Adicionar uma configuração de gateway a um pod implantado do Horizon Cloud

Se você tiver implantado inicialmente um pod do Horizon Cloud no Microsoft Azure sem gateway ou com apenas um tipo de gateway, poderá adicionar posteriormente uma configuração de gateway ao pod usando o fluxo de trabalho Editar Pod. Inicie esse fluxo de trabalho na página de detalhes do pod.

Dica: O console é dinâmico. Ele só disponibilizará na interface do usuário os fluxos de trabalho, as alternâncias e os campos que fizerem sentido e forem apropriados com base na configuração atual do pod e na configuração do ambiente geral.

Conforme descrito em Suas implantações do Horizon Cloud on Microsoft Azure, um pod pode ter uma configuração de gateway externo, interno ou ambos. Você pode usar esse fluxo de trabalho para adicionar o tipo que o pod ainda não possui. Ao mesmo tempo que você editar o pod para adicionar uma configuração de gateway, também poderá especificar as configurações de autenticação de dois fatores para esse gateway.

Importante: Ao modificar o pod usando essas etapas, tenha em mente os seguintes pontos:

Tenha em mente que a configuração de IP para o balanceador de carga de um gateway externo não poderá ser alterada depois que a configuração gateway externo for definida originalmente. Ao adicionar uma configuração gateway externo, você tem a opção de fazê-la usar um endereço IP privado para o balanceador de carga do gateway em vez de um público. O padrão é usar um IP público.
Quando o tenant está configurado para usar o Universal Broker, e as configurações do agente têm a autenticação de dois fatores ativada, o mesmo tipo de autenticação de dois fatores deve ser definido nos gateways externos de todos os pods na frota.
Durante o tempo em que o sistema está mudando a configuração do pod até sua conclusão, aplicam-se as seguintes limitações:
- Você não pode realizar tarefas de administração no pod.
- Os usuários finais que não têm sessões conectadas às suas áreas de trabalho ou aplicativos remotos atendidos pelo pod e que tentam se conectar não podem fazer isso.
- Os usuários finais que têm sessões conectadas atendidas pelo pod terão estas sessões ativas desconectadas. Não ocorrerá nenhuma perda de dados. Depois que as alterações de configuração forem concluídas, esses usuários poderão se reconectar.

Pré-requisitos

Observação: Quando o pod tem alta disponibilidade ativada e uma das VMs do gerenciador de pods está offline, o sistema impede a adição de um gateway ao pod. A mensagem será exibida depois que você clicar em Salvar e Sair. Você deve colocar a VM de gerenciador de pods off-line no estado on-line usando o portal do Microsoft Azure antes de poder adicionar o gateway.

Ao adicionar uma configuração de gateway a um pod existente no Microsoft Azure, para preencher os campos no assistente Editar Pod, você deve fornecer as informações conforme descrito em Pré-requisitos para as configurações do Unified Access Gateway. Se você também estiver especificando configurações de autenticação de dois fatores ao mesmo tempo em que está adicionando o gateway, deverá fornecer as informações conforme descritas em Pré-requisitos ao implantar com uma configuração de autenticação de dois fatores. Se você estiver adicionando uma configuração de gateway externo e quiser que ela use sua própria assinatura, também precisará dessas informações de assinatura e garantir que a VNet que você usará para esse gateway atenda aos requisitos da VNet. Para esses requisitos de VNet, consulte Configurar a rede virtual necessária no Microsoft Azure.

Importante: Todos os certificados na cadeia de certificados devem ter períodos de tempo válidos. As VMs do Unified Access Gateway exigem que todos os certificados na cadeia, incluindo quaisquer certificados intermediários, tenham períodos de tempo válidos. Se qualquer certificado da cadeia tiver expirado, falhas inesperadas podem ocorrer mais tarde, como o certificado é carregado para a configuração de Unified Access Gateway.

Procedimento

No console, vá para Configurações > Capacidade e clique no nome do pod para abrir a respectiva página de detalhes.
Na página de detalhes do pod, clique em Editar.
Na etapa de assinatura, se você estiver adicionando uma configuração de gateway externo e quiser que ela use uma assinatura separada da do pod, ative Use uma assinatura diferente para o gateway externo e insira as informações de assinatura.
Clique em Avançar até atingir a etapa Configurações de Gateway.
Essa etapa tem uma seção para a configuração gateway externo e uma seção para a configuração gateway interno. A interface do usuário reflete a configuração atual do pod e as configurações do gateway já existentes.

