 在 [次要伺服器] 區段中,選擇性地指定輔助驗證伺服器的相關詳細資料。
您可以設定次要驗證伺服器以提供高可用性。將輔助伺服器切換啟用,並依照步驟 主要伺服器區段中
所述完成相關欄位。
驗證並繼續,然後啟動網繭部署程序
當您按一下驗證並繼續後,系統會確認您指定的值。如果每項驗證皆通過,精靈會顯示資訊摘要供您檢
閱。接著,您將啟動部署程序。
程序
1 按一下驗證並繼續。
系統會驗證您指定的值,例如:
n 所要建立子網路的指定位址範圍是否有效,且未與您的訂閱內所選區域中的其他位址重疊。
n 您的訂閱配額中是否有足夠的虛擬機器 (VM) 和核心可用來建置網繭。
n 任何上傳的憑證檔案是否為正確的 PEM 格式。
Horizon Cloud 部署指南
VMware, Inc. 157
n 如果您已選取要使用現有管理子網路,則該子網路是否已啟用 Microsoft.SQL 服務端點?
重要 從 2019 年 9 月的服務版本開始,新的網繭部署都需要在管理子網路上啟用 Microsoft.SQL 服務
端點,才能支援使用網繭的 Microsoft Azure PostgreSQL 資料庫。如果您看到類似下列螢幕擷取畫面
的驗證錯誤,且其中列出了您選的子網路,則表示您在精靈中選取的既存管理子網路遺漏了騎上所設定
的 Microsoft.SQL 服務端點。此時,您可以登入 Microsoft Azure 入口網站,並在子網路上啟用
Microsoft.SQL 服務端點。然後,您可以重新提交該精靈來部署網繭。如需如何啟用該端點的某些詳細
資料,請參閱在部署網繭之前,使用 Microsoft Azure 在 VNet 上建立 Horizon Cloud Pod 所需的子網
路。
如果每項驗證皆通過,則會顯示摘要頁面。
如果您看到關於網路位址重疊的錯誤訊息,請確認您是否有現有的子網路使用了訂閱中已存在的相同
值。
2 在 後一個精靈步驟中檢閱摘要的資訊,然後按一下提交。
系統隨即開始將網繭部署至您的 Microsoft Azure 環境中。
Horizon Cloud 部署指南
VMware, Inc. 158
結果
部署第一個網繭 久可能需要一個小時。在網繭成功部署完成之前,會有進度圖示顯示在管理主控台的 [開始使用] 畫面中。您可能需要在瀏覽器中重新整理此畫面,才能看見進度。瀏覽器型使用者介面可能會在約
30 分鐘後逾時,並要求您重新登入。
重要 網繭的擱置中階段通常會持續達十分鐘。不過,在 Microsoft Azure China 雲端中部署網繭時,整體
部署程序可能要 七 (7) 小時才能完成。此程序受限於可能導致下載速度緩慢的地理區域網路問題,因為二
進位檔會從雲端控制平台下載。
如果 20 分鐘之後網繭未從擱置中變成下載中狀態,且您無法部署至 Microsoft Azure China,則系統會自動
讓網繭進入錯誤狀態,並顯示指出網繭無法連線到雲端服務的訊息,以及檢查 Microsoft Azure 環境中的網
路連線。
如果顯示網繭已處於錯誤狀態,因為部署的 Jumpbox 虛擬機器無法從雲端服務下載所需的二進位檔,則很
可能是您環境的網路組態發生問題。例如,VNet 的已設定 DNS 可能無法解析內部或外部的名稱,或所需
的輸出連接埠未開啟或已由防火牆封鎖。有時與您用來下載 Microsoft Azure 命令列介面軟體的
packages.microsoft.com 網站間會暫時失去連線。您可以執行某些測試,以確認環境的網路是否根據網繭
的需求完成正確設定。請參閱遇到網繭部署或首次網域繫結問題時進行疑難排解。
在整個網繭部署程序中,[開始使用] 頁面的 [容量] 區段會指出此程序歷經的各個階段 (擱置中、下載中、建
立中、連線中等等)。
下表針對建立網繭階段提供一些概略的範例持續時間。
重要 您在部署過程中實際經歷的持續期間,將隨著當時的網路延遲而有所不同。
階段 範例持續時間
擱置中 10 分鐘
正在下載 10 分鐘
正在建立 15 分鐘
正在連線 10 分鐘
當網繭成功部署時:
n Horizon Cloud 會將通知電子郵件傳送給所對應 Horizon Cloud 客戶帳戶記錄中識別的帳戶擁有者。電
子郵件會指出網繭上架已完成。
n [開始使用] 畫面中會顯示一個綠色勾號,且旁邊會有一則指出網繭已新增以及關於完成網域加入程序的
訊息。
Horizon Cloud 部署指南
VMware, Inc. 159
備註 此時,因為您尚未向網繭登錄 Active Directory 網域,系統會在頁面中顯示刪除按鈕。如果部署程序
因故失敗,或是您不滿意所使用的值,而想要重新執行之後再登錄 Active Directory 網域,您可以按一下該
刪除按鈕來刪除已部署的構件。當畫面指出已成功刪除網繭時,您可以再次按一下新增重新開始執行程
序。
如果您選擇在此時刪除網繭,由於網路延遲的關係,[開始使用] 頁面可能會在所有的網繭相關構件皆已從
Microsoft Azure 環境中完全刪除之前,即指出網繭已完全刪除。在刪除新網繭後,請在再次執行網繭部署
精靈之前執行下列步驟:
1 登出 Horizon Cloud 使用者介面。
2 登入 Microsoft Azure 入口網站。
3 導覽至您的 VNet。
4 如果您讓部署工具自動建立網繭的子網路,請確認網繭建立的子網路不存在,且已從 VNet 位址空間移
除為網繭的子網路指定的位址範圍。
然後,您可以重新登入 Horizon Cloud,以再次執行網繭部署精靈。
後續步驟
展開 Horizon Cloud 管理主控台 [開始使用] 精靈的 [一般設定] 區段,並完成登錄 Active Directory 網域的必
要工作。登錄 Active Directory 是下一個必要步驟。登錄網域後,您即可在管理主控台中繼續進行此網繭的
