VMware NSX Cloud e pods do Horizon Cloud no Microsoft Azure

Quando a VNet do Microsoft Azure usada por seus pods for configurada para o NSX Cloud, você poderá aproveitar os recursos da virtualização de rede do NSX-T Data Center com as atribuições de área de trabalho VDI e farms desses pods. Você pode usar os recursos de microssegmentação do NSX Cloud para restringir o acesso entre as instâncias de RDSH do farm e as áreas de trabalho VDI, até quando essas máquinas virtuais estão na mesma sub-rede do tenant.

Para saber a versão específica do NSX-T Data Center compatível com essa integração com o manifesto do pod atual para a versão atual do Horizon Cloud Service, consulte o tópico da documentação Horizon Cloud: Ambientes, sistemas operacionais e compatibilidade.

Observação: Depois que você atualizar um pod existente das versões de manifesto anteriores à 1101 para uma versão mais recente, os farms e as atribuições de área de trabalho VDI que haviam no pod antes da atualização não poderão ser editados após a atualização a fim de ativá-los para gerenciamento do NSX Cloud.

A integração do Horizon Cloud é compatível com componentes do NSX Cloud Management, NSX Manager e Cloud Service Manager (CSM), implantados no local ou, a patir do NSX-T Data Center versão 3.1.1, de forma nativa no Microsoft Azure. Para obter uma visão geral dos componentes e da arquitetura do NSX Cloud, consulte Componentes e arquitetura do NSX Cloud na Documentação do VMware NSX-T Data Center.

Observação: Começando com o NSX Cloud 3.1.1, os modos quarentena e não quarentena são compatíveis com o uso com pods do Horizon Cloud no Microsoft Azure. Versões anteriores são compatíveis com o modo não quarentena.

Um dos requisitos do uso do NSX Cloud com o ambiente do Microsoft Azure é que você deve estabelecer uma conexão entre sua VNet do Microsoft Azure e seus dispositivos locais do NSX-T Data Center. Como o Microsoft Azure não permite que você modifique o bloco CIDR de uma VNet depois que uma VNet está emparelhada ou depois de anexar um Gateway de VPN, certifique-se de ter verificado todos os valores que deseja usar antes de anexar o VNet ao Gateway de VPN. Para ver um fluxo de trabalho das etapas de alto nível para a conexão do NSX Cloud à sua nuvem pública, consulte o tópico da versão 3.1, Integrar o Horizon Cloud Service no NSX Cloud na documentação do NSX-T Data Center.

A tabela a seguir é um resumo das etapas de ponta-a-ponta para habilitar o uso dos recursos do NSX Cloud com as VMs RDSH e as VMs de área de trabalho VDI do seu pod. Alguns dos links na coluna Detalhes abrem os tópicos relevantes da documentação do NSX-T Data Center versão 3.1.