Para adicionar um gateway externo, ative a alternância Ativar UAG Externo? e preencha os campos na seção UAG Externo.

Opção	Descrição
Ativar Gateway Externo?	Controla se o pod tem uma configuração de gateway externo. A configuração externa fornece acesso a áreas de trabalho e aplicativos para usuários localizados fora da sua rede corporativa. O pod inclui um recurso do balanceador de carga do Microsoft Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Observação: É recomendável manter a configuração que vem ativada por padrão. Quando essa alternância é desativada, os clientes devem se conectar por meio do Workspace ONE Access com seu dispositivo de conector integrado diretamente aos gerenciadores de pods, ou os clientes se conectam diretamente ao balanceador de carga dos gerenciadores de pods ou se conectam por meio de uma configuração de gateway interno. Nos dois primeiros cenários mencionados, de clientes que se conectarem por meio do Workspace ONE Access integrado ao pod ou se conectarem diretamente ao balanceador de carga, algumas etapas pós-implantação serão necessárias. Nesses cenários, após a implantação do pod, carregue os certificados SSL nas VMs do gerenciador de pods seguindo as etapas em Configurar certificados SSL diretamente nas VMs do gerenciador de pods.
FQDN	Digite o nome de domínio totalmente qualificado (FQDN), como `ourOrg.example.com`, que o implantador do pod especificará na configuração para as instâncias Unified Access Gateway do gateway. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN. O Horizon Cloud espera que esse FQDN especificado para a configuração do gateway externo possa ser resolvido publicamente. Se você desativar a opção Habilitar IP Público? para especificar um endereço IP da sua configuração de firewall ou NAT, será responsável por garantir que esse FQDN seja atribuído a esse endereço IP na sua configuração de firewall ou NAT. Esse FQDN é usado para conexões PCoIP com o gateway. Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
Endereços DNS	Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir esta configuração externa do Unified Access Gateway para usar a autenticação de dois fatores com um servidor de autenticação de dois fatores que está localizado fora da topologia VNet na qual as instâncias do Unified Access Gateway são implantadas, você deve especificar o endereço de um servidor DNS que pode resolva o nome do host desse servidor de autenticação. Por exemplo, quando a autenticação de dois fatores está localizada no local, insira um servidor DNS que possa resolver o nome desse servidor de autenticação. Conforme descrito nos pré-requisitos de implantação, a topologia de VNet usada para a implantação do Horizon Cloud on Microsoft Azure deve ser capaz de se comunicar com o servidor DNS que você deseja, fornecendo resolução de nome externo durante a implantação das instâncias do Unified Access Gateway e para suas operações contínuas. Por padrão, o servidor DNS configurado na VNet na qual as instâncias são implantadas é aquele usado. Se você especifica endereços em Endereços DNS, as instâncias do Unified Access Gateway implantadas usam esses endereços, além das informações do servidor DNS na configuração de sua VNet.
Rotas	Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como para comunicação com servidores de autenticação de dois fatores. Ao configurar esse pod para usar a autenticação de dois fatores com um servidor de autenticação local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar esse servidor. O exemplo, se o seu servidor de autenticação no local usa 10.10.60.20 como seu endereço IP, você deve inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para essa implantação do Horizon Cloud on Microsoft Azure. Especifique as rotas personalizadas como uma lista separada por vírgulas no formato `ipv4-network-address/bits ipv4-gateway-address`. Por exemplo: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Herdar Servidores NTP do Pod	Essa alternância é ativada por padrão para que as instâncias do Unified Access Gateway usem o mesmo servidor NTP especificado para as instâncias do gerenciador de pods. É altamente recomendável manter essa alternância ativada. Usar o mesmo servidor NTP para as instâncias do gerenciador de pods, as instâncias do Unified Access Gateway e seus servidores do Active Directory é uma boa prática. Podem ocorrer distorções de tempo quando essas instâncias usam servidores NTP diferentes. Essas distorções de tempo podem resultar em falhas mais tarde quando o gateway tenta autenticar sessões de usuário final em suas áreas de trabalho e aplicativos. Quando essa alternância estiver ativada e você estiver implantando o gateway externo em sua própria VNet separada da VNet do pod, certifique-se de que os servidores NTP especificados para as instâncias do gerenciador de pods estejam acessíveis a partir da rede virtual selecionada para a implantação do gateway externo.
Modelo de VM	Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado. Importante: Na versão de serviço atual, o modelo de VM usado por essas instâncias não poderá ser facilmente alterado depois que a configuração do gateway for implantada na sua assinatura. Alterar o modelo de VM após a implantação requer a exclusão da configuração do gateway e a implantação dela novamente. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione `F8s_v2`. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM `A4_v2` só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.
Certificado	Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
Porta TCP Blast Extreme	Selecione a porta TCP a ser usada na configuração TCP Blast Extreme presente na configuração do Unified Access Gateway. Essa configuração se refere ao Blast Extreme por meio do Gateway Seguro do Blast no Unified Access Gateway para o tráfego de dados enviado pelo cliente. A porta 8443 é preferida porque é mais eficiente, fornece melhor desempenho e usa menos recursos nas instâncias do Unified Access Gateway. Por esses motivos, o assistente tem 8443 como o valor padrão. A outra opção, 443, é menos eficiente, menos eficiente e causa congestionamento de CPU nas instâncias do que podem causar atrasos de tráfego observacional nos clientes do usuário final. A opção 443 deverá ser usada somente se a sua organização tiver definido restrições do lado do cliente, por exemplo, a sua organização só permite a saída 443. Observação: A porta UDP usada para Blast Extreme não é afetada por essa configuração e é sempre a UDP 8443.
Pacotes de Codificação	Embora na maioria dos casos as configurações padrão não precisem ser alteradas, o Unified Access Gateway fornece esse recurso para especificar opcionalmente os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e os dispositivos do Unified Access Gateway. Pelo menos um pacote de codificação deve ser selecionado na lista na tela. A lista na tela exibe os pacotes de codificação permitidos para a implantação do Horizon Cloud on Microsoft Azure.

