Pods de Horizon Cloud y VMware NSX Cloud en Microsoft Azure

Cuando la VNet de Microsoft Azure que utilizan los pods está configurada para NSX Cloud, es posible aprovechar las funciones de virtualización de red de NSX-T Data Center con las asignaciones de escritorio VDI y las granjas de estos pods. Puede utilizar las funciones de microsegmentación de NSX Cloud para restringir el acceso entre las instancias de RDSH de granja y los escritorios VDI incluso cuando dichas máquinas virtuales se encuentran en la misma subred del arrendatario.

En relación con la versión específica de NSX-T Data Center admitida para esta integración con el manifiesto de pod actual para la versión actual de Horizon Cloud Service, consulte el tema de la documentación Horizon Cloud: entornos, sistemas operativos y compatibilidad.

Nota: Cuando haya actualizado un pod existente de una versión de manifiesto anterior a la 1101 a la versión de manifiesto más reciente, las asignaciones de escritorio VDI y granjas que existían en el pod antes de actualizarlo no se pueden editar después de la actualización para habilitarlas para la administración de NSX Cloud.

La integración de Horizon Cloud es compatible con los componentes de administración de NSX Cloud ( NSX Manager y Cloud Service Manager, CSM) implementados localmente o a partir de NSX-T Data Center versión 3.1.1, de forma nativa en Microsoft Azure. Para obtener una descripción general de la arquitectura y los componentes de NSX Cloud, consulte el apartado sobre la arquitectura y los componentes de NSX Cloud en la documentación de VMware NSX-T Data Center.

Nota: A partir de NSX Cloud 3.1.1, tanto el modo de cuarentena como modo sin cuarentena se admiten para su uso con pods de Horizon Cloud en Microsoft Azure. Las versiones anteriores solo admiten el modo sin cuarentena.

Un requisito del uso de NSX Cloud con el entorno de Microsoft Azure es que debe establecerse una conexión entre la VNet de Microsoft Azure y los dispositivos NSX-T Data Center locales. Dado que Microsoft Azure no permite modificar el bloque CIDR de una VNet después de que una VNet esté emparejada o después de conectar una puerta de enlace de VPN, asegúrese de haber comprobado todos los valores que desea utilizar antes de conectar la VNet a la puerta de enlace de VPN. Para un flujo de trabajo de los pasos de nivel general para conectar NSX Cloud a la nube pública, consulte el tema de la versión 3.1 Integrar Horizon Cloud Service con NSX Cloud en la documentación de NSX-T Data Center.

La tabla siguiente es un resumen general de los pasos completos para habilitar el uso de las funciones de NSX Cloud con las máquinas virtuales de escritorio VDI y las máquinas virtuales RDSH del pod. Algunos de los vínculos de la columna Detalles abren los temas relevantes de la documentación de la versión 3.1 de NSX-T Data Center.

