Tenants de primeira geração: especificar a configuração do gateway do pod do Horizon Cloud

Nessa etapa do assistente, especifique as informações necessárias para implantar o pod baseado em gerenciador de pods com um ou mais gateways configurados. O Unified Access Gateway fornece o ambiente de gateway para esse tipo de pod.

Importante: Essas informações aplicam-se apenas quando você tem acesso a um ambiente de tenant de primeira geração na camada de controle de primeira geração. Conforme descrito em KB-92424, a camada de controle de primeira geração atingiu o fim da disponibilidade (EOA). Consulte esse artigo para obter detalhes.

Configuração de gateway externo: A configuração de gateway externo oferece a capacidade de fornecer acesso a áreas de trabalho e aplicativos para usuários finais localizados fora da sua rede corporativa. Quando o pod tem a configuração gateway externo, o pod inclui um recurso de balanceador de carga do Azure e as instâncias do Unified Access Gateway para fornecer esse acesso. Nesse caso, as instâncias têm três NICs cada: uma NIC na sub-rede de gerenciamento, uma NIC na sub-rede de área de trabalho e uma NIC na sub-rede DMZ. No assistente de implantação, você tem a opção de especificar o tipo de balanceamento de carga como privado ou público, dependendo se deseja um endereço IP privado ou um endereço IP público para o balanceador de carga. Se você desativar essa opção de IP público no assistente, o assistente exibirá um campo no qual você deverá especificar um endereço IP. Nesse tipo de configuração, as conexões PCoIP com o gateway dos Horizon Clients usarão esse endereço IP.
Para uma configuração de gateway externo, você também tem a opção de implantar a configuração em uma VNet separada da do pod. O VNets deve ser emparelhado. Esse tipo de configuração oferece a capacidade de implantar o pod em topologias de rede mais complexas no Microsoft Azure, como uma Topologia de Rede hub-spoke.

Observação: Se você ativou a alternância que determina que o gateway externo use a própria assinatura na primeira etapa do assistente, deverá implantar o gateway externo na VNet dele, a VNet associada a essa assinatura. Se você ativou essa alternância, poderá, opcionalmente, selecionar um grupo de recursos existente nessa assinatura para os recursos do gateway externo. Você deve ter preparado esse grupo de recursos com antecedência para que possa selecioná-lo nessa etapa do assistente.
Configuração gateway interno: A configuração de gateway interno permite que os usuários finais localizados na sua rede corporativa tenham conexões confiáveis via HTML Access (Blast) com suas áreas de trabalho e aplicativos. Se o pod não estiver definido com essa configuração gateway interno, os usuários finais na sua rede corporativa verão o erro de certificado não confiável padrão do navegador quando usarem seus navegadores para estabelecerem conexões via HTML Access (Blast) às suas áreas de trabalho e aos seus aplicativos. Quando o pod tem essa configuração de gateway interno, o pod inclui um recurso de balanceador de carga do Azure e as instâncias do Unified Access Gateway para fornecer esse acesso. Nesse caso, as instâncias têm duas NICs cada: uma NIC na sub-rede de gerenciamento e uma NIC na sub-rede de área de trabalho. Por padrão, o tipo de balanceamento de carga desse gateway é privado.

A seguinte captura de tela é um exemplo da etapa quando é exibida inicialmente. Alguns controles são exibidos somente quando você seleciona na primeira etapa do assistente o uso de uma assinatura diferente para a configuração de gateway externo.

Horizon Cloud on Microsoft Azure: Etapa 3 do assistente de implantação de pod quando ele é exibido inicialmente.

Pré-requisitos

Verifique se você cumpriu com os pré-requisitos descritos em Tenants de primeira geração: pré-requisitos para executar o assistente de implantação de pod de primeira geração.

Decida o modelo de VM a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione F8s_v2. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM A4_v2 só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.

Importante: Escolha o modelo de VM de forma inteligente. Na versão de serviço atual, o modelo de VM usado pelas instâncias implantadas não poderá ser facilmente alterado depois que a configuração do gateway for implantada. Alterar o modelo de VM após a implantação envolve excluir a configuração do gateway e implantá-la novamente.