Especifique as configurações para o balanceador de carga da Microsoft desse gateway.

Opção	Descrição
Habilitar IP público?	Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado. Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta. Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.
IP Público do FQDN do Horizon	Quando você optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP ao qual está atribuindo o FQDN especificado no campo FQDN. Os Horizon Clients dos usuários finais usarão esse FQDN para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

Opção

Descrição

Habilitar IP público?

Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado.

Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta.

Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.

IP Público do FQDN do Horizon

Quando você optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP ao qual está atribuindo o FQDN especificado no campo FQDN. Os Horizon Clients dos usuários finais usarão esse FQDN para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

Especifique as configurações de rede do gateway externo.

Opção	Descrição
Usar uma Rede Virtual Diferente	Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod. As seguintes linhas descrevem os diferentes casos. Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação. Quando essa alternância estiver ativada e a alternância Herdar Servidores NTP do Pod estiver ativada, certifique-se de que os servidores NTP especificados para as instâncias do gerenciador de pods sejam acessíveis a partir da rede virtual selecionada para a implantação do gateway externo.
Usar uma Rede Virtual Diferente: Desativada	Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada. Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod. Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod. Sub-rede DMZ (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, digite a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
Usar uma Rede Virtual Diferente: Ativada	Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR. Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod. Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod. Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço. Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27. Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.

Opção

Descrição

Usar uma Rede Virtual Diferente

Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod.

As seguintes linhas descrevem os diferentes casos.

Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação.

Quando essa alternância estiver ativada e a alternância Herdar Servidores NTP do Pod estiver ativada, certifique-se de que os servidores NTP especificados para as instâncias do gerenciador de pods sejam acessíveis a partir da rede virtual selecionada para a implantação do gateway externo.

Usar uma Rede Virtual Diferente: Desativada

Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada.

Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod.
Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.
Sub-rede DMZ (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, digite a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.

Usar uma Rede Virtual Diferente: Ativada

Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR.

Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.

Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod.

Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço.
Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27.
Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.

(Opcional) Na seção Implantação, use a alternância para selecionar opcionalmente um grupo de recursos existente no qual você deseja que o implantador implante os recursos para a configuração de gateway externo.
Essa alternância é exibida quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente. Quando você habilita a alternância, é exibido um campo no qual você pode procurar e selecionar o grupo de recursos.

Para adicionar um gateway interno, ative a alternância Ativar UAG Interno? ative a alternância e preencha os campos na seção UAG Interno.

