Nessa etapa do assistente, especifique as informações necessárias para implantar o pod com um configurado. Unified Access Gateway fornece o ambiente de gateway para um pod implantado no Microsoft Azure. Ao implantar o novo pod, você pode optar por ter uma configuração gateway interno ou externo ou ambos os tipos no mesmo pod. Por padrão, quando essa etapa do assistente é exibida, a configuração gateway externo é selecionada.

Configuração de gateway externo
A configuração de gateway externo oferece a capacidade de fornecer acesso a áreas de trabalho e aplicativos para usuários finais localizados fora da sua rede corporativa. Quando o pod tem a configuração gateway externo, o pod inclui um recurso de balanceador de carga do Azure e as instâncias do Unified Access Gateway para fornecer esse acesso. Nesse caso, as instâncias têm três NICs cada: uma NIC na sub-rede de gerenciamento, uma NIC na sub-rede de área de trabalho e uma NIC na sub-rede DMZ. No assistente de implantação, você tem a opção de especificar o tipo de balanceamento de carga como privado ou público, dependendo se deseja um endereço IP privado ou um endereço IP público para o balanceador de carga. Se você desativar a alternância de IP público no assistente, deverá especificar o endereço IP mapeado no servidor DNS para o FQDN que os clientes do Horizon dos usuários finais usarão para conexões PCoIP com o gateway.

Para uma configuração de gateway externo, você também tem a opção de implantar a configuração em uma VNet separada da do pod. O VNets deve ser emparelhado. Esse tipo de configuração oferece a capacidade de implantar o pod em topologias de rede mais complexas no Microsoft Azure, como uma Topologia de Rede hub-spoke.

Observação: Se você ativou a alternância que determina que o gateway externo use a própria assinatura na primeira etapa do assistente, deverá implantar o gateway externo na VNet dele, a VNet associada a essa assinatura. Se você ativou essa alternância, poderá, opcionalmente, selecionar um grupo de recursos existente nessa assinatura para os recursos do gateway externo. Você deve ter preparado esse grupo de recursos com antecedência para que possa selecioná-lo nessa etapa do assistente.
Configuração gateway interno
A configuração de gateway interno permite que os usuários finais localizados na sua rede corporativa tenham conexões confiáveis via HTML Access (Blast) com suas áreas de trabalho e aplicativos. Se o pod não estiver definido com essa configuração gateway interno, os usuários finais na sua rede corporativa verão o erro de certificado não confiável padrão do navegador quando usarem seus navegadores para estabelecerem conexões via HTML Access (Blast) às suas áreas de trabalho e aos seus aplicativos. Quando o pod tem essa configuração de gateway interno, o pod inclui um recurso de balanceador de carga do Azure e as instâncias do Unified Access Gateway para fornecer esse acesso. Nesse caso, as instâncias têm duas NICs cada: uma NIC na sub-rede de gerenciamento e uma NIC na sub-rede de área de trabalho. Por padrão, o tipo de balanceamento de carga desse gateway é privado.

A seguinte captura de tela é um exemplo da etapa quando é exibida inicialmente. Alguns controles são exibidos somente quando você seleciona na primeira etapa do assistente o uso de uma assinatura diferente para a configuração de gateway externo.


Horizon Cloud on Microsoft Azure: Etapa 3 do assistente de implantação de pod quando ele é exibido inicialmente.

Pré-requisitos

Verifique se você cumpriu com os pré-requisitos descritos em Pré-requisitos para executar o assistente de implantação de pod.

Importante: Para concluir esta etapa, você deve ter o nome de domínio totalmente qualificado (FQDN) necessário que os usuários finais usarão para acessar o serviço e ter um certificado SSL assinado (no formato PEM) baseado neste FQDN. O certificado deve ser assinado por uma autoridade de certificação confiável. Um único arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada. Para obter detalhes, consulte Converter um arquivo de certificado para o formato PEM necessário para a implantação do pod.

