Para sistemas de produção que estão configurados para o tipo de intermediação de pod único, um caso de uso chave para configurar um certificado SSL nas VMs do gerenciador do pod do Horizon Cloud é a integração do Workspace ONE Access ao pod. O Workspace ONE Access Connector precisa confiar nas conexões SSL com as VMs do gerenciador do pod. É assim que funciona a integração desses pods com o Workspace ONE Access. Para o caso de uso específico da integração com o Workspace ONE Access Connector, o pod precisa de certificados SSL para ser definido diretamente nas VMs do gerenciador do pod.

Quando seus pods estão em um ambiente de intermediação de pod único, uma parte fundamental da integração do Workspace ONE Access a um pod do Horizon Cloud no Microsoft Azure é configurar o Workspace ONE Access Connector para sincronizar a coleção de aplicativos virtuais do Horizon Cloud que você configurou no Workspace ONE Access para usar as áreas de trabalho e os aplicativos remotos provisionados pelo pod. O Workspace ONE Access Connector precisa comunicar-se com as VMs do gerenciador do pod para fazer essa sincronização. Portanto, o pod precisa apresentar um certificado SSL válido para que o Workspace ONE Access Connector confie nele. Para obter mais informações sobre essa integração, consulte Um ambiente do Horizon Cloud com intermediação de pod único — integração dos pods do Horizon Cloud do ambiente ao Microsoft Azure com o Workspace ONE Access.

Relacionamento do campo de endereço IP do Balanceador de Carga do Gerenciador de Pods da página de detalhes do pod com os requisitos de certificado SSL do Workspace ONE Access Connector

Uma informação importante de que você precisará para criar um certificado SSL confiável válido que possa ser configurado nas VMs do gerenciador de pods é o endereço IP numérico exibido na página de detalhes do pod ao lado do rótulo IP do balanceador de carga do gerenciador de pods. A captura de tela a seguir é uma ilustração de onde o rótulo IP do balanceador de carga do gerenciador de pods é exibido na página de detalhes do pod implantado.


Localização do rótulo IP do balanceador de carga do gerenciador de pods na página de detalhes do pod.

O certificado SSL confiável deve ser baseado no nome de domínio completo (FQDN) que você mapeia no seu servidor DNS para o endereço IP que é exibido naquele campo. Esse mapeamento é necessário para que um cliente de usuário final que esteja configurado para usar esse FQDN possa obter uma conexão confiável com o pod.

Então, a que esse endereço IP numérico está relacionado? É um endereço IP privado da sub-rede do tenant do pod. O recurso do pod ao qual o endereço IP está associado depende se o pod tem a versão de manifesto 1600 ou posterior, ou tem uma versão de manifesto anterior à 1600.

Pods da versão do manifesto 1600 ou posterior

Para pods de manifesto 1600 de posterior, o endereço IP numérico exibido para o rótulo IP do balanceador de carga do gerenciador de pods é o endereço IP privado numérico do recurso de balanceador de carga Azure do pod. A arquitetura do pod para pods do manifesto 1600 ou versão posterior inclui um balanceador de carga do Azure de pod com um endereço IP privado da sub-rede do tenant do pod. Esse balanceador de carga do Azure de pod corresponde ao ponto para a comunicação SSL com as VMs do gerenciador de pod. Conforme descrito, quando o recurso de alta disponibilidade está ativado para esse pod, ele tem duas VMs de gerenciador atrás desse balanceador de carga Azure. Nesse caso, quando você clica em Carregar certificado no console de administração para carregar os arquivos de certificado SSL, o Horizon Cloud executa a configuração na VM de gerenciador ativa e, em seguida, copia a configuração do certificado para a outra VM de gerenciador. Quando o recurso de alta disponibilidade não estiver habilitado para o pod, ele terá uma única VM do gerenciador atrás do balanceador de carga do Azure. Quando você clica em Carregar certificado no console, o Horizon Cloud configura o certificado nessa VM de gerenciador.

A captura de tela a seguir mostra como o endereço IP privado do balanceador de carga Azure do pod é o mesmo endereço IP exibido ao lado do rótulo IP do balanceador de carga do gerenciador de pods na página de detalhes do pod do console para o exemplo anterior.


