桌面远程桌面服务

HorizonCloudonIBMCloud19.
1部署VMwareHorizonCloudServiceonIBMCloud19.
1VMwareHorizonCloudService您可以从VMware网站下载最新的技术文档:https://docs.
vmware.
com/cn/.
如果您对本文档有任何意见或建议,请将反馈信息发送至:docfeedback@vmware.
comVMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com威睿信息技术(中国)有限公司北京办公室北京市朝阳区新源南路8号启皓北京东塔8层801www.
vmware.
com/cn上海办公室上海市淮海中路333号瑞安大厦804-809室www.
vmware.
com/cn广州办公室广州市天河路385号太古汇一座3502室www.
vmware.
com/cn版权所有2019VMware,Inc.
保留所有权利.
版权和商标信息HorizonCloudonIBMCloud19.
1部署VMware,Inc.
2目录1简介52关于VMwareHorizonCloudServiceonIBMCloud6什么是VMwareHorizonCloudService系列6服务说明8系统架构8了解区域9管理HorizonCloudService环境9管理桌面和RDSH服务器映像9连接到HorizonCloudService桌面和应用程序10连接到企业资源103选择战略性网络选项12开始之前:决策和职责12您的决定13您的职责14防火墙和端口必备条件15本地连接16远程连接17端点操作系统防火墙端口17带宽注意事项18VPN和DirectConnect18了解VPN19通过站点到站点IPsecVPN发送流量20IPsecVPN参数20VPN连接选项21了解DirectConnect27DirectConnect选项的区域所有权归属27通过专用连接或MPLSDirectConnectVPN发送流量28通过网络交换发送流量29连接同一数据中心中的现有机架29DirectConnect连接选项29DirectConnect设置35网络路由35拆分DNS35租户网络基础架构示例36其他注意事项38VMware,Inc.
3选择集成或隔离的ActiveDirectory38子网注意事项38选择HorizonCloudService用户门户和管理控制台门户URL404满足ActiveDirectory要求41选择现有或隔离的ActiveDirectory41为ActiveDirectory创建服务帐户41为ActiveDirectory创建组42为ActiveDirectory创建唯一的HorizonCloudServiceOU42设置DHCP范围和选项代码74或手动配置DaaS代理425创建优化的映像44优化桌面映像44确定所需的映像数量44使用传统克隆或即时克隆映像45为RDSH服务器创建映像45了解专用、浮动和会话桌面45选择3D图形选项46交错执行自动防病毒更新466管理远程应用程序477映像管理策略48配置文件管理48确定重定向对象49确定重定向方式49确定重定向位置49修补程序管理50关闭自动更新功能50在子集池上测试修补程序和更新50备份策略51HorizonCloudonIBMCloud19.
1部署VMware,Inc.
4简介1VMwareHorizonCloudService是由VMware提供的一系列云服务,通过该服务可将虚拟桌面和应用程序提供给任何受支持设备上的最终用户.
HorizonCloudService可通过两种方式提供:作为由VMware托管的IBMCloud基础架构,或在您自己内部部署的基础架构中托管.
在这两种场景中,基础架构均由HorizonCloudService应用程序进行管理.
关于本文档本文档将重点介绍VMwareHorizonCloudServiceonIBMCloud.
本文档将介绍部署过程中可能会出现的一些最为常见的问题,并将提供一些有关如何在您自己的实施中避免这些问题的提示.
尽管每个环境都是独一无二的,但此处介绍的一般注意事项可帮助您最有效地部署HorizonCloudServiceonIBMCloud.
目标读者本文档适用于IT决策者、架构师、管理员,以及其他希望了解或当前正在了解HorizonCloudServiceonIBMCloud部署的人员.
您应该熟悉各种Windows数据中心技术,如ActiveDirectory、SQL和Microsoft管理控制台.
此外,您还应该熟悉云计算、站点到站点(S2S)VPN和多协议标签交换(Multi-ProtocolLabelSwitching,MPLS)网络.
VMware,Inc.
5关于VMwareHorizonCloudServiceonIBMCloud2本节简要介绍了HorizonCloudServiceonIBMCloud.
本章讨论了以下主题:n什么是VMwareHorizonCloudService系列n服务说明n系统架构什么是VMwareHorizonCloudService系列HorizonCloudService通过一种专门构建的可在多个部署选项(内部部署基础架构或完全由VMware托管的基础架构)之间进行扩展的云平台来提供虚拟桌面和应用程序.
该服务支持云级基础架构,可将虚拟化的Windows桌面和应用程序提供给多个设备,从而简化了设置并提高了可扩展性.
VMware,Inc.
6图2-1.
VMwareHorizonCloudService系列HorizonCloudServiceonIBMCloudHorizonCloudServiceonIBMCloud在维持企业安全和控制要求的同时,简化了将Windows桌面和应用程序作为云服务交付的过程.
最终用户可以从完整的工作区中获益,他们几乎可以在任意位置从各种设备类型进行访问.
HorizonCloudServiceonIBMCloud还提供了一个灵活的按需桌面和应用程序交付平台,该平台可以根据业务的需要和需求进行扩展或缩减.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
7HorizonCloudServicewithOn-PremisesInfrastructureVMwareHorizonCloudServicewithOn-PremisesInfrastructure(未在本文档中介绍)将云的经济优势与超融合基础架构的简单性结合在一起.
借助此服务,您可以使用一个集中式解决方案,从云中交付和管理内部部署的虚拟桌面和应用程序.
HorizonCloudService管理控制台HorizonCloudService管理控制台通过一个易于使用、基于Web的控制台,为桌面和远程桌面会话主机(RemoteDesktopSessionHost,RDSH)提供完整的生命周期管理.
组织可以通过这个集中式的HorizonCloudService管理控制台来安全地置备和管理桌面模型和授权,以及本机和远程应用程序.
管理控制台还为各种用户、管理和容量管理活动提供了使用情况和活动报告.
服务模型HorizonCloudService软件包采用标准大小,可以对其进行配置以满足性能要求.
您可以根据需要混合和匹配桌面预留容量,以适应企业需求.
服务说明《服务说明:VMwareHorizonCloudServiceonIBMCloud》文档详细介绍了组件、定义和服务功能.
其中包括有关许可、管理和用户门户、服务产品以及HorizonCloudServiceonIBMCloud平台中所包含功能的信息.
有关HorizonCloudService的详细信息,请参阅本文档.
系统架构本主题简要介绍了HorizonCloudServiceonIBMCloud系统.
HorizonCloudServiceonIBMCloud包含以下主要组件:组件描述映像(也称为映像模板)可用来在HorizonCloudService基础架构中创建桌面或应用程序分配的桌面或RDSH服务器映像.
通常用作克隆虚拟机(VirtualMachine,VM)的基础映像.
VMwareHorizonClient安装在桌面、瘦客户端、移动设备或平板电脑上的基于软件的客户端,有助于连接到HorizonCloudService托管的桌面和应用程序.
HorizonCloudService租户设备一种强化的Linux设备,可提供桌面和应用程序代理、置备和授权服务.
它托管最终用户和管理门户.
HorizonCloudService托管的虚拟桌面在HorizonCloudService中托管的虚拟化和优化桌面.
虚拟桌面支持单个连接,可向最终用户提供功能齐全的桌面.
HorizonCloudService代理安装在虚拟桌面上,以支持来自HorizonClient的连接.
HorizonCloudService托管的RDSH一种基于服务器的模型,它使用Microsoft远程桌面服务和VMwareHorizon技术在HorizonCloudService中提供应用程序和共享的完整桌面.
与每个虚拟桌面的单个连接相比,RDSH服务器可以支持来自不同用户的多个桌面和应用程序会话.
HorizonCloudService代理安装在RDSH服务器上,以支持来自HorizonClient的连接.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
8组件描述桌面和服务子网为允许桌面、应用程序和管理连接而分配的唯一IP子网.
"桌面区域"将桌面子网用于虚拟桌面和RDSH服务器.
"服务区域"将服务子网用于租户设备和其他实用程序服务.
HorizonCloudService用户门户一个基于Web的门户,它通过HTML5向用户提供对HorizonCloudService桌面和应用程序的无客户端访问.
HorizonCloudService管理控制台一个基于Web的门户,IT管理员使用它来置备和管理HorizonCloudService桌面和应用程序、资源授权及映像.
EdgeGateway一种网关,可提供网络边缘安全和网关服务以隔离安全区域和虚拟化网络以及NAT、DHCP、VPN和负载平衡器.
VMwareUnifiedAccessGateway一种强化的Linux设备,允许在HorizonCloudService环境中进行安全的远程访问,是安全区域(适用于外部HorizonCloudService访问)和服务区域(适用于内部HorizonCloudService访问)的一部分.
有关其他术语和概念,请联机参阅《VMware技术出版物术语表》.
了解区域HorizonCloudServiceonIBMCloud建立了一些区域来根据功能分隔不同资源.
HorizonCloudService具有三个区域.
每个区域对于每个HorizonCloudService部署而言都是唯一的,并且不共享.
区域描述安全区域外部UnifiedAccessGateway设备所在的DMZ.
它有助于对HorizonCloudService租户环境进行安全的远程访问.
服务区域托管HorizonCloudService的位置,包括租户设备、实用程序服务器和内部UnifiedAccessGateway设备.
桌面区域托管桌面和RDSH服务器的区域.
管理HorizonCloudService环境您可以在HorizonCloudService中执行各种管理任务.
n您可以通过HorizonCloudService管理控制台置备桌面及RDSH桌面和应用程序.
n您可以通过Web界面配置双因素身份验证和ActiveDirectory的设置、管理桌面和应用程序授权、部署和更新即时克隆映像和传统克隆映像、监控和观察系统和桌面的运行状况,以及获取使用情况报告和管理任务报告.