Etapa importante	Detalhes
Integrar Horizon Cloud ao NSX Cloud para uso com o pod do Horizon Cloud	Consulte o tópico da documentação do NSX-T Data Center Integrar o Horizon Cloud Service com o NSX Cloud. Importante: Se pretende criar atribuições do App Volumes no pod, você deve abrir manualmente a porta 445/TCP para a sub-rede do tenant do pod nas regras do NSX Firewall depois de implantar o PCG do NSX e antes de criar sua primeira atribuição do App Volumes usando esse pod. Conforme declarado em Aplicativos do App Volumes para Horizon Cloud on Microsoft Azure: visão geral e pré-requisitos, para dar suporte ao uso dos recursos do App Volumes que são compatíveis para uso com um pod do Horizon Cloud, você deve configurar a porta 445 para o tráfego de protocolo TCP na sub-rede do tenant do pod.
Crie uma VM e importe-a para o Horizon Cloud usando o assistente de Importação de Máquina Virtual do Marketplace.	Consulte Criar uma máquina virtual de base automaticamente por meio do Microsoft Azure Marketplace e emparelhá-la com o Horizon Cloud somente por pod. Para facilitar a instalação do agente necessário do NSX, uma boa prática é selecionar a opção de um endereço IP público. Observação: Ao importar a VM, selecione as opções para otimizar a VM e, para Windows 10 ou 11, remover aplicativos da Windows Store. Usar essas opções ajuda a evitar problemas com sysprep durante o fechamento posterior da imagem.
Conecte-se à VM importada e instale as NSX Tools necessárias.	Instalar as NSX Tools na VM da imagem importada do Horizon Cloud
Publique a imagem.	Converter uma VM da imagem configurada em uma imagem atribuível no Horizon Cloud somente por pod
Crie farms e atribuições de área de trabalho VDI usando essa imagem e a configuração para habilitar o gerenciamento do NSX Cloud para esse farm ou atribuição. Quando as VMs RDSH e de área de trabalho VDI são criadas, elas aparecem no inventário do NSX Cloud.	Pods do Horizon Cloud de primeira geração: criação e gerenciamento de farms Criar uma atribuição de área de trabalho VDI dedicada provisionada por um único pod no Microsoft Azure Criar uma atribuição de área de trabalho VDI flutuante provisionada por um único pod no Microsoft Azure
Ativar as regras de firewalls distribuídos no NSX Manager que permitirão a comunicação com as VMs RDSH e de área de trabalho VDI	Como o NSX Cloud bloqueará essas comunicações por padrão, você deve ativar algumas regras de firewall distribuído no NSX Manager para permitir a comunicação com as VMs gerenciadas pelo NSX que são provisionadas do pod. Consulte Regras de firewall necessárias no NSX Manager para VMs provisionadas por pod. Se você estiver usando o NSX-T Data Center 2.4, além de ativar as regras de firewall, também deverá adicionar uma política de encaminhamento para rotear o tráfego relativo às VMs gerenciadas pelo NSX por meio da rede da nuvem do Microsoft Azure (base). Consulte Adicionar a política de encaminhamento necessária no NSX Manager para VMs provisionadas pelo pod.
Use os recursos do NSX Cloud com as VMs RDSH e de área de trabalho VDI em seu inventário do NSX Cloud.	Consulte este tópico do NSX Cloud e seus subtópicos no Guia de administração do NSX-T Data Center.

NSX Cloud e fluxos de trabalho do Horizon Cloud

Ao criar um farm RDSH ou uma atribuição de área de trabalho VDI no seu pod do Horizon Cloud usando uma VM da golden image que você configurou com o agente do NSX, você pode decidir se deseja ativar o gerenciamento do NSX Cloud no farm ou na atribuição de área de trabalho VDI. Quando você habilita o gerenciamento do NSX Cloud para um farm ou uma atribuição de área de trabalho VDI, todas as máquinas virtuais (VMs) nesse farm ou atribuição de área de trabalho VDI são marcadas para uso no NSX Cloud. Você especifica o gerenciamento do NSX Cloud ao criar o farm ou a atribuição de área de trabalho VDI e não pode alterar esse estado após a criação do farm e da atribuição. Os fluxos de trabalho do Horizon Cloud para criar uma atribuição de área de trabalho VDI e um farm incluem uma alternância para habilitar o uso do NSX Cloud com instâncias RDSH do farm ou as áreas de trabalho virtuais da atribuição da área de trabalho VDI. Para obter detalhes sobre esses fluxos de trabalho, consulte:

Definir a alternância NSX Cloud Gerenciado como Sim durante a criação de um farm ou de uma atribuição de área de trabalho VDI dá às VMs RDSH ou às VMs de área de trabalho VDI do farm resultante uma etiqueta personalizada chamada nsx.network=default. O PCG do NSX Cloud gerencia todas as VMs que tenham essa etiqueta. O NSX Cloud descobre automaticamente as VMs em sua VNet configurada do Microsoft Azure que tenham essa etiqueta e as inclui no seu inventário de nuvem pública. Em seguida, você poderá gerenciar e proteger as VMs usando o componente CSM do NSX-T Data Center. Para ver mais detalhes, consulte este tópico do NSX Cloud e seus subtópicos no Guia de administração do NSX-T Data Center.