管理工作。請參閱《Horizon Cloud 管理指南》的開始使用一章。登錄 Active Directory 網域後,請依照 [開始使用] 精靈的指示查看下一個需要完成的工作。
如果您在使用者可以存取其桌面或遠端應用程式之前在網繭上指定閘道組態,則必須在您的 DNS 伺服器
中,根據您指定的閘道類型設定適當的 CNAME 記錄。
n 對於啟用了公用 IP 位址的外部閘道,請將您在部署精靈中輸入的 FQDN 對應至閘道的 Azure 負載平
衡器資源自動產生的公用 FQDN。您的 DNS 伺服器記錄會將該負載平衡器自動產生的公用 FQDN 與您的使用者所將使用的 FQDN 對應,而這也會在上傳的憑證中使用。下列程式碼行為示範的範例。登
錄 Active Directory 網域後,您可以在管理主控台的網繭詳細資料頁面中找到要使用的識別碼。如果外
部閘道部署在其本身的 VNet 中,請使用部署識別碼欄位中顯示的識別碼。
ourApps.ourOrg.example.com vwm-hcs-ID-uag.region.cloudapp.azure.com
n 對於沒有公用 IP 位址的內部閘道或外部閘道,請將您在部署精靈中輸入的 FQDN 對應至閘道的 Azure 負載平衡器資源的私人 IP 位址。您的 DNS 伺服器記錄會將該負載平衡器的 IP 位址與您的使用者所將
使用的 FQDN 對應,而這也會在上傳的憑證中使用。下列程式碼行為示範的範例。
ourApps.ourOrg.example.com Azure-load-balancer-private-IP
Horizon Cloud 部署指南
VMware, Inc. 160
如果您同時指定外部和內部閘道組態,並為它們使用相同的 FQDN,則必須將傳入使用者用戶端流量的路
由設定至閘道的資源群組中的適當負載平衡器。在此案例中,您需要設定路由,以便將來自網際網路的用
戶端流量路由至外部閘道的 Azure 負載平衡器,以及將來自內部網路的用戶端流量路由至內部閘道的
Azure 負載平衡器資源。
請參閱《Horizon Cloud 管理指南》以取得在網繭詳細資料頁面中找到負載平衡器資訊的步驟。
如果您為網繭的閘道組態指定了 RADIUS 雙因素驗證,則必須完成下列工作。
n 如果您已使用 RADIUS 設定來設定外部閘道,並且該 RADIUS 伺服器無法在網繭所使用的相同 VNet 中連線,或無法在對等的 VNet 拓撲中連線 (如果您將外部閘道部署至其本身的 VNet 中),請確認並設
定該 RADIUS 伺服器,以允許來自外部閘道負載平衡器的 IP 位址的用戶端連線。在外部閘道組態中,
Unified Access Gateway 執行個體會嘗試與使用該負載平衡器位址的 RADIUS 伺服器連絡。若要允許
連線,請確保已在 RADIUS 伺服器組態中將該外部閘道資源群組中的負載平衡器資源的 IP 位址指定為
用戶端。
n 如果您已設定內部閘道或外部閘道,且您的 RADIUS 伺服器可在網繭所使用的相同 VNet 中連線,請
將 RADIUS 伺服器設定為允許來自 Microsoft Azure 必須與 RADIUS 伺服器進行通訊的閘道資源群組
中所建立的適當 NIC 的連線。網路管理員會判斷 RADIUS 伺服器對網繭的 Azure 虛擬網路和子網路的
網路可見度。您的 RADIUS 伺服器必須允許來自與網路管理員已為其提供 RADIUS 伺服器網路可見度
的子網路對應的這些閘道 NIC 的 IP 位址的用戶端連線。Microsoft Azure 中的閘道資源群組有四個
NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個
閒置的 NIC,在網繭完成升級後將成為作用中的 NIC。若要支援用於進行中網繭作業和每個網繭升級後
的閘道與 RADIUS 伺服器之間的連線,請確保已在 RADIUS 伺服器組態中將這四個 NIC IP 位址指定
為用戶端。
如需如何取得這些 IP 位址的相關資訊,請參閱《Horizon Cloud 管理指南》中的使用所需的 Horizon Cloud Pod 閘道資訊更新您的 RADIUS 系統主題。
如果您指定讓網繭部署程序建立 Workspace ONE Access 租用戶,則需要其他步驟才能將您的網繭與該租
用戶完成整合。完成登錄 Active Directory 網域所需的工作後,請參閱《Horizon Cloud 管理指南》中的整
合 Horizon Cloud Pod 與 Workspace ONE Access 環境主題中包含的資訊。
遇到網繭部署或首次網域繫結問題時進行疑難排解
如果環境的網路未正確設定以與 Microsoft Azure 中的 Horizon Cloud Pod 搭配使用,則建立網繭的程序可
能會卡在「擱置中」狀態,或對 Active Directory 環境進行網域繫結的部署後動作可能會失敗。兩個 常見
的網路相關原因,分別是無法開啟所需的輸出連接埠,以及無法啟用 DNS 以解析內部和外部位址。依照此
處的疑難排解步驟,您可以執行某些測試,以確認所需的輸出連接埠已開啟,且 DNS 可以解析內部和外部
位址。
成功部署網繭的整體網路需求如位於此 PDF 連結上的先決條件檢查清單文件中所述,且在設定您將在
Microsoft Azure 中用於 Horizon Cloud Pod 之 VNet 拓撲所需的 DNS 伺服器設定和 Microsoft Azure 中
Horizon Cloud Pod 的 DNS 需求中也有相關說明。如果環境的網路不符合那些需求,則將會遇到下列一或
兩個問題:
Horizon Cloud 部署指南
VMware, Inc. 161
