はじめに
VMwareは、2021年末にHorizon Cloud Service next-gen(開発コードネーム: Titan、Horizon Cloud Service V2、以降Horizon Cloud next-gen)をLimited availability (LA) として発表し、満を持して2022年8月11日より一般提供 (GA) を開始しました。
Horizon Cloud next-genは完全なAPI駆動で動作し、PODレスアーキテクチャ、高度な自動化、可視性、トラブルシューティングの向上、高い拡張性、現行のHorizon Cloud Service (V1) に比べて管理コンポーネントのインフラコストの低減を実現するよう構築されています。
今後のアップデートや管理者ガイドについては、Horizon Cloud next-genのリリースノートのページをご覧ください。
アーキテクチャ
以下がアーキテクチャ概要図となります。
Horizon Edge Gateway
Horizon Cloud 次世代アーキテクチャでは、PODマネージャーの機能は完全にControl Planeに移行されます。PODマネージャーのVMはお客様のAzureサブスクリプションにデプロイされることはありません。Horizon Edgeと呼ばれる新しい管理コンポーネントが展開され、Azure Kubernetes Service (AKS) を使用して、高可用性を提供する Horizon Edge Gateway と Unified Access Gateway (UAG) および UAG用のロードバランサを内包しています。
Horizon Edge Gatewayは、エージェントからの監視データの収集、Unified Access Gateway (UAG) およびシングルサインオン (SSO) 機能の展開を担当します。
オンボーディングのための前提条件
オンボーディングのための前提条件は、Horizon Cloud Service V1とほぼ同様です。しかし、Horizon Cloud next-genではユーザー認証のためのIDプロバイダが必須となります。IdPの種別は、Azure Active DirectoryでもVMware Workspace ONE Accessでも、SaaSでもオンプレミスでもかまいません。
以下は、オンボーディングのための前提条件です。Horizon Cloud next-genの新規導入に必要な要件の詳細なチェックリストについては、こちらのVMwareDocsのページを参照ください。
- VMware Cloud Server Platform (CSP)ログイン用の VMware Customer Connect アカウント
- Microsoft Azure Subscription / Service principal アカウント (アプリの登録)
- Horizon Edge および Unified Access Gateway に必要な Azure の容量要件
- Horizon Edge AKS 導入のためのユーザー マネージド ID
- Azure vNET /Subnets / DNS (ネットワーク要件)
- ユーザー ID 用の Identity Provider (Azure AD または Workspace ONE Access)
- マシン ID 用の Windows Active Directory ドメイン サービス
- 適切な権限を持つドメインバインディングとジョインアカウント (それぞれ2アカウントずつ)
- SSO 用の Active Directory 証明書サービス (認証局) (オプション)
- Unified Access Gateway (UAG) 用のパブリック/プライベートFQDNと証明書
- DNS/ポート要件
Microsoft Azure ユーザー マネージド ID
AKS クラスタを使用する Horizon Edge Gateway では、管理VNetのリソースグループスコープにNetwork Contributorロール、Microsoft AzureサブスクリプションスコープにManaged Identity Operatorロールを持つユーザーマネージドIDが必要です。ユーザー マネージド ID については、次の手順に従います。
i) https://portal.azure.com にログインし、検索バーで「User Assigned Managed Identity」をキーワードに検索します。
ii) 該当する Azure vNet が展開されている [Subscription] と [Resource Group] を指定します。[Region]を選択し、” User Assigned Managed Identity ” に任意の名前を付けます。
iii) 「User Assigned Managed Identity」が正常に作成されたことを確認します。(これはHorizon Edgeの導入ウィザードで指定する必要があるため、メモ等に記録しておくことをお勧めします。)
iv) Horizon Edge を配備する Azure Subscription に移動します。
v) サブスクリプションページの左ペインの[Access Control (IAM) ] > [Add] > [Add Role Assignment] > キーワード 「Network Contributor」で検索して選択 > [Next] > [Members]より[Managed Identity]を選択 > [Member]にあるハイパーリンク「+Select Member」をクリックします。
vi) 画面右側に新しい「Select manage identities」ペインが表示されます。[サブスクリプション]、[Managed Ideneity] (=ユーザーに割り当てられた管理ID) > [Select] (=手順 iii)で作成したユーザーに割り当てられた管理ID) > ペイン下部の[選択]をクリック > [Review + Assign]を選択します。
vii) 「Managed Identity Operator」ロールについても、手順 v) と vi) を繰り返します。
viii) 役割が以下のように割り当てられていることを確認します。
Horizon Cloud next-genで導入された新パラメーター
Horizon Cloud next-gen では、Horizon Cloud v1 にはなかった新しいパラメータがいくつか導入されています。
- Horizon Edge Gateway – 監視と SSO を担当する管理コンポーネント
- プロバイダ – Azure サブスクリプション
- プール テンプレート – デスクトップのグループ
- プール – プール テンプレートの論理的なグループ化
- SSO – シングル サインオン
オンボーディングのワークフローと所要時間