Importante: Para concluir esta etapa, você deve ter o nome de domínio totalmente qualificado (FQDN) necessário que os usuários finais usarão para acessar o serviço e ter um certificado SSL assinado (no formato PEM) baseado neste FQDN. O certificado deve ser assinado por uma autoridade de certificação confiável. Um único arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada. Para obter detalhes, consulte Tenants de primeira geração: converter um arquivo de certificado no formato PEM necessário para implantações de pod de primeira geração do Horizon Cloud.

Confirme que todos os certificados na cadeia de certificados têm intervalos de tempo válidos. Se qualquer certificado na cadeia tiver expirado. falhas inesperadas poderão ocorrer mais tarde no processo de integração de pod.

Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.

Quando você selecionar uma configuração de gateway externo, o Horizon Cloud esperará que o FQDN especificado para a configuração do gateway externo seja resolvido publicamente. Se você desativar a opção Habilitar IP Público? no assistente para especificar um endereço IP da sua configuração de firewall ou NAT, você será responsável por garantir que esse FQDN seja atribuído a esse endereço IP na sua configuração de firewall ou NAT. Esse FQDN é usado para conexões PCoIP com o gateway.

Se o seu tenant estiver configurado com o Universal Broker que tenha a autenticação de dois fatores configurada, você deverá configurar um Unified Access Gateway externo com configurações de autenticação de dois fatores.

Procedimento

Se quiser a configuração gateway externo, preencha os campos na seção Gateway Externo.