問題 常見的原因
n [開始使用] 頁面顯示網繭處於擱置中狀態,且一直無法進
入連線狀態。網繭通常會處於擱置中狀態約 10 分鐘 (將網
繭部署至 Microsoft Azure China 雲端時除外,其所需時間
較長)。
n 即使網繭已成功部署,當您嘗試登錄 Active Directory 時,網域繫結步驟仍失敗,並出現錯誤 Unable to register Active Directory
n 所需的輸出連接埠未開啟,或遭到您的防火牆環境封鎖。如果
所需的輸出連接埠未開啟或遭到防火牆封鎖,網繭軟體即無法
安全地下載到 Microsoft Azure 雲端環境並連回至 Horizon Cloud 雲端控制平台。因此,便會發生擱置狀態的問題。
n VNet DNS 伺服器未正確設定為指向可解析內部和外部機器名稱
的有效 DNS 伺服器。
n 雖然 VNet DNS 伺服器正確指向 DNS 伺服器,但該 DNS 伺服
器無法解析內部和外部機器名稱。
若未將外部機器名稱的 DNS 解析提供給 VNet,則可能會發生擱置
狀態問題和網域繫結問題。例如,如果 DNS 無法解析為網域控制站
上的 Active Directory,則網域繫結步驟即會失敗。如需 VNet DNS 組態的詳細資料,請參閱設定您將在 Microsoft Azure 中用於
Horizon Cloud Pod 之 VNet 拓撲所需的 DNS 伺服器設定。
若要執行某些測試以檢查 DNS 組態是否可解析內部和外部名稱,並檢查所需的輸出連接埠是否已開啟,您
可以將小型測試虛擬機器 (VM) 部署到 Microsoft Azure 訂閱中,然後使用該虛擬機器來執行這些網路測
試。疑難排解步驟的高階順序為:
1 建立 SSH 金鑰配對。
2 在 Microsoft Azure 訂閱中建立測試虛擬機器。
3 連線至該測試虛擬機器。
4 執行網路測試。
5 測試完成後,請刪除您為了執行此疑難排解在 Microsoft Azure 環境中建立的測試虛擬機器及所有的測
試相關構件。
備註 如果您並未刪除測試相關構件,且後續使用了管理主控台的刪除動作來刪除網繭,則可能會發生非
預期的結果。刪除網繭時,系統會檢查網繭的子網路,以確認連線至子網路的所有項目皆屬於網繭本身 (根據網繭的 ID)。如果系統判斷有其他虛擬機器、虛擬機器磁碟、IP 或其他構件連線至網繭的子網路,則系
統將無法完全刪除網繭。
如需關於執行疑難排解測試的詳細資料,請參閱以下幾節。
重要 如果您要透過內部部署網路導出所有流量,且僅允許已驗證的流量進行傳輸,但您並未在網繭部署
精靈中提供使用 Proxy 的值,則即便那些手動測試都將成功,未經驗證的來源 (Jumpbox) 所傳送的流量仍
將失敗。此情況的症狀,即為網繭部署卡在擱置中狀態。如果發生此情況,您必須在 [開始使用] 頁面上刪
除網繭,然後重新執行網繭部署精靈,並指定所需的 Proxy 資訊。
程序
1 建立 SSH 金鑰配對
您需要 SSH 金鑰配對才能對您將部署到 Microsoft Azure 訂閱中的測試 Linux 虛擬機器進行驗證。您
需要在將透過 SSH 連線至測試虛擬機器的系統上建立金鑰配對。如果您在該系統上已擁有金鑰配
對,則此為選用步驟。
Horizon Cloud 部署指南
VMware, Inc. 162
2 在 Microsoft Azure 訂閱中建立測試虛擬機器
您將會在 Microsoft Azure 環境中使用測試 Linux 虛擬機器 (VM) 執行測試,以檢查已針對 Horizon Cloud Pod 設定的網路連線。
3 使用 SSH 連線至測試虛擬機器
建立對測試虛擬機器的 SSH (Secure Shell) 連線,以便在 Microsoft Azure 環境中執行網路連線測
試。
4 執行測試以檢查 Microsoft Azure 環境中的網路
您可以執行這些測試,以確認以下兩個網路相關區域已正確設定:DNS 可解析內部和外部位址,且所
需的輸出連接埠已開啟。您可以使用測試虛擬機器執行這些測試。
5 在完成測試後刪除測試虛擬機器
當您完成檢查 Microsoft Azure 網路組態的測試,且不再需要測試虛擬機器時,您應從 Microsoft Azure 環境中將該虛擬機器及其所有的相關構件刪除。
建立 SSH 金鑰配對
您需要 SSH 金鑰配對才能對您將部署到 Microsoft Azure 訂閱中的測試 Linux 虛擬機器進行驗證。您需要
在將透過 SSH 連線至測試虛擬機器的系統上建立金鑰配對。如果您在該系統上已擁有金鑰配對,則此為選
用步驟。
您可以使用 Microsoft Windows 或 Linux 系統來建立此 SSH 金鑰配對。此處將說明這兩個系統類型的步
驟。請依據您的情況選擇 適合的步驟。
在 Microsoft Windows 系統上建立 SSH 金鑰配對當您將使用 Microsoft Windows 系統透過 SSH 連線至您將部署到 Microsoft Azure 訂閱中的測試 Linux 虛擬機器時,請使用下列步驟。
當您在 Microsoft Azure 中建立測試虛擬機器時,您將使用已產生公開金鑰檔案的內容。如果您在將用來與
測試虛擬機器連線的 Microsoft Windows 系統上已有現有的 SSH 金鑰配對,則可以略過此步驟,直接建立
測試虛擬機器,如在 Microsoft Azure 訂閱中建立測試虛擬機器中所述。
依照下列步驟,您需要產生 SSH 金鑰配對、複製公開金鑰檔案的內容以供建立測試虛擬機器時使用,然後
將私密金鑰載入 PuTTY Pageant 工具中。Pageant 是一種 SSH 驗證代理程式,可將您的私密金鑰保存在
