Esta página da documentação descreve o fluxo de UI para Adicionar Horizon Edge do Horizon Universal Console, que você usa para implantar um Horizon Edge na sua assinatura do Microsoft Azure.

Introdução

O Horizon Edge é uma infraestrutura em nuvem thin-edge. Para implantações do Microsoft Azure, uma assinatura do Azure é o fornecedor.

Depois que seu ambiente estiver configurado com pelo menos um domínio do Active Directory e um provedor de identidade, o console disponibilizará esse fluxo de UI para Adicionar Horizon Edge.

Tipos de implantação

Um Horizon Edge implantado no Microsoft Azure usa o formato do Edge Gateway (VM) ou o formato do Edge Gateway (AKS).

Decida qual tipo usar, com base nas qualidades necessárias.

Tipo de implantação Principais Qualidades Detalhes
AKS
  • Dá suporte a mais de 5 mil (5.000) sessões
  • O Serviço do Azure Kubernetes tem requisitos relacionados à Microsoft que devem ser cumpridos
  • A experiência de login do SSO e a coleta de dados de monitoramento são realizadas por meio de serviços replicados que oferecem suporte à entrega dessas funções com capacidade total de failover em caso de falha.

O AKS é um padrão do Microsoft Azure para aplicativos nativos da nuvem corporativa nos centros de dados do Microsoft Azure.

O tipo AKS fornece um Edge Gateway de uma arquitetura agrupada em cluster, que fornece serviços replicados que oferecem suporte à experiência de login do SSO e a coletas de dados de monitoramento.
VM
  • Dá suporte a até 5 mil (5.000) sessões
  • Menos pré-requisitos envolvidos na assinatura do Microsoft Azure do que para o tipo AKS
  • Se em algum momento futuro a VM implantada não estiver disponível, o comportamento resultante será:
    • Os usuários finais terão que fazer login sem SSO (single sign-on)
    • Os dados de monitoramento das áreas de trabalho não serão registrados durante o período em que a VM estiver indisponível.

Embora o tipo de VM seja mais simples de implantar devido a menos pré-requisitos do que o tipo AKS, se a VM implantada ficar indisponível:

  • Os usuários finais verão o fluxo de login sem a experiência de login do SSO. Por exemplo, eles terão que entrar usando suas credenciais do Active Directory.
  • Os dados de monitoramento das áreas de trabalho que são enviados para a VM do Edge Gateway não são registrados durante o período em que a VM não está disponível.

Pré-requisitos

Antes de executar essas etapas no console, verifique se você ou sua equipe de TI concluíram os itens listados a seguir.

Importante: À medida que você selecionar itens na UI do console, o sistema tentará confirmar se itens específicos estão em vigor e, se esses requisitos não forem atendidos, você será impedido de concluir as etapas da UI.

Por exemplo, ao implementar o tipo de implementação AKS, se o gateway NAT selecionado no Tipo de Saída do Cluster não estiver conectado à Sub-Rede de Gerenciamento selecionada, quando você clicar em Implantar, a UI exibirá uma mensagem e impedirá o progresso adicional. Nesse ponto, você terá que sair do assistente, concluir esse requisito para conectar o gateway NAT à sub-rede de gerenciamento e reiniciar o assistente desde o início.

  • Examine a Lista de verificação de requisitos para implantar um Microsoft Edge e verifique se esses requisitos foram atendidos.
  • Examine os itens preparatórios descritos nas páginas com hiperlink na página Implantações do Microsoft Azure, Horizon Edge: preparar-se para implantar e verifique se esses itens foram concluídos.
  • Verifique se você tem as informações de assinatura do Azure, as informações de rede, os FQDNs e esses itens para que possa especificá-los nos campos e nas listas do assistente.
  • Verifique se as portas de saída necessárias são permitidas. Consulte Tornar as URLs de destino apropriadas acessíveis para implantar o Horizon Edge Gateway em um ambiente do Microsoft Azure.
  • Se você planeja usar um servidor proxy para o tráfego de roteamento, ele deve ser acessível por meio da sub-rede de gerenciamento do Edge.
  • Decida se deseja que o provedor principal do Horizon Edge seja dedicado às instâncias do Horizon Edge Gateway e do Unified Access Gateway ou se deseja que o provedor principal também forneça áreas de trabalho e aplicativos do usuário final.
    Observação: Se deseja que o provedor principal seja dedicado aos dispositivos de gateway do Horizon Edge, você precisará das informações de assinatura do Azure para a etapa do assistente de especificação de um provedor secundário para áreas de trabalho e aplicativos.

