Nessa etapa do assistente, especifique as informações necessárias para implantar o pod baseado em gerenciador de pods com um ou mais gateways configurados. O Unified Access Gateway fornece o ambiente de gateway para esse tipo de pod.

Configuração de gateway externo
A configuração de gateway externo oferece a capacidade de fornecer acesso a áreas de trabalho e aplicativos para usuários finais localizados fora da sua rede corporativa. Quando o pod tem a configuração gateway externo, o pod inclui um recurso de balanceador de carga do Azure e as instâncias do Unified Access Gateway para fornecer esse acesso. Nesse caso, as instâncias têm três NICs cada: uma NIC na sub-rede de gerenciamento, uma NIC na sub-rede de área de trabalho e uma NIC na sub-rede DMZ. No assistente de implantação, você tem a opção de especificar o tipo de balanceamento de carga como privado ou público, dependendo se deseja um endereço IP privado ou um endereço IP público para o balanceador de carga. Se você desativar essa opção de IP público no assistente, o assistente exibirá um campo no qual você deverá especificar um endereço IP. Nesse tipo de configuração, as conexões PCoIP com o gateway dos Horizon Clients usarão esse endereço IP.

Para uma configuração de gateway externo, você também tem a opção de implantar a configuração em uma VNet separada da do pod. O VNets deve ser emparelhado. Esse tipo de configuração oferece a capacidade de implantar o pod em topologias de rede mais complexas no Microsoft Azure, como uma Topologia de Rede hub-spoke.

Observação: Se você ativou a alternância que determina que o gateway externo use a própria assinatura na primeira etapa do assistente, deverá implantar o gateway externo na VNet dele, a VNet associada a essa assinatura. Se você ativou essa alternância, poderá, opcionalmente, selecionar um grupo de recursos existente nessa assinatura para os recursos do gateway externo. Você deve ter preparado esse grupo de recursos com antecedência para que possa selecioná-lo nessa etapa do assistente.
Configuração gateway interno
A configuração de gateway interno permite que os usuários finais localizados na sua rede corporativa tenham conexões confiáveis via HTML Access (Blast) com suas áreas de trabalho e aplicativos. Se o pod não estiver definido com essa configuração gateway interno, os usuários finais na sua rede corporativa verão o erro de certificado não confiável padrão do navegador quando usarem seus navegadores para estabelecerem conexões via HTML Access (Blast) às suas áreas de trabalho e aos seus aplicativos. Quando o pod tem essa configuração de gateway interno, o pod inclui um recurso de balanceador de carga do Azure e as instâncias do Unified Access Gateway para fornecer esse acesso. Nesse caso, as instâncias têm duas NICs cada: uma NIC na sub-rede de gerenciamento e uma NIC na sub-rede de área de trabalho. Por padrão, o tipo de balanceamento de carga desse gateway é privado.

A seguinte captura de tela é um exemplo da etapa quando é exibida inicialmente. Alguns controles são exibidos somente quando você seleciona na primeira etapa do assistente o uso de uma assinatura diferente para a configuração de gateway externo.


Horizon Cloud on Microsoft Azure: Etapa 3 do assistente de implantação de pod quando ele é exibido inicialmente.

Pré-requisitos

Verifique se você cumpriu com os pré-requisitos descritos em Pré-requisitos para executar o assistente de implantação de pod.

Decida o modelo de VM a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione F8s_v2. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM A4_v2 só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.

Importante: Escolha o modelo de VM de forma inteligente. Na versão de serviço atual, o modelo de VM usado pelas instâncias implantadas não poderá ser facilmente alterado depois que a configuração do gateway for implantada. Alterar o modelo de VM após a implantação envolve excluir a configuração do gateway e implantá-la novamente.
Importante: Para concluir esta etapa, você deve ter o nome de domínio totalmente qualificado (FQDN) necessário que os usuários finais usarão para acessar o serviço e ter um certificado SSL assinado (no formato PEM) baseado neste FQDN. O certificado deve ser assinado por uma autoridade de certificação confiável. Um único arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada. Para obter detalhes, consulte Converter um arquivo de certificado para o formato PEM necessário para a implantação do pod.

Confirme que todos os certificados na cadeia de certificados têm intervalos de tempo válidos. Se qualquer certificado na cadeia tiver expirado. falhas inesperadas poderão ocorrer mais tarde no processo de integração de pod.

Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.