Opção	Descrição
Ativar Gateway Externo?	Controla se o pod tem uma configuração de gateway externo. A configuração externa fornece acesso a áreas de trabalho e aplicativos para usuários localizados fora da sua rede corporativa. O pod inclui um recurso do balanceador de carga do Microsoft Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Observação: É recomendável manter a configuração que vem ativada por padrão. Quando essa alternância é desativada, os clientes devem se conectar por meio do Workspace ONE Access com seu dispositivo de conector integrado diretamente aos gerenciadores de pods, ou os clientes se conectam diretamente ao balanceador de carga dos gerenciadores de pods ou se conectam por meio de uma configuração de gateway interno. Nos dois primeiros cenários mencionados, de clientes que se conectarem por meio do Workspace ONE Access integrado ao pod ou se conectarem diretamente ao balanceador de carga, algumas etapas pós-implantação serão necessárias. Nesses cenários, após a implantação do pod, carregue os certificados SSL nas VMs do gerenciador de pods seguindo as etapas em Configurar certificados SSL diretamente nas VMs do gerenciador de pods.
FQDN	Digite o nome de domínio totalmente qualificado (FQDN), como `ourOrg.example.com`, que o implantador do pod especificará na configuração para as instâncias Unified Access Gateway do gateway. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN. O Horizon Cloud espera que esse FQDN especificado para a configuração do gateway externo possa ser resolvido publicamente. Se você desativar a opção Habilitar IP Público? para especificar um endereço IP da sua configuração de firewall ou NAT, será responsável por garantir que esse FQDN seja atribuído a esse endereço IP na sua configuração de firewall ou NAT. Esse FQDN é usado para conexões PCoIP com o gateway. Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
Endereços DNS	Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir esta configuração externa do Unified Access Gateway para usar a autenticação de dois fatores com um servidor de autenticação de dois fatores que está localizado fora da topologia VNet na qual as instâncias do Unified Access Gateway são implantadas, você deve especificar o endereço de um servidor DNS que pode resolva o nome do host desse servidor de autenticação. Por exemplo, quando a autenticação de dois fatores está localizada no local, insira um servidor DNS que possa resolver o nome desse servidor de autenticação. Conforme descrito nos pré-requisitos de implantação, a topologia de VNet usada para a implantação do Horizon Cloud on Microsoft Azure deve ser capaz de se comunicar com o servidor DNS que você deseja, fornecendo resolução de nome externo durante a implantação das instâncias do Unified Access Gateway e para suas operações contínuas. Por padrão, o servidor DNS configurado na VNet na qual as instâncias são implantadas é aquele usado. Se você especifica endereços em Endereços DNS, as instâncias do Unified Access Gateway implantadas usam esses endereços, além das informações do servidor DNS na configuração de sua VNet.
Rotas	Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como para comunicação com servidores de autenticação de dois fatores. Ao configurar esse pod para usar a autenticação de dois fatores com um servidor de autenticação local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar esse servidor. O exemplo, se o seu servidor de autenticação no local usa 10.10.60.20 como seu endereço IP, você deve inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para essa implantação do Horizon Cloud on Microsoft Azure. Especifique as rotas personalizadas como uma lista separada por vírgulas no formato `ipv4-network-address/bits ipv4-gateway-address`. Por exemplo: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Herdar Servidores NTP do Pod	Essa alternância é ativada por padrão para que as instâncias do Unified Access Gateway usem o mesmo servidor NTP especificado para as instâncias do gerenciador de pods. É altamente recomendável manter essa alternância ativada. Usar o mesmo servidor NTP para as instâncias do gerenciador de pods, as instâncias do Unified Access Gateway e seus servidores do Active Directory é uma boa prática. Podem ocorrer distorções de tempo quando essas instâncias usam servidores NTP diferentes. Essas distorções de tempo podem resultar em falhas mais tarde quando o gateway tenta autenticar sessões de usuário final em suas áreas de trabalho e aplicativos. Quando essa alternância estiver ativada e você estiver implantando o gateway externo em sua própria VNet separada da VNet do pod, certifique-se de que os servidores NTP especificados para as instâncias do gerenciador de pods estejam acessíveis a partir da rede virtual selecionada para a implantação do gateway externo.
Modelo de VM	Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado. Importante: Na versão de serviço atual, o modelo de VM usado por essas instâncias não poderá ser facilmente alterado depois que a configuração do gateway for implantada na sua assinatura. Alterar o modelo de VM após a implantação requer a exclusão da configuração do gateway e a implantação dela novamente. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione `F8s_v2`. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM `A4_v2` só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.
Certificado	Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
Porta TCP Blast Extreme	Selecione a porta TCP a ser usada na configuração TCP Blast Extreme presente na configuração do Unified Access Gateway. Essa configuração se refere ao Blast Extreme por meio do Gateway Seguro do Blast no Unified Access Gateway para o tráfego de dados enviado pelo cliente. A porta 8443 é preferida porque é mais eficiente, fornece melhor desempenho e usa menos recursos nas instâncias do Unified Access Gateway. Por esses motivos, o assistente tem 8443 como o valor padrão. A outra opção, 443, é menos eficiente, menos eficiente e causa congestionamento de CPU nas instâncias do que podem causar atrasos de tráfego observacional nos clientes do usuário final. A opção 443 deverá ser usada somente se a sua organização tiver definido restrições do lado do cliente, por exemplo, a sua organização só permite a saída 443. Observação: A porta UDP usada para Blast Extreme não é afetada por essa configuração e é sempre a UDP 8443.
Pacotes de Codificação	Embora na maioria dos casos as configurações padrão não precisem ser alteradas, o Unified Access Gateway fornece esse recurso para especificar opcionalmente os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e os dispositivos do Unified Access Gateway. Pelo menos um pacote de codificação deve ser selecionado na lista na tela. A lista na tela exibe os pacotes de codificação permitidos para a implantação do Horizon Cloud on Microsoft Azure.

Especifique as configurações para o balanceador de carga da Microsoft desse gateway.

Opção	Descrição
Habilitar IP público?	Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado. Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta. Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.
IP Público do FQDN do Horizon	Quando você optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP ao qual está atribuindo o FQDN especificado no campo FQDN. Os Horizon Clients dos usuários finais usarão esse FQDN para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

Opção

Descrição

Habilitar IP público?