Inicialização do Assistente de Implantação

O console disponibiliza o assistente Adicionar Horizon Edge em vários pontos de entrada. Seu ponto de partida no console para essa etapa normalmente depende se o seu ambiente é greenfield ou se ele tem implantações existentes do Horizon Edge para Horizon 8 ou para o Microsoft Azure.

Nenhum Horizon Edge ainda: comece do cartão do Horizon Edge do console
Se o seu ambiente não tiver o Horizon Edge, normalmente você iniciará o assistente clicando em INICIAR IMPLANTAÇÃO.

A captura de tela a seguir ilustra esse cartão do Horizon Edge.


Página Adicionar o Horizon Edge, na qual você pode criar uma definição do Horizon Edge

Sem Horizon Edge: como alternativa, comece na página Capacidade do console
Se ainda não houver Horizon Edge implantado no ambiente, a página Capacidade conterá texto e um menu Iniciar. Nesse cenário, você pode iniciar o assistente navegando até Recursos > Capacidade e clicando em Iniciar > Microsoft Azure.
Pelo menos um Horizon Edge: comece na página Capacidade do console
Se ainda houver pelo menos um Horizon Edge implantado no ambiente, a página Capacidade conterá uma grade que lista os Horizon Edges existentes. Nesse cenário, você pode iniciar o assistente navegando até Recursos > Capacidade e clicando em Adicionar > Microsoft Azure.
Depois de usar um desses três métodos para iniciar o assistente, o console exibirá Adicionar Horizon Edge, começando na etapa 1 do assistente.
Página do Edge do Horizon na qual você insere um nome exclusivo para a definição do Horizon Edge

Informações gerais

Adicione um Nome do Horizon Edge exclusivo que distinguirá esse Horizon Edge de outros que você verá no console. Você pode adicionar uma descrição opcional.

Provedor Primário

Conclua esta seção. Após concluir essa etapa, continue na próxima etapa.

  1. Para a Assinatura do Azure, selecione um dos provedores existentes do seu ambiente ou use Adicionar Novo para fornecer novas informações de assinatura do provedor.

    Ao adicionar novas informações de assinatura do provedor, forneça:

    • Um nome exclusivo para este provedor que vai distingui-lo de outros que você verá no console.
    • Sua ID de assinatura do Microsoft Azure no Portal do Microsoft Azure.
    • Selecione o tipo de Nuvem do Azure, a região do Azure e o ID do diretório aplicável para essa ID de assinatura do Microsoft Azure.
    • Forneça as informações da entidade de serviço (a ID do Aplicativo e a Chave do Aplicativo) que você criou no portal do Microsoft Azure para essa finalidade.
  2. Se você quiser dedicar esse provedor às instâncias do Horizon Edge Gateway e Unified Access Gateway e usar um provedor separado para fornecer recursos autorizados ao usuário final, marque a caixa de seleção exibida.

    Se não estiver selecionado, esse provedor também fornecerá os recursos autorizados do usuário final.

  3. Opcionalmente, você pode especificar tags de recursos do Azure a serem usadas para essa implantação do Horizon Edge expandindo a UI para ver esta seção.
  4. Opcionalmente, nessa etapa da UI, você pode adicionar até quatro entidades de serviço adicionais (ID do Aplicativo e pares de Chave do Aplicativo).

Provedores Secundários

A adição de provedores secundários a um Horizon Edge é opcional.

O provedor secundário deve estar na mesma região do Azure que o provedor primário.

Para cada provedor secundário, você pode adicionar até cinco entidades de serviço exclusivas, para uma capacidade máxima total do Horizon Edge de 20.000 VMs.

Redes

Na seção Redes, selecione as sub-redes de tenant (área de trabalho) que você deseja usar para os provedores primário e secundário.

Você pode selecionar as sub-redes em um estágio posterior. No entanto, o sistema impede a implantação de quaisquer recursos em um provedor até que o Horizon Edge tenha pelo menos uma sub-rede de tenant associada.

Site

Na seção Site, selecione em um site existente no seu ambiente ou selecione Adicionar Novo para adicionar novas informações do site. Para um novo site, forneça um nome exclusivo e uma descrição opcional.