Há algumas limitações quando se usa o recurso de gerenciamento do NSX Cloud com seus pods no Horizon Cloud:

Você não pode editar o nome de um farm ou uma atribuição de área de trabalho VDI que tenha o gerenciamento do NSX Cloud habilitado.
Para usar a criptografia de disco e os recursos de gerenciamento do NSX Cloud para uma atribuição de área de trabalho VDI flutuante, instale a versão mais recente do agente do NSX. Essa combinação não é compatível com versões anteriores do agente do NSX.

Instalar as NSX Tools na VM da imagem importada do Horizon Cloud

Se você quiser criar uma atribuição de área de trabalho VDI ou farm habilitado para o NSX Cloud Management, as NSX Tools deverão ser instaladas na imagem publicada que você usa para esse farm ou atribuição. Você deve instalar as NSX Tools na VM da imagem antes de publicá-la. Você instala as NSX Tools após a criação da VM, e a página VMs Importadas mostra que o status do software do Horizon Agent da VM está ativo.

As etapas nesta página seguem o método do NSX Cloud descrito como baixar e instalar as NSX Tools nas VMs de imagem individuais. Esse método envolve baixar um arquivo de script de instalação do PowerShell a partir do local de download identificado no Cloud Service Manager (CSM) do ambiente do NSX Cloud. Na VM da imagem, execute esse script de instalação para baixar os binários de instalação das NSX Tools e executar a instalação. Muitos dos detalhes desse método estão localizados no tópico Instalar as NSX Tools em VMs do Windows no Guia de administração do NSX-T Data Center.

Pré-requisitos

Verifique se a página VMs Importadas indica que o status relacionado ao agente está ativo para a VM. Para obter esse status, na VM, use a ação Redefinir o Emparelhamento do Agente da página VMs Importadas. Essa ação está localizada na lista suspensa Mais.

Observação: Ao usar o Cliente de Área de Trabalho Remota da Microsoft como software RDP para conectar-se à VM, verifique se a versão é a mais recente. Por exemplo, o software RDP padrão no sistema operacional Windows 7 não é uma versão superior o suficiente. A versão deve ser 8 ou superior.

Verifique se você tem pelo menos uma das seguintes credenciais (nome de usuário e senha) para fazer login no sistema operacional Windows convidado da VM, de acordo com o modo como a VM foi criada.


Como a VM foi criada	Credenciais a serem usadas para fazer login
Assistente de importação de máquina virtual, na página VMs Importadas.	A partir da data da versão de serviço de dezembro de 2019, o assistente de Importação de Máquina Virtual fornece a opção da VM criada pelo assistente ingressar em um domínio especificado do Active Directory ou da VM não ingressar no domínio no final do processo de criação. Se a VM tiver sido criada com a alternância Ingresso no Domínio do assistente ativada, você poderá usar as credenciais para uma conta de domínio no domínio especificado do Active Directory ou usar a conta de administrador local especificada no assistente. Se a VM tiver sido criada com a alternância Ingresso no Domínio do assistente desativada, você deverá usar a conta de administrador local especificada no assistente. Nesse caso, como a VM não ingressou no domínio, a conta de administrador local é a única conta que tem acesso ao logon.
Etapas de preparação manual.	Normalmente, você não precisa ingressar a VM no seu domínio do Active Directory quando cria manualmente a VM. Para fazer login nessa VM, use uma das seguintes opções: As credenciais para a conta de administrador local que foi especificada quando a VM criada manualmente foi criada no portal do Microsoft Azure. Se você tiver ingressado manualmente essa VM em um domínio do Active Directory, as credenciais para uma conta de domínio nesse domínio.