Confirme que todos os certificados na cadeia de certificados têm intervalos de tempo válidos. Se qualquer certificado na cadeia tiver expirado. falhas inesperadas poderão ocorrer mais tarde no processo de integração de pod.

Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.

Procedimento

  1. Se quiser a configuração gateway externo, preencha os campos na seção Gateway Externo.
    Opção Descrição
    Ativar Gateway Externo? Controla se o pod tem uma configuração de gateway externo. A configuração externa fornece acesso a áreas de trabalho e aplicativos para usuários localizados fora da sua rede corporativa. O pod inclui um recurso do balanceador de carga do Microsoft Azure e instâncias do Unified Access Gateway para fornecer esse acesso.
    Observação: É recomendável manter a configuração que vem ativada por padrão.

    Quando essa alternância é desativada, os clientes devem se conectar por meio do Workspace ONE Access integrado ao pod ou diretamente ao balanceador de carga dos gerenciadores de pod ou se conectar por meio de uma configuração de gateway interno. No caso dos clientes que se conectam pelo Workspace ONE Access integrado ao pod ou diretamente, algumas etapas pós-implantação são necessárias. Nesse caso, após a implantação do pod, siga as etapas em Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod.

    FQDN Digite seu nome de domínio completo (FQDN), como ourOrg.example.com, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN.
    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
    Endereços DNS Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração externa do Unified Access Gateway para usar a autenticação de dois fatores com o servidor RADIUS local, você deve especificar o endereço de um servidor DNS que possa resolver o nome do seu servidor RADIUS local.

    Como descrito nos pré-requisitos de implantação, um servidor DNS deve ser configurado internamente em sua assinatura e configurado para fornecer uma resolução de nome externa. As instâncias do Unified Access Gateway usam esse servidor DNS por padrão. Se você especificar endereços nesse campo, as instâncias do Unified Access Gateway implantadas usarão os endereços, além do servidor DNS de pré-requisito que você configurou na rede virtual da sua assinatura.

    Rotas Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como servidores RADIUS para autenticação de dois fatores.

    Ao configurar esse pod para usar a autenticação de dois fatores com um servidor RADIUS local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar o servidor RADIUS. Por exemplo, se o servidor RADIUS local usar 10.10.60.20 como endereço IP, você deverá inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de VM Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado.
    Certificado Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.

    Especifique as configurações para o balanceador de carga da Microsoft desse gateway.

    Opção Descrição
    Habilitar IP público? Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado.
    Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta.

    Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.

    IP Público do FQDN do Horizon Se optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP que você está mapeando no seu DNS para o FQDN que os clientes do Horizon dos usuários finais usarão para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

    Especifique as configurações de rede do gateway externo.

    Opção Descrição
    Usar uma Rede Virtual Diferente Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod.

    As seguintes linhas descrevem os diferentes casos.

    Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação.
    Usar uma Rede Virtual Diferente — Desativada Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada.
    • Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod.
      Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.
    • Sub-rede DMZ (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, insira a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
    Usar uma Rede Virtual Diferente — Ativada Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR.
    Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.

    Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod.

    • Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço.
    • Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27.
    • Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
  2. (Opcional) Na seção Gateway Externo, configure opcionalmente a autenticação de dois fatores para o gateway externo.
  3. (Opcional) Na seção Implantação, use a alternância para selecionar opcionalmente um grupo de recursos existente no qual você deseja que o implantador implante os recursos para a configuração de gateway externo.
    Essa alternância é exibida quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente. Quando você habilita a alternância, é exibido um campo no qual você pode procurar e selecionar o grupo de recursos.
  4. Na seção Gateway Interno, se quiser a configuração de gateway interno, ative a opção Ativar Gateway Interno? ative a alternância e preencha os campos exibidos.
    Opção Descrição
    Ativar Gateway Interno? Controla se o pod tem uma configuração de gateway interno. A configuração interna fornece acesso confiável a áreas de trabalho e aplicativos para conexões via HTML Access (Blast) para usuários localizados na sua rede corporativa. O pod inclui um recurso do balanceador de carga do Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Por padrão, o tipo de balanceamento de carga desse gateway é privado. O balanceador de carga é configurado com um endereço IP privado.
    FQDN Digite seu nome de domínio completo (FQDN), como ourOrg.example.com, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN.