有关更多信息,请参阅《HorizonCloudServiceonIBMCloud管理指南》.
管理桌面和RDSH服务器映像为确保获得最佳的用户体验,请使用已正确配置并优化的桌面和RDSH映像.
对于HorizonCloudService,您既可以使用自己的映像,也可以使用由VMwareHorizonCloudService团队提供的映像.
n将映像上载到租户平台.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
9n您可以完成应用程序安装、调整和优化映像、进行更新,等等.
n映像准备就绪后,可将其转换为映像模板.
n您可以在HorizonCloudService中将此映像模板用于桌面和应用程序分配.
当映像需要更新时,您可以更新现有的映像模板,也可以上载新的映像.
要更新已部署的桌面和RDSH服务器,您需要将一个新映像与桌面或远程应用程序分配相关联.
有关更多信息,请参阅第7章映像管理策略.
连接到HorizonCloudService桌面和应用程序HorizonCloudService用户可以从移动设备、平板电脑、瘦客户端或传统的Mac和PC计算设备,以及Web浏览器连接到桌面和应用程序.
用户还可以启动HorizonClient并通过UnifiedAccessGateway安全地连接到桌面或应用程序.
用户可以通过以下两种方式连接到UnifiedAccessGateway:企业与HorizonCloudService的连接,或由HorizonCloudService托管的Internet连接.
完成单因素或双因素身份验证后,您会看到授权应用程序和桌面的列表.
单击资源,然后使用BlastExtreme或PCoIP显示协议进行连接.
如果设备中没有HorizonClient,或者您需要快速访问应用程序和桌面,则可以使用Web浏览器通过相同的内部连接或Internet连接方法连接到HorizonCloudService用户门户.
安全登录后,您可以选择使用基于HTML5的VMware客户端启动桌面和应用程序.
连接到企业资源关于如何连接到包含企业应用程序和数据的现有数据中心或网络,HorizonCloudServiceonIBMCloud提供了多种方法.
在设置过程中,您可以选择不同的连接类型和速度,包括VPN、专用连接、MPLS或网络交换.
您还可以将HorizonCloudService环境与企业网络完全隔离.
当用户从虚拟桌面或者RDSH桌面或应用程序请求访问企业资源时,网络流量将遍历HorizonCloudService数据中心与企业数据中心之间的预配置连接.
有些资源(如用户配置文件或用户配置)在HorizonCloudService租户中托管时会得到更好的服务.
位于"服务"区域的实用程序服务器是一种基于Windows的服务器,可为支持HorizonCloudService基础架构的服务提供资源.
除了提供用户配置文件和用户配置数据之外,还可以将实用程序服务器配置为提供ActiveDirectory、VMwareUserEnvironmentManager、DHCP、DNS和文件服务.
某些服务可能需要购买额外的存储.
下图展示了一个在最终用户、环境和HorizonCloudService之间存在网络连接的典型HorizonCloudServiceonIBMCloud部署.
您可以选择是允许最终用户通过Internet访问其托管在云端的虚拟桌面,还是仅允许其通过企业网络进行访问.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
10图2-2.
典型的HorizonCloudServiceonIBMCloud部署模型HorizonCloudonIBMCloud19.
1部署VMware,Inc.
11选择战略性网络选项3本节将重点介绍适用于HorizonCloudServiceonIBMCloud的网络连接选项,并将简要介绍网络架构及相关要求.
其中包含在实施HorizonCloudServiceonIBMCloud期间获得网络、安全和其他基础架构利益相关者批准所需的信息.
n示例中使用了虚构名称,MYCOMPANY.
n并非所有部分都完全适用于您的部署.
已明确标记可选部分.
如果您对订单详情有疑问,请查阅HorizonCloud设置Web表单,或者咨询VMware或VMware的增值经销商.
本章讨论了以下主题:n开始之前:决策和职责n防火墙和端口必备条件n带宽注意事项nVPN和DirectConnectn了解VPNn了解DirectConnectn拆分DNSn租户网络基础架构示例n其他注意事项开始之前:决策和职责一个成功且得当的部署离不开参与HorizonCloudService的各个团队之间的良好沟通,这样他们在部署之前、部署过程中以及部署之后才能密切协作.
在确定最适合您部署的配置选项时,需注意一些事项.
需与多方的利益相关者和主题专家协作,以找到最佳选择.
VMware,Inc.
12您的决定规划HorizonCloudService部署时,请准备回答以下问题.
n是否要将云托管的桌面和托管的应用程序与我的环境进行集成,以使用现有的目录、文件、应用程序和打印服务n如果是,我该如何定向用户Internet相关的桌面流量通过VMware数据中心通过组织的网络n如果是,那么为了访问这些资源,必须要有多少流量通过虚拟桌面和托管应用程序与组织网络之间的连接IPsecVPN是否足够或者我是否需要专用连接,例如MPLS是否需要对连接进行手动或自动故障切换n如果不是,需要使用哪种基础架构来支持我的用例,我应将其放在何处是否需要目录、文件和应用程序服务能否将所需的所有内容放在HorizonCloudService租户中或者我是否需要IaaS租户n我是否希望员工能够从组织网络外部访问其桌面吗n如果是,那么是要使用自定义URL还是VMware提供的URL是否要使用desktop.
mycompany.
com或者是否要使用mycompany.
horizon.
vmware.
com注有关桌面子网和IP地址的问题,请参阅子网注意事项.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
13您的职责请务必了解您的职责包含哪些方面,以及哪些职责由您的团队和VMware团队共同承担.
部署HorizonCloudServiceonIBMCloud可以划分为几个基本的职责区域,如下表所示.
阶段职责区域项目启动您的SME与VMware:n召开会议(您的领导和VMware领导)n包括您团队中的桌面管理器、桌面工程、安全和网络SMEn查看和讨论置备要求n使用"HorizonCloud设置"Web表单收集信息n通过VMware提供的模板建立成功标准n规划后续工作容量订购VMware:n从数据中心基础架构订购租户容量n为HorizonCloudServiceonIBMCloud配置容量网络设置VMware:n建立VPN和DirectConnect配置和访问n配置DHCP、DNS、VPN和DirectConnect您的SME:n配置DHCP、ActiveDirectory和DNSn提供SSL证书n提供VPN和DirectConnect信息租户设置VMware:n设置HorizonCloudServiceonIBMCloudn配置存储n设置UnifiedAccessGatewayn安装租户设备n设置标准桌面容量网络互连VMware:n安装SSL证书您的SME与VMware:n测试和验证连接VMware:n提供HorizonCloudService管理控制台URLn提供初始映像模板您的SME:n执行ActiveDirectory注册n执行后期测试(可选)并安装您的应用程序最终设置和测试您的SME:n将应用程序安装到VMware提供的初始映像模板中VMware:n导入初始映像模板并将其移动到租户HorizonCloudonIBMCloud19.
1部署VMware,Inc.
14阶段职责区域您的SME:n创建映像n创建分配n分配测试桌面并进行验证VMware:n传授知识n建立支持完成您的SME与VMware:n同意设置已完成nVMware提供高级载入服务(可选)n验证是否满足所有标准您的职责确保协议所需的所有内部和外部网络流量端口均已启用(请参阅防火墙和端口必备条件).
如果选择在该配置中部署IPsecVPN隧道,则您还需要负责配置组织一端.
如果部署了专用连接、MPLS或网络交换,则您需要负责与首选的运营商或电信提供商合作,以建立到VMware数据中心的连接.
VMware职责根据您选择的网络连接选项,VMware将为您提供成功所需的信息.
nIPsecVPN–VMware将提供建立IPsec隧道所需的信息,并负责配置VPNIPsec隧道的VMware一端.
n专用连接、MPLS、网络交换或现有机架–VMware将在VMware数据中心配置网络服务提供商与网络设备和HorizonCloudService租户之间的相互连接.
您必须从VMware购买"使用交叉连接的DirectConnect"选项和"使用网络交换的DirectConnect"选项.
对于所有连接类型,VMware将与您一起执行必要的网络测试,以确保成功连接.
n孤立租户–如果您部署孤立租户而不将VMware和基础架构进行集成,VMware将提供一个实用程序服务器以用作ActiveDirectory、DNS和DHCP服务器.
为了正常运行,云托管的桌面要求在租户中部署ActiveDirectory域控制器和支持服务.
防火墙和端口必备条件本节列出了用于成功连接到HorizonCloudService环境的端口.
打开的防火墙端口涵盖了进出端点设备、租户设备和VMwareUnifiedAccessGateway的所有远程连接.
根据您的ActiveDirectory设计,您可能还需要其他端口.
请与您的HorizonCloudService代表确认此信息是否适用于您的环境.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
15本地连接要成功连接到HorizonCloudService,请在IPsecVPN、专用连接、MPLS、网络交换或现有机架中允许使用下表中列出的端口.
源目标使用的端口描述HorizonCloudService您的ActiveDirectory基础架构TCP/389UDP/389在HorizonClientVMwareHorizonCloudService用户门户和VMwareHorizonCloudService管理控制台中使用LDAP或LDAPSASLGSSAPI对用户进行身份验证,以实现安全身份验证.
为提高性能,将在租户基础架构中缓存已配置的用户组及其成员.
HorizonCloudService您的ActiveDirectory基础架构TCP/3268执行ActiveDirectory全局目录查找和搜索HorizonCloudService您的ActiveDirectory基础架构TCP/88UDP/88用于Kerberos身份验证HorizonCloudService您的DNSTCP/53UDP/53用于DNSHorizonCloudService您的DHCP或DHCP中继服务器UDP/67UDP/68用于DHCP和DHCP中继HorizonCloudServiceRSA身份验证管理器UDP/5500当租户使用SecurID时,与RSA身份验证管理器进行通信.
该身份验证管理器可以与租户设备位于不同的数据中心中.