Conectividade

Conclua a seção Conectividade. Após concluir essa etapa, continue na próxima etapa.

  1. Selecione o tipo de conexão de rede a ser usado para esse Horizon Edge, Link Privado do Azure ou Internet.

    Para obter mais informações sobre esse requisito, consulte Requisitos de assinatura do Microsoft Azure.

  2. Na seção Armazenamento de Aplicativos do App Volumes, selecione a sub-rede para o endpoint privado do Azure.
    Observação: Recomenda-se que, após a configuração do endpoint privado, os usuários finais façam logout de suas máquinas virtuais e façam login novamente.
    Opção Descrição
    Usar Sub-rede de Gerenciamento do Edge Gateway Sub-rede de gerenciamento do Edge Gateway na qual um recurso de endpoint privado é criado.

    Recomenda-se usar essa opção padrão.
    Configurar sub-rede personalizada Certifique-se de ter configurado os pré-requisitos. Para obter informações sobre esses pré-requisitos, consulte Endpoint privado do Azure para uma conta de armazenamento de aplicativo do App Volumes.
    1. Marque as caixas de seleção de confirmação.
    2. Selecione uma rede virtual no menu suspenso Endpoint Privado vNet.
    3. Selecione a sub-rede correspondente no menu suspenso Sub-rede.

    Depois que o Horizon Edge for implantado e o endpoint privado for criado com êxito, o status do endpoint privado será Configured. Se o status for Not Configured, o endpoint privado poderá ser configurado novamente usando a opção Configurar Endpoint Privado na seção Armazenamento de Aplicativos do App Volumes do Horizon Edge. Para obter mais informações sobre como usar essa opção, consulte a seção Configurar um endpoint privado para uma conta de armazenamento de aplicativos do App Volumes em Detalhes do Horizon Edge.

    Se houver problemas de conectividade entre qualquer um dos pools da área de trabalho existentes e compartilhamentos de arquivos que afetam a entrega do aplicativo e você quiser reverter para o acesso à rede pública para a conta de armazenamento até solucionar esses problemas, poderá usar a opção Remover Endpoint Privado. Essa opção remove o endpoint privado configurado e ativa automaticamente o acesso à rede pública para a conta de armazenamento no portal do Azure. Depois de corrigir os problemas, você pode configurar o endpoint privado usando a opção Configurar Endpoint Privado.

Horizon Edge Gateway

Na seção Horizon Edge Gateway, selecione um tipo de implantação (Serviço do Azure Kubernetes ou Máquina Virtual Única).

Depois de selecionar um tipo de implantação, defina as configurações do Horizon Edge Gateway usando as instruções para esse tipo de implantação específico, da maneira a seguir.

Quando você tiver concluído os campos da UI exibidos para o seu tipo de implantação escolhido, siga os prompts na tela.

  • Serviço do Azure Kubernetes: essa opção é para o Edge Gateway (AKS). A captura de tela a seguir mostra o tipo de informações exibida e solicitada quando você seleciona o tipo de implantação do Serviço do Azure Kubernetes.Captura de tela da etapa do Horizon Edge Gateway do assistente para adicionar o tipo de implantação Edge Gateway (AKS).
  • Máquina Virtual Única: essa opção é para o Edge Gateway (VM). A captura de tela a seguir mostra o tipo de informação exibida e solicitada quando você seleciona o tipo de implantação Máquina Virtual Única.Captura de tela da etapa do Horizon Edge Gateway do assistente para adicionar o tipo de implantação Edge Gateway (VM).
Observação: A UI exibirá um rótulo sobre Alta Disponibilidade, com base no tipo de implantação selecionado. Ele não pode ser editado mais tarde. Para o tipo de implantação de Máquina Virtual Única, a cadeia de caracteres exibida significa que, se a VM não estiver disponível, os usuários finais verão o fluxo de login sem a experiência de login do SSO, e os dados de monitoramento das áreas de trabalho não serão registrados durante o período em que a VM não estiver disponível. Para o tipo de implantação do Serviço do Azure Kubernetes, a cadeia de caracteres exibida significa que a experiência de login do SSO e a coleta de dados de monitoramento são tratadas por meio de serviços replicados que permitem um failover completo dessas funções.
Tipo de implantação Etapas
Serviço do Azure Kubernetes (AKS)