Paso general	Detalles
Integrar Horizon Cloud con NSX Cloud para su uso con el pod de Horizon Cloud	Consulte el tema de la documentación de NSX-T Data Center Integrar Horizon Cloud Service con NSX Cloud. Importante: Si pretende crear asignaciones de App Volumes en el pod, debe abrir manualmente el puerto 445/TCP para la subred de arrendatario del pod en las reglas de firewall de NSX después de implementar la PCG de NSX y antes de crear la primera asignación de App Volumes con el pod. Como se indica en Aplicaciones de App Volumes para Horizon Cloud on Microsoft Azure: descripción general y requisitos previos, para admitir el uso de las funciones de App Volumes compatibles para su uso con un pod de Horizon Cloud, debe configurar el puerto 445 para el tráfico de protocolo TCP en la subred de arrendatario del pod.
Cree una máquina virtual e impórtela en Horizon Cloud mediante el asistente Importar máquina virtual - Catálogo de soluciones.	Consulte Crear automáticamente una máquina virtual base desde Microsoft Azure Marketplace y emparejarla con Horizon Cloud por pod. Para facilitar la instalación del agente NSX necesario, una práctica recomendada es seleccionar la opción para una dirección IP pública. Nota: Al importar la máquina virtual, seleccione las opciones para optimizarla y, si utiliza Windows 10 u 11, elimine las aplicaciones de la Tienda Windows. El uso de estas opciones ayuda a evitar problemas de sysprep cuando posteriormente se sella la imagen.
Conéctese a la máquina virtual importada e instale la instancia de NSX Tools requerida.	Instalar NSX Tools en la máquina virtual de imagen importada de Horizon Cloud
Publique la imagen.	Convertir una máquina virtual de imagen configurada en una imagen asignable en Horizon Cloud por pod
Cree las granjas y las asignaciones de escritorio VDI con esta imagen y la opción para habilitar la administración de NSX Cloud para la granja o la asignación. Cuando se crean máquinas virtuales RDSH y máquinas virtuales de escritorio VDI, aparecen en el inventario de NSX Cloud.	Pods de Horizon Cloud first-gen: crear y administrar granjas Crear una asignación de escritorios VDI dedicados aprovisionada por un pod único de Microsoft Azure Crear una asignación de escritorios VDI flotantes aprovisionada por un pod único de Microsoft Azure
Habilite las reglas de firewall distribuido en NSX Manager que permitirán la comunicación con máquinas virtuales RDSH y máquinas virtuales de escritorio VDI.	Dado que NSX Cloud bloqueará estas comunicaciones de forma predeterminada, debe habilitar algunas reglas de firewall distribuido en NSX Manager para permitir la comunicación con las máquinas virtuales administradas por NSX que se aprovisionan desde el pod. Consulte Reglas de firewall requeridas en NSX Manager para las máquinas virtuales aprovisionadas por pod. Si utiliza NSX-T Data Center 2.4, además de habilitar las reglas de firewall, también debe agregar una directiva de reenvío para enrutar el tráfico que pertenece a las máquinas virtuales administradas por NSX a través de la red de nube de Microsoft Azure (subyacente). Consulte Agregar la directiva de reenvío requerida en NSX Manager para las máquinas virtuales aprovisionadas por pod.
Use las funciones de NSX Cloud con las máquinas virtuales RDSH y las máquinas virtuales de escritorio VDI en el inventario de NSX Cloud.	Consulte este tema de NSX Cloud y sus subtemas en la Guía de administración de NSX-T Data Center.

Flujos de trabajo de Horizon Cloud y NSX Cloud

Cuando cree una granja RDSH o una asignación de escritorio VDI en el pod de Horizon Cloud mediante una máquina virtual de imagen maestra que haya configurado con el agente NSX, puede decidir si desea habilitar la administración de NSX Cloud en la granja o la asignación de escritorio VDI. Cuando habilita la administración de NSX Cloud para una granja o una asignación de escritorio de VDI, todas las máquinas virtuales (VM) en la granja o en la asignación de escritorio VDI se etiquetan para su uso en NSX Cloud. Se especifica la administración de NSX Cloud al crear la granja o la asignación de escritorio VDI, y no se puede cambiar el estado una vez creada la asignación o la granja. Los flujos de trabajo de Horizon Cloud para crear una granja y una asignación de escritorios VDI incluyen una opción para habilitar el uso de NSX Cloud con las instancias de RDSH de granja o con los escritorios virtuales de la asignación de escritorio de VDI. Para obtener información detallada sobre los flujos de trabajo, consulte:

Si se establece la opción Administrado por NSX Cloud como Sí cuando se crea una asignación de escritorios VDI o una granja, se asigna a las máquinas virtuales de escritorios VDI o a las máquinas virtuales RDSH de granja resultantes una etiqueta personalizada denominada nsx.network=default. La PCG de NSX Cloud administra todas las máquinas virtuales que tienen la etiqueta. NSX Cloud detecta automáticamente las máquinas virtuales de la VNet de Microsoft Azure configurada que tienen la etiqueta e incluye estas máquinas virtuales en el inventario de nube pública. A continuación, puede administrar y proteger las máquinas virtuales que utilizan el componente CSM de NSX-T Data Center. Para obtener detalles adicionales, consulte el tema este tema de NSX Cloud y sus subtemas en la Guía de administración de NSX-T Data Center.