用于故障切换的高可用性身份验证管理器还可以位于远程位置.
HorizonCloudService您的RADIUS服务器UDP/1812UDP/1813当租户使用RADIUS时,与基于RADIUS的身份验证进行通信您的站点和端点设备HorizonCloudServiceTCP/8443UDP/8443用于BlastExtreme您的站点和端点设备HorizonCloudServiceTCP/443UDP/443用于BlastExtreme您的站点和端点设备HorizonCloudServiceTCP/4172UDP/4172用于PCoIPHorizonCloudonIBMCloud19.
1部署VMware,Inc.
16源目标使用的端口描述您的站点和端点设备HorizonCloudServiceTCP/80TCP/443访问VMwareHorizonCloudService用户门户和VMwareHorizonCloudService管理控制台.
本机HorizonClient最初还会使用该端口来连接到HorizonCloudService资源.
如果启用了远程访问,则用户门户必须可以公开访问.
端口80将重定向到端口443.
您的站点和端点设备HorizonCloudServiceTCP/443用于在管理控制台中进行门户访问远程连接要成功从公共(Internet)位置连接到虚拟桌面或应用程序,请允许使用下表中列出的端口.
源目标使用的端口描述您的站点和端点设备HorizonCloudServiceTCP/8443UDP/8443用于BlastExtreme您的站点和端点设备HorizonCloudServiceTCP/443UDP/443用于BlastExtreme您的站点和端点设备HorizonCloudServiceTCP/4172UDP/4172用于PCoIP您的站点和端点设备HorizonCloudServiceTCP/80、TCP/443访问VMwareHorizonCloudService用户门户和VMwareHorizonCloudService管理控制台.
本机HorizonClient最初还会使用该端口来连接到HorizonCloudService资源.
如果启用了远程访问,则用户门户必须可以公开访问.
端口80将重定向到端口443.
您的站点和端点设备HorizonCloudServiceTCP/443用于在管理控制台中进行门户访问端点操作系统防火墙端口如果您拥有基于端点的防火墙解决方案,为确保在虚拟桌面或远程桌面会话主机(RDSH)服务器上打开下表中列出的端口以成功进行连接.
源目标使用的端口描述HorizonCloudService桌面或RDSH服务器TCP/22443UDP/22443用于BlastExtremeHorizonCloudService桌面或RDSH服务器TCP/32111用于USBHorizonCloudService桌面或RDSH服务器TCP/9427用于客户端驱动器重定向(ClientDriveRedirection,CDR)和多媒体重定向(MultimediaRedirection,MMR)HorizonCloudService桌面或RDSH服务器TCP/4172UDP/4172用于PCoIPHorizonCloudonIBMCloud19.
1部署VMware,Inc.
17带宽注意事项在提供良好用户体验方面遇到的挑战包括延迟、协议选择、距离、带宽和连接中断.
选择网络解决方案时,请考虑以下因素.
项目描述组织的要求每个组织的要求各不相同.
请评估组织的需求,例如按预的计算任务和工作负载类型、图形强度、用户位置、所用的外围设备,以及每类用户的带宽平均使用情况.
带宽消耗网络带宽会受多个因素的影响,包括所选的协议、显示器分辨率和配置,以及工作负载中多媒体内容所占的比重.
并发启动经过流式处理的应用程序也可能导致出现利用率峰值.
由于各个因素产生的影响有很大差异,因此很多组织都将监视带宽消耗作为试运行项目的一部分.
连接时所需的流量考虑访问组织的应用程序、文件服务器和进行身份验证所需的流量.
CPU和RAM饱和度检查用于连接HorizonCloudService的物理网络设备,以了解当前的CPU和RAM饱和度以及可用吞吐量.
较旧的设备可能无法同时满足快速、加密和多隧道等要求.
带宽部署HorizonCloudService并利用HorizonCloudService提供的Internet连接时,需要保证达到特定的网络带宽量(即峰值带宽),而此带宽量取决于部署的桌面的数量和模型.
这是为了满足从HorizonCloudService连接到Internet的部分需求而分配的带宽.
有关更多信息,请参阅服务说明:VMwareHorizonCloudServiceonIBMCloud.
网络和应用程序评估为确保成功部署HorizonCloudService,请执行全面的网络和应用程序评估,以确定既能支持所需带宽又能满足延迟和数据包丢失要求的配置.
评估中应包含端到端网络间的所有活动应用程序流量,以确保即使在出现网络拥堵时,也会有足够的最小带宽可用.
PCoIP和BlastExtreme中提供的优化控制如果采用VMware的PCoIP或BlastExtreme显示协议,可以对诸多影响网络带宽使用的因素进行调整.
有关更多信息,请参阅VMwareHorizon文档中的"PCoIP常规设置"和"VMwareBlast策略设置"部分.
VPN和DirectConnect在部署HorizonCloudService之前,请确定要实施的网络连接类型.
网络连接可为HorizonCloudService桌面和RDSH服务器提供对数据中心和网络中应用程序和数据的访问权限.
此外,它还为网络内部和外部用户提供一种连接到HorizonCloudService桌面和应用程序资源的途径.
务必让必须参与管理和网络连接的人员具备相应的技能,以应对以下注意事项并有效促进HorizonCloudService与环境的集成.
下图显示了使用IPsecVPN和DirectConnect的网络访问选项,该选项可以是专用连接、MPLS、网络交换或机架.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
18图3-1.
HorizonCloudServiceonIBMCloud部署的访问策略从Internet访问HorizonCloudServiceHorizonCloudService支持直接通过Internet访问HorizonCloudServiceonIBMCloud桌面和RDSH应用程序,而无需先通过组织的基础架构.
对于在家或其他远程位置工作的用户来说,这种类型的连接尤为方便.
可以使用RSASecurID或符合RADIUS标准的双因素身份验证解决方案来保护连接.
基于Internet的连接是标准HorizonCloudService产品的一部分.
选择理想的网络连接类型在两个主要连接选项之间进行选择时,请咨询HorizonCloudService团队.
这种选择取决于环境中的多个变量,包括桌面、RDSH服务器的数量以及网络连接上发生的流量类型,如下所示:nIPsecVPN–IPsecVPN可用于多种方案,但其最大带宽为1GB,因此VPN往往在较小的实施中使用.
n专用连接、MPLS或网络交换–对于涉及到使用较大数量的桌面和RDSH服务器以及高负荷使用(例如多个用户同时访问平台,访问多个应用程序或者执行大型文件传输)的情况,通常建议使用专用连接、MPLSDirectConnect或网络交换.
注两个选项之间的故障排除难易程度有所不同.
对IPsecVPN进行故障排除可能会非常困难,因为IPsecVPN是在公共Internet上运行的.
在对专用连接、MPLSDirectConnect或网络交换进行故障排除时,端到端的线路归您所有,因此可致电给提供商来解决问题.
了解VPN在设置与HorizonCloudService的网络连接时,应考虑到VPN、路由器硬件和IPsec配置.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
19通过站点到站点IPsecVPN发送流量站点到站点IPsecVPN通过公共Internet相互连接不同的网络.
例如,分支机构网络可以通过站点到站点VPN连接到总部网络.
网络上的每个站点均配有VPN网关,例如路由器、防火墙、VPN连接器或安全设备.
设置从远程网络到HorizonCloudService的IPsecVPN连接是最常见的方案,因为建立IPsecVPN遂道相对简单,而且所需的时间也比较短.
使用IPsecVPN时,由于EdgeGateway的限制,其最大带宽约为1Gbps.
站点到站点IPsecVPN隧道包括在HorizonCloudService实例和您的组织站点之间建立加密的逻辑点到点连接.
这些连接可提供对组织数据中心服务(如业务应用程序、ActiveDirectory、DNS和DHCP服务器)的安全访问.
它们还提供对源自组织网络的协议流量的安全访问.
设置从远程网络到HorizonCloudService的IPsecVPN连接时,请记住以下几点:项目描述延迟峰值IPsecVPN隧道是通过公共Internet构建的,它会受到公共Internet连接上拥塞或其他可能会增加延迟的网络相关常见问题的影响.
由公共Internet导致的延迟峰值不在企业和VMware的控制范围.
设置设置IPsecVPN时,出于性能原因,建议使用路由器硬件来管理VPN.
不建议使用WindowsServer设置VPN.
支持多个VPN连接,但它们不能具有相同的源和目标列表,因为EdgeGateway无法确定要将流量路由到哪个IPsec隧道.
冗余可以选择通过合并两个IPsecVPN来实现冗余,但不支持绑定VPN.
将第一个VPN设置为活动状态后,辅助VPN将处于禁用状态.
HorizonCloudService不会为VPN提供自动故障切换.
如果发生故障,则必须手动对VPN进行故障切换.
"HorizonCloud设置"Web表单在VPN设置过程中,您可以在"HorizonCloud设置"Web表单中提供相关信息,包括路由器供应商、路由器型号和端点IP地址.
VMware提供了HorizonCloudService租户的端点IP地址,用于建立IPsecVPN隧道.
此IP地址将在HorizonCloudService部署期间提供.
子网您必须提供在VPN连接上允许的子网,通常称为受保护的网络列表或源和目标列表.
该列表定义了可以通过VPN从网络中访问虚拟桌面和RDSH托管应用程序的内部网络,以及虚拟桌面和RDSH托管应用程序能够通过VPN访问网络中不同服务的内容.
网络路由对于基于VPN的HorizonCloudService连接,将在VPN对等进程中配置静态路由.
如果出现其他网络路由要求,请打开VMware支持票证以添加网络.
IPsecVPN参数如果您选择在您的网络和VMware数据中心之间设置站点到站点VPN,请参阅"HorizonCloud设置"Web表单中列出的必需和可选的IPsecVPN协议和参数.
对于IPsecVPN,HorizonCloudService会使用EdgeGateway,这是一个虚拟设备,可提供额外的安全选项和功能.
EdgeGateway支持阶段1的"主模式"和阶段2的"快速模式".
有关这些术语的说明,请咨询您的网络工程师或查阅《VMwareNSX管理指南》.
下表列出了要在每个阶段使用的协议和参数.
您必须在网络上为每个阶段设置与HorizonCloudService相同的协议和参数.
例如,在阶段1中使用ISAKMP参数,在阶段2中使用IKE参数,为身份验证及MODP组2使用Oakley协议.
所有这些参数均是必需参数.
在升级到EdgeGateway时,阶段2中用于重新生成秘钥的完全向前保密(PerfectForwardSecrecy,PFS)是可选的.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
20协议和参数阶段1阶段2哈希(SHA或MD5)SHA1SHA1身份验证模式主模式快速模式加密AES、AES256、三重DES、AES-GCMAES、AES256、三重DES、AES-GCMDiffie-Hellman组(2、5、14、15或16)22封装(AH或ESP)不适用ESP生命周期288003600完全向前保密不适用适用.
共享密钥的要求:可以由您自行提供共享密钥,或者由HorizonCloudService生成随机的共享密钥,以供在两端使用.
n介于32到128个字符之间n至少1个大写字符n至少1个小写字符n至少1个数字n无特殊字符注有些IPsecVPN参数(如安全关联(SecurityAssociation,SA)生命周期定时器,该参数用于定义给定隧道用于加密数据的生命周期)不能在EdgeGateway中进行更改.
必须在租户设备上将这些参数更改为与EdgeGateway中的相应参数匹配.
部署过程共有两个阶段,而阶段1和阶段2中都包含SA生命周期定时器.
当SA定时器到期时,它会重新协商两端的身份验证.
但是,EdgeGateway不会重新对流量进行身份验证,而是仅重新对生命周期定时器计进行身份验证.
因此,如果租户端的定时器未设置为与HorizonCloudService端的定时器相匹配,可能会导致VPN遂道出现问题.
VPN连接选项使用VPN从企业连接到HorizonCloudService时,您有多种连接选项可供选择.
一个选项(称为孤立租户)不使用专用VPN或者到企业的永久连接.
其他两个选项将突出显示可用于客户机内置Internet和用户流量的不同路由配置,具体取决于您希望如何利用VPN连接.
此过程中的一个关键考虑因素是选择如何从HorizonCloudService桌面和应用程序路由Internet流量:通过HorizonCloudService提供的Internet连接或通过您自己的网络.
连接选项1:孤立租户(无VPN)最快、最轻松部署HorizonCloudService的方法是设置孤立租户.
如下图所示,所有协议和客户机内流量都会通过HorizonCloudService网关流入HorizonCloudService租户.
客户网络与HorizonCloudService租户之间不存在连接.
所有桌面用户、已发布的应用程序和RDSH服务器都通过Internet进行连接.
有关孤立租户适用用例的更多信息,请参阅选择集成或隔离的ActiveDirectory.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
21图3-2.
隔离的孤立租户部署模型HorizonCloudonIBMCloud19.
1部署VMware,Inc.
22连接选项2:使用HorizonCloudServiceInternet连接的VPN对于HorizonCloudService部署,最为常用的连接方法是在组织的网络和HorizonCloudService租户之间配置一个VPN.
这种方法非常类似于构建一个分支机构环境.
该选项通过HorizonCloudService网关向外路由用户桌面的Internet相关流量,而所有客户机内流量(如桌面应用程序、身份验证、DHCP和DNS)都会通过VPN进入组织的网络.
此外,您还可以选择是允许所有用户均通过Internet进行连接,还是仅允许本地用户通过VPN连接,而外部用户通过Internet连接到HorizonCloudService桌面和RDSH服务器.
如下图所示,外部用户在连接到桌面和RDSH服务器时所产生的协议流量也会通过HorizonCloudService网关流入UnifiedAccessGateway.
在您连接到HorizonCloudService环境时,UnifiedAccessGateway将充当安全代理,并通过代理传递HorizonCloudService与安全区域之间来往的流量.
用户从组织网络进行连接时所产生的协议流量有两种配置方式:可将其配置为通过Internet进行连接,或者配置为通过VPN访问桌面和RDSH服务器.
内部用户还可以通过位于内部受信任区域中的UnifiedAccessGateway进行连接.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
23图3-3.
使用Internet流量的VPNHorizonCloudonIBMCloud19.
1部署VMware,Inc.
24连接选项3:使用流经组织网关的Internet绑定流量的VPN该选项会将所有用户Internet相关的流量和客户机内流量通过VPN路由到组织的网络.
您将能够允许所有用户均通过Internet、VPN或二者的组合来连接到HorizonCloudService.
所有客户机内流量(如桌面应用程序、身份验证、DHCP和DNS)以及Internet相关的桌面流量都将通过VPN流过组织的网关.
然后,可以通过设定的任何Web筛选设置对Internet相关的流量进行筛选.
外部用户在连接到桌面和RDSH服务器时所产生的协议流量会流经HorizonCloudService网关,而该网关会提供通过Internet进行访问的权限.
如下图所示,该选项不仅可是以增加流经VPN的流量,而且还提供了全面了解和控制用户和桌面活动的业务优势.
为确保实现最高级别的安全性和法规遵从性,此配置还提供了其他选项.
注在迁移到DirectConnect配置时,不能直接使用该选项.
如果您预计会超出可用的VPN带宽,请咨询您的HorizonCloudService代表,以充分了解适用选项和注意事项.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
25图3-4.
使用流经组织网关的桌面Internet流量的VPNHorizonCloudonIBMCloud19.
1部署VMware,Inc.
26了解DirectConnectDirectConnect允许您通过位于同一数据中心的专用连接、MPLS、网络交换或您自己的网络设备与HorizonCloudService租户建立端到端的专用连接.
在将数据中心和服务(如业务应用程序、ActiveDirectory、DNS和DHCP服务器)扩展到HorizonCloudService时,HorizonCloudService提供一个1GB或10GB端口.
通过DirectConnect,您可以按照与网络服务提供商签订的合同,完全控制从数据中心到VMware数据中心的连接.
下表中显示了支持的DirectConnect选项.
选项说明使用交叉连接的DirectConnect-1GB或10GB"使用交叉连接的DirectConnect"与位于同一数据中心的专用连接、MPLS或您自己的网络设备一起使用.
使用网络交换的DirectConnect-1GB或10GB在连接到网络或云交换(如EquinixCloudExchange)时使用"使用网络交换的DirectConnect".
DirectConnect选项的区域所有权归属如下图所示,在典型的HorizonCloudServiceonIBMCloud部署中,对DirectConnect选项各个区域的所有权归属进行了划分.
MeetMeRoom是外部连接进入数据中心的分界点,例如,可通过外部专用连接、MPLS线路或网络交换与HorizonCloudService网络进行连接.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
27图3-5.
区域的所有权归属通过专用连接或MPLSDirectConnectVPN发送流量当数据从一个网络节点传输到下一个网络节点时,专用连接或MPLS将路由通信网络中的流量.
与创建站点到站点的IPsecVPN连接的成本相比,构建MPLSDirectConnectVPN隧道的成本更高,但同时也具有一些优势.
MPLSDirectConnect线路不与其他人共享,就像通过Internet路由的连接一样,因此它们不受公共Internet上可能出现的中断的影响.
DirectConnect提供商将提供承诺的带宽和服务级别协议.
服务的成本取决于您选择的选项以及所需的专用带宽.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
28通过网络交换发送流量网络交换(也称为云交换)是一种通过结合使用首选网络服务提供商与使用安全、高吞吐量、低延迟连接的云服务提供商(如HorizonCloudService),来连接专用网络的服务.
网络交换的成本通常低于创建MPLSDirectConnectVPN隧道的成本,大多数情况下,网络交换可以在数小时内激活,这减少了将HorizonCloudService连接到组织的站点所需的总时间.
HorizonCloudService将EquinixCloudExchange作为网络交换选项提供.
连接同一数据中心中的现有机架如果您的IT资源和服务已经并置在与HorizonCloudService相同的数据中心,则可以将现有环境连接到HorizonCloudService租户.
DirectConnect连接选项有多个DirectConnect连接选项可供您选择,这些选项可根据您的配置,为组织的企业数据和用户数据流量提供所需的额外带宽和控制.
除了带宽要求外,另一个重点注意事项是选择如何路由来自HorizonCloudService桌面和应用程序的Internet流量:通过HorizonCloudService提供的Internet连接或通过到自己网络的DirectConnect.
与您的HorizonCloudService团队协作,选出最符合您组织需求的DirectConnect选项.
DirectConnect选项1:使用HorizonCloudServiceInternet连接的DirectConnect与VPN选项2类似,该选项使用HorizonCloudService网关路由Internet相关的桌面流量,使用DirectConnect路由客户机内流量.
如果您有大量需使用DirectConnect的客户机内应用程序流量,并且希望利用为您租户提供的VMwareInternet带宽,则该选项是非常好的选择.
如图7中所示,所有客户机内流量(如桌面应用程序、身份验证、DHCP和DNS)都将通过DirectConnect流入组织的网络.
流向Internet的桌面和RDSH服务器流量将通过HorizonCloudService网关向外发送.
外部用户在连接到桌面和RDSH服务器时所产生的协议流量也会通过HorizonCloudService网关流入UnifiedAccessGateway.
在您连接到HorizonCloudService环境时,UnifiedAccessGateway将充当安全代理,并通过代理传递HorizonCloudService与安全区域之间来往的流量.
用户从组织网络进行连接时所产生的协议流量有两种配置方式:可将其配置为通过Internet进行连接,或者配置为通过DirectConnect访问桌面和RDSH服务器.