Quando você selecionar uma configuração de gateway externo, o Horizon Cloud esperará que o FQDN especificado para a configuração do gateway externo seja resolvido publicamente. Se você desativar a opção Habilitar IP Público? no assistente para especificar um endereço IP da sua configuração de firewall ou NAT, você será responsável por garantir que esse FQDN seja atribuído a esse endereço IP na sua configuração de firewall ou NAT. Esse FQDN é usado para conexões PCoIP com o gateway. Além disso, quando seu ambiente de tenant estiver configurado para usar o Universal Broker, o serviço deverá ser capaz de se conectar a esse FQDN na camada de controle de nuvem para validar que as configurações de autenticação de dois fatores definidas na configuração de gateway externo correspondem às configurações definidas para o Universal Broker e corresponder às configurações de todas as outras instâncias do Unified Access Gateway na sua frota de pods conectados à nuvem.

Se o seu tenant estiver configurado com o Universal Broker que tenha a autenticação de dois fatores configurada, você deverá configurar um Unified Access Gateway externo com configurações de autenticação de dois fatores.

Procedimento

  1. Se quiser a configuração gateway externo, preencha os campos na seção Gateway Externo.
    Opção Descrição
    Ativar Gateway Externo? Controla se o pod tem uma configuração de gateway externo. A configuração externa fornece acesso a áreas de trabalho e aplicativos para usuários localizados fora da sua rede corporativa. O pod inclui um recurso do balanceador de carga do Microsoft Azure e instâncias do Unified Access Gateway para fornecer esse acesso.
    Observação: É recomendável manter a configuração que vem ativada por padrão.

    Quando essa alternância é desativada, os clientes devem se conectar por meio do Workspace ONE Access integrado ao pod ou diretamente ao balanceador de carga dos gerenciadores de pod ou se conectar por meio de uma configuração de gateway interno. No caso dos clientes que se conectam pelo Workspace ONE Access integrado ao pod ou diretamente, algumas etapas pós-implantação são necessárias. Nesse caso, após a implantação do pod, siga as etapas em Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod.

    FQDN Digite o nome de domínio totalmente qualificado (FQDN), como ourOrg.example.com, que o implantador do pod especificará na configuração para as instâncias Unified Access Gateway do gateway. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN.

    O Horizon Cloud espera que esse FQDN especificado para a configuração do gateway externo possa ser resolvido publicamente. Se você desativar a opção Habilitar IP Público? para especificar um endereço IP da sua configuração de firewall ou NAT, será responsável por garantir que esse FQDN seja atribuído a esse endereço IP na sua configuração de firewall ou NAT. Esse FQDN é usado para conexões PCoIP com o gateway.

    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
    Endereços DNS Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração externa do Unified Access Gateway para usar a autenticação de dois fatores com o servidor RADIUS local, você deve especificar o endereço de um servidor DNS que possa resolver o nome do seu servidor RADIUS local.

    Como descrito nos pré-requisitos de implantação, um servidor DNS deve ser configurado internamente em sua assinatura e configurado para fornecer uma resolução de nome externa. As instâncias do Unified Access Gateway usam esse servidor DNS por padrão. Se você especificar endereços nesse campo, as instâncias do Unified Access Gateway implantadas usarão os endereços, além do servidor DNS de pré-requisito que você configurou na rede virtual da sua assinatura.

    Rotas Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como servidores RADIUS para autenticação de dois fatores.

    Ao configurar esse pod para usar a autenticação de dois fatores com um servidor RADIUS local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar o servidor RADIUS. Por exemplo, se o servidor RADIUS local usar 10.10.60.20 como endereço IP, você deverá inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de VM Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado.
    Importante: Na versão de serviço atual, o modelo de VM usado por essas instâncias não poderá ser facilmente alterado depois que a configuração do gateway for implantada na sua assinatura. Alterar o modelo de VM após a implantação requer a exclusão da configuração do gateway e a implantação dela novamente. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione F8s_v2. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM A4_v2 só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.
    Certificado Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.

    Especifique as configurações para o balanceador de carga da Microsoft desse gateway.

    Opção Descrição
    Habilitar IP público? Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado.
    Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta.

    Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.

    IP Público do FQDN do Horizon Quando você optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP ao qual está atribuindo o FQDN especificado no campo FQDN. Os Horizon Clients dos usuários finais usarão esse FQDN para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

    Especifique as configurações de rede do gateway externo.

    Opção Descrição
    Usar uma Rede Virtual Diferente Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod.

    As seguintes linhas descrevem os diferentes casos.

    Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação.
    Usar uma Rede Virtual Diferente: Desativada Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada.
    • Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod.
      Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.
    • Sub-rede DMZ (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, digite a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
    Usar uma Rede Virtual Diferente: Ativada Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR.
    Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.

    Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod.

    • Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço.
    • Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27.
    • Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
  2. (Opcional) Na seção Gateway Externo, configure opcionalmente a autenticação de dois fatores para o gateway externo.
  3. (Opcional) Na seção Implantação, use a alternância para selecionar opcionalmente um grupo de recursos existente no qual você deseja que o implantador implante os recursos para a configuração de gateway externo.
    Essa alternância é exibida quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente. Quando você habilita a alternância, é exibido um campo no qual você pode procurar e selecionar o grupo de recursos.
  4. Na seção Gateway Interno, se quiser a configuração de gateway interno, ative a opção Ativar Gateway Interno? ative a alternância e preencha os campos exibidos.
    Opção Descrição
    Ativar Gateway Interno? Controla se o pod tem uma configuração de gateway interno. A configuração interna fornece acesso confiável a áreas de trabalho e aplicativos para conexões via HTML Access (Blast) para usuários localizados na sua rede corporativa. O pod inclui um recurso do balanceador de carga do Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Por padrão, o tipo de balanceamento de carga desse gateway é privado. O balanceador de carga é configurado com um endereço IP privado.
    FQDN Digite seu nome de domínio completo (FQDN), como ourOrg.example.com, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN.
    Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
    Endereços DNS Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração de gateway externo para usar a autenticação de dois fatores com o servidor RADIUS local, você deve especificar o endereço de um servidor DNS que possa resolver o nome do seu servidor RADIUS local.

    Como descrito nos pré-requisitos de implantação, um servidor DNS deve ser configurado internamente na sua assinatura e configurado para fornecer uma resolução de nome. As instâncias do Unified Access Gateway usam esse servidor DNS por padrão. Se você especificar endereços nesse campo, as instâncias do Unified Access Gateway implantadas usarão os endereços, além do servidor DNS de pré-requisito que você configurou na rede virtual da sua assinatura.

    Rotas Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como servidores RADIUS para autenticação de dois fatores.

    Ao configurar esse pod para usar a autenticação de dois fatores com um servidor RADIUS local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar o servidor RADIUS. Por exemplo, se o servidor RADIUS local usar 10.10.60.20 como endereço IP, você deverá inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente.

    Especifique as rotas personalizadas como uma lista separada por vírgulas no formato ipv4-network-address/bits ipv4-gateway-address. Por exemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de VM Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado.
    Importante: Na versão de serviço atual, o modelo de VM usado por essas instâncias não poderá ser facilmente alterado depois que a configuração do gateway for implantada na sua assinatura. Alterar o modelo de VM após a implantação requer a exclusão da configuração do gateway e a implantação dela novamente. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione F8s_v2. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM A4_v2 só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.
    Certificado Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
  5. (Opcional) Na seção Gateway Interno, configure opcionalmente a autenticação de dois fatores para o Unified Access Gateway interno.
  6. (Opcional) Na seção Tags de Recursos do Azure, adicione tags personalizadas aos grupos de recursos que contenham todas as instâncias internas e externas do Unified Access Gateway que você configurou para o pod.
    Opção Descrição
    Herdar Tags de Pod

    Ative essa alternância para adicionar as tags de recursos do pod aos grupos de recursos que contenham todas as instâncias do Unified Access Gateway que você configurou. Cada grupo de recursos recebe as tags de recurso que você definiu na etapa do assistente de configuração do pod.

    Desative esta alternância para definir novas tags de recursos para as instâncias do Unified Access Gateway.

    Tags de Recursos do Azure

    Essa configuração torna-se visível quando você desativa a alternância Herdar Tags de Pod. Use essa configuração para adicionar novas tags de recursos aos grupos de recursos que contenham as instâncias do Unified Access Gateway que você configurou.

    Para criar a primeira etiqueta, insira as informações nos campos Nome e Valor. Para criar uma etiqueta adicional, clique em + e digite as informações nos campos Nome e Valor que aparecem abaixo dos existentes.

    • Você pode criar no máximo 10 etiquetas.
    • O nome da etiqueta é limitado a 512 caracteres, e o valor da etiqueta é limitado a 256 caracteres. Para contas de armazenamento, o nome da etiqueta é limitado a 128 caracteres, e o valor da etiqueta é limitado a 256 caracteres.
    • Os nomes de etiqueta não podem conter os seguintes caracteres: < > % & \ ? /
    • Os nomes de etiqueta não podem conter essas cadeias de caracteres que não diferenciam maiúsculas de minúsculas: azure, windows, microsoft
    • Os nomes e valores de tag podem conter apenas caracteres ASCII. Não são permitidos espaços em branco e caracteres não pertencentes ao conjunto de caracteres ASCII padrão de 128 caracteres (também conhecido como caracteres High ASCII ou ASCII estendido).

Resultados

Quando você tiver fornecido as informações necessárias associadas às opções selecionadas, poderá clicar em Validar e Avançar para continuar até a etapa final do assistente. Conclua as etapas finais em Pods do Horizon Cloud no Microsoft Azure: usar a página Capacidade do Horizon Universal Console para adicionar pods à sua frota de pods.