Cuando se utiliza la función de administración de NSX Cloud con pods de Horizon Cloud, se aplican ciertas limitaciones:

No se puede editar el nombre de una granja o una asignación de escritorio VDI que tenga la administración de NSX Cloud habilitada.
Para utilizar el cifrado de disco y las funciones de administración de NSX Cloud para una asignación de escritorio VDI flotante, debe instalar la versión más reciente del agente NSX. Esa combinación no es compatible con las versiones anteriores del agente NSX.

Instalar NSX Tools en la máquina virtual de imagen importada de Horizon Cloud

Cuando quiera crear una granja o una asignación de escritorios VDI que esté habilitada para la administración de NSX Cloud, NSX Tools debe estar instalado en la imagen publicada que se utiliza para la granja o la asignación. Debe instalar NSX Tools en la máquina virtual de la imagen antes de su publicación. Debe instalar NSX Tools después de crear la máquina virtual y de que la página Máquinas virtuales importadas muestre que el estado del software Horizon Agent de la máquina virtual es activo.

Los pasos de esta página siguen el método de NSX Cloud de descarga descrito para descargar e instalar NSX Tools en las máquinas virtuales de imagen individuales. Este método implica la descarga de un archivo de script de instalación de PowerShell desde la ubicación de descarga identificada en el CSM (Cloud Service Manager) del entorno de NSX Cloud. En la máquina virtual, ejecute el script de instalación para descargar los archivos binarios de instalación de NSX Tools y ejecutar la instalación. Muchos de los detalles de este método se encuentran en el tema Instalar NSX Tools en máquinas virtuales Windows de la Guía de administración de NSX-T Data Center.

Requisitos previos

Compruebe que la página Máquinas virtuales importadas indique que el estado relacionado con el agente esté activo para la máquina virtual. Para obtener ese estado, utilice en la máquina virtual la acción Restablecer emparejamiento de agente, de la página Máquinas virtuales importadas. Esa acción se encuentra en la lista desplegable Más.

Nota: Cuando utilice el cliente de Microsoft Remote Desktop como el software de RDP para conectarse a la máquina virtual, asegúrese de que sea la versión más actualizada. Por ejemplo, el software de RDP predeterminado en el sistema operativo Windows 7 no es una versión lo suficientemente actual. La versión debe ser la versión 8 o posterior.

Compruebe si tiene al menos una de las siguientes credenciales (nombre de usuario y contraseña) para iniciar sesión en el sistema operativo Windows invitado de la máquina virtual, según como se haya creado la máquina virtual.


Cómo se creó la máquina virtual	Credenciales utilizadas para iniciar sesión
Asistente Importar máquina virtual, desde la página Máquinas virtuales importadas.	A partir de la fecha de la versión de servicio de diciembre de 2019, el asistente Importar máquina virtual ofrece la opción de tener la máquina virtual creada por el asistente unida a un dominio de Active Directory especificado o no tener la máquina virtual unida al dominio al final del proceso de creación. Si la máquina virtual se creó con la opción Unión de dominio del asistente habilitada, puede usar las credenciales para una cuenta de dominio en el dominio de Active Directory especificado, o bien utilizar la cuenta de administrador local que se especificó en el asistente. Si la máquina virtual se creó con la opción Unión de dominio del asistente desactivada, debe utilizar la cuenta de administrador local que se especificó en el asistente. En este caso, debido a que la máquina virtual no está unida al dominio, la cuenta de administrador local es la única cuenta que tiene acceso para iniciar sesión.
Pasos de preparación manual.	Por lo general, no es necesario unir la máquina virtual al dominio de Active Directory al compilar manualmente la máquina virtual. Para iniciar sesión en la máquina virtual específica, utilice una de las siguientes opciones: Las credenciales de la cuenta de administrador local que se especificó cuando se creó la máquina virtual generada manualmente en el portal de Microsoft Azure. Si unió manualmente la máquina virtual a un dominio de Active Directory, las credenciales de una cuenta de dominio en ese dominio.

Importante: A partir del manifiesto del pod 1230 y versiones posteriores, las cuentas de dominio pueden conectarse directamente a máquinas virtuales de imagen unidas al dominio que tengan instalado el software del agente. En las versiones de manifiesto del pod anteriores a la 1230, el software del agente instalado en una máquina virtual unida al dominio impedía que las cuentas de dominio se conectaran directamente a esa máquina virtual. Cabe decir que los manifiestos anteriores a la versión 2298 carecen de soporte y deben actualizarse tal y como se describe en el artículo de la base de conocimientos 86476.