Controla se o tipo de balanceamento de carga desse gateway é configurado como privado ou público. Se a opção estiver ativada, o recurso do balanceador de carga do Microsoft Azure implantado será configurado com um endereço IP público. Se a opção estiver desativada, o recurso do balanceador de carga do Microsoft Azure será configurado com um endereço IP privado.

Importante: Nesta versão, você não poderá alterar posteriormente o tipo de balanceamento de carga do gateway externo de público para privado, ou de privado para público. A única maneira de fazer essa alteração seria excluir toda a configuração do gateway do pod implantado e editar o pod para adicioná-lo de volta com a configuração oposta.

Se você desativar essa alternância, o campo IP Público do FQDN do Horizon será exibido.

IP Público do FQDN do Horizon

Quando você optar por não configurar o balanceador de carga implantado do Microsoft Azure com um IP público, deverá fornecer o endereço IP ao qual está atribuindo o FQDN especificado no campo FQDN. Os Horizon Clients dos usuários finais usarão esse FQDN para conexões PCoIP com o gateway. O implantador vai configurar esse endereço IP nas definições de configuração do Unified Access Gateway.

Especifique as configurações de rede do gateway externo.

Opção	Descrição
Usar uma Rede Virtual Diferente	Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod. As seguintes linhas descrevem os diferentes casos. Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação. Quando essa alternância estiver ativada e a alternância Herdar Servidores NTP do Pod estiver ativada, certifique-se de que os servidores NTP especificados para as instâncias do gerenciador de pods sejam acessíveis a partir da rede virtual selecionada para a implantação do gateway externo.
Usar uma Rede Virtual Diferente: Desativada	Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada. Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod. Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod. Sub-rede DMZ (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, digite a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.
Usar uma Rede Virtual Diferente: Ativada	Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR. Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod. Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod. Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço. Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27. Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.

Opção

Descrição

Usar uma Rede Virtual Diferente

Essa alternância controla se o gateway externo será implantado na própria VNet, separada da do pod.

As seguintes linhas descrevem os diferentes casos.

Observação: Quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente, essa alternância é ativada por padrão. Você deve escolher uma VNet para o gateway nessa situação.

Quando essa alternância estiver ativada e a alternância Herdar Servidores NTP do Pod estiver ativada, certifique-se de que os servidores NTP especificados para as instâncias do gerenciador de pods sejam acessíveis a partir da rede virtual selecionada para a implantação do gateway externo.

Usar uma Rede Virtual Diferente: Desativada

Quando a alternância estiver desativada, o gateway externo será implantado na VNet do pod. Nesse caso, você deve especificar a sub-rede da zona desmilitarizada.

Sub-Rede da Zona Desmilitarizada Quando a opção Usar a Sub-Rede Existente estiver ativada na etapa do assistente de configuração de pod, a Sub-Rede da Zona Desmilitarizada lista as sub-redes disponíveis na VNet selecionada para Rede Virtual. Selecione a sub-rede existente que você deseja usar para a sub-rede DMZ do pod.
Importante: Selecione uma sub-rede vazia que não tenha outros recursos anexados a ela. Se a sub-rede não estiver vazia, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.
Sub-rede DMZ (CIDR) - Quando a opção Usar a Sub-Rede Existente estiver desativada na etapa anterior do assistente, digite a sub-rede (na notação CIDR) da rede DMZ (zona desmilitarizada) que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.

Usar uma Rede Virtual Diferente: Ativada

Quando a alternância estiver ativada, o gateway externo será implantado na própria VNet. Nesse caso, você deve selecionar a VNet a ser usada e, em seguida, especificar as três sub-redes necessárias. Ative a alternância Usar a Sub-Rede Existente para selecionar dentre as sub-redes que você criou com antecedência na VNet especificada. Caso contrário, especifique as sub-redes na notação CIDR.

Importante: Selecione sub-redes vazias que não tenham outros recursos anexados a elas. Se as sub-redes não estiverem vazias, poderão ocorrer resultados inesperados durante o processo de implantação ou as operações do pod.