内部用户还可以通过位于内部受信任区域中的UnifiedAccessGateway进行连接.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
29图3-6.
使用HorizonCloudServiceInternet连接进行连接HorizonCloudonIBMCloud19.
1部署VMware,Inc.
30DirectConnect选项2:通过公司拥有的Internet网关使用Internet的DirectConnect如果您要求所有客户机内流量和Internet相关的桌面流量均通过DirectConnect流经公司拥有的Internet网关,而且还要求用户能够通过Internet进行连接,那么该DirectConnect路由配置是一个不错的选择.
流向Internet的桌面流量必须使用您提供的代理程序或通过组策略配置来进行管理,因为任何桌面流量都不会流过VMware网关.
如下图所示,外部用户协议流量会流经HorizonCloudService网关以提供对桌面和应用程序的访问,而所有客户机内流量和Internet相关的桌面流量都将通过DirectConnect流入组织的数据中心.
该选项的优势在于可以全面了解和控制用户和桌面活动.
但是,该选项会阻止用户通过远程方式连接到环境,因此可能会给路由从Internet流入的协议流量带来巨大的挑战.
如果您正在考虑该选项,请咨询您的HorizonCloudService代表,以充分了解相关的注意事项.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
31图3-7.
通过组织的Internet网关进行连接HorizonCloudonIBMCloud19.
1部署VMware,Inc.
32DirectConnect选项3:不通过HorizonCloudService网关进行任何Internet连接在该选项中,将按以下方式配置路由:所有与HorizonCloudService桌面的连接都通过DirectConnect进行,且不通过HorizonCloudService网关进行任何Internet连接.
此选项的优势在于可以全面了解和控制所有的协议、用户和桌面活动,进而确保实现最高级别的安全性和法规遵从性.
如果您要求所有用户均通过组织的网络连接到HorizonCloudService,则该选项非常适用.
如下图所示,该选项将禁用HorizonCloudService网关,使用户在技术上无法通过Internet从外部连接到HorizonCloudService.
所有流量(包括协议流量、客户机内流量和Internet相关的桌面流量)都将通过DirectConnect流经公司拥有的Internet网关.
要连接到HorizonCloudService,用户必须位于组织的网络上,或者通过组织的VPN进行远程连接.
对于通过组织的VPN进行连接的最终用户,需要在组织的VPN中打开下图中的端口.
这些端口将被视为与HorizonCloudService的内部连接.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
33图3-8.
不通过HorizonCloudService进行任何Internet连接HorizonCloudonIBMCloud19.
1部署VMware,Inc.
34DirectConnect设置本主题将介绍DirectConnect的设置过程.
设置DirectConnect时,请与您的电信服务提供商合作,建立与HorizonCloudService数据中心的连接,然后通过在NSP路由器与EdgeGateway之间建立连接,连接到您的HorizonCloudService租户.
HorizonCloudService团队会协助您建立此连接.
您必须填写"VMwareDirectConnect信息采集"表单才能建立此连接.
此表单会请求您提供所需的基本信息,例如网络管理员联系方式、电信服务提供商、连接类型和线路ID.
使用DirectConnect时,您必须提供至少具有两个地址(/30)的网络子网,以便在运营商终端和HorizonCloudService之间使用,并建立与EdgeGateway的连接.
此外,您还必须提供"授权书–客户设备请求"(LetterofAuthorization–CustomerFacilityRequest,LOA-CFA)(通常由您的电信服务提供商提供给VMware),以便在NSP路由器和HorizonCloudService环境之间通过交叉连接或网络交换建立连接.
LOA-CFA通常会提供机柜、修补程序面板和端口号等信息.
HorizonCloudService虽然支持多个DirectConnect连接,但是不支持对这些连接进行负载平衡.
要通过DirectConnect和自动故障切换部署冗余连接,需要实施相应的网络路由.
有关更多信息,请参阅网络路由.
网络路由HorizonCloudService同时支持静态路由和动态路由,允许流量在HorizonCloudService和内部网段之间传输.
对于专用连接、MPLS或基于网络交换的连接,动态路由功能通过边界网关协议(BorderGatewayProtocol,BGP)(一种用于在Internet上的系统之间交换路由信息的标准化外部协议)来提供.
通过外部BGP(eBGP)(一种用于在自治系统之间进行通信的BGP扩展)进行的动态路由允许将路由更改自动传播到HorizonCloudService.
将eBGP与适当的路径属性一起使用时,例如使用本地首选项或权重的本地路径操作,以及远程路径操作(如多出口区分(Multi-Exit-Discriminator,MED)),您可以选择将哪个冗余链路设为活动状态.
该协议还可以确保系统支持在多个专用连接、MPLS或网络交换连接之间进行自动故障切换.
您需要将BGP自治系统编号分配给HorizonCloudService路由器,该编号通常是65xxx范围中的一个专用号码.
如果无法支持BGP路由,则可以使用静态路由.
拆分DNS当用户从网络内部和外部进行连接时,拆分DNS是访问HorizonCloudService环境的首选方法.
通过使用拆分DNS,本地网络上的用户可以通过内部网络连接到专用IP地址,外部用户可以使用相同的URL连接到公用IP地址.
此方法不需要使用两个URL(一个用于内部,另一个用于外部),简化了最终用户访问.
设置拆分DNS时,将创建一个新主机(A记录),该主机指向内部DNS服务器上特定DNS正向查找区域中的内部UnifiedAccessGateway的虚拟IP.
DNS正向查找区域基于您当前的DNS配置.
如果内部DNS名称与外部相同,可在正向查找区域中创建A记录.
如果内部DNS名称与外部不相同,或者如果您使用的是HorizonCloudServiceURL,则可以使用与外部完全限定域名匹配的正向查找创建DNS存根区域.
然后在正向查找区域中创建A记录.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
35租户网络基础架构示例下图展示了两个与HorizonCloudService的网络连接选项:一是没有VPN连接的孤立租户,另一个是通过VPN连接到您内部部署数据中心的租户.
下图中还引入了HorizonCloudService租户设备和UnifiedAccessGateway设备,以及实用程序服务器.
图3-9.
租户网络基础架构示例了解区域HorizonCloudServiceonIBMCloud建立了一些区域来根据功能分隔不同资源.
HorizonCloudService具有三个区域.
每个区域对于每个HorizonCloudService部署而言都是唯一的,并且不共享.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
36区域描述安全区域外部UnifiedAccessGateway设备所在的隔离安全区域(DMZ).
它有助于对HorizonCloudService租户环境进行安全的远程访问.
服务区域托管HorizonCloudService的区域,其中包括租户设备、实用程序服务器和内部UnifiedAccessGateway设备桌面区域托管桌面和RDSH服务器的区域HorizonCloudService设备租户设备包括您的HorizonCloudService管理控制台、HorizonCloudService用户门户、帐户配置数据库和桌面映射,以及域加入信息.
UnifiedAccessGateway设备允许通过内部连接和外部连接安全访问HorizonCloudService虚拟桌面和RDSH托管的应用程序.
为实现冗余和高可用性,每类设备都将部署两个.
设备描述租户设备一种强化的Linux设备,可提供桌面和应用程序代理、置备和授权服务.
此类设备托管属于服务区域的最终用户门户和管理门户,并向服务提供商传达状态信息.
UnifiedAccessGateway一种强化的Linux设备,可在HorizonCloudService环境中提供安全的远程访问.
它是安全区域(适用于外部HorizonCloudService访问)和服务区域(适用于内部HorizonCloudService访问)的一部分.
实用程序服务器默认情况下,实用程序服务器是免费提供的可选项,除非在服务说明中另有说明.
实用程序服务器可以是在HorizonCloudService租户中配置各种服务的ActiveDirectory、DNS、DHCP、UEM或文件服务器,而且会连接到您的网络(服务区域).
EdgeGateway设备一种网关,可提供网络边缘安全和网关服务以隔离安全区域和虚拟化网络以及NAT、DHCP、VPN和负载平衡器.
网络安全对于桌面、RDSH服务器和管理设备所在的HorizonCloudService租户,HorizonCloudService使用EdgeGateway设备来管理进出租户的VPN和DirectConnect连接以及任何管理设备流量.
如果管理设备和组织的网络环境之间需要额外的缓冲,请考虑部署由企业管理的防火墙策略,只要为内部和远程用户以及这些用户所需的所有应用程序或服务启用了所有必需的端口.
了解UnifiedAccessGatewayVMwareUnifiedAccessGateway(以前称为VMwareAccessPoint)是一种强化的Linux虚拟设备,允许对HorizonCloudService环境进行安全的远程访问.
如果您的用户通过公共Internet进行外部连接,则所产生的流量不论是基于Web还是基于协议的,都将被发送到外部UnifiedAccessGateway.
在您连接到HorizonCloudService环境时,UnifiedAccessGateway将充当安全代理.
外部UnifiedAccessGateway将通过代理传递HorizonCloudService与安全区域之间的来往流量.
安全区域是一个DMZ网络安全结构体,可向外部提供组织的一部分网络访问权限,但会实施严格的规则来规范对组织网络内资源的访问.
在内部用户连接到HorizonCloudService环境时,所产生的流量将发送到位于服务区域中的内部UnifiedAccessGateway设备.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
37其他注意事项下面链接的主题提供了有关在设置网络环境时可能会遇到的一些其他问题的信息.
选择集成或隔离的ActiveDirectory尽管HorizonCloudService平台依赖于ActiveDirectory,但您不需要将HorizonCloudService与现有的ActiveDirectory环境集成.
您可以根据自己的意愿随时将ActiveDirectory集成到HorizonCloudService.
您可以选择使用位于HorizonCloudService桌面和应用程序服务本地的独立隔离的ActiveDirectory域.