Si va a instalar NSX Tools descargándolo e instalándolo en las máquinas virtuales, compruebe que tenga las credenciales para iniciar sesión en el portal de CSM del entorno de NSX Cloud. Utilice el CSM para identificar la ubicación para descargar el script de instalación de PowerShell para instalar NSX Tools. CSM es un componente de NSX Cloud y proporciona un endpoint de administración de panel centralizado para el inventario de nube pública. Para obtener más información, consulte la sección sobre CSM en la documentación de NSX-T Data Center.

Procedimiento

Utilice la dirección IP de la máquina virtual en el software de RDP para conectar con el sistema operativo Windows de la máquina virtual.
- Si la máquina virtual se creó con una dirección IP pública, se puede utilizar esa dirección IP en el software de RDP.
- Si la máquina virtual tiene una dirección IP privada, debe RDP en ella mediante uno de estos dos métodos:
  - Usando otra máquina virtual en su suscripción de Microsoft Azure que tenga una dirección IP pública y realizando un RDP saliente en la máquina virtual de imagen.
  - Utilizar el VPN y RDP en la máquina virtual de imagen a través de la red corporativa.
Nota: Para acceder a una máquina virtual que ejecute los componentes de software relacionados con el agente, el cliente de escritorio remoto debe tener la versión 8 o posterior. De lo contrario, se produce un error en la conexión. Se recomienda utilizar el cliente de escritorio remoto más actualizado.
Inicie sesión en el sistema operativo Windows con sus credenciales (nombre de usuario y contraseña), tal como se describe en los requisitos previos aquí.
Cuando use las credenciales de la cuenta de administrador local que se especificaron en el asistente Importar imagen cuando se creó la máquina virtual, introduzca el nombre de usuario como \username.
Nota: Cuando la máquina virtual es una máquina virtual unida al dominio, tal como se describe en los requisitos previos aquí, y desea usar una cuenta de dominio en lugar de la cuenta de administrador local, introduzca el nombre de usuario como dominio\username, donde dominio es el nombre del dominio.
Desde la máquina virtual de Windows, inicie sesión en CSM y desplácese hasta Nubes > Azure > VNets y vaya a la red virtual adecuada para el pod.
Busque el área Descarga e instalación de NSX Tools de la pantalla para obtener la ubicación de descarga y el comando de instalación para Windows.
En dicha área, busque la ubicación de descarga del script de instalación de Windows que se muestra. Bajo la ubicación de descarga se encuentra también un comando de instalación básica simple.
- La ubicación de descarga que se muestra tiene el patrón http://ruta_archivo/nsx_install.ps1, donde nsx_install.ps1 es el archivo de script de PowerShell y ruta_archivo es la ruta de acceso desde la cual se descargará el archivo.
- El comando de instalación básica que se muestra incluye una parte -dnsSuffix sufijo-DNS, donde sufijo-DNS es un valor generado de forma dinámica relacionado con la configuración de DNS elegida al implementar la PCG en su VNet de Microsoft Azure como parte de la configuración de NSX Cloud.
Importante: Cuando se ejecuta el script para instalar NSX Tools para una máquina virtual de imagen en Horizon Cloud, debe especificar:
- El mismo sufijo-DNS que verá que se muestra en el CSM para su VNet de Microsoft Azure. El sufijo-DNS es exclusivo para su entorno configurado.
- La opción startOnDemand true. Esta opción optimiza NSX Tools para el flujo de trabajo de publicación de Horizon Cloud.
Copie el sufijo-DNS que se muestra para tenerlo al ejecutar el script de instalación en los siguientes pasos.
Utilice la ubicación de descarga para descargar el archivo nsx_install.ps1 en una ubicación de la máquina virtual.
Abra una línea de comandos de PowerShell, vaya a donde descargó el archivo nsx_install.ps1 e instale NSX Tools ejecutando el comando de instalación con el valor para sufijo-DNS y la opción -startOnDemand true.
Importante: Se requiere la opción - startOnDemand true.
El siguiