Se você tiver implantado inicialmente um pod do Horizon Cloud no Microsoft Azure sem gateway ou com apenas um tipo de gateway, poderá adicionar posteriormente uma configuração de gateway ao pod usando o fluxo de trabalho Editar Pod. Inicie esse fluxo de trabalho na página de detalhes do pod.

Dica: O console é dinâmico. Ele só disponibilizará na interface do usuário os fluxos de trabalho, as alternâncias e os campos que fizerem sentido e forem apropriados com base na configuração atual do pod e na configuração do ambiente geral.

Conforme descrito em Introdução aos pods do Horizon Cloud no Microsoft Azure, um pod pode ter uma configuração de gateway externo, interno ou ambos. Você pode usar esse fluxo de trabalho para adicionar o tipo que o pod ainda não possui. Ao mesmo tempo que você editar o pod para adicionar uma configuração de gateway, também poderá especificar as configurações de autenticação de dois fatores para esse gateway.

Importante: Ao modificar o pod usando essas etapas, tenha em mente os seguintes pontos:
  • Tenha em mente que a configuração de IP para o balanceador de carga de um gateway externo não poderá ser alterada depois que a configuração gateway externo for definida originalmente. Ao adicionar uma configuração gateway externo, você tem a opção de fazê-la usar um endereço IP privado para o balanceador de carga do gateway em vez de um público. O padrão é usar um IP público.
  • Durante o tempo em que o sistema está mudando a configuração do pod até sua conclusão, aplicam-se as seguintes limitações:
    • Você não pode realizar tarefas de administração no pod.
    • Os usuários finais que não têm sessões conectadas às suas áreas de trabalho ou aplicativos remotos atendidos pelo pod e que tentam se conectar não podem fazer isso.
    • Os usuários finais que têm sessões conectadas atendidas pelo pod terão estas sessões ativas desconectadas. Não ocorrerá nenhuma perda de dados. Depois que as alterações de configuração forem concluídas, esses usuários poderão se reconectar.

Pré-requisitos

Observação: Se o pod tiver uma alta disponibilidade habilitada, e uma das VMs do gerenciador de pods estiver off-line, o sistema impedirá a adição de um gateway ao pod. A mensagem será exibida depois que você clicar em Salvar e Sair. Você deve colocar a VM de gerenciador de pods off-line no estado on-line usando o portal do Microsoft Azure antes de poder adicionar o gateway.

Ao adicionar uma configuração de gateway a um pod existente no Microsoft Azure, para preencher os campos no assistente Editar Pod, você deve fornecer as informações conforme descrito em Pré-requisitos para as configurações do Unified Access Gateway. Se você também estiver especificando configurações de autenticação de dois fatores ao mesmo tempo em que está adicionando o gateway, deverá fornecer as informações conforme descritas em Pré-requisitos ao implantar com uma configuração de autenticação de dois fatores. Se você estiver adicionando uma configuração de gateway externo e quiser que ela use sua própria assinatura, também precisará dessas informações de assinatura e garantir que a VNet que você usará para esse gateway atenda aos requisitos da VNet. Para esses requisitos de VNet, consulte Configurar a rede virtual necessária no Microsoft Azure.

Importante: Todos os certificados na cadeia de certificados devem ter períodos de tempo válidos. As VMs do Unified Access Gateway exigem que todos os certificados na cadeia, incluindo quaisquer certificados intermediários, tenham períodos de tempo válidos. Se qualquer certificado da cadeia tiver expirado, falhas inesperadas podem ocorrer mais tarde, como o certificado é carregado para a configuração de Unified Access Gateway.

Procedimento

  1. No console, vá para Configurações > Capacidade e clique no nome do pod para abrir a respectiva página de detalhes.
  2. Na página de detalhes do pod, clique em Editar.
  3. Na etapa de assinatura, se você estiver adicionando uma configuração de gateway externo e quiser que ela use uma assinatura separada da do pod, ative Use uma assinatura diferente para o gateway externo e insira as informações de assinatura.
  4. Clique em Avançar até atingir a etapa Configurações de Gateway.
    Essa etapa tem uma seção para a configuração gateway externo e uma seção para a configuração gateway interno. A interface do usuário reflete a configuração atual do pod e as configurações do gateway já existentes.
  5. Para adicionar um gateway externo, ative a alternância Ativar UAG Externo? e preencha os campos na seção UAG Externo.
    Opção Descrição
    Ativar Gateway Externo? Controla se o pod tem uma configuração de gateway externo. A configuração externa fornece acesso a áreas de trabalho e aplicativos para usuários localizados fora da sua rede corporativa. O pod inclui um recurso do balanceador de carga do Microsoft Azure e instâncias do Unified Access Gateway para fornecer esse acesso.
    Observação: É recomendável manter a configuração que vem ativada por padrão.

