Quando sua organização de TI ou segurança tem restrições para o uso de ofertas do Azure Marketplace ou compras no Marketplace na assinatura da implantação do Horizon Cloud on Microsoft Azure ou quando a implantação usa o Azure China

Esta página de documentação descreve os requisitos relacionados ao uso do Horizon Cloud on Microsoft Azure do Azure Marketplace para os processos de implantação e upgrade, e quando sua solicitação de suporte requer Suporte da VMware para implantar um jumpbox para solução de problemas.

Essas informações pertencem a você se você ou sua organização de TI ou segurança tiver definido restrições nas assinaturas da implantação do Horizon Cloud on Microsoft Azure em torno do uso de ofertas do Azure Marketplace ou de pedidos do Azure Marketplace.

Além disso, se você tiver uma implantação do Horizon Cloud on Microsoft Azure no Azure China, poderá precisar de assistência da equipe de Suporte da VMware, conforme descrito na seção desta página Implantações no Azure China.

Breve introdução

A partir do início do ano civil de 2022, o serviço aprimorou o implantador do Horizon Cloud on Microsoft Azure e o código de upgrade para uso programático das ofertas da VMware que a VMware oferece no Azure Marketplace.

Esse aprimoramento torna o processo inicial de implantação e o processo de upgrade mais rápido para obter upgrades quase sem tempo de inatividade das instâncias do gerenciador de pods e instâncias do Unified Access Gateway.

Esse aprimoramento também permite a execução de implantações e upgrades sem usar contas de armazenamento adicionais além da conta de armazenamento usada para o recurso do App Volumes.

Relacionamento do Azure Marketplace com implantações, upgrades e jumpbox para suporte

Durante os processos de implantação e upgrade, o implantador e o código de upgrade tentam programaticamente por chamada da API aceitar os termos da ofertas da VMware no Azure Marketplace que correspondem ao publisherID da VMware nomeou vmware-inc.


Entidade relacionada	publisherID	offerID	planID
gerenciador de pod	vmware-inc	euc-hcs-podmgr	euc-hcs-podmgr
Unified Access Gateway	vmware-inc	euc-hcs-uag	euc-hcs-uag
jumpbox, quando necessário pelo Suporte da VMware para circunstâncias de solução de problemas	vmware-inc	euc-hcs-jumpbox	euc-hcs-jumpbox

Observação: Não há suporte para usar o Portal do Azure para visualizar essas ofertas navegando até o Azure Marketplace. A VMware publica essas ofertas de acesso programático usando chamadas de API.

Requisitos de chamada de API do serviço

O sucesso desse método programático requer que as assinaturas do Azure da implantação do Horizon Cloud on Microsoft Azure atendam aos requisitos descritos nas seções a seguir.

Esses itens permitem que o implantador e as chamadas de API de upgrade aceitem os termos das ofertas da VMware no Azure Marketplace que correspondem a publisherID, offerID e planID da VMware, conforme listado na tabela anterior.

Esses requisitos se aplicam tanto às assinaturas usadas pelas instâncias do gerenciador de pods quanto às assinaturas usadas pelas instâncias do Unified Access Gateway quando implantadas na própria assinatura.

Se os seguintes itens não forem atendidos na assinatura do Azure, as chamadas de API do implantador e do código de upgrade para aceitar os termos da oferta falharão, resultando em:

Novas falhas de implantação que envolvem essa assinatura.
Falhas de upgrade para o gerenciador de pods e instâncias do Unified Access Gateway já implantadas nessa assinatura.
Falha ao implantar o jumpbox para solução de problemas nessa assinatura, se necessário, Suporte da VMware para solucionar problemas com suas solicitações de suporte.

Uma situação especial é o cenário de uma implantação do Horizon Cloud on Microsoft Azure localizada no Azure China. No Azure China, a Microsoft não fornece o tipo de recurso Microsoft.Marketplace.Ordering que as chamadas de API do serviço precisam. Se a sua implantação do Horizon Cloud on Microsoft Azure residir no Azure China, leia as orientações na seção Azure China: considerações especiais.

Requisito quando as entidades de serviço da implantação usam funções personalizadas

Ao usar uma função personalizada conforme descrita aqui, as seguintes permissões devem ser incluídas nas funções personalizadas:

Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read
Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write

Para novas implantações das instâncias do gerenciador de pods ou do Unified Access Gateway, os assistentes de implantação da UI validam se a entidade de serviço tem essas permissões na assinatura. Se essa validação falhar, a UI impedirá o início da implantação.
Para atualizações, o sistema faz verificações prévias para tentar confirmar se a entidade de serviço tem essas permissões na assinatura. Se estiver ausente, as verificações prévias relatarão um erro de bloqueio de atualização. A solução é incluir essas permissões na função personalizada.
Se o Suporte da VMware precisar implantar o jumpbox para solução de problemas para responder à sua solicitação de suporte, o processo de implantação do jumpbox indicará para o Suporte da VMware que as permissões estão ausentes.

Nesse cenário, a equipe de Suporte da VMware verá mensagens de erro registradas em um padrão, como Não foi possível prosseguir com o upgrade porque a assinatura configurada tem permissão de leitura insuficiente para usar as ofertas de imagem do marketplace. Não foi possível prosseguir com o upgrade porque a assinatura configurada tem permissão de gravação insuficiente para usar as ofertas de imagem do marketplace.

Requisito quando uma política do Azure restringe os tipos de recursos do Azure permitidos nas assinaturas

A política do Azure de algumas organizações de TI pode especificar a proibição de todos os tipos de recursos do Azure, exceto para tipos de recursos específicos explicitamente permitidos pelo nome.

Quando sua organização de TI ou de segurança tiver definido essa Política do Azure que restringe os tipos de recursos do Azure permitidos nas assinaturas do Azure da organização, o conjunto AllowedResourceTypes da Política do Azure deverá incluir a permissão para o tipo de recurso Microsoft.MarketplaceOrdering/*.

Se a Política do Azure da assinatura não incluir Microsoft.MarketplaceOrdering/*, a equipe de Suporte da VMware verá mensagens de erro registradas em um padrão, como A oferta com PublisherId: 'vmware-inc', OfferId: 'euc-hcs-xxxxx' não pode ser adquirida devido a erros de validação. O código Sku 'euc-hcs-xxxxxx' de oferta 'euc-hcs-xxxxxx' pelo editor 'vmware-inc' não está disponível para implementação de acordo com a política definida pelo seu administrador de TI, em que xxxxxx corresponde a um dos planIDs na tabela anterior.

Permitir o acesso ao tipo de recurso Microsoft.MarketplaceOrdering/* permite que o implantador e o código de upgrade façam chamadas de API para aceitar as ofertas do VMware Horizon Cloud on Microsoft Azure no Azure Marketplace que o implantador e o código de upgrade usam.

Se sua equipe de TI ou segurança se recusar a permitir esse tipo de recurso na assinatura, ela poderá usar a opção para adicionar as SKUs de oferta da VMware à Loja privada do Azure da empresa realizando as ações descritas na próxima seção Adicionar as ofertas da VMware à coleção de armazenamentos privados do Azure da empresa. Em seguida, as chamadas de API do serviço podem obter as ofertas da VMware de lá.

Requisito quando o administrador da sua empresa desativa a compra do Azure Marketplace para seu tenant empresarial do Azure

Conforme descrito na documentação do Microsoft Azure, os administradores da empresa podem desativar a compra do Azure Marketplace para todas as assinaturas do Azure no tenant da empresa do Azure.

Quando eles fazem isso, a compra do Azure Marketplace é limitada a ofertas do editor da Microsoft. Essa compra limitada bloqueia as chamadas de API do serviço para obter as ofertas da VMware do vmware-inc publisherID e, como resultado, impede o processo de implantação e upgrade que exigem essas chamadas de API.

Nesse cenário, a equipe de Suporte da VMware verá uma mensagem de erro registrada em um padrão como Não é possível concluir a compra, pois sua inscrição para esta assinatura não permite a compra de produtos pagos do marketplace. Seu administrador de inscrição do Azure pode ativar a compra de produtos pagos do marketplace..

A solução para essa situação é solicitar que o administrador da empresa crie e gerencie uma coleção privada do Azure Marketplace e adicione as ofertas da VMware a ela executando as ações em Adicionar as ofertas da VMware à coleção de armazenamentos privados do Azure da empresa.

Adicionar as ofertas da VMware à coleção de armazenamentos privados do Azure da empresa

O Microsoft Azure fornece a capacidade de criar e gerenciar uma coleção privada do Azure Marketplace para uso por suas assinaturas. Conforme descrito em criar e gerenciar um Azure Marketplace privado, esse recurso permite que os administradores de TI aprovem, escolham e controlem quais soluções de terceiros seus usuários podem usar no Azure Marketplace global. Conforme descrito na página de documentação da Microsoft vinculada na frase anterior, a função administrador do Marketplace deve ser atribuída ao administrador que gerenciará o armazenamento privado.

Depois que o armazenamento privado for criado para o tenant do Azure da empresa, o administrador com a função de administrador do Marketplace poderá adicionar as ofertas da VMware à coleção de armazenamentos privados. Adicionar as ofertas da VMware ao armazenamento privado do tenant fornece as chamadas de API do serviço para obter as ofertas da VMware usadas para implantações e upgrades.

A Microsoft fornece comandos do PowerShell com o objetivo de adicionar ofertas específicas de editor a uma coleção de armazenamentos privados.

Siga a referência da documentação da Microsoft para os pré-requisitos para executar os comandos do PowerShell em Adicionar uma oferta a um marketplace privado. Essa página da Microsoft também descreve os comandos do PowerShell que a Microsoft fornece para essa finalidade.

O exemplo a seguir ilustrará os comandos do Microsoft PowerShell a serem usados para adicionar as ofertas da VMware a esse armazenamento privado depois que os pré-requisitos para executar os comandos forem atendidos. Primeiro, Get-AzMarketplacePrivateStore é usado para obter o privateStoreId do tenant do Azure. Em seguida, Set-AzMarketplacePrivateStoreOffer é usado para adicionar as ofertas da VMware a esse armazenamento privado.

Get-AzMarketplacePrivateStore

Use Get-AzMarketplacePrivateStore para obter o privateStoreId do tenant do Azure a ser usado no próximo conjunto de comandos.
```
Get-AzMarketplacePrivateStore
```

Use o privateStoreId retornado nos comandos Set-AzMarketplacePrivateStoreOffer para adicionar, por sua vez, as ofertas da VMware para euc-hcs-podmgr, euc-hcs-uag e euc-hcs-jumpbox.

Adicione a oferta para as instâncias do gerenciador de pods:

Set-AzMarketplacePrivateStoreOffer -privateStoreId your-tenant-privateStoreID -offerId vmware-inc.euc-hcs-podmgr -SpecificPlanIdsLimitation @("euc-hcs-podmgr")

Adicione a oferta para as instâncias do Unified Access Gateway:

Set-AzMarketplacePrivateStoreOffer -privateStoreId your-tenant-privateStoreID -offerId vmware-inc.euc-hcs-uag -SpecificPlanIdsLimitation @("euc-hcs-uag")

Adicione a oferta para a instância do jumpbox para solução de problemas:

Set-AzMarketplacePrivateStoreOffer -privateStoreId your-tenant-privateStoreID -offerId vmware-inc.euc-hcs-jumpbox -SpecificPlanIdsLimitation @("euc-hcs-jumpbox")

Verifique se as ofertas da VMware agora estão listadas no repositório privado do tenant.
```
Get-AzMarketplacePrivateStoreOffer -PrivateStoreId your-tenant-privateStoreID
```

Azure China: considerações especiais

Como a Microsoft não fornece o tipo de recurso Microsoft.Marketplace.Ordering no Azure China, não há suporte para os recursos do serviço que usam chamadas de API para as ofertas da VMware no Azure Marketplace. O tipo Microsoft.Marketplace.Ordering não está listado nesta referência de documentação da Microsoft para provedores de recursos do Azure China.

Portanto, tenha em mente essas considerações especiais quando você estiver usando uma assinatura no Azure China para uma implantação do Horizon Cloud on Microsoft Azure.

Para uma implantação do Horizon Cloud on Microsoft Azure existente no Azure China, antes de atualizar essa implantação, obtenha ajuda do Suporte da VMware para configurar seu tenant do Horizon Cloud para usar o método de upgrade anterior, sem chamadas de API para o Azure Marketplace.
Quando você planeja uma implantação no Azure China, antes de iniciar essa implantação, obtenha ajuda do Suporte da VMware para configurar seu tenant do Horizon Cloud para que o implantador use o método de implantação anterior, sem chamadas de API para o Azure Marketplace.
Se Suporte da VMware precisar implantar um jumpbox temporário para solucionar problemas de uma implantação localizada no Azure China, o Suporte da VMware poderá configurar temporariamente o tenant do Horizon Cloud para ativar o recurso para implantar o jumpbox temporário na assinatura sem as chamadas de API do serviço para o Azure Marketplace. Depois que o jumpbox temporário for implantado para solução de problemas, o Suporte da VMware poderá reativar o recurso para chamadas de API do serviço, caso o tenant tenha pods implantados em assinaturas localizadas em regiões além do Azure China.

Implantações e upgrades sem o uso do Azure Marketplace demoram mais para serem concluídos. Além disso, tais implantações e upgrades exigirão o uso do jumpbox temporário para orquestrar os processos de implantação e upgrade e o uso de contas de armazenamento na assinatura para manter as imagens que as chamadas de API do serviço recuperarão da camada de controle do Horizon Cloud em vez de usar as ofertas da VMware no Azure Marketplace.