記憶體中。藉由將私密金鑰保存在記憶體中,後續從該 Microsoft Windows 系統執行的任何 SSH 工作階段
皆會自動套用私密金鑰,因此使用起來更為簡便。
必要條件
Microsoft Windows 系統依預設不會安裝 SSH 金鑰配對軟體。請確認您已在預計要使用的系統上安裝 SSH 金鑰配對產生軟體。您可以使用任何 SSH 金鑰配對產生軟體。以下步驟說明如何在 Microsoft Windows 上使用 PuTTY 軟體建立 SSH 金鑰配對。您可以從 www.putty.org 取得 PuTTY 軟體。安裝後,PuTTY 工具
套件可供使用。下列螢幕擷取畫面顯示 PuTTY 工具在 [開始] 功能表中的範例。
Horizon Cloud 部署指南
VMware, Inc. 163
程序
1 在您的 Microsoft Windows 系統上啟動 PuTTYgen (PuTTY 金鑰產生器)。
在 Microsoft Windows 10 上,PuTTYgen 在 [開始] 功能表中的選項會如同 。
此時會顯示 [PuTTY 金鑰產生器] 視窗。在下列螢幕擷取畫面反白顯示的部分中,目標是產生類型為
SSH-2 RSA、且具有 2048 位元的公開-私密金鑰配對。
Horizon Cloud 部署指南
VMware, Inc. 164
2 確認已選取 SSH-2RSA,並將位元數設為 2048,然後按一下產生。此視窗會變更為 [金鑰] 視窗,並顯
示進度列。
3 在進度列下方的空白區域中隨機移動您的游標。在此區域中隨機移動游標會在程序中加入必要的隨機
性。
Horizon Cloud 部署指南
VMware, Inc. 165
4 輸入複雜密碼,然後按一下儲存私密金鑰,以將私密金鑰儲存至系統。
備註 使用金鑰複雜密碼是選擇性的 佳做法。不過,如果您未輸入複雜密碼即按一下儲存私密金鑰,
則會出現快顯視窗,要求您確認是否要在不使用複雜密碼的情況下儲存私密金鑰。
私密金鑰會儲存為 PPK 檔案。按一下儲存私密金鑰後,您可以瀏覽至本機系統中的目錄、輸入檔案名
稱,然後儲存檔案。
5 使用儲存公開金鑰按鈕,將公開金鑰儲存至您在建立測試虛擬機器時可從中複製該金鑰的位置。
Horizon Cloud 部署指南
VMware, Inc. 166
6 啟動 Pageant (PuTTY SSH 驗證代理程式)。
在 Microsoft Windows 10 上,Pageant 在 [開始] 功能表中的選項會如同 。當您按一下
時,即會將 Pageant 圖示 (戴著帽子的電腦) 載入系統匣中。
下列螢幕擷取畫面顯示載入 Microsoft Windows 10 系統匣中的 Pageant 圖示。
7 以滑鼠右鍵按一下該系統匣圖示、按一下新增金鑰,然後使用檔案選取視窗導覽至您已儲存的私密金鑰
(PPK) 檔案並加以選取,以將您的私密金鑰新增至 Pageant。
備註 如果您在先前儲存私密金鑰檔案時已指定複雜密碼,則會顯示一個方塊供您輸入該複雜密碼。
結果
此時,私密金鑰會載入 Pageant 中。您可以使用動作功能表上的檢視金鑰選項,在已載入的金鑰清單中檢
視金鑰。當您使用 PuTTY 啟動 SSH 工作階段時,PuTTY 將會從 Pageant 自動擷取金鑰,並使用該金鑰
進行驗證,而您不需要輸入複雜密碼。之後,當您執行完 SSH 工作階段且想要關閉 Pageant 時,請使用
Pageant 系統匣圖示之右鍵功能表中的結束選項。
後續步驟
依照在 Microsoft Azure 訂閱中建立測試虛擬機器中的步驟建立測試虛擬機器。
在 Linux 系統上建立 SSH 金鑰配對當您將使用 Linux 系統透過 SSH 連線至您將部署到 Microsoft Azure 訂閱中的測試 Linux 虛擬機器時,請
使用下列步驟。
在 Microsoft Azure 中建立測試虛擬機器的步驟中,您將使用已產生公開金鑰檔案的內容。如果您在將用來
與測試虛擬機器連線之 Linux 系統上已有現有的 SSH 金鑰配對,則可以略過此步驟,直接建立測試虛擬機
器,如在 Microsoft Azure 訂閱中建立測試虛擬機器中所述。
Horizon Cloud 部署指南
VMware, Inc. 167
必要條件
執行這些步驟之前,請確定您不會覆寫要保留用於其他用途的現有 SSH 金鑰配對。在 Linux 系統上,依預
設會在 Linux ~/.ssh/id_rsa 目錄中建立 SSH 公用和私密金鑰檔案。如果 SSH 金鑰配對存在於該目錄
中,且您在執行此命令時使用相同的檔案名稱,或是在命令中指定了不同位置,而該位置中已有 SSH 金鑰
配對存在,則系統會覆寫現有的金鑰配對。
程序
1 在您的 Linux 系統上開啟 Bash Shell。
2 在 Bash Shell 中,輸入下列命令:
ssh-keygen -t rsa -b 2048
3 依照畫面上的相關指示,輸入用來儲存金鑰的檔案,接著輸入複雜密碼,然後確認該複雜密碼。
以下提供畫面指示的範例,其中輸入的 mykey 作為用來儲存金鑰的檔案。
-bash-4.1$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/mts-cm/home/user1/.ssh/id_rsa): mykey
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
備註 使用金鑰複雜密碼是選擇性的 佳做法。
私密金鑰會儲存在您指定的檔案中,且公開金鑰則會儲存至具有相同名稱和 .pub 副檔名的檔案。使用
上述範例輸入 mykey 作為檔案,範例輸出將為:
Your identification has been saved in mykey.
Your public key has been saved in mykey.pub.
後續步驟
依照在 Microsoft Azure 訂閱中建立測試虛擬機器中的步驟建立測試虛擬機器。
在 Microsoft Azure 訂閱中建立測試虛擬機器
您將會在 Microsoft Azure 環境中使用測試 Linux 虛擬機器 (VM) 執行測試,以檢查已針對 Horizon Cloud Pod 設定的網路連線。
必要條件
確認您擁有先前依照建立 SSH 金鑰配對中所述建立的 SSH 公開金鑰。您將在虛擬機器建立精靈中提供此
公開金鑰,讓虛擬機器信任來自具有對應私密金鑰之系統的 SSH 連線。
確認您具有用來部署網繭之相同虛擬網路 (VNet) 的名稱,如在 Microsoft Azure 中設定所需的虛擬網路中
所述。
Horizon Cloud 部署指南
VMware, Inc. 168
如果您嘗試部署網繭,且部署程序在某個部分失敗,則表示此程序可能已在 VNet 中建立網繭的管理子網
路。
n 若是如此,建議您在該子網路上部署測試虛擬機器。若要識別 VNet 上是否有網繭的管理子網路存在,
請登入 Microsoft Azure 入口網站中、導覽至該 VNet,並檢查其子網路清單。您可以使用左側導覽列
中的虛擬網路 ( ) 選項來導覽至 VNet。網繭的管理子網路將具有 vmw-hcs-podID-net-management 模式名稱,其中 podID 是網繭的 UUID。
n 如果網繭部署程序並未在 VNet 上建立網繭的管理子網路,則您可以選擇 VNet 上任何可用的子網路,
或建立新的子網路供測試虛擬機器使用。
程序
1 登入 Microsoft Azure 入口網站。
2 在入口網站的左側導覽列中,按一下虛擬機器 ( ),然後按一下 + 新增。
3 搜尋 Ubuntu Server 16.04 LTS 並加以選取。
4 選取資源管理員作為部署模型,然後按一下建立。
「建立虛擬機器」精靈隨即開啟,並顯示設定基本設定的步驟。
5 提供虛擬機器的基本設定,然後按一下確定以移至精靈的下一個步驟。
選項 說明
名稱 輸入虛擬機器的名稱。
虛擬機器磁碟類型 保留預設的 SSD 設定。
使用者名稱 輸入符合 Microsoft Azure 使用者名稱需求的使用者名稱,如 Microsoft 說明文件在此
處中所述。
重要 請記下此名稱,因為您後續將會用到此名稱。
驗證類型 選取 SSH 公開金鑰。
Horizon Cloud 部署指南
VMware, Inc. 169
選項 說明
SSH 公開金鑰 在此欄位中,貼上您建立 SSH 金鑰配對時所建立的 SSH 公開金鑰。貼入的內容必須
是公開金鑰中從 ---- BEGIN SSH2 PUBLIC KEY ---- 行到 ---- END SSH2 PUBLIC KEY ---- 行之間的內容。
訂閱 選取您要用於網繭的相同訂閱。
資源群組 建議的選項即為針對測試虛擬機器及其相關構件 (例如其磁碟) 建立新的資源群組。選
取新建,並輸入新資源群組的名稱。雖然您可以對此測試虛擬機器使用現有的資源群
組,但仍建議針對測試虛擬機器使用特定的資源群組,因為這樣較容易刪除虛擬機器
及其相關構件,僅需在測試執行完成後刪除整個資源群組即可。
位置 選取您要用於網繭的相同實際地理區域。
6 在精靈的大小設定步驟中,按一下虛擬機器大小並加以選取,以移至精靈的下一個步驟。
由於預期是存留期短的虛擬機器,而僅用於完成驗證測試,因此您可以選取任何大小。不過,較小的大
小通常在 Microsoft Azure 中的相關成本較低,因此一般都會為測試虛擬機器選擇較小的大小。下列螢
幕擷取畫面說明選擇 D2S_V3 標準大小的範例。
Horizon Cloud 部署指南
VMware, Inc. 170
7 在精靈的設定步驟中,指定測試虛擬機器的主要網路選項。
您需要在此精靈步驟中會進行三項重要的選擇。下列螢幕擷取畫面顯示這三個主要項目。設定這三個主
要網路選項後,您可以保留所有其他預設值。
。
Horizon Cloud 部署指南
VMware, Inc. 171
選項 說明
虛擬網路 您必須選取要用來部署網繭的相同 VNet。此 VNet 應是您根據先決條件檢查清單中的詳細資料以及在
Microsoft Azure 中設定所需的虛擬網路中所述而設定的 VNet。
子網路 如果您已嘗試部署網繭,但其程序失敗,表示可能已在虛擬網路中建立網繭的管理子網路。如果有子網路存
在,建議您為此測試虛擬機器選取該子網路。按一下子網路選項,導覽至存在於已選取虛擬網路上的子網
路。您可能必須將游標暫留在子網路上方,才能在工具提示中查看其完整名稱。此螢幕擷取畫面說明如何將
游標暫留在子網路上方以查看網繭之管理子網路採用 vmw-hcs-podID-net-management 模式的命名模式。
如果網繭部署程序並未在 VNet 上建立網繭的管理子網路,請在 VNet 上選取您指定要用於測試虛擬機器的
子網路 (如上方的先決條件中所述)。
備註 如果網繭已成功部署,但您要對網域加入問題進行疑難排解,則可以為測試虛擬機器選取網繭的桌面
子網路 (而非管理子網路),因為網域加入作業需要與連線至該桌面子網路的桌面映像搭配使用。
公用 IP 位址 選取此選項,以便為建立的測試虛擬機器指派公用 IP 位址。具備公用 IP 位址可讓您透過廣域網路 (WAN) 連線至該處。
備註 若要在您的網路組態中使用公用 IP 則可能有技術上的困難。如果您無法透過公用 IP 建立測試虛擬機
器,您必須具有從本機系統到您在子網路欄位中選取之子網路的網路連線,或必須連線至您網路上的其他機
器,然後對測試虛擬機器進行輸入連線。
8 按一下確定,移至精靈的摘要步驟。
9 在摘要步驟中,確認幾項主要資訊 (訂閱、位置、虛擬網路和子網路) 皆與您要用於網繭的資訊相符,
然後按一下建立。
結果
建立測試虛擬機器的作業即會開始執行。通常,您可以查看在 Microsoft Azure 儀表板上執行的程序,如下