Para a opção do Serviço do Azure Kubernetes,

  1. Selecione o Tipo de Saída do Cluster no Gateway NAT e Rotas definidas pelo usuário.

    A seleção padrão é Gateway NAT. Se você selecionar Gateway NAT, um Gateway NAT deverá ser associado à sub-rede de gerenciamento. Se você selecionar Rotas definidas pelo usuário, uma tabela de rotas deverá ser anexada à sub-rede de gerenciamento com a rota padrão configurada com um tipo de dispositivo virtual de próximo salto. Para obter mais informações, consulte Requisitos de rede. Além disso, as portas e as URLs necessárias devem estar acessíveis ou a implantação do AKS Edge pode falhar. Para obter mais informações, consulte Tornar as URLs de destino apropriadas acessíveis para implantar o Horizon Edge Gateway em um ambiente do Microsoft Azure.

    O AKS adiciona entradas à tabela de rotas na sub-rede de gerenciamento para o roteamento interno de pods do Kubernetes. Não remova as entradas.

    O Tipo de Saída do Cluster não pode ser editado após a criação do Horizon Edge.

  2. Selecione a Identidade gerenciada atribuída ao usuário que tem as funções necessárias.

    Para obter mais informações sobre a Identidade gerenciada atribuída pelo usuário, consulte Lista de verificação de requisitos para a implantação de um Microsoft Azure Edge.

  3. Na subseção Rede Virtual, selecione uma rede virtual para o seu site.

    As redes virtuais disponíveis são determinadas pela região do Microsoft Azure selecionada anteriormente. Para criar uma nova rede virtual, acesse o portal do Microsoft Azure.

  4. Selecione a Sub-rede de gerenciamento a ser usada para instâncias do Horizon Edge Gateway e do Unified Access Gateway.

    Verifique se a Sub-rede de gerenciamento selecionada está configurada com um gateway NAT, pois um Horizon Edge que usa um cluster do AKS precisa de um Gateway NAT para conectividade de saída.

    Cuidado: Certifique-se de que a sub-rede de Gerenciamento selecionada não seja usada por outro cluster do AKS. Consulte Requisitos de rede.
  5. Na caixa de texto CIDR de Serviços, digite o intervalo de endereços IP para esse CIDR.

    Forneça um intervalo mínimo de /27. Certifique-se de que esse intervalo CIDR não seja usado por nenhum elemento de rede no ou conectado à rede virtual da Sub-Rede de Gerenciamento. Certifique-se de que esse intervalo de CIDR não entre em conflito com outros endereços IP importantes, como o IP do servidor DNS, o IP do servidor AD ou endereços IP do Unified Access Gateway.

  6. Na caixa de texto CIDR de Pod, digite o intervalo de endereços IP para esse CIDR.

    Forneça um intervalo mínimo de /21. Certifique-se de que esse intervalo CIDR não seja usado por nenhum elemento de rede no ou conectado à rede virtual da Sub-Rede de Gerenciamento. Certifique-se de que esse intervalo de CIDR não entre em conflito com outros endereços IP importantes, como o IP do servidor DNS, o IP do servidor AD ou endereços IP do Unified Access Gateway.

  7. Opcionalmente, ajuste o Prefixo DNS do Cluster AKS padrão.
  8. Para ativar o Single Sign-On para recursos que fazem parte desse Horizon Edge, alterne Usar SSO e selecione a configuração apropriada no menu suspenso Configurações do SSO.
  9. Para rotear solicitações de saída por meio de um servidor proxy, ative Usar proxy de saída.
    1. Digite um nome e o endereço IP do servidor proxy.
    2. Digite o número da porta em que o proxy HTTP/TCP escuta o tráfego HTTP/HTTPS.
    3. Para adicionar um certificado para comunicação segura SSL/TLS, selecione Ativar SSL.

      O Horizon Cloud Service só é compatível com a autenticação SSL. Não há suporte para a autenticação de nome de usuário e senha.

    4. Carregue um certificado de proxy.

      O Horizon Cloud Service só oferece suporte a certificados no formato PEM. O certificado deve oferecer suporte a Nomes Alternativos da Entidade (SANs) em vez dos Nomes Comuns preteridos.