Importante: A partir do manifesto do pod 1230 e posteriores, as contas de domínio podem se conectar diretamente a VMs de imagem ingressadas no domínio que possuem o software do agente instalado. Antes do manifesto do pod 1230, o software do agente instalado em uma VM ingressada no domínio impedia que as contas de domínio se conectassem diretamente a essa VM. Observe que esses manifestos anteriores a 2298 não têm suporte e devem ser atualizados, conforme descrito no artigo 86476 da Base de Dados de Conhecimento.

Se estiver instalando as NSX Tools baixando e instalando nas VMs, verifique se você tem as credenciais para fazer logon no portal do CSM do seu ambiente NSX Cloud. Você pode usar o CSM para identificar a localização para baixar o script de instalação do PowerShell para instalar as NSX Tools. O CSM é um componente do NSX Cloud e fornece um endpoint de gerenciamento em painel de controle único para seu inventário de nuvem pública. Para obter mais detalhes, leia sobre o CSM na documentação do NSX-T Data Center.

Procedimento

Use o endereço IP da VM no seu software RDP para se conectar ao sistema operacional Windows da VM.
- Se a VM foi criada com um endereço IP público, você pode usar esse endereço no software RDP
- Se a VM tem um endereço IP privado, você deve executar o RDP nela por meio de um destes dois métodos:
  - Usar outra VM em sua assinatura do Microsoft Azure que tenha um endereço IP público e executar um RDP de saída na VM da imagem.
  - Usar sua VPN e seu RDP na VM da imagem em sua rede corporativa.
Observação: Para acessar uma VM que esteja executando os componentes de software relacionados ao agente, a versão do Remote Desktop Client deve ser 8 ou posterior. Caso contrário, a conexão falha. É recomendável usar o cliente de área de trabalho remota mais atualizado.
Faça login no sistema operacional Windows usando as credenciais (nome de usuário e senha), conforme descrito nos pré-requisitos aqui.
Ao usar as credenciais de conta de administrador local que foram especificadas no assistente de Importação de Imagem quando a VM foi criada, insira o nome do usuário como \username.
Observação: Quando a VM é ingressada em um domínio, conforme descrito nos pré-requisitos aqui e você deseja usar uma conta de domínio em vez da conta de administrador local, insira o nome do usuário como domínio\username, onde domínio é o nome do domínio.
Na VM do Windows, faça login no CSM, navegue até Nuvens > Azure > VNets e navegue até a VNet apropriada para o pod.
Localize a área Download e instalação de NSX Tools da tela para obter o local de download e o comando de instalação para o Windows.
Nessa área, localize o local de download exibido do script de instalação do Windows. No local de download também há um comando de instalação básica simples.
- O local de download exibido tem o padrão http://filepath/nsx_install.ps1, onde nsx_install.ps1 é o arquivo de script do PowerShell e filepath é o caminho do qual se deseja baixar o arquivo.
- O comando de instalação básica exibido inclui a parte -dnsSuffix sufixo DNS, onde sufixo DNS é um valor gerado dinamicamente relacionado às configurações do DNS que você escolheu quando implantou o PCG na VNet do Microsoft Azure como parte da configuração do NSX Cloud.
Importante: Ao executar o script para instalar as NSX Tools de uma VM da imagem no Horizon Cloud, você deve especificar:
- O mesmo sufixo DNS que você vê no CSM para sua VNet do Microsoft Azure. O sufixo DNS é exclusivo de seu ambiente configurado.
- A opção startOnDemand true. Essa opção otimiza as NSX Tools para o fluxo de trabalho de publicação do Horizon Cloud.
Copie o sufixo DNS exibido para que você o tenha quando for executar o script de instalação nas próximas etapas.
Use o local de download para baixar o arquivo nsx_install.ps1 em uma localização na VM.
Abra um prompt do PowerShell, navegue até onde você baixou o arquivo nsx_install.ps1 e instale as NSX Tools executando o comando de instalação usando seu valor de sufixo DNS e a opção -startOnDemand true.
Importante: A opção -startOnDemand como verdadeira é necessária.
O seguinte bloco de código é um exemplo do comando em um prompt do PowerShell com um exemplo de sufixo DNS de xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net.
```
powershell -file 'nsx_install.ps1' -operation install -dnsSuffix xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net -startOnDemand true
```
Quando acaba a execução do script, é exibida uma mensagem indicando se as NSX Tools foram instaladas com êxito.
Feche o prompt de comando do PowerShell.
Verifique se o status de bootstrap das NSX Tools está pronto abrindo um prompt de comando normal e executando o comando a seguir.
```
schtasks /query /tn nsx_bootstrap
```
Executar esse comando deve exibir a tarefa nsx_bootstrap no status Ready. Veja a seguir um exemplo.
```
TaskName              Next Run Time       Status
--------------------- ------------------- -----------
nsx_bootstrap         N/A                 Ready
```
Saia do sistema operacional Windows da VM.