Nesse caso, a VNet do gateway e a VNet do pod são emparelhadas. A boa prática é criar as sub-redes com antecedência e não usar as entradas CIDR aqui. Consulte Pré-requisitos ao implantar com uma configuração de Unified Access Gateway externa usando a própria VNet ou assinatura separada da VNet ou da assinatura do pod.

Sub-rede de gerenciamento - Especifique a sub-rede a ser usada para a sub-rede de gerenciamento do gateway. É necessário um CIDR de pelo menos /27. Essa sub-rede deve ter o serviço Microsoft.SQL configurado como um endpoint de serviço.
Sub-rede de back-end - Especifique a sub-rede a ser usada para a sub-rede de back-end do gateway. É necessário um CIDR de pelo menos /27.
Sub-rede de front-end - Especifique a sub-rede para a sub-rede de front-end que será configurada para conectar as instâncias do Unified Access Gateway ao balanceador de carga público do Microsoft Azure do gateway.

(Opcional) Na seção Gateway Externo, configure opcionalmente a autenticação de dois fatores para o gateway externo.
Conclua as etapas no Tenants de primeira geração: especificar o recurso de autenticação de dois fatores para o novo pod.
(Opcional) Na seção Implantação, use a alternância para selecionar opcionalmente um grupo de recursos existente no qual você deseja que o implantador implante os recursos para a configuração de gateway externo.
Essa alternância é exibida quando você especifica a utilização de uma assinatura diferente para o gateway externo na primeira etapa do assistente. Quando você habilita a alternância, é exibido um campo no qual você pode procurar e selecionar o grupo de recursos.

Na seção Gateway Interno, se quiser a configuração de gateway interno, ative a opção Ativar Gateway Interno? ative a alternância e preencha os campos exibidos.

