VMware Horizon Cloud Service next-genのご紹介

Workspace ONE
Workspace ONE

はじめに

VMwareは、2021年末にHorizon Cloud Service next-gen(開発コードネーム: Titan、Horizon Cloud Service V2、以降Horizon Cloud next-gen)をLimited availability (LA) として発表し、満を持して2022年8月11日より一般提供 (GA) を開始しました。

Horizon Cloud next-genは完全なAPI駆動で動作し、PODレスアーキテクチャ、高度な自動化、可視性、トラブルシューティングの向上、高い拡張性、現行のHorizon Cloud Service (V1) に比べて管理コンポーネントのインフラコストの低減を実現するよう構築されています。

今後のアップデートや管理者ガイドについては、Horizon Cloud next-genのリリースノートのページをご覧ください。

アーキテクチャ

以下がアーキテクチャ概要図となります。

Horizon Edge Gateway

Horizon Cloud 次世代アーキテクチャでは、PODマネージャーの機能は完全にControl Planeに移行されます。PODマネージャーのVMはお客様のAzureサブスクリプションにデプロイされることはありません。Horizon Edgeと呼ばれる新しい管理コンポーネントが展開され、Azure Kubernetes Service (AKS) を使用して、高可用性を提供する Horizon Edge Gateway と Unified Access Gateway (UAG) および UAG用のロードバランサを内包しています。

Horizon Edge Gatewayは、エージェントからの監視データの収集、Unified Access Gateway (UAG) およびシングルサインオン (SSO) 機能の展開を担当します。

オンボーディングのための前提条件

オンボーディングのための前提条件は、Horizon Cloud Service V1とほぼ同様です。しかし、Horizon Cloud next-genではユーザー認証のためのIDプロバイダが必須となります。IdPの種別は、Azure Active DirectoryでもVMware Workspace ONE Accessでも、SaaSでもオンプレミスでもかまいません。

以下は、オンボーディングのための前提条件です。Horizon Cloud next-genの新規導入に必要な要件の詳細なチェックリストについては、こちらのVMwareDocsのページを参照ください。

  • VMware Cloud Server Platform (CSP)ログイン用の VMware Customer Connect アカウント
  • Microsoft Azure Subscription / Service principal アカウント (アプリの登録)
  • Horizon Edge および Unified Access Gateway に必要な Azure の容量要件
  • Horizon Edge AKS 導入のためのユーザー マネージド ID
  • Azure vNET /Subnets / DNS (ネットワーク要件)
  • ユーザー ID 用の Identity Provider (Azure AD または Workspace ONE Access)
  • マシン ID 用の Windows Active Directory ドメイン サービス
  • 適切な権限を持つドメインバインディングとジョインアカウント (それぞれ2アカウントずつ)
  • SSO 用の Active Directory 証明書サービス (認証局) (オプション)
  • Unified Access Gateway (UAG) 用のパブリック/プライベートFQDNと証明書
  • DNS/ポート要件

Microsoft Azure ユーザー マネージド ID

AKS クラスタを使用する Horizon Edge Gateway では、管理VNetのリソースグループスコープにNetwork Contributorロール、Microsoft AzureサブスクリプションスコープにManaged Identity Operatorロールを持つユーザーマネージドIDが必要です。ユーザー マネージド ID については、次の手順に従います。

i) https://portal.azure.com にログインし、検索バーで「User Assigned Managed Identity」をキーワードに検索します。

ii) 該当する Azure vNet が展開されている [Subscription] と [Resource Group] を指定します。[Region]を選択し、” User Assigned Managed Identity ” に任意の名前を付けます。

iii) 「User Assigned Managed Identity」が正常に作成されたことを確認します。(これはHorizon Edgeの導入ウィザードで指定する必要があるため、メモ等に記録しておくことをお勧めします。)

iv) Horizon Edge を配備する Azure Subscription に移動します。

v) サブスクリプションページの左ペインの[Access Control (IAM) ] > [Add] > [Add Role Assignment] > キーワード 「Network Contributor」で検索して選択 > [Next] > [Members]より[Managed Identity]を選択 > [Member]にあるハイパーリンク「+Select Member」をクリックします。

vi) 画面右側に新しい「Select manage identities」ペインが表示されます。[サブスクリプション]、[Managed Ideneity] (=ユーザーに割り当てられた管理ID) > [Select] (=手順 iii)で作成したユーザーに割り当てられた管理ID) > ペイン下部の[選択]をクリック > [Review + Assign]を選択します。

vii) 「Managed Identity Operator」ロールについても、手順 v) と vi) を繰り返します。

viii) 役割が以下のように割り当てられていることを確認します。     

Horizon Cloud next-genで導入された新パラメーター

Horizon Cloud next-gen では、Horizon Cloud v1 にはなかった新しいパラメータがいくつか導入されています。

  • Horizon Edge Gateway – 監視と SSO を担当する管理コンポーネント
  • プロバイダ – Azure サブスクリプション
  • プール テンプレート – デスクトップのグループ
  • プール – プール テンプレートの論理的なグループ化
  • SSO – シングル サインオン