Opção	Descrição
Ativar Gateway Interno?	Controla se o pod tem uma configuração de gateway interno. A configuração interna fornece acesso confiável a áreas de trabalho e aplicativos para conexões via HTML Access (Blast) para usuários localizados na sua rede corporativa. O pod inclui um recurso do balanceador de carga do Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Por padrão, o tipo de balanceamento de carga desse gateway é privado. O balanceador de carga é configurado com um endereço IP privado.
FQDN	Digite seu nome de domínio completo (FQDN), como `ourOrg.example.com`, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN. Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
Endereços DNS	Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração interna do Unified Access Gateway para usar a autenticação de dois fatores com um servidor de autenticação de dois fatores que está localizado fora da topologia VNet na qual as instâncias do Unified Access Gateway são implantadas, você deve especificar o endereço de um servidor DNS que pode resolva o nome do host desse servidor de autenticação. Por exemplo, quando a autenticação de dois fatores está localizada no local, insira um servidor DNS que possa resolver o nome desse servidor de autenticação. Conforme descrito nos pré-requisitos de implantação, a topologia de VNet usada para a implantação do Horizon Cloud on Microsoft Azure deve ser capaz de se comunicar com o servidor DNS que você deseja, fornecendo resolução de nome externo durante a implantação das instâncias do Unified Access Gateway e para suas operações contínuas. Por padrão, o servidor DNS configurado na VNet na qual as instâncias são implantadas é aquele usado. Se você especifica endereços em Endereços DNS, as instâncias do Unified Access Gateway implantadas usam esses endereços, além das informações do servidor DNS na configuração de sua VNet.
Rotas	Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como para comunicação com servidores de autenticação de dois fatores. Ao configurar esse pod para usar a autenticação de dois fatores com um servidor de autenticação local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar esse servidor. O exemplo, se o seu servidor de autenticação no local usa 10.10.60.20 como seu endereço IP, você deve inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente. Especifique as rotas personalizadas como uma lista separada por vírgulas no formato `ipv4-network-address/bits ipv4-gateway-address`. Por exemplo: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Herdar Servidores NTP do Pod	Essa alternância é ativada por padrão para que as instâncias do Unified Access Gateway usem o mesmo servidor NTP especificado para as instâncias do gerenciador de pods. É altamente recomendável manter essa alternância ativada. Usar o mesmo servidor NTP para as instâncias do gerenciador de pods, as instâncias do Unified Access Gateway e seus servidores do Active Directory é uma boa prática. Podem ocorrer distorções de tempo quando essas instâncias usam servidores NTP diferentes. Essas distorções de tempo podem resultar em falhas mais tarde quando o gateway tenta autenticar sessões de usuário final em suas áreas de trabalho e aplicativos.
Modelo de VM	Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado. Importante: Na versão de serviço atual, o modelo de VM usado por essas instâncias não poderá ser facilmente alterado depois que a configuração do gateway for implantada na sua assinatura. Alterar o modelo de VM após a implantação requer a exclusão da configuração do gateway e a implantação dela novamente. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione `F8s_v2`. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM `A4_v2` só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.
Certificado	Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
Porta TCP Blast Extreme	Selecione a porta TCP a ser usada na configuração TCP Blast Extreme presente na configuração do Unified Access Gateway. Essa configuração se refere ao Blast Extreme por meio do Gateway Seguro do Blast no Unified Access Gateway para o tráfego de dados enviado pelo cliente. A porta 8443 é preferida porque é mais eficiente, fornece melhor desempenho e usa menos recursos nas instâncias do Unified Access Gateway. Por esses motivos, o assistente tem 8443 como o valor padrão. A outra opção, 443, é menos eficiente, menos eficiente e causa congestionamento de CPU nas instâncias do que podem causar atrasos de tráfego observacional nos clientes do usuário final. A opção 443 deverá ser usada somente se a sua organização tiver definido restrições do lado do cliente, por exemplo, a sua organização só permite a saída 443. Observação: A porta UDP usada para Blast Extreme não é afetada por essa configuração e é sempre a UDP 8443.
Pacotes de Codificação	Embora, na maioria dos casos, as configurações padrão sejam suficientes, o Unified Access Gateway fornece esse recurso para especificar os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e os dispositivos do Unified Access Gateway. Pelo menos um pacote de codificação deve ser selecionado na lista na tela. A lista na tela exibe os pacotes de codificação permitidos para a implantação do Horizon Cloud on Microsoft Azure.