    Se você especificou um FQDN para o gateway externo, deverá inserir o mesmo FQDN aqui.

    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
    Endereços DNS Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração de gateway externo para usar a autenticação de dois fatores com o servidor RADIUS local, você deve especificar o endereço de um servidor DNS que possa resolver o nome do seu servidor RADIUS local.

    Como descrito nos pré-requisitos de implantação, um servidor DNS deve ser configurado internamente na sua assinatura e configurado para fornecer uma resolução de nome. As instâncias do Unified Access Gateway usam esse servidor DNS por padrão. Se você especificar endereços nesse campo, as instâncias do Unified Access Gateway implantadas usarão os endereços, além do servidor DNS de pré-requisito que você configurou na rede virtual da sua assinatura.

    Rotas Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como servidores RADIUS para autenticação de dois fatores.

    Ao configurar esse pod para usar a autenticação de dois fatores com um servidor RADIUS local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar o servidor RADIUS. Por exemplo, se o servidor RADIUS local usar 10.10.60.20 como endereço IP, você deverá inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de VM Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado.
    Certificado Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
  5. (Opcional) Na seção Gateway Interno, configure opcionalmente a autenticação de dois fatores para o Unified Access Gateway interno.
  6. (Opcional) Na seção Tags de Recursos do Azure, adicione tags personalizadas aos grupos de recursos que contenham todas as instâncias internas e externas do Unified Access Gateway que você configurou para o pod.
    Opção Descrição
    Herdar Tags de Pod

    Ative essa alternância para adicionar as tags de recursos do pod aos grupos de recursos que contenham todas as instâncias do Unified Access Gateway que você configurou. Cada grupo de recursos recebe as tags de recurso que você definiu na etapa do assistente de configuração do pod.

    Desative esta alternância para definir novas tags de recursos para as instâncias do Unified Access Gateway.

    Tags de Recursos do Azure

    Essa configuração torna-se visível quando você desativa a alternância Herdar Tags de Pod. Use essa configuração para adicionar novas tags de recursos aos grupos de recursos que contenham as instâncias do Unified Access Gateway que você configurou.

    Para criar a primeira etiqueta, insira as informações nos campos Nome e Valor. Para criar uma etiqueta adicional, clique em + e insira informações nos campos Nome e Valor que aparecem abaixo dos existentes.

    • Você pode criar no máximo 10 etiquetas.
    • O nome da etiqueta é limitado a 512 caracteres, e o valor da etiqueta é limitado a 256 caracteres. Para contas de armazenamento, o nome da etiqueta é limitado a 128 caracteres, e o valor da etiqueta é limitado a 256 caracteres.
    • Os nomes de etiqueta não podem conter os seguintes caracteres:

      < > % & \ ? /

    • Os nomes de tag não podem conter essas cadeias de caracteres que não diferenciam maiúsculas:

      ‘azure’, ‘windows’, ‘microsoft’

    • Os nomes e valores de tag podem conter apenas caracteres ASCII. Não são permitidos espaços em branco e caracteres não pertencentes ao conjunto de caracteres ASCII padrão de 128 caracteres (também conhecido como caracteres High ASCII ou ASCII estendido).

Resultados

Quando você tiver fornecido as informações necessárias associadas às opções selecionadas, poderá clicar em Validar e Avançar para continuar até a etapa final do assistente. Conclua as etapas finais em Implantando os pods do Horizon Cloud no Microsoft Azure na página Capacidade.