    Quando essa alternância é desativada, os clientes devem se conectar por meio do Workspace ONE Access integrado ao pod ou diretamente ao balanceador de carga dos gerenciadores de pod ou se conectar por meio de uma configuração de gateway interno. No caso dos clientes que se conectam pelo Workspace ONE Access integrado ao pod ou diretamente, algumas etapas pós-implantação são necessárias. Nesse caso, após a implantação do pod, siga as etapas em Configurar certificados SSL nas VMs do gerenciador do pod do Horizon Cloud.

    FQDN Digite seu nome de domínio completo (FQDN), como ourOrg.example.com, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN.
    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
    Endereços DNS Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração externa do Unified Access Gateway para usar a autenticação de dois fatores com o servidor RADIUS local, você deve especificar o endereço de um servidor DNS que possa resolver o nome do seu servidor RADIUS local.

    Como descrito nos pré-requisitos de implantação, um servidor DNS deve ser configurado internamente em sua assinatura e configurado para fornecer uma resolução de nome externa. As instâncias do Unified Access Gateway usam esse servidor DNS por padrão. Se você especificar endereços nesse campo, as instâncias do Unified Access Gateway implantadas usarão os endereços, além do servidor DNS de pré-requisito que você configurou na rede virtual da sua assinatura.

    Rotas Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como servidores RADIUS para autenticação de dois fatores.

    Ao configurar esse pod para usar a autenticação de dois fatores com um servidor RADIUS local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar o servidor RADIUS. Por exemplo, se o servidor RADIUS local usar 10.10.60.20 como endereço IP, você deverá inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de VM Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado.
    Certificado Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.

    Especifique as configurações para o balanceador de carga da Microsoft desse gateway.

    Opção Descrição
    Habilitar IP público? Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado.
    Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta.

    Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.

    IP Público do FQDN do Horizon Se optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP que você está mapeando no seu DNS para o FQDN que os clientes do Horizon dos usuários finais usarão para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

    Especifique as configurações de rede do gateway externo.

    Opção Descrição
    Usar uma Rede Virtual Diferente Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod.

    As seguintes linhas descrevem os diferentes casos.

    Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação.
    Usar uma Rede Virtual Diferente — Desativada Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada.
    • Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod.
      Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.
    • Sub-rede da Zona Desmilitarizada (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, insira a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
    Usar uma Rede Virtual Diferente — Ativada Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR.
    Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.

    Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod.

    • Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço.
    • Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27.
    • Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
  6. (Opcional) Na seção Implantação, use a alternância para selecionar opcionalmente um grupo de recursos existente no qual você deseja que o implantador implante os recursos para a configuração de gateway externo.
    Essa alternância é exibida quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente. Quando você habilita a alternância, é exibido um campo no qual você pode procurar e selecionar o grupo de recursos.
  7. Para adicionar um gateway interno, ative a alternância Ativar UAG Interno? ative a alternância e preencha os campos na seção UAG Interno.
    Opção Descrição
    Ativar Gateway Interno? Controla se o pod tem uma configuração de gateway interno. A configuração interna fornece acesso confiável a áreas de trabalho e aplicativos para conexões via HTML Access (Blast) para usuários localizados na sua rede corporativa. O pod inclui um recurso do balanceador de carga do Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Por padrão, o tipo de balanceamento de carga desse gateway é privado. O balanceador de carga é configurado com um endereço IP privado.
    FQDN Digite seu nome de domínio completo (FQDN), como ourOrg.example.com, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN.

    Se você especificou um FQDN para o gateway externo, deverá inserir o mesmo FQDN aqui.

    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
    Endereços DNS Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração de gateway externo para usar a autenticação de dois fatores com o servidor RADIUS local, você deve especificar o endereço de um servidor DNS que possa resolver o nome do seu servidor RADIUS local.

    Como descrito nos pré-requisitos de implantação, um servidor DNS deve ser configurado internamente na sua assinatura e configurado para fornecer uma resolução de nome. As instâncias do Unified Access Gateway usam esse servidor DNS por padrão. Se você especificar endereços nesse campo, as instâncias do Unified Access Gateway implantadas usarão os endereços, além do servidor DNS de pré-requisito que você configurou na rede virtual da sua assinatura.