  10. Clique em Implantar para ativar o processo de criação do Horizon Edge.
Máquina Virtual Única

Para a opção Máquina Virtual Única,

  1. Na subseção Rede Virtual, selecione uma rede virtual para o seu site.

    As redes virtuais disponíveis são determinadas pela região do Microsoft Azure selecionada anteriormente. Para criar uma nova rede virtual, acesse o portal do Microsoft Azure.

  2. Selecione a Sub-rede de gerenciamento a ser usada para instâncias do Horizon Edge Gateway e do Unified Access Gateway.
  3. Para ativar o Single Sign-On para recursos que fazem parte desse Horizon Edge, alterne Usar SSO e selecione a configuração apropriada no menu suspenso Configurações do SSO.
  4. Para rotear solicitações de saída por meio de um servidor proxy, ative Usar proxy de saída.
    1. Opcionalmente, selecione Configurações de proxy de outro Horizon Edge.
    2. Digite um nome e o endereço IP do servidor proxy.
    3. Digite o número da porta em que o proxy HTTP/TCP escuta o tráfego HTTP/HTTPS.
    4. Opcionalmente, se o servidor proxy exigir credenciais, digite o Nome de usuário e a Senha.
    5. Para adicionar um certificado para comunicação segura SSL/TLS, selecione Ativar SSL.
  5. Clique em Implantar para ativar o processo de criação do Horizon Edge.

Unified Access Gateway

Na seção Unified Access Gateway, preencha os campos necessários para a sua implantação.

Quando você tiver concluído os campos da UI, continue na próxima etapa.

  1. Selecione o Tipo de Acesso.

    Três opções estão disponíveis:

    • Acesso interno por meio de uma rede corporativa: se você quiser acessar suas VMs somente via intranet (rede corporativa interna). Um balanceador de carga de camada 4 será implantado com um front-end na rede Desktop.
    • Acesso externo pela Internet: se você quiser acessar suas VMs pela Internet. Um balanceador de carga de camada 4 será implantado com um IP público.
    • Acesso interno e externo: permite acesso interno e externo.
    Observação: Para todas as três opções, o acesso de saída à Internet para *.horizon.vmware.com ainda é necessário. Consulte Requisitos do Unified Access Gateway. Ao usar o Acesso interno por meio de uma rede corporativa, o roteamento definido pelo usuário ou o Gateway NAT pode ser aplicado à Sub-rede de gerenciamento para permitir o tráfego de saída. Quando o acesso externo é configurado externamente com uma rede DMZ, o acesso externo a *.horizon.vmware.com deve ser configurado na rede DMZ.
  2. Você seleciona o botão de alternância para ativar o IP Público Automático para UAG ou desativa caso prefira usar o IP público manual.

    A alternância está ativada por padrão. Se um IP personalizado manual for selecionado, um UAG externo será implantado com um endereço IP de front-end privado na rede DMZ. Em seguida, você deve cuidar do roteamento desse endereço IP privado para o público fornecido pelo cliente.

    Forneça o FQDN para a implantação do Unified Access Gateway.

  3. No campo Tipo de Certificado, escolha entre PEM e PFX no menu suspenso.
  4. No campo Certificado, carregue o certificado que permite que os clientes confiem em conexões com o Unified Access Gateway no Microsoft Azure.
  5. Selecione o Modelo de VM nos modelos de VM disponíveis no menu.
  6. Adicione um valor no campo VMs UAG.
  7. Clique em Salvar.

O que fazer agora

Após concluir esse procedimento, você deverá criar registros DNS que correspondam ao FQDN inserido para as instâncias do Unified Access Gateway. Consulte Configurar registros DNS necessários após a implantação do Horizon Edge Gateway e do Unified Access Gateway.

Observação: Depois de concluir a implantação do Horizon Cloud e autorizar áreas de trabalho ou aplicativos para os usuários finais, esteja ciente de como o comportamento do Unified Access Gateway a seguir afeta e beneficia os usuários finais que usam o Horizon HTML Access (o cliente Web).

Para o Unified Access Gateway 2203.1 ou posterior, se uma instância do Unified Access Gateway entrar no modo de manutenção ou entrar em um estado não íntegro e se tornar inacessível, as sessões contínuas para usuários finais que usam o Horizon HTML Access se reconectarão a uma instância íntegra do Unified Access Gateway. O período de reconexão pode levar alguns minutos.

Lembre-se de que a atualização do certificado SSL para o Unified Access Gateway encerra as sessões de usuário final.