在以下用例中,选择隔离的域会非常有益:用例描述技术概念证明适用于要实施概念证明而不是直接集成组织基础架构的组织.
在试行域中,您可以在完全沙盒化的环境中设置测试和验证用例所需的所有内容.
具有外包用户的组织适用于将开发工作转移到其他国家/地区,并需要为员工提供桌面,但不直接连接到组织基础架构的大型组织.
在试行域中,您可以在完全沙盒化的环境中设置这些员工所需的所有内容.
具有季节性用户的组织适用于在一年中的某段时间需要将生产扩大两倍或三倍,但不希望在组织的ActiveDirectory结构中添加大量桌面的组织.
为此,您可以在有需要时使用独立的试运行域,在季节性工作结束时将其丢弃.
资源有限的组织对于只有有限基础架构的小规模组织,可以使用独立隔离的域,从而节省构建主目录服务基础架构的费用.
在实施孤立帐户时,请参阅《HorizonCloudService服务级别协议》中的许可证注意事项.
子网注意事项您的HorizonCloudService租户包含多个区域.
对于"服务区域"和"桌面区域",您必须分配要使用的网络.
如果要与现有环境集成,则无法使用这些网络.
"服务区域"托管HorizonCloudService,包括租户设备、实用程序服务器和内部UnifiedAccessGateway设备.
建议使用可以提供大约30个IP地址(/27)的子网,但您可以根据需要来确定这个数量是否合适.
此子网不能与网络基础架构中的现有网络重叠.
"桌面区域"是所有桌面和RDSH服务器所在的位置.
您可以定义并分配网络,来支持所需桌面和RDSH服务器的总数.
建议在子网中保留额外的地址容量,以便进行桌面刷新和维护.
该子网不能与网络基础架构上已在使用的网络重叠.
使用DirectConnect选项时,您必须提供至少具有两个地址(/30)的网络,以在运营商终端和VMware之间使用.
有关更多信息,请参阅了解DirectConnect.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
38协议流量、客户机内流量和Internet绑定流量在选择要实施的网络类型时,关键是要了解与HorizonCloudService相关联的各种流量流,这是在部署HorizonCloudService之前须完成的一个重要步骤.
需考虑由HorizonClient产生的协议流量,以及由HorizonCloudService桌面和RDSH服务器上的应用程序和其他服务所产生的网络流量.
注除孤立帐户之外,ActiveDirectory、DNS、DHCP和NTP至少都需要站点到站点VPN、专用连接、MPLS或网络交换.
孤立帐户没有与租户站点的连接,因此对系统的所有访问都是通过公共Internet进行的.
在孤立帐户这种实施中,HorizonCloudService负责托管基本的ActiveDirectory、DNS、DHCP和NTP.
在实施孤立帐户时,请参阅"HorizonCloudService服务级别协议"和"服务条款"等文档中的许可证注意事项.
协议流量协议流量是在虚拟桌面与端点之间使用PCoIP、BlastExtreme或BlastHTML5等访问协议进行的网络流量交换.
屏幕图像、键盘和鼠标移动,以及USB和其他设备的流量都会使用所需的Horizon协议在端点和虚拟桌面之间传输.
要正确确定HorizonCloudService的网络连接规模,请务必考虑协议流量.
协议流量可能与其他客户机内流量使用相同的网络连接,因此可能会影响最终用户体验.
客户机内流量当应用程序从虚拟桌面或RDSH会话中对其他应用程序或IT服务发起网络调用时,便会产生客户机内流量.
例如,当浏览器从桌面启动,并访问内部托管的企业网站时,便会产生客户机内流量.
流向内部IT资源的客户机内流量将路由到返回到客户数据中心或网络的网络连接.
因此,请务必对返回到客户数据中心的网络连接进行合理的规划.
除了确保带宽充足外,您还可以指定要返回到数据中心资源的备用路由和连接,以将协议流量和客户机内流量分隔开来.
Internet绑定流量此过程的关键步骤是选择如何从HorizonCloudService桌面和应用程序中路由Internet相关的流量.
您可以利用由HorizonCloudService提供的Internet连接,也可以通过您自己组织的网络路由所有Internet相关的流量.
确定Internet相关的流量在VMware数据中心内的路由方式时,需根据为默认路由(0.
0.
0.
0/0)选择的路由选项.
DHCP确保桌面子网包含足够的IP地址,以覆盖所置备的桌面或RDSH服务器数量,以及额外的重叠缓冲区.
例如,如果您采用CIDR格式为子网提供/24,则刚好可获得252个地址.
预先添加其他子网可在需要时实现无缝容量扩展.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
39选择HorizonCloudService用户门户和管理控制台门户URL用户和管理员可以通过基于Web的受保护门户访问桌面、RDSH服务器和各项管理功能.
这两个门户使用了相同的URL,后跟/horizonadmin,如以下示例中所示.
门户描述示例URLHorizonCloudService用户门户一个基于Web的门户,它通过HTML5向最终用户提供对HorizonCloudService桌面和应用程序的无客户端访问https://desktop.
virtualdesktopaccess.
comHorizonCloudService管理控制台一个基于Web的门户,IT管理员使用它来置备和管理HorizonCloudService桌面和应用程序、资源授权及映像https://desktop.
virtualdesktopaccess.
com/horizonadmin您可以为这些门户定义所使用的命名约定.
门户URL选项1由于其简单易用性,此选项最常用于试运行项目.
DNS域由VMware拥有并提供.
您还可以为内部访问设置拆分DNS.
nhttps://companyname.
horizon.
vmware.
comn使用VMware*.
horizon.
vmwware.
com证书门户URL选项2选项2包含两个选择.
该选项要求virtualdesktopaccess.
com的所有者提供Apache2格式的SSL证书,并使用拆分DNS设置内部和公共(如果需要)DNS记录.
nhttps://desktop.
virtualdesktopaccess.
comnhttps://www.
virtualdesktopaccess.
com选择1:如果您具有站点到站点VPN或DirectConnect,则可以选择是否允许从公共Internet访问HorizonCloudService管理控制台.
选择2:如果您的租户是没有站点到站点VPN或DirectConnect的孤立租户,则HorizonCloudService用户门户和管理控制台必须可以通过UnifiedAccessGateway从公共Internet进行访问.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
40满足ActiveDirectory要求4在部署HorizonCloudService之前,请务必设置您的AD.
在整个部署过程中应尽早且经常地咨询您的AD团队.
从一开始便应邀请ActiveDirectory团队中具有适当域管理员权限的代表参与决策制定和部署过程.
这样,他们便可以在部署中及时提出问题和疑虑并解决存在的任何问题.
下面链接了需要注意的重要主题.
本章讨论了以下主题:n选择现有或隔离的ActiveDirectoryn为ActiveDirectory创建服务帐户n为ActiveDirectory创建组n为ActiveDirectory创建唯一的HorizonCloudServiceOUn设置DHCP范围和选项代码74或手动配置DaaS代理选择现有或隔离的ActiveDirectory尽管HorizonCloudService平台依赖于AD,但您不需要将HorizonCloudService与现有的AD环境集成.
您可以使用位于HorizonCloudService桌面和应用程序服务本地的独立隔离的AD域.
您可以请求HorizonCloudService团队提供隔离的域.
在以下用例中,选择试运行域会非常有益:用例描述具有外派用户的公司如果公司将开发工作转移到其他国家/地区,为此需要向员工提供桌面,但您可能不希望这些员工直接连接到自己的基础架构.
在试运行域中,您可以在隔离环境中设置这些员工所需的所有内容.
具有季节性用户的公司如果公司的工作具有季节性,会在一年中的某些月份需要将生产扩大两倍或三倍,但您可能不希望在公司的AD结构中添加大量桌面.
为此,您可以在有需要时使用独立的试运行域,在季节性工作结束时将其丢弃.
资源有限的公司如果公司的基础架构有限,可以使用独立隔离的域,从而节省构建主目录服务基础架构的费用.
为ActiveDirectory创建服务帐户如果您选择将HorizonCloudService环境与现有的ActiveDirectory集成,则需要两种类型的服务帐户:域绑定帐户和域加入帐户.
n域绑定帐户将解析整个AD结构,并提取为HorizonCloudService指定的所有用户.
VMware,Inc.
41n域加入帐户会将虚拟桌面和RDSH服务器加入到AD域.
有关更多信息,请参阅"管理指南".
相关示例,请参阅"HorizonCloud设置"Web表单.
为ActiveDirectory创建组为有效地将用户映射到HorizonCloudService平台中的桌面、应用程序和租户管理功能,明智的做法是在AD中为每种类型的角色、功能和访问权限各创建一个组.
为保持与HorizonCloudService平台的兼容性,请记住以下几点:n避免嵌套–不要创建嵌套组,以确保能够有效查找AD对象.
用户对象应是组中的唯一成员.
n避免混合–不要将来自多个域(子域或受信任的域)的成员混合放在同一个组中.
n创建组–分别为租户管理、技术支持、测试和验证用户及生产用户创建单独的组.
如果为HorizonCloudService租户配置了多个域,IT管理员应为每个域的租户管理、技术支持、测试和验证用户及生产用户创建类似的组.
租户管理员拥有对HorizonCloudService管理控制台的访问权限.
测试、验证和生产用户组用于置备对HorizonCloudService桌面和应用程序的访问权限.
为ActiveDirectory创建唯一的HorizonCloudServiceOU您可以为由HorizonCloudService平台创建的计算机帐户实施一个唯一的OU.
对于具有上千个OU和组的大型公司而言,其AD中的对象数可以轻松达到数十万个.
这样的公司可以为由HorizonCloudService平台创建的计算机帐户实施一个唯一的OU,从而节省部署时间.
通过创建唯一的OU,HorizonCloudService便无需解析整个AD来获取虚拟桌面和RDSH服务器计算机对象.