列螢幕擷取畫面所示。
部署虛擬機器通常約需要花費五至十分鐘。虛擬機器部署完成後會處於「執行中」狀態。下列螢幕擷取畫
面說明範例測試虛擬機器的詳細資料。
Horizon Cloud 部署指南
VMware, Inc. 172
當您看到測試虛擬機器已啟動並執行時,即可進行連線。依照使用 SSH 連線至測試虛擬機器中的步驟進
行。
使用 SSH 連線至測試虛擬機器
建立對測試虛擬機器的 SSH (Secure Shell) 連線,以便在 Microsoft Azure 環境中執行網路連線測試。
從 Microsoft Windows 系統透過 SSH 連線至測試虛擬機器您需要從具有私密金鑰且對應於您建立測試虛擬機器時所指定公開金鑰的 Microsoft Windows 系統建立此
連線。
必要條件
確認您擁有建立虛擬機器時所指定的測試虛擬機器 IP 位址和使用者名稱。
在 Microsoft Windows 系統上,通常會使用 PuTTY。為了方便 PuTTY 在您啟動 SSH 工作階段時載入您的
私密金鑰,在啟動 PuTTY 之前,請先依照在 Microsoft Windows 系統上建立 SSH 金鑰配對中的說明啟動
Pageant,並將 SSH 私密金鑰新增至 Pageant 金鑰清單。SSH 私密金鑰必須符合您在建立測試虛擬機器
時指定的公開金鑰。當私密金鑰載入至 Pageant 時,PuTTY SSH 工作階段將會自動使用該私密金鑰。
程序
1 啟動 PuTTY ( )。
[PuTTY 組態] 視窗隨即開啟。
2 在 [PuTTY 組態] 視窗中,指定主機名稱、選取 SSH,然後按一下開啟。
在 [PuTTY 組態] 視窗的主機名稱欄位中,輸入下列模式的字串:
testvm_username@testvmip
將字串中的 testvm_username 和 testvmip 替換為測試虛擬機器的使用者名稱和 IP 位址。
重要 在您按一下開啟後,如果這是您第一次連線至測試虛擬機器,則會顯示 PuTTY 安全性訊息指出
伺服器的主機金鑰無法快取,並顯示伺服器的 RSA2 金鑰指紋。您可以按一下是將伺服器的主機金鑰
新增至 PuTTY 的快取中以繼續進行連線,或按一下否,在不將金鑰新增至 PuTTY 快取的情況下進行
連線。如果您懷疑連線可能不會前往您的測試虛擬機器,請按一下取消以放棄連線,然後返回 [PuTTY 組態] 視窗以確認您的主機名稱項目。
Horizon Cloud 部署指南
VMware, Inc. 173
下列螢幕擷取畫面說明使用範例的視窗
。
結果
建立 SSH 連線時,命令列視窗會顯示類似於下列螢幕擷取畫面的內容。
Horizon Cloud 部署指南
VMware, Inc. 174
後續步驟
此時您已連線至測試虛擬機器,且可以執行測試以檢查您 Microsoft Azure 環境中的網路連線。請依照執行
測試以檢查 Microsoft Azure 環境中的網路中說明的步驟操作。
從 Linux 系統透過 SSH 連線至測試虛擬機器您需要從具有私密金鑰且對應於您建立測試虛擬機器時所指定公開金鑰的 Linux 系統建立此連線。
必要條件
確認您擁有建立虛擬機器時所指定的測試虛擬機器 IP 位址和使用者名稱。
程序
1 開啟 Bash Shell。
2 在 Bash Shell $ 提示字元上,輸入如下的 SSH 命令,並將命令中的 testvmip 和 testvm_username 替換為測試虛擬機器的 IP 位址和使用者名稱:
ssh testvm_username@testvmip
例如,使用在 Microsoft Azure 訂閱中建立測試虛擬機器中範例所提供的測試虛擬機器詳細資料時,範
例命令看起來如下所示:
結果
建立 SSH 連線時,命令列視窗會顯示類似於下列螢幕擷取畫面的內容。
後續步驟
此時您已連線至測試虛擬機器,且可以執行測試以檢查您 Microsoft Azure 環境中的網路連線。請依照執行
測試以檢查 Microsoft Azure 環境中的網路中說明的步驟操作。
Horizon Cloud 部署指南
VMware, Inc. 175
執行測試以檢查 Microsoft Azure 環境中的網路
您可以執行這些測試,以確認以下兩個網路相關區域已正確設定:DNS 可解析內部和外部位址,且所需的
輸出連接埠已開啟。您可以使用測試虛擬機器執行這些測試。
網繭需要依賴 DNS 來解析內部和外部位址。此處的前兩項測試會檢查您網路環境中設定的 DNS 是否可解
析內部和外部位址的已知 FQDN。
重要 如果您要透過內部部署網路導出所有流量,且僅允許已驗證的流量進行傳輸,但您並未在網繭部署
精靈中提供使用 Proxy 的值,則即便那些手動測試都將成功,未經驗證的來源 (Jumpbox) 所傳送的流量仍
將失敗。此情況的症狀,即為網繭部署卡在擱置中狀態。如果發生此情況,您必須在 [開始使用] 頁面上刪
除網繭,然後重新執行網繭部署精靈,並指定所需的 Proxy 資訊。
必要條件
執行這些測試之前,請先確認您已在 Microsoft Azure 訂閱中建立測試虛擬機器,且具有其 SSH 連線,如
在 Microsoft Azure 訂閱中建立測試虛擬機器和使用 SSH 連線至測試虛擬機器中所述。
取得位於網路內部、且您預期可從 VNet 存取的伺服器 (例如您的 Active Directory 網域控制站) 的 IP 位址
和完整網域名稱 (FQDN)。您在 DNS 驗證測試中將會使用這項資訊。
程序
1 使用 dlg 命令查詢位於您的 Microsoft Azure VNet 內部的已知網域名稱,以確認 DNS 正在您的環境中
運作以便解析內部 FQDN。
在 SSH 連線視窗中發出 dig 命令,以查詢您確知位於您的網路內部之伺服器 (例如 Active Directory 網域控制站) 的網域名稱。
dig internal-domain-name
其中 internal-domain-name 是您確知位於您網路內部之伺服器的完整網域名稱。