Na seção para qualquer gateway que você estiver adicionando, se quiser configurar opcionalmente as áreas de trabalho dos usuários finais para usar a autenticação de dois fatores, siga as etapas em Habilitar a autenticação de dois fatores nos gateways de um pod do Horizon Cloud.
Na seção Tags de Recursos do Azure, se você quiser especificar tags de recursos para os grupos de recursos relacionados ao gateway que são diferentes das especificadas nos outros grupos de recursos do pod, desative a alternância Herdar Tags de Pod e especifique as tags nos campos que aparecem.
Para obter uma descrição dos campos Tags de Recursos do Azure, consulte Tenants de primeira geração: especificar a configuração do gateway do pod do Horizon Cloud. O mesmo conjunto de tags será usado para ambos os tipos de gateways no pod.
Clique em Salvar e Sair.
É exibida uma mensagem de confirmação solicitando a confirmação para o início do fluxo de trabalho.
Clique em Sim para iniciar o fluxo de trabalho.

Resultados

Até o sistema finalizar a implantação dos elementos para o gateway, a seção da página de resumo do pod para esse tipo de configuração mostra o status Pendente. Além disso, você não pode realizar outras atividades relacionadas ao fluxo de trabalho de edição de pod até que o sistema conclua suas ações de implantação do gateway.

Quando o fluxo de trabalho for concluído, o status mostrará Pronto e o FQDN do balanceador de carga será exibido na página.

Observação: Ao executar esse fluxo de trabalho para um pod do Microsoft Azure na China, o processo pode demorar mais de uma hora para ser concluído. O processo está sujeito a problemas de rede geográfica que podem fazer com que a velocidade de download fique lenta à medida que os binários são baixados da camada de controle da nuvem.

O que Fazer Depois

Importante: Antes que os usuários finais possam começar a usar o gateway recém-adicionado, você deve concluir as seguintes tarefas.

Para a configuração do gateway recém-adicionado, certifique-se que você tenha um registro CNAME no seu servidor DNS para mapear o balanceador de carga implantado da configuração para o FQDN que você inseriu no assistente de implantação. Consulte Como obter as informações do balanceador de carga do gateway do pod do Horizon Cloud para mapear no seu servidor DNS para obter mais detalhes.
Se você tiver especificado a autenticação de dois fatores para o gateway adicionado, deverá realizar estas tarefas:
- Se o gateway externo do pod tiver a autenticação de dois fatores configurada e o servidor de autenticação de dois fatores não estiver acessível na mesma topologia VNet na qual as instâncias do Unified Access Gateway do gateway estão implantadas, configure esse servidor de autenticação de dois fatores para permitir a comunicação do endereço IP do balanceador de carga do gateway externo.
  Nesse cenário em que o servidor de autenticação de dois fatores não é acessível na mesma topologia de VNet que a implantação do gateway, as instâncias do Unified Access Gateway tentam entrar em contato com esse servidor usando esse endereço do balanceador de carga. Para permitir esse tráfego de comunicação, certifique-se de que o endereço IP do recurso do balanceador de carga que está no grupo de recursos desse gateway externo seja especificado como um cliente ou um agente registrado na configuração do servidor de autenticação de dois fatores. Consulte a documentação do seu servidor de autenticação de dois fatores para obter as especificações sobre como permitir essa comunicação.
- Se o servidor de autenticação de dois fatores estiver acessível na mesma topologia de VNet, configure o servidor de autenticação de dois fatores para permitir a comunicação dos NICs apropriados que foram criados para as instâncias do Unified Access Gateway de implantação no Microsoft Azure.
  Seu administrador de rede determina a visibilidade da rede do servidor de autenticação de dois fatores para a topologia de VNet do Azure e suas sub-redes usadas para a implantação. O servidor de autenticação de dois fatores deve permitir a comunicação dos endereços IP das NICs das instâncias do Unified Access Gateway que correspondem à sub-rede para a qual seu administrador de rede deu visibilidade de rede ao servidor de autenticação de dois fatores.
  O grupo de recursos do gateway no Microsoft Azure tem quatro NICs que correspondem a essa sub-rede, duas que estão ativas atualmente para as duas instâncias do Unified Access Gateway e duas que estão ociosas e se tornarão as ativas após o pod e seus gateways passarem por uma atualização.
  Para oferecer suporte ao tráfego de comunicação entre o gateway e o servidor de autenticação de dois fatores para operações de pod em andamento e após cada atualização de pod, certifique-se de que os endereços IP desses quatro NICs sejam especificados como clientes ou como agentes registrados na configuração desse servidor. Consulte a documentação do seu servidor de autenticação de dois fatores para obter as especificações sobre como permitir essa comunicação.
Para obter informações sobre como obter esses endereços IP, consulte Atualizar seu sistema de autenticação de dois fatores com as informações de gateway de pod do Horizon Cloud necessárias.