有关所需的用户、帐户及权限的列表,请参阅"HorizonCloud设置"Web表单.
设置DHCP范围和选项代码74或手动配置DaaS代理您向VMwareHorizonCloudService团队提供的服务子网和桌面子网不得已在基础架构中使用,并且这些子网必须包含足够的IP地址,以覆盖所置备的桌面或RDSH服务器数量.
在桌面子网DHCP范围中设置选项代码74会将桌面和RDSH服务器定向到租户设备.
在部署过程中,VMwareHorizonCloudService团队将为租户设备提供两个IP地址.
请注意以下问题:n未能正确设置选项代码74–如果未正确设置,桌面和RDSH服务器将无法找到并使用租户设备注册.
最终用户无法访问已发布的桌面和应用程序资源.
n未能提供唯一的服务和桌面子网–将服务和桌面子网视为本地基础架构的扩展,即使其位于云中.
如果提供的子网已在使用中,则可能会发生冲突,并且网络流量可能无法在HorizonCloudService与您的网络之间正常流动.
n未能考虑调整大小–如果未提供具有足够IP地址的桌面子网来覆盖目标数量的桌面和RDSH服务器,则必须设置另一个子网以支持增加的容量.
例如,如果您采用CIDR格式为子网提供/24,则刚好可获得252个地址.
预先添加其他子网可在需要时实现无缝容量扩展.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
42如果因为网络限制或其他原因而无法配置DHCP选项74,则可以将DaaS代理手动配置为与租户设备通信.
VMwareHorizonCloudService团队将为租户设备提供两个IP地址,并使用monitor.
ini文件手动配置DaaS代理.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
43创建优化的映像5映像优化可确保虚拟桌面或RDSH服务器得到正确配置,从而提供最佳的最终用户体验.
您可以根据自身需求以及网络要求和条件,静态或动态地调整优化设置.
未优化的映像可能会占用不必要的计算、网络和存储资源,从而可能导致最终用户体验达不到标准.
在部署HorizonCloudService之前,请务必创建优化的映像,并尽早且经常地向桌面映像管理团队咨询下面链接的问题.
本章讨论了以下主题:n优化桌面映像n确定所需的映像数量n使用传统克隆或即时克隆映像n为RDSH服务器创建映像n了解专用、浮动和会话桌面n选择3D图形选项n交错执行自动防病毒更新优化桌面映像映像模板(有时称为主映像或黄金模式)是由HorizonCloudService提供的标准基础桌面或RDSH服务器映像.
映像模板已使用平台所需的所有VMwareTools和HorizonCloudService桌面服务代理进行了充分优化.
建议您在优化的映像模板上安装软件包,以便利用根据VMware最佳实践预安装和配置的所有工具和服务代理.
确定所需的映像数量本主题提供了有关如何确定环境所需的映像数量的指导说明.
最好的做法是保持尽可能少的基础映像以限制维护工作的复杂性.
每个映像都必须进行修补、更新和维护.
通过规划,您可以选出最适合您环境的基础映像数量.
您的VMwareHorizonCloudService代表可以帮助您确定组织中各个业务单位(如会计部、IT部、销售部和法务部)有哪些共同点,以及哪些业务单位必须相互分离.
HorizonCloudService的一个订阅中最多包含10个映像模板,您可以从标准桌面容量中转换更多的映像.
有关更多信息,请参阅服务说明:VMwareHorizonCloudServiceonIBMCloud.
VMware,Inc.
44此外,还请考虑使用其他可抑制映像蔓延的方法,如应用程序虚拟化和应用程序分层技术,这些方法允许您对桌面中的应用程序进行抽象化处理,从而提供了一种不必直接在映像中安装或更新应用程序,即可动态、即时地将应用程序交付到桌面的机制.
此时可以更新应用程序包,而不是桌面映像,这样可以减少要管理的映像.
使用传统克隆或即时克隆映像您可以使用传统克隆或即时克隆在HorizonCloudService中部署虚拟桌面映像.
n传统克隆–也称为完整克隆,传统克隆是虚拟机的独立副本,在完成克隆操作后,它不与父虚拟机共享任何内容.
传统克隆通常会与父虚拟机分开单独进行持续操作和管理.
n即时克隆桌面–可以使用VMware即时克隆技术按需快速组合的桌面.
通过使用即时克隆技术,可以快速创建相同的虚拟机克隆.
此功能通过克隆现有的且已部分引导的父虚拟机来构建新的虚拟机,从而可显著降低磁盘和内存要求和置备的I/O成本.
即时克隆过程比先前的桌面克隆技术更快.
对于大多数用例,应使用即时克隆技术.
即时克隆提供了使用单个主映像来管理一组桌面的功能.
传统克隆仍是一些用例的首选方法,尤其是那些需要使用3D图形的用例.
而且您必须对所有RDSH映像使用传统克隆.
为RDSH服务器创建映像作为HorizonCloudService产品的一部分,VMware提供了一个RDSH服务器,并将指导您完成RDSH服务器的基本映像生命周期.
n该生命周期包括以下阶段:将RDSH服务器置于安装模式、在该服务器上安装应用程序,并进入发布模式.
n进入发布模式后,您可以将RDSH服务器转换为映像,从该映像中,您可以部署刚刚安装的远程应用程序.
n此外,您还可以使用RDSH映像提供RDS会话桌面.
"HorizonCloud高级入门"包可以协助您对两到三个应用程序完成此部署过程,在此之后,您将可以从容自信地独立完成更多部署.
有关更多信息,请参阅由培训团队提供的入门前产品介绍.
如果组织的某些业务单位(如人力资源或财务部门)需要以独占模式访问特定的应用程序,或者有应用程序(如SAP)需要进行隔离,建议您为每个部门或应用程序各配置一个RDSH映像,以保持必要的隔离.
了解专用、浮动和会话桌面HorizonCloudService支持专用、浮动和会话桌面.
建议在HorizonCloudService实施中使用浮动(非持久)桌面,因为这种桌面需要的时间、维护和费用要少于其他选项.
n专用(持久)桌面–在用户首次登录时向用户分配一个虚拟桌面,并且他们在后续登录中将使用同一个虚拟桌面.
与物理计算机一样,对持久桌面所做的更改将保留在该桌面上.
您可以选择为需要在其虚拟机上安装自己的软件的开发人员提供持久桌面.
但是,对于大多数用例来说,持久性桌面需要更多的时间来构建,更多的精力来管理,而且成本更高.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
45n浮动(非持久)桌面–在用户每次登录时都会向用户分配一个虚拟桌面,因此用户在后续登录中不会使用同一个虚拟桌面.
用户注销后,非持久桌面将重置为原始状态,并且对桌面所做的更改将丢失.
但是,可以使用配置文件管理和文件夹重定向来保留更改.
要进行更新和修补,请更新映像并将更新推送到桌面分配.
对于大多数用例,非持久桌面是最方便的解决方案.
n会话(共享)桌面–在多个用户之间共享的RDSH发布桌面.
通常也称为基于会话的桌面.
应锁定共享桌面,并且不应允许用户进行系统更改或安装应用程序.
对于用户所做的更改,可以使用用户环境管理和文件夹重定向来保留设置.
对于映像更新和修补程序管理,可以更新映像并将更新推送到RDSH发布桌面分配.
选择3D图形选项通过使用Soft3D或GraphicsWorkstations3D图形加速,您可以在任何设备上的任意应用程序中利用GPU加速的强大功能nSoft3D–在Professional、Premium和Performance版桌面模型及HorizonCloudService中共享的托管应用程序服务器中提供.
Soft3D可提供经过软件加速的图形,并允许您运行DirectX9和OpenGL2.
1应用程序,而无需使用物理GPU.
对于要求不高的3D应用程序(如WindowsAero主题、MicrosoftOffice2010和GoogleEarth),可以使用该功能.
nGraphicsWorkstations–为满足更高级别的3D需求(包括具有丰富图形的高级应用程序),HorizonCloudService提供了支持NVIDIAGRIDvGPU的GraphicsWorkstations.
与其他任何桌面一样,HorizonCloudService可以为远程工作人员和移动工作人员提供工作站级别的性能,即使在高延迟网络中也是如此.
请注意,3D图形应用程序的带宽要求通常不同于传统办公应用程序的带宽要求.
请与VMwareHorizonCloudService团队合作,确定您特定的带宽要求.
GraphicsWorkstation的价格涵盖了所有必需的NVIDIA许可和必备硬件.
有关更多信息,请参阅服务说明:VMwareHorizonCloudServiceonIBMCloud.
有关Horizon7中NVDIAGRID的更多信息,请参阅使用Blast3D的Horizon7文档.
交错执行自动防病毒更新HorizonCloudService不包含防病毒解决方案.
您可以通过为HorizonCloudService环境获取额外的许可证,来使用已有的解决方案.
但是,这不是HorizonCloudService要求.
如果选择在HorizonCloudService桌面或RDSH服务器上使用更新DAT文件的防病毒解决方案,最好在整个环境中交错进行更新.
这样做可以防止您使用环境中的所有资源同时更新所有虚拟机,同时更新可能会导致性能下降.
除了交错进行防病毒更新之外,最好使用固定的计划来避开大型的并发更新,例如在正常业务时间之外更新,或者创建维护时段.
避开大型并发更新还可以防止同时使用所有资源,同时使用所有资源可能会降低性能.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
46管理远程应用程序6远程应用程序安装在RDSH服务器上,并通过HorizonClient或HorizonCloudService用户门户无缝提供.
用户看到的应用程序似乎本身就与其本地桌面本机集成,但实际上它是从云提供的.
在RDSH服务器上托管的Windows应用程序可以提供给非Windows平台,例如Android和iOS.
通过分配远程应用程序,您可以使用基于RDSH映像的RDSH服务器发布应用程序,这些应用程序也称为已发布的应用程序或RDSH托管的应用程序.
要创建远程应用程序分配,请选择要置备的RDSH服务器数量以及每个服务器的用户数量.
在选择要分配给用户的应用程序时,您将看到选定RDSH映像上安装的所有应用程序.
除了选择自动发现的应用程序外,您还可以在应用程序清单中定义自定义远程应用程序并将其与RDSH映像相关联.
VMware,Inc.
47映像管理策略7有关如何制定完善的配置文件、修补程序和备份管理实践,请咨询您的映像管理团队.
及早邀请映像管理团队代表参与决策制定和部署过程,以便他们可以及时提出问题和疑虑并解决问题,这将有助于避免出现意外问题.
本章讨论了以下主题:n配置文件管理n修补程序管理n备份策略配置文件管理用户配置文件是桌面映像的一个重要部分.
用户配置文件包含某位特定用户所特有的文件夹、文件和配置设置.
整个映像管理过程包括设置用户配置文件、选择是将用户分配到持久桌面、非持久桌面还是RDSH服务器,以及确定何时使用重定向.
在虚拟环境中,用户配置文件通常存储在服务器上,而不是存储在物理桌面上.
这样,用户配置文件数据将随着用户一起从一个桌面移至另一个桌面.
当思考如何在虚拟环境中管理配置文件时,应从分配开始着手.
HorizonCloudService具有专用桌面分配、浮动桌面分配和基于会话的桌面分配,以及远程应用程序桌面分配.
分配类型配置文件管理注意事项传统克隆专用(持久)桌面在用户首次登录时向用户分配一个虚拟桌面,并且他们在后续登录中将使用同一个虚拟桌面.
用户可以自定义该虚拟桌面,并使用它来访问其文档和应用程序.
对于具有单个持久桌面的用户,可以直接将用户配置文件存储在其桌面上.
用户所做的更改将保留在同一个虚拟桌面上.
但是,请考虑将用户配置文件存储在服务器上,以便在虚拟桌面损坏或用户还需访问远程应用程序时保留更改.
即时克隆专用(持久)桌面此分配与永久传统克隆类似,因为用户在所有登录中都会使用同一个虚拟桌面计算机名称.
二者的不同之处在于,当用户注销时,虚拟桌面将刷新为初始状态,并且所有更改都将丢失.
为提供持久的体验,必须将用户配置文件存储在服务器上.
VMware,Inc.
48分配类型配置文件管理注意事项传统克隆和即时克隆浮动(非持久)桌面在用户每次登录时都会向用户分配一个新的虚拟桌面,因此用户在后续登录中不一定会使用同一个虚拟桌面.
用户无法对某个特定桌面进行自定义,或者向其添加文档或应用程序,因为磁盘会在用户注销时刷新为初始状态,所有更改都将丢失.
但是,可以通过将用户配置文件存储在服务器上来保留更改.
对于具有多个桌面或需访问远程应用程序的用户而言,用户配置文件将始终跟随用户,并且可以在每次访问桌面或远程应用程序时使用,这样可保持一致的用户体验.
传统克隆会话(共享)桌面和远程应用程序用户通过最少的连接数连接到RDSH服务器,因此在后续登录中不一定会使用同一个服务器.
应锁定RDSH服务器,并且应禁止用户进行系统更改或安装应用程序.
要保留更改并提供一致的用户体验,请将用户配置文件存储在服务器上.
确定重定向对象通过对用户配置文件进行重定向,您可以在非持久的桌面上提供持久的用户体验.
此时,不论用户使用哪个非持久桌面,他们在登录时都会获取相同的应用程序设置和文件.
通过重定向,您的用户可以按非持久桌面的成本享受持久桌面的优势.
要使用重定向功能,请确定用户完成工作所需的资源、用户保存其工作的位置,以及要重定向的工作量.
例如,您可以选择将用户保存到桌面或"我的文档"文件夹中的所有项目都重定向到一个文件共享中.
通过授予用户对该文件共享的访问权限,可确保无论他们使用哪个桌面分配或远程应用程序,始终可以使用其工作.
此外,您还可以重定向背景、屏幕保护程序、Outlook配置以及其他更多项目.
或者,您可以对用户进行培训,以便他们可以自行将所有工作保存到文件共享中,从而执行重定向操作.
确定重定向方式VMwareUserEnvironmentManager是一种管理重定向的有效方法.
nUserEnvironmentManager是JMP的关键组件,支持以用户为中心的计算,并满足端到端应用程序和用户管理需求.
n您可以将UserEnvironmentManager设置为与HorizonCloudService配合使用,以帮助您在多个设备和位置中管理用户配置.
nUserEnvironmentManager重点关注的是用户所在的环境(例如用户配置文件、个性化设置、应用程序设置、上下文策略设置、用户权限、许可及报告设置),而不是用户所使用的设备.
确定重定向位置当通过重定向来存储用户配置文件时,用户配置文件会被重定向到新的永久位置.
您可以将用户配置文件信息重定向到以下三个位置:HorizonCloudonIBMCloud19.
1部署VMware,Inc.
49选项说明重定向到虚拟桌面和RDSH服务器所在的位置(推荐)您可以使用实用程序服务器将用户配置文件重定向到与虚拟桌面和RDSH服务器位于同一位置的文件服务器.
用户配置文件数据将永远保留在HorizonCloudService租户中.
考虑到性能和安全因素,此选项为最佳选项.
将UserEnvironmentManager与HorizonCloudService结合使用时,需要使用实用程序服务器来存储用户配置文件.
重定向到基础架构即服务(Infrastructure-as-a-Service,IaaS)实例您可以将用户配置文件重定向到与虚拟桌面和RDSH服务器位于同一物理数据中心的文件服务器.
这些资源可以位于使用由HorizonCloudService提供商提供的IaaS的单独虚拟数据中心.
两个虚拟数据中心之间可以使用IPsec隧道进行连接.
通过VPN重定向您可以通过VPN将用户配置文件重定向到主数据中心的文件服务器.
要成功地重新重定向到您的数据中心,延迟和带宽是两个关键因素.
修补程序管理制定完善的修补程序管理实践非常重要.
您可能需要根据所使用的分配类型来更改现有的修补程序管理过程:分配类型修补程序管理过程传统克隆专用(持久)桌面您必须像对待物理桌面一样将应用程序更新推送到每个虚拟机,或者使用第三方实用程序修补映像本身.
即时克隆专用(持久)桌面由于此类分配不会在会话之间保留更改,因此映像修补和应用程序更新将非常简单.
只需修补映像,然后通过推送或重新分配映像来刷新分配即可.
要修补或更新映像上安装的某个应用程序,请在映像中更新该应用程序,然后再推送或分配映像.
传统克隆和即时克隆浮动(非持久)桌面此类桌面不会在会话之间保留更改,因此映像修补和应用程序更新将非常简单.
只需修补映像,然后通过推送或重新分配映像来刷新分配即可.
要修补或更新映像上安装的某个应用程序,请在映像中更新该应用程序,然后再推送或分配映像.
传统克隆会话(共享)桌面和远程应用程序通过修补映像进行更新,然后通过推送映像刷新分配.
要修补或更新映像上安装的某个应用程序,请在映像中更新该应用程序,然后再推送映像.
关闭自动更新功能许多应用程序都具有可以定期更新应用程序的自动更新功能.
当用户从传统或即时克隆非持久桌面或即时克隆持久桌面注销时,这些自动更新将丢失.
建议您为这些类型的桌面分配关闭此功能.
在子集池上测试修补程序和更新引入主要更改(如大型升级、安装、新应用程序、应用程序更新或服务包)时,建议您首先在子集桌面或应用程序分配上测试更改.
创建映像的副本,以便在更改导致问题时,可以恢复到原始映像.
在HorizonCloudService管理控制台中复制映像.
然后将服务包、升级或其他主要更改应用于副本.
如果出现问题,您可以再次复制原始映像.
如果更改成功,则可以将更改应用到主要生产分配.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
50备份策略制定完善的备份措施非常重要.
因此,从一开始便应邀请备份团队和桌面团队代表参与决策制定和部署过程,以便及早解决各方面的疑问、疑虑和问题.
支持映像的多个备份HorizonCloudServiceonIBMCloud允许为任何给定映像保留两个备份.
如果需要两个以上的备份,则必须手动管理后续备份.
建议您创建一个包含多个虚拟机的管理池,以便每当对映像做出更改时,都可以执行复制、备份、测试和验证是否成功等操作.
更改前进行备份在对映像进行更改之前,建议您创建备份,以便在进行更改的过程中出现问题时,可以恢复到之前的映像.
创建一个基本映像,将其复制多次,然后针对每个业务单位修改一个副本,例如,为财务部门修改一个副本,为运营部门修改另一个副本,等等.
然后在更改前对所有映像进行备份,以便在需要时可以恢复到之前的映像.
始终测试更改对基础架构进行的任何更改,无论是修补、升级、添加组件还是删除组件,都会影响基础架构,而且有时可能会产生无法预料的影响.
添加组件可能会破坏系统并损坏映像,而新的修补程序可能会与桌面上的现有应用程序冲突.
因此,请务必在每次更改后进行测试.
要确认您的更改不会产生不利影响,请在将更改应用到所有生产分配之前,更改并测试一小部分桌面.
可以将用户验收测试作为步骤之一纳入到测试过程中.
成功更改后进行备份对映像进行成功更改后再次备份,以便在今后的更改中出现问题时,可以恢复映像.
要备份映像,您可以专门为映像的备份和副本设置一个管理分配,并将虚拟机添加到池中以用于测试和备份目的.
然后,可通过还原操作恢复为管理分配中的另一个虚拟机,该虚拟机基于之前已成功更改的映像.
HorizonCloudonIBMCloud19.
1部署VMware,Inc.
51