dig (Domain Information Groper) 是網路疑難排解的命令列工具。使用內部主機名稱執行此命令後,其
結果將可確認您的 DNS 組態能夠正確解析內部位址。如果您的 DNS 組態可解析此命令中使用的
internal-domain-name,則命令輸出會傳回與該網域名稱相關聯的正確 IP 位址。
例如,假設 VNet 設定了具有 Active Directory 網域控制站的內部 Active Directory 伺服器,且其 DNS 項目為 skylo.local,而 IP 位址為 192.168.0.15。發出 dig skylo.local 將會檢查此 VNet 的 DNS 組態是否可解析該內部 skylo.local 伺服器名稱:
testvmadmin@HCS-testingVM:~$ dig skylo.local
; <<>> DiG 9.10.3-P4-Ubuntu <<>> skylo.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64899
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
Horizon Cloud 部署指南
VMware, Inc. 176
;skylo.local. IN A
;; ANSWER SECTION: skylo.local. 600 IN A 192.168.0.15
;; Query time: 1 msec
;; SERVER: 192.168.0.15#53(192.168.0.15)
;; WHEN: Mon Mar 26 20:58:01 UTC 2018
;; MSG SIZE rcvd: 56
testvmadmin@HCS-testingVM:~$
如果 ANSWER SECTION 指出提供的主機名稱已解析為您對該主機名稱所預期的 IP 位址,則表示測
試成功。
備註 有時候 DNS 並非完全可靠,且某些要求可正確解析,某些則會失敗。如果第一次發出的命令失
敗,您可以重複執行命令 10 到 20 次,並逐次確認您取得的回應是否可靠。
2 使用 dlg 命令查詢已知的外部網域名稱,以確認 DNS 正在您的環境中運作以便解析外部 FQDN。
在 SSH 連線視窗中,發出 dig 命令以查詢外部業界標準網域名稱,例如 vmware.com 或
microsoft.com。
dig external-domain-name
其中 external-domain-name 是位於您 VNet 外部的完整網域名稱。例如,發出 dig vmware.com 將會檢
查 VNet 的 DNS 組態是否可解析該外部名稱:
testvmadmin@HCS-testingVM:~$ dig vmware.com
; <<>> DiG 9.10.3-P4-Ubuntu <<>> vmware.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38655
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;vmware.com. IN A
;; ANSWER SECTION: vmware.com. 150 IN A 107.154.105.19 vmware.com. 150 IN A 107.154.106.19
;; Query time: 28 msec
;; SERVER: 192.168.0.15#53(192.168.0.15)
;; WHEN: Mon Mar 26 21:14:29 UTC 2018
;; MSG SIZE rcvd: 71
testvmadmin@HCS-testingVM:~
Horizon Cloud 部署指南
VMware, Inc. 177
在上述範例中,ANSWER SECTION 指出外部網域名稱 vmware.com 已正確解析為兩個 IP 位址。
備註 您可以使用不同的外部網域名稱 (例如 azure.com 或 microsoft.com) 重複執行此測試,以確認您
的 DNS 可解析不同的外部名稱。
如果 DNS 測試無法正常運作,請確認您的網路組態和 DNS 伺服器。確認您已將 DNS 伺服器新增至
VNet。
重要 如果您認為需要將 DNS 伺服器新增至 VNet,或必須變更 VNet 的 DNS 伺服器組態,則必須重
新啟動所有連線至該 VNet 的虛擬機器,以使其取得變更。如果您變更了 VNet 的 DNS 伺服器組態,
且並未重新啟動所有連線至該 VNet 的虛擬機器,則對 VNet 所做的變更將無法正確散佈。
3 使用 netcat 命令確認所需的輸出連接埠可供使用。
使用 Horizon Cloud 時,需要開啟某些輸出連接埠,讓網繭軟體能夠安全地下載到您的 Microsoft Azure 環境中,並且讓網繭能夠連回 Horizon Cloud 控制平台。如 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求中所述,下列輸出 TCP 連接埠需要從網繭的管理子網路開啟:連接埠 80、443 和
11371。藉由執行下列命令中指定的 netcat 命令,您可在必要時確認這些輸出連接埠已開啟。
在 SSH 連線視窗中,發出下列命令 (每個連接埠一個)。
備註 以下用來測試連接埠 11371 的命令會指定 packages.microsoft.com 來測試該連線,而其他兩行
則測試 Horizon Cloud 控制平台的輸出連線。
testvmadmin@HCS-testingVM:~$ netcat -v -w 3 cloud.horizon.vmware.com 80
Connection to cloud.horizon.vmware.com 80 port [tcp/http] succeeded!