Captura de tela que ilustra o balanceador de carga do Azure do pod na assinatura e o endereço IP privado atribuído a ele

Pods de versões de manifesto anteriores à 1600

Para pods de manifestos anteriores a 1600, o endereço IP numérico do tenant exibido para o rótulo IP do balanceador de carga do gerenciador de pods é o endereço IP privado numérico da sub-rede do tenant do pod que está associado à NIC do tenant na VM do gerenciador de pods. A arquitetura do pod para versões anteriores do manifesto tem uma única VM do gerenciador do pod. O endereço IP privado da VM do gerenciador na sub-rede do tenant corresponde ao ponto para a comunicação SSL com essa VM do gerenciador. Quando você clica em Carregar certificado no console, o Horizon Cloud configura o certificado nessa VM de gerenciador.

Como configurar certificados SSL nas VMs do gerenciador do pod

Use o console de administração para configurar os certificados SSL nas VMs do gerenciador de pods. Para ver as etapas detalhadas, consulte Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod. Para os pré-requisitos antes de executar essas etapas, consulte Pré-requisitos para executar o fluxo de trabalho Carregar Certificado do Pod do Console administrativo do Horizon Cloud para configurar certificados SSL nas VMs de gerenciador do pod do Horizon Cloud.

Cenários atípicos que precisariam de certificados SSL configurados nas VMs do gerente do pod

Embora esses cenários sejam apropriados para provas de conceito, eles não são aconselháveis para uso em produção. Para sistemas de produção, você deve aproveitar os recursos do Horizon Cloud de configurações de gateway internas e externas que ofereçam suporte a conexões do usuário final aos recursos provisionados pelo pod. Para conexões de usuários finais internas à sua rede corporativa, como aquelas feitas por meio de uma VPN, você deve ter uma configuração interna do Unified Access Gateway no pod. Para conexões de usuário final pela internet, você deve ter uma configuração externa do Unified Access Gateway no pod. Para obter as etapas sobre como adicionar essas configurações ao seu pod, consulte Adicionar uma configuração de gateway a um pod implantado do Horizon Cloud.

Tabela 1. Cenários atípicos que exigiriam certificados SSL configurados nas VMs do gerenciador do pod
Cenário Descrição
O pod implantado apenas com a configuração externa de gateway e nenhuma configuração interna do Unified Access Gateway Nesse cenário, embora os usuários finais da internet atinjam seus recursos provisionados pelo pod por meio da configuração externa do gateway implantado, não há nenhuma configuração interna de gateway paralela para os usuários internos da sua rede corporativa usarem de modo a atingir os recursos provisionados pelo pod. Sem uma configuração interna do Unified Access Gateway, esses usuários internos teriam que apontar suas conexões de cliente para alcançar o pod diretamente. Acessar o pod diretamente significa apontar o cliente ao endereço IP exibido ao lado do rótulo IP do balanceador de carga do gerenciador de pods na página de detalhes do pod ou para um FQDN mapeado para esse endereço IP exibido no seu DNS.
Pod implantado sem qualquer configuração de gateway qualquer (nenhuma VM do Unified Access Gateway)

Nesse cenário, todas as conexões de usuário final para os recursos provisionados pelo pod precisariam usar um dos Horizon Clients específicos ao sistema operacional de modo que o pod fosse alcançado diretamente. Acessar o pod diretamente significa apontar o cliente ao endereço IP exibido ao lado do rótulo IP do balanceador de carga do gerenciador de pods na página de detalhes do pod ou para um FQDN mapeado para esse endereço IP exibido no seu DNS.

Atenção: Ao contrário daquilo que acontece ao usar um dos Horizon Clients específicos ao sistema operacional, quando você apontar um navegador diretamente para o pod, essa conexão do navegador se comportará como uma conexão não confiável mesmo quando você tiver configurado um certificado SSL nas VMs do gerenciador do pod usando a ação Carregar certificado no console. Digitar o FQDN do pod diretamente em um navegador faz com que o navegador se conecte usando o tipo de conexão do HTML Access (Blast) e devido à forma como o HTML Access (Blast) funciona, o navegador exibirá o erro de certificado não confiável típico quando ele fizer a conexão direta com o pod. Para evitar a exibição desse erro de certificado não confiável, o pod precisaria de gateways configurados para que você possa fazer com que essas conexões do navegador passem pela configuração de gateway apropriada: uma configuração de gateway externa para seus usuários finais que estejam fora da sua rede corporativa e de uma configuração de gateway interna para seus usuários finais em sua rede corporativa. Se você não quiser expor seu FQDN para a internet, use uma configuração de gateway interna. Essa configuração de gateway interna usa um balanceador de carga interno da Microsoft para o qual os usuários finais que sejam internos à sua rede corporativa possam apontar suas conexões. Consulte Adicionar uma configuração de gateway a um pod implantado do Horizon Cloud.