オンボーディングのワークフローと所要時間

上記の前提条件をすべて満たした場合、オンボーディングのワークフローと所要時間の目安は以下のようになります。

  1. CSP の初回オンボーディング – 3~5 分 (初回オンボーディングのみの 1 度きりのタスク)
  2. ドメイン登録とアイデンティティ・プロバイダー – 2~3分
  3. Horizon EdgeおよびUnified Access Gatewayのオンボーディング – 15分
  4. SSO設定 – 5分 (オプショナル)
  5. イメージのインポート – 5分
  6. イメージの公開 – 20分
  7. プール テンプレート/プール/エンタイトルメント – 5~7 分
  8. デスクトップへのアクセス – 1 分
WorkFlow#1: CSPの初回オンボーディング

1.1 URL (https://console.cloud.vmware.com)にアクセスし、Horizon Cloud next-genテナントに関連付けられた VMware Customer Connect アカウント/パスワードでログインします。

1.2 [Select or Create Organization]ページが表示されます。ここでは、CSP アカウントの配下に組織を作成します。[CreateOrganization]を選択し、[Continue]をクリックします。

1.3 任意の名前を付け、[VMware Cloud Services Terms of Service]にチェックを入れ、[Create Organization and Complete Sign-up]を選択します。

1.4 次のページで、[Identity & Access Management] > [Active Users]を選択 > ユーザーアカウントを選択 > [EDIT ROLES]を選択します。

1.5 必要に応じて、[Organization Owner]  もしくは[Organization member]を選択します。(今回は、[Organization Owner]を選択します。)

[Assign Service Roles]で[Workspace ONE]を選択 > [with roles]の横のドロップダウンをクリック > [Admin]を選択 および “Horizon Cloud Service”の[Administrator]を選択 > [SELECT] > [Save] を実行します。

1.6 次のページの[Services]セクションに「Horizon Cloud Service」または「Workspace One」のいずれかのタイルが表示されます。

1.7 サービスタイルの下にある[Launch Service]をクリックします。Horizon Cloudのリージョン選択ページにリダイレクトされます。お住まいの地域(今回は日本を選択)を選択します。利用規約にチェックを入れ、[Save and Continue]を選択します。

1.8 次に、Horizon Universal Console のウェルカムページが表示されます。これで、ワークフロー#1は終了です。

WorkFlow#2: ドメインの登録

2. ドメインの登録を行います。

ドメイン名、DNS名、ドメインバインド、ドメインジョイン情報を入力します。

WorkFlow#3: IdPの登録

3. 連動するIdPを選択し、連携するURLを登録します。自動的に連携先のIdPにリダイレクトされるため、認証を完了させてください。

注意:現在は “Workspace One Access” もしくは “Microsoft Azure”が選択可能です。

WorkFlow#4: EdgeとUAGの展開

4. EdgeとUAGの展開

Horizon Edge名、連携するAzure Subscription情報、サイト情報を入力します。

その後、Edge Gatewayの設定情報を入力します。

UAGに関する設定情報を入力します。

ウィザードを完了すると、以下の画面が表示されます。展開が始まります。

WorkFlow#5: SSOの設定(オプショナル)

5. [Identity &Access] > [SSO Configurations] から [Add]でSSO設定を追加します。

登録完了後、[Download CA bundles]より証明書をDLしておきます。

先ほどダウンロードした証明書バンドルをインポートします。(PowerShellを使用します。詳しくはこちらのDocsをご確認ください)

WorkFlow#6: イメージのインポート

6. イメージ作成ウィザードを実行し、必要な情報を入力しイメージを作成します。

作成後、Publishします。

WorkFlow#7: Pool テンプレートの作成

7.プールテンプレートを作成します。

WorkFlow#8: プールの作成

8.先ほど作成したプールテンプレートを使用し、プールの作成を行います。

プール完成後に、資格情報を付与します。

Horizon Cloud next-gen デスクトップへのアクセス

Horizon Cloud next-genのデスクトップやアプリケーションにアクセスするには、URL (https://cloud.vmwarehorizon.com) を介して、アクセスする必要があります。

このURLは、すべてのHorizon Cloud next-genのお客様に共通です。会社ドメイン(今回の例では「EUC」ドメイン)を入力すると、お客様のIDプロバイダー(IdP)にリダイレクトされます。

ユーザー認証のために、ユーザー名とパスワードを入力します。IdP で認証されると、Horizon Client またはブラウザでデスクトップやアプリケーションを起動できるようになります。

注)BlastプロトコルはHorizon Cloud next-gen においてデフォルトとなるプロトコルです。PCoIPプロトコルはサポートされておりません。

1. URL (https://cloud.vmwarehorizon.com) にアクセスし、オンボーディング時にIdentity Providerで設定した会社ドメインを入力します。

2. IdPのページにリダイレクトされますので、ユーザー名とパスワードを入力して[Sign In]を選択します。

3. アクセスする権利があるデスクトップとアプリケーションが表示されます。

4. Horizon Client または Browser でデスクトップを起動します。

5. デスクトップへのログイン成功

注意:SSOを設定していない場合、デスクトップを起動する際にユーザー名とパスワードを再度入力するよう促されます。

最後に

今回は、Horizon Cloud next-gen の概要および簡単なオンボーディングの流れを説明させていただきました。

Horizon Cloud next-gen はまだ初期リリースであり、今後も改善、機能拡張が予定されております。
今後もアップデートがあり次第、逐次情報をアップデートしていく所存です。ご期待ください。

タイトルとURLをコピーしました