testvmadmin@HCS-testingVM:~$ netcat -v -w 3 cloud.horizon.vmware.com 443
Connection to cloud.horizon.vmware.com 443 port [tcp/https] succeeded!
testvmadmin@HCS-testingVM:~$ netcat -v -w 3 packages.microsoft.com 11371
Connection to packages.microsoft.com 11371 port [tcp/hkp] succeeded!
如果連接埠已正確開啟,則 netcat 命令會在其測試後傳回 succeeded! 行。
如果 netcat 命令傳回失敗訊息,請檢查您的 Microsoft Azure 網路連線、您訂閱中的網路安全性群組,
以及您可能已設置的任何防火牆。請確定您的網路組態符合網繭進行部署的 DNS、連接埠和通訊協定
需求,如 Microsoft Azure 中 Horizon Cloud Pod 的 DNS 需求中所述。
結果
如果上述測試成功,您將可成功部署網繭。
備註 如果您將設定要用於網繭的選用功能 (例如 Radius 雙因素驗證或 True SSO),則針對那些目的可能
需要其他連接埠。您可以使用上述輸出連接埠測試技術來確認此類連接埠已正確開啟。
Horizon Cloud 部署指南
VMware, Inc. 178
後續步驟
當您完成測試時,應從 Microsoft Azure 環境中刪除測試虛擬機器及其所有的相關構件,例如其虛擬機器磁
碟、IP 位址和 NIC。理想情況下,您應已建立測試虛擬機器的資源群組,且只要刪除該資源群組即可刪除
虛擬機器的所有構件。依照在完成測試後刪除測試虛擬機器中的步驟進行。
重要 如果您並未從 Microsoft Azure 環境中刪除測試虛擬機器的所有構件,且又將虛擬機器連線至網繭的
其中一個子網路,則當您後續嘗試以管理主控台刪除網繭時,系統可能會因為這些剩餘的連線構件而無法
完整刪除網繭。依預設,當您使用刪除動作來刪除網繭時,Horizon Cloud 將會刪除它為網繭建立的資源群
組和子網路。Microsoft Azure 會防止刪除仍在使用中的子網路。如果測試虛擬機器的構件已連線至網繭的
子網路,則那些子網路無法刪除,且網繭刪除將會不完整。若要避免這種情況,請在成功部署網繭之後確
實刪除測試虛擬機器的所有構件。
在完成測試後刪除測試虛擬機器
當您完成檢查 Microsoft Azure 網路組態的測試,且不再需要測試虛擬機器時,您應從 Microsoft Azure 環境中將該虛擬機器及其所有的相關構件刪除。
重要 如果您並未從 Microsoft Azure 環境中刪除測試虛擬機器的所有構件,且又將虛擬機器連線至網繭的
其中一個子網路,則當您後續嘗試以管理主控台刪除網繭時,系統可能會因為這些剩餘的連線構件而無法
完整刪除網繭。依預設,當您使用刪除動作來刪除網繭時,Horizon Cloud 將會刪除它為網繭建立的資源群
組和子網路。Microsoft Azure 會防止刪除仍在使用中的子網路。如果測試虛擬機器的構件已連線至網繭的
子網路,則那些子網路無法刪除,且網繭刪除將會不完整。若要避免這種情況,請在成功部署網繭之後確
實刪除測試虛擬機器的所有構件。
程序
1 登入 Microsoft Azure 入口網站。
2 根據的您部署方式,使用下列其中一個方法來刪除測試虛擬機器。
n 如果您將測試虛擬機器部署到其本身資源群組中,且該群組對您而言已無其他用途,則可以刪除整
個資源群組。
注意 為避免意外刪除其他項目,在刪除資源群組前,請先確定資源群組僅包含測試虛擬機器及其
相關聯的物件,例如其磁碟和網路介面卡。
a 在入口網站的左側導覽區中按一下資源群組,並搜尋測試虛擬機器的資源群組。
Horizon Cloud 部署指南
VMware, Inc. 179
b 按一下資源群組的名稱以查看該資源群組中的項目。
c 按一下刪除資源群組。在確認訊息中輸入資源群組的名稱,然後按一下刪除。
n 如果您需要刪除測試虛擬機器但不刪除整個資源群組,您可以使用入口網站的 [搜尋] 方塊來搜尋測
試虛擬機器的名稱。此搜尋的結果將會列出虛擬機器及其所有相關聯的物件 (磁碟、網路介面和公
用 IP 位址等)。然後,個別刪除每個物件。
Horizon Cloud 部署指南
VMware, Inc. 180
現在,您的第一個網繭已完整部署並連線至 Horizon Cloud 3恭喜您完成第一個 Horizon Cloud Pod 的部署!
管理主控台的 [開始使用] 頁面會指出您成功建立雲端連線網繭的時間。
下列螢幕擷取畫面說明該頁面在您第一個網繭是部署至 Microsoft Azure 的網繭時所呈現的樣貌。
此時,您必須執行將要搭配此網繭使用之 Active Directory 網域登錄至 Horizon Cloud 的步驟。《Horizon Cloud 管理指南》 提供了以下詳細步驟。請參閱開始使用 Horizon Cloud 環境主題及其子主題。
VMware, Inc. 181