O que Fazer Depois

Com as NSX Tools instaladas e a tarefa nsx_bootstrap aparecendo como Ready, você poderá publicar a imagem se não tiver mais personalizações a fazer. Consulte Converter uma VM da imagem configurada em uma imagem atribuível no Horizon Cloud somente por pod.

Regras de firewall necessárias no NSX Manager para VMs provisionadas por pod

Ao usar os recursos do NSX Cloud com seu pod no Microsoft Azure, você deve ativar algumas regras de firewall distribuídas no NSX Manager para permitir a comunicação com as VMs gerenciadas pelo NSX que são provisionadas do pod. Se essas regras não estiverem ativadas, os usuários finais não poderão iniciar e fazer login em suas áreas de trabalho ou aplicativos remotos.

No NSX Manager, ative essas regras para permitir o tráfego conforme indicado. Na tabela, o pool de áreas de trabalho da frase se refere à atribuição de farm RDSH ou de área de trabalho VDI.


Tipo de tráfego	Origem	Destino	Serviço/Protocolo/Porta
Tráfego do Horizon HTML Access (Blast)	As VMs do Unified Access Gateway do pod	Pool de áreas de trabalho	VMware-View-PCoIP/TCP/4172 VMware-View5.x-PCoIP/UDP/4172 HTTPS/TCP/443 Horizon Blast UDP/UDP/22443 Horizon Blast TCP/TCP/22443 Horizon-USB-RedirectionIn/TCP/32111 Horizon-Beat/TCP-8443 Horizon-TCP-Side-Channel/TCP/9427
Tráfego do pool de áreas de trabalho para o gerenciador de pod	Pool de áreas de trabalho	VM do gerente do pod	VMware-View5.x-JMS/TCP/4001 Desktop-Messaging Server/TCP/3099 VMware-View7-JMS/TCP/4002
Tráfego do pool de áreas de trabalho para o servidor de domínio do Active Directory	Pool de áreas de trabalho	VM do gerente do pod	QUALQUER

Adicionar a política de encaminhamento necessária no NSX Manager para VMs provisionadas pelo pod

Ao usar o NSX-T Data Center 2.4 com um pod no Microsoft Azure, além de ativar as regras de firewall, você também deve adicionar uma política de encaminhamento para rotear o tráfego referente às VMs gerenciadas pelo NSX do pod por meio da rede da nuvem do Microsoft Azure (base). As políticas de encaminhamento foram introduzidas no NSX-T Data Center 2.4.

Realize essas etapas no ambiente do NSX-T Data Center 2.4.

Procedimento

Faça login no NSX Manager do seu ambiente.
Navegue até Rede > Políticas de Encaminhamento.
Na página Políticas de Encaminhamento, expanda a seção que representa a VNet na qual o NSX Public Cloud Gateway (PCG) está implantado para uso do pod.
Na seção expandida, faça uma cópia da última regra listada nessa seção, aquela nomeada CloudDefaultRoute, clicando com o botão direito do mouse e selecionando Copiar regra.
Defina a ação da nova cópia para Rotear para Base.
Clique em Publicar.