Für Produktionssysteme ist ein wichtiges Anwendungsbeispiel für die Konfiguration eines SSL-Zertifikaten auf den Manager-VMs von Horizon Cloud Pod die Integration von Workspace ONE Access in den Pod. In diesem Fall benötigt selbst ein Pod, der bereits über eine Unified Access Gateway-Konfiguration verfügt, SSL-Zertifikate auf den Manager-VMs des Pods, um vertrauenswürdige Verbindungen mit dem Workspace ONE Access Connector zu unterstützen.

Ein wichtiger Bestandteil der Integration von Workspace ONE Access in einen Horizon Cloud Pod in Microsoft Azure ist die Konfiguration des Workspace ONE Access Connectors zum Synchronisieren der Horizon Cloud-Sammlung virtueller Apps, die Sie in Workspace ONE Access eingerichtet haben, um die vom Pod bereitgestellten Desktops und Remoteanwendungen zu verwenden. Der Workspace ONE Access Connector muss mit den VMs von Pod Manager kommunizieren, um diese Synchronisierung durchführen zu können. Aus diesem Grund muss der Pod ein gültiges SSL-Zertifikat darstellen, damit ihm der Workspace ONE Access Connector vertraut. Weitere Informationen zu dieser Integration finden Sie unter Integrieren eines Horizon Cloud-Pods in Microsoft Azure mit Workspace ONE Access.

Beziehung zwischen dem IP-Adressfeld des Lastenausgleichsdienstes für den Pod Manager auf der Pod-Detailseite und den Anforderungen des SSL-Zertifikats

Eine wichtige Information, die Sie benötigen, um ein gültiges vertrauenswürdiges SSL-Zertifikat zu erstellen, das auf den Pod Manager-VMs konfiguriert werden kann, ist die numerische IP-Adresse, die auf der Detailseite des Pods neben der Bezeichnung IP-Adresse des Lastausgleichsdienstes für den Pod Manager angezeigt wird. Der folgende Screenshot veranschaulicht, an welcher Stelle die Bezeichnung IP-Adresse des Lastausgleichsdienstes für den Pod Manager auf der Detailseite des bereitgestellten Pods angezeigt wird.


Position der Bezeichnung „IP-Adresse des Lastausgleichsdienstes für den Pod Manager“ auf der Pod-Detailseite.

Das vertrauenswürdige SSL-Zertifikat muss auf dem vollqualifizierten Domänennamen (FQDN) basieren, den Sie auf Ihrem DNS-Server der in diesem Feld angezeigten IP-Adresse zuordnen. Diese Zuordnung ist erforderlich, damit ein Client eines Endbenutzers, der für die Verwendung dieses FQDN konfiguriert ist, eine vertrauenswürdige Verbindung mit dem Pod herstellen kann.

Womit steht nun diese numerische IP-Adresse in Verbindung? Es handelt sich um eine private IP-Adresse aus dem Mandantensubnetzes des Pods. Die Pod-Ressource, mit der diese IP-Adresse verknüpft ist, hängt davon ab, ob der Pod über eine Manifestversion 1600 oder höher verfügt oder eine Manifestversion vor 1600 aufweist.

Pods der Manifestversion 1600 oder höher

Für Pods mit der Manifestversion 1600 oder höher ist die angezeigte numerische IP-Adresse für die Bezeichnung IP-Adresse des Lastausgleichsdienstes für den Pod Manager die numerische private IP-Adresse für die Azure Load Balancer-Ressource des Pods. Die Pod-Architektur für Pods der Manifestversion 1600 oder höher umfasst einen Pod Azure Load Balancer mit einer privaten IP-Adresse aus dem Mandantensubnetz des Pods. Dieser Pod Azure Load Balancer ist der Punkt für die SSL-Kommunikation mit den Pod Manager-VMs. Wie unter beschrieben, enthält die Hochverfügbarkeitsfunktion zwei Manager-VMs, die sich hinter diesem Azure Load Balancer befinden, wenn sie für diesen Pod aktiviert ist. Wenn Sie in diesem Fall in der Verwaltungskonsole auf Zertifikat hochladen klicken, um die SSL-Zertifikatsdateien hochzuladen, führt Horizon Cloud die Konfiguration auf der aktiven Manager-VM durch und kopiert anschließend die Zertifikatskonfiguration auf die andere Manager-VM. Wenn die Hochverfügbarkeitsfunktion für den Pod nicht aktiviert ist, verfügt sie hinter diesem Azure Load Balancer über eine einzelne Manager-VM. Wenn Sie in der Konsole auf Zertifikat hochladen klicken, konfiguriert Horizon Cloud das Zertifikat auf dieser Manager-VM.

Der folgende Screenshot zeigt, dass die private IP-Adresse des Azure Load Balancers für den Pod dieselbe IP-Adresse ist, die neben der Bezeichnung IP-Adresse des Lastenausgleichsdienstes für den Pod Manager auf der Detailseite des Pods in der Konsole für das vorangegangene Beispiel angezeigt wird.


Screenshot mit Azure Load Balancer des Pods im Abonnement und mit der zugewiesenen privaten IP-Adresse

Pods mit Manifestversionen vor 1600

Für Pods mit Manifestversionen vor 1600 ist die angezeigte numerische IP-Adresse für den Mandanten, die für die Bezeichnung IP-Adresse des Lastenausgleichsdienstes für den Pod Manager angezeigt wird, die numerische private IP-Adresse aus dem Mandantensubnetz des Pod, der mit der Mandanten-Netzwerkkarte auf der Pod Manager-VM verknüpft ist. Die-Pod-Architektur für frühere Manifestversionen verfügt über eine einzelne Pod Manager-VM. Die private IP-Adresse der Manager-VM im Subnetz des Mandanten entspricht dem Punkt für die SSL-Kommunikation mit dieser Manager-VM. Wenn Sie in der Konsole auf Zertifikat hochladen klicken, konfiguriert Horizon Cloud das Zertifikat auf dieser Manager-VM.

Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Pods

Die Verwaltungskonsole wird verwendet, um die SSL-Zertifikate auf den Pod Manager-VMs zu konfigurieren. Die ausführlichen Anweisungen dazu finden Sie unter Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods. Informationen zu den Voraussetzungen für die Ausführung dieser Schritte finden Sie unter Voraussetzungen für das Ausführen des Workflows zum Hochladen von Zertifikaten der Horizon Cloud-Verwaltungskonsole zum Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods.

Untypische Szenarien, für die auf den Manager-VMs des Pods konfigurierte SSL-Zertifikate erforderlich sind

Auch wenn diese Schritte für die den Machbarkeitsnachweis geeignet scheinen, werden Sie für die Produktionsverwendung nicht empfohlen. Für Produktionssysteme sollten Sie die Horizon Cloud-Funktionen interner und externer Gateway-Konfigurationen nutzen, die Endbenutzerverbindungen zu den vom Pod bereitgestellten Ressourcen unterstützen. Für Endbenutzerverbindungen, die intern in Ihrem Unternehmensnetzwerk bereitgestellt werden, z. B. über ein VPN, sollten Sie über eine interne Unified Access Gateway-Konfiguration auf dem Pod verfügen. Für Endbenutzerverbindungen über das Internet sollten Sie über eine externe Unified Access Gateway-Konfiguration auf dem Pod verfügen. Schritte zum Hinzufügen dieser Konfigurationen zu Ihrem Pod finden Sie unter Hinzufügen einer Gateway-Konfiguration zu einem bereitgestellten Horizon Cloud-Pod.

Tabelle 1. Untypische Szenarien, für die auf den Manager-VMs des Pods konfigurierte SSL-Zertifikate erforderlich sind
Szenario Beschreibung
Pod, der nur mit der externen Gateway-Konfiguration und ohne interne Unified Access Gateway-Konfiguration bereitgestellt wurde Obwohl Ihre Endbenutzer in diesem Szenario im Internet ihre vom Pod bereitgestellten Ressourcen über die bereitgestellte externe Gateway-Konfiguration erreichen, gibt es keine parallele interne Gateway-Konfiguration für Ihre Benutzer in Ihrem Unternehmensnetzwerk, um die vom Pod bereitgestellten Ressourcen zu erreichen. Ohne eine interne Unified Access Gateway-Konfiguration müssen diese internen Benutzer auf ihre Clientverbindungen verweisen, um direkt auf den Pod zu gelangen. Den Pod direkt zu erreichen bedeutet, den Client auf die IP-Adresse, die auf der Pod-Detailseite neben der Bezeichnung IP-Adresse des Lastenausgleichsdienstes für den Pod Manager angezeigt wird, oder auf einen vollständig qualifizierten Domänennamen (FQDN) zu verweisen, den Sie dieser angezeigten IP-Adresse in Ihrem DNS zuordnen.
Ohne jegliche Gateway-Konfiguration bereitgestellter Pod (null Unified Access Gateway VMs)

In diesem Szenario müssen alle Endbenutzerverbindungen zu den vom Pod bereitgestellten Ressourcen einen der betriebssystemspezifischen Horizon Clients verwenden, um den Pod direkt zu erreichen. Den Pod direkt zu erreichen bedeutet, den Client auf die IP-Adresse, die auf der Pod-Detailseite neben der Bezeichnung IP-Adresse des Lastenausgleichsdienstes für den Pod Manager angezeigt wird, oder auf einen vollständig qualifizierten Domänennamen (FQDN) zu verweisen, den Sie dieser angezeigten IP-Adresse in Ihrem DNS zuordnen.

Achtung: Anders als bei der Verwendung eines betriebssystemspezifischen Horizon Clients, verhält sich diese Browserverbindung wie eine nicht vertrauenswürdig Verbindung, wenn Sie einen Browser direkt auf den Pod verweisen. Dies ist selbst dann der Fall, wenn Sie mithilfe der Aktion Zertifikat hochladen in der Konsole ein SSL-Zertifikat auf den Manager-VMs des Pods konfiguriert haben. Falls Sie den FQDN des Pods direkt in einen Browser eingeben, stellt der Browser eine Verbindung mit dem Verbindungstyp HTML Access (Blast) her. Aufgrund der Funktionsweise von HTML Access (Blast) wird vom Browser der typische Fehler des nicht vertrauenswürdigen Zertifikats angezeigt, wenn die Verbindung direkt mit dem Pod hergestellt wird. Wenn Sie diesen angezeigten Fehler bezüglich eines nicht vertrauenswürdigen Zertifikats vermeiden möchten, benötigt der Pod Gateways, die so konfiguriert sind, dass Sie diese Browserverbindungen über die entsprechende Gateway-Konfiguration herstellen können: eine externe Gateway-Konfiguration für Ihre Endbenutzer, die sich außerhalb Ihres Unternehmensnetzwerks befinden, und eine interne Gateway-Konfiguration für Ihre Endbenutzer innerhalb Ihres Unternehmensnetzwerks. Wenn Sie den FQDN nicht im Internet veröffentlichen möchten, verwenden Sie eine interne Gateway-Konfiguration. Die interne Gateway-Konfiguration verwendet einen internen Microsoft-Lastausgleich, zu dem Endbenutzer innerhalb Ihres Unternehmensnetzwerks ihre Verbindungen leiten können. Siehe Hinzufügen einer Gateway-Konfiguration zu einem bereitgestellten Horizon Cloud-Pod.