    Rotas Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como servidores RADIUS para autenticação de dois fatores.

    Ao configurar esse pod para usar a autenticação de dois fatores com um servidor RADIUS local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar o servidor RADIUS. Por exemplo, se o servidor RADIUS local usar 10.10.60.20 como endereço IP, você deverá inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de VM Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado.
    Certificado Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
  8. Na seção para qualquer gateway que você estiver adicionando, se quiser configurar opcionalmente as áreas de trabalho dos usuários finais para usar a autenticação de dois fatores RADIUS, siga as etapas em Habilitar a autenticação de dois fatores nos gateways de um pod do Horizon Cloud.
  9. Clique em Salvar e Sair.
    É exibida uma mensagem de confirmação solicitando a confirmação para o início do fluxo de trabalho.
  10. Clique em Sim para iniciar o fluxo de trabalho.

Resultados

Até o sistema finalizar a implantação dos elementos para o gateway, a seção da página de resumo do pod para esse tipo de configuração mostra o status Pendente. Além disso, você não pode realizar outras atividades relacionadas ao fluxo de trabalho de edição de pod até que o sistema conclua suas ações de implantação do gateway.

Quando o fluxo de trabalho for concluído, o status mostrará Pronto e o FQDN do balanceador de carga será exibido na página.

Observação: Ao executar esse fluxo de trabalho para um pod do Microsoft Azure na China, o processo pode demorar mais de uma hora para ser concluído. O processo está sujeito a problemas de rede geográfica que podem fazer com que a velocidade de download fique lenta à medida que os binários são baixados da camada de controle da nuvem.

O que Fazer Depois

Importante: Antes que os usuários finais possam começar a usar o gateway recém-adicionado, você deve concluir as seguintes tarefas.
  • Para a configuração do gateway recém-adicionado, certifique-se que você tenha um registro CNAME no seu servidor DNS para mapear o balanceador de carga implantado da configuração para o FQDN que você inseriu no assistente de implantação. Consulte Obtenha as informações do balanceador de carga do gateway do pod para mapear no seu servidor DNS para obter mais detalhes.
  • Se você tiver especificado a autenticação de dois fatores RADIUS para o gateway adicionado, deverá seguir estas tarefas:
    • Se você tiver configurado um gateway externo com configurações RADIUS, e esse servidor RADIUS não estiver acessível na mesma VNet usada pelo pod, ou na topologia VNet emparelhada se você tiver implantando o gateway externo na própria VNet, configure o servidor RADIUS a permitir conexões de cliente a partir do endereço IP do balanceador de carga do gateway externo. Em uma configuração gateway externo, as instâncias do Unified Access Gateway tentam entrar em contato com o servidor RADIUS usando esse endereço do balanceador de carga. Para permitir as conexões, verifique se o endereço IP do recurso do balanceador de carga que está no grupo de recursos do gateway externo está especificado como um cliente na configuração do seu servidor RADIUS.
    • Se você tiver configurado um gateway interno ou externo e seu servidor RADIUS estiver acessível na mesma VNet usada pelo pod, configure o servidor RADIUS para permitir conexões dos NICs apropriados que foram criados no grupo de recursos do gateway no Microsoft Azure que deve se comunicar com o servidor RADIUS. O administrador de rede determina a visibilidade da rede do servidor RADIUS para as sub-redes e a rede virtual do Azure do pod. Seu servidor RADIUS deve permitir conexões de cliente a partir dos endereços IP desses NICs de gateway que correspondem à sub-rede para a qual o administrador de rede forneceu visibilidade de rede ao servidor RADIUS. O grupo de recursos do gateway no Microsoft Azure tem quatro NICs que correspondem a essa sub-rede, duas que estão ativas atualmente para as duas instâncias do Unified Access Gateway e duas que estão ociosas e se tornarão ativas após o pod passar por uma atualização. Para oferecer suporte à conectividade entre o gateway e o servidor RADIUS tanto para operações de pod contínuo quanto após cada atualização de pod, certifique-se de que os endereços IP dessas quatro NICs sejam especificados como clientes na configuração do servidor RADIUS.

    Para obter informações sobre como obter esses endereços IP, consulte Atualizar o sistema RADIUS com as informações de gateway de pod do Horizon Cloud necessárias.