Opção	Descrição
Ativar Gateway Interno?	Controla se o pod tem uma configuração de gateway interno. A configuração interna fornece acesso confiável a áreas de trabalho e aplicativos para conexões via HTML Access (Blast) para usuários localizados na sua rede corporativa. O pod inclui um recurso do balanceador de carga do Azure e instâncias do Unified Access Gateway para fornecer esse acesso. Por padrão, o tipo de balanceamento de carga desse gateway é privado. O balanceador de carga é configurado com um endereço IP privado.
FQDN	Digite seu nome de domínio completo (FQDN), como `ourOrg.example.com`, que seus usuários finais utilizarão para acessar o serviço. Você deve ser o proprietário desse nome de domínio e ter um certificado no formato PEM que possa validar esse FQDN. Importante: Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados.
Endereços DNS	Opcionalmente, insira endereços para servidores DNS adicionais que o Unified Access Gateway pode usar para a resolução de nomes, separados por vírgulas. Ao definir essa configuração interna do Unified Access Gateway para usar a autenticação de dois fatores com um servidor de autenticação de dois fatores que está localizado fora da topologia VNet na qual as instâncias do Unified Access Gateway são implantadas, você deve especificar o endereço de um servidor DNS que pode resolva o nome do host desse servidor de autenticação. Por exemplo, quando a autenticação de dois fatores está localizada no local, insira um servidor DNS que possa resolver o nome desse servidor de autenticação. Conforme descrito nos pré-requisitos de implantação, a topologia de VNet usada para a implantação do Horizon Cloud on Microsoft Azure deve ser capaz de se comunicar com o servidor DNS que você deseja, fornecendo resolução de nome externo durante a implantação das instâncias do Unified Access Gateway e para suas operações contínuas. Por padrão, o servidor DNS configurado na VNet na qual as instâncias são implantadas é aquele usado. Se você especifica endereços em Endereços DNS, as instâncias do Unified Access Gateway implantadas usam esses endereços, além das informações do servidor DNS na configuração de sua VNet.
Rotas	Opcionalmente, especifique as rotas personalizadas para gateways adicionais que você deseja que as instâncias implantadas do Unified Access Gateway usem para resolver o roteamento de rede para o acesso do usuário final. As rotas especificadas são usadas para permitir que o Unified Access Gateway resolva o roteamento de rede, como para comunicação com servidores de autenticação de dois fatores. Ao configurar esse pod para usar a autenticação de dois fatores com um servidor de autenticação local, você deve inserir a rota correta que as instâncias do Unified Access Gateway podem usar para acessar esse servidor. O exemplo, se o seu servidor de autenticação no local usa 10.10.60.20 como seu endereço IP, você deve inserir 10.10.60.0/24 e seu endereço de gateway de rota padrão como uma rota personalizada. Você obtém seu endereço de gateway de rota padrão na configuração de Express Route ou de VPN que está usando para esse ambiente. Especifique as rotas personalizadas como uma lista separada por vírgulas no formato `ipv4-network-address/bits ipv4-gateway-address`. Por exemplo: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Herdar Servidores NTP do Pod	Essa alternância é ativada por padrão para que as instâncias do Unified Access Gateway usem o mesmo servidor NTP especificado para as instâncias do gerenciador de pods. É altamente recomendável manter essa alternância ativada. Usar o mesmo servidor NTP para as instâncias do gerenciador de pods, as instâncias do Unified Access Gateway e seus servidores do Active Directory é uma boa prática. Podem ocorrer distorções de tempo quando essas instâncias usam servidores NTP diferentes. Essas distorções de tempo podem resultar em falhas mais tarde quando o gateway tenta autenticar sessões de usuário final em suas áreas de trabalho e aplicativos.
Modelo de VM	Selecione um modelo a ser usado para as instâncias do Unified Access Gateway. Você deve garantir que a assinatura do Microsoft Azure especificada para esse pod possa fornecer a capacidade para duas VMs do modelo selecionado. Importante: Na versão de serviço atual, o modelo de VM usado por essas instâncias não poderá ser facilmente alterado depois que a configuração do gateway for implantada na sua assinatura. Alterar o modelo de VM após a implantação requer a exclusão da configuração do gateway e a implantação dela novamente. Se você antecipar que seu ambiente ultrapassará 2.000 sessões por pod, selecione `F8s_v2`. Conforme declarado em Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure, o modelo de VM `A4_v2` só é suficiente para provas de conceito (PoCs), pilotos ou ambientes menores nos quais você sabe que não excederão 1.000 sessões ativas no pod.
Certificado	Carregue o certificado no formato PEM que o Unified Access Gateway usará para permitir que os clientes confiem nas conexões com as instâncias do Unified Access Gateway que estão sendo executadas no Microsoft Azure. O certificado deve ser baseado no FQDN inserido e ser assinado por uma autoridade de certificação confiável. O arquivo PEM deve conter a cadeia de certificados inteira e a chave privada: certificado SSL, certificados intermediários, certificado da CA raiz, chave privada.
Porta TCP Blast Extreme	Selecione a porta TCP a ser usada na configuração TCP Blast Extreme presente na configuração do Unified Access Gateway. Essa configuração se refere ao Blast Extreme por meio do Gateway Seguro do Blast no Unified Access Gateway para o tráfego de dados enviado pelo cliente. A porta 8443 é preferida porque é mais eficiente, fornece melhor desempenho e usa menos recursos nas instâncias do Unified Access Gateway. Por esses motivos, o assistente tem 8443 como o valor padrão. A outra opção, 443, é menos eficiente, menos eficiente e causa congestionamento de CPU nas instâncias do que podem causar atrasos de tráfego observacional nos clientes do usuário final. A opção 443 deverá ser usada somente se a sua organização tiver definido restrições do lado do cliente, por exemplo, a sua organização só permite a saída 443. Observação: A porta UDP usada para Blast Extreme não é afetada por essa configuração e é sempre a UDP 8443.
Pacotes de Codificação	Embora, na maioria dos casos, as configurações padrão sejam suficientes, o Unified Access Gateway fornece esse recurso para especificar os algoritmos criptográficos usados para criptografar as comunicações entre os clientes e os dispositivos do Unified Access Gateway. Pelo menos um pacote de codificação deve ser selecionado na lista na tela. A lista na tela exibe os pacotes de codificação permitidos para a implantação do Horizon Cloud on Microsoft Azure.