上記の前提条件をすべて満たした場合、オンボーディングのワークフローと所要時間の目安は以下のようになります。
- CSP の初回オンボーディング – 3~5 分 (初回オンボーディングのみの 1 度きりのタスク)
- ドメイン登録とアイデンティティ・プロバイダー – 2~3分
- Horizon EdgeおよびUnified Access Gatewayのオンボーディング – 15分
- SSO設定 – 5分 (オプショナル)
- イメージのインポート – 5分
- イメージの公開 – 20分
- プール テンプレート/プール/エンタイトルメント – 5~7 分
- デスクトップへのアクセス – 1 分
WorkFlow#1: CSPの初回オンボーディング
1.1 URL (https://console.cloud.vmware.com)にアクセスし、Horizon Cloud next-genテナントに関連付けられた VMware Customer Connect アカウント/パスワードでログインします。
1.2 [Select or Create Organization]ページが表示されます。ここでは、CSP アカウントの配下に組織を作成します。[CreateOrganization]を選択し、[Continue]をクリックします。
1.3 任意の名前を付け、[VMware Cloud Services Terms of Service]にチェックを入れ、[Create Organization and Complete Sign-up]を選択します。
1.4 次のページで、[Identity & Access Management] > [Active Users]を選択 > ユーザーアカウントを選択 > [EDIT ROLES]を選択します。
1.5 必要に応じて、[Organization Owner] もしくは[Organization member]を選択します。(今回は、[Organization Owner]を選択します。)
[Assign Service Roles]で[Workspace ONE]を選択 > [with roles]の横のドロップダウンをクリック > [Admin]を選択 および “Horizon Cloud Service”の[Administrator]を選択 > [SELECT] > [Save] を実行します。
1.6 次のページの[Services]セクションに「Horizon Cloud Service」または「Workspace One」のいずれかのタイルが表示されます。
1.7 サービスタイルの下にある[Launch Service]をクリックします。Horizon Cloudのリージョン選択ページにリダイレクトされます。お住まいの地域(今回は日本を選択)を選択します。利用規約にチェックを入れ、[Save and Continue]を選択します。
1.8 次に、Horizon Universal Console のウェルカムページが表示されます。これで、ワークフロー#1は終了です。
WorkFlow#2: ドメインの登録
2. ドメインの登録を行います。
ドメイン名、DNS名、ドメインバインド、ドメインジョイン情報を入力します。
WorkFlow#3: IdPの登録
3. 連動するIdPを選択し、連携するURLを登録します。自動的に連携先のIdPにリダイレクトされるため、認証を完了させてください。
注意:現在は “Workspace One Access” もしくは “Microsoft Azure”が選択可能です。
WorkFlow#4: EdgeとUAGの展開
4. EdgeとUAGの展開
Horizon Edge名、連携するAzure Subscription情報、サイト情報を入力します。
その後、Edge Gatewayの設定情報を入力します。
UAGに関する設定情報を入力します。
ウィザードを完了すると、以下の画面が表示されます。展開が始まります。
WorkFlow#5: SSOの設定(オプショナル)
5. [Identity &Access] > [SSO Configurations] から [Add]でSSO設定を追加します。
登録完了後、[Download CA bundles]より証明書をDLしておきます。
先ほどダウンロードした証明書バンドルをインポートします。(PowerShellを使用します。詳しくはこちらのDocsをご確認ください)
WorkFlow#6: イメージのインポート
6. イメージ作成ウィザードを実行し、必要な情報を入力しイメージを作成します。
作成後、Publishします。
WorkFlow#7: Pool テンプレートの作成
7.プールテンプレートを作成します。
WorkFlow#8: プールの作成
8.先ほど作成したプールテンプレートを使用し、プールの作成を行います。
プール完成後に、資格情報を付与します。
Horizon Cloud next-gen デスクトップへのアクセス
Horizon Cloud next-genのデスクトップやアプリケーションにアクセスするには、URL (https://cloud.vmwarehorizon.com) を介して、アクセスする必要があります。
このURLは、すべてのHorizon Cloud next-genのお客様に共通です。会社ドメイン(今回の例では「EUC」ドメイン)を入力すると、お客様のIDプロバイダー(IdP)にリダイレクトされます。
ユーザー認証のために、ユーザー名とパスワードを入力します。IdP で認証されると、Horizon Client またはブラウザでデスクトップやアプリケーションを起動できるようになります。
注)BlastプロトコルはHorizon Cloud next-gen においてデフォルトとなるプロトコルです。PCoIPプロトコルはサポートされておりません。
1. URL (https://cloud.vmwarehorizon.com) にアクセスし、オンボーディング時にIdentity Providerで設定した会社ドメインを入力します。
2. IdPのページにリダイレクトされますので、ユーザー名とパスワードを入力して[Sign In]を選択します。
3. アクセスする権利があるデスクトップとアプリケーションが表示されます。
4. Horizon Client または Browser でデスクトップを起動します。
5. デスクトップへのログイン成功
注意:SSOを設定していない場合、デスクトップを起動する際にユーザー名とパスワードを再度入力するよう促されます。
最後に
今回は、Horizon Cloud next-gen の概要および簡単なオンボーディングの流れを説明させていただきました。
Horizon Cloud next-gen はまだ初期リリースであり、今後も改善、機能拡張が予定されております。
今後もアップデートがあり次第、逐次情報をアップデートしていく所存です。ご期待ください。