(Opcional) Na seção Gateway Interno, configure opcionalmente a autenticação de dois fatores para o Unified Access Gateway interno.
Conclua as etapas no Tenants de primeira geração: especificar o recurso de autenticação de dois fatores para o novo pod.

(Opcional) Na seção Tags de Recursos do Azure, adicione tags personalizadas aos grupos de recursos que contenham todas as instâncias internas e externas do Unified Access Gateway que você configurou para o pod.

Opção Descrição

Opção	Descrição
Herdar Tags de Pod	Ative essa alternância para adicionar as tags de recursos do pod aos grupos de recursos que contenham todas as instâncias do Unified Access Gateway que você configurou. Cada grupo de recursos recebe as tags de recurso que você definiu na etapa do assistente de configuração do pod. Desative esta alternância para definir novas tags de recursos para as instâncias do Unified Access Gateway.
Tags de Recursos do Azure	Essa configuração torna-se visível quando você desativa a alternância Herdar Tags de Pod. Use essa configuração para adicionar novas tags de recursos aos grupos de recursos que contenham as instâncias do Unified Access Gateway que você configurou. Para criar a primeira etiqueta, insira as informações nos campos Nome e Valor. Para criar uma etiqueta adicional, clique em + e digite as informações nos campos Nome e Valor que aparecem abaixo dos existentes. Você pode criar no máximo 10 etiquetas. O nome da etiqueta é limitado a 512 caracteres, e o valor da etiqueta é limitado a 256 caracteres. Para contas de armazenamento, o nome da etiqueta é limitado a 128 caracteres, e o valor da etiqueta é limitado a 256 caracteres. Os nomes de etiqueta não podem conter os seguintes caracteres: `< > % & \ ? /` Os nomes de etiqueta não podem conter essas cadeias de caracteres que não diferenciam maiúsculas de minúsculas: `azure`, `windows`, `microsoft` Os nomes e valores de tag podem conter apenas caracteres ASCII. Não são permitidos espaços em branco e caracteres não pertencentes ao conjunto de caracteres ASCII padrão de 128 caracteres (também conhecido como caracteres High ASCII ou ASCII estendido).

Herdar Tags de Pod

Ative essa alternância para adicionar as tags de recursos do pod aos grupos de recursos que contenham todas as instâncias do Unified Access Gateway que você configurou. Cada grupo de recursos recebe as tags de recurso que você definiu na etapa do assistente de configuração do pod.

Desative esta alternância para definir novas tags de recursos para as instâncias do Unified Access Gateway.

Tags de Recursos do Azure

Essa configuração torna-se visível quando você desativa a alternância Herdar Tags de Pod. Use essa configuração para adicionar novas tags de recursos aos grupos de recursos que contenham as instâncias do Unified Access Gateway que você configurou.

Para criar a primeira etiqueta, insira as informações nos campos Nome e Valor. Para criar uma etiqueta adicional, clique em + e digite as informações nos campos Nome e Valor que aparecem abaixo dos existentes.

Você pode criar no máximo 10 etiquetas.
O nome da etiqueta é limitado a 512 caracteres, e o valor da etiqueta é limitado a 256 caracteres. Para contas de armazenamento, o nome da etiqueta é limitado a 128 caracteres, e o valor da etiqueta é limitado a 256 caracteres.
Os nomes de etiqueta não podem conter os seguintes caracteres: < > % & \ ? /
Os nomes de etiqueta não podem conter essas cadeias de caracteres que não diferenciam maiúsculas de minúsculas: azure, windows, microsoft
Os nomes e valores de tag podem conter apenas caracteres ASCII. Não são permitidos espaços em branco e caracteres não pertencentes ao conjunto de caracteres ASCII padrão de 128 caracteres (também conhecido como caracteres High ASCII ou ASCII estendido).

Resultados

Quando você tiver fornecido as informações necessárias associadas às opções selecionadas, poderá clicar em Validar e Avançar para continuar até a etapa final do assistente. Consulte Tenants de primeira geração: validar e avançar e iniciar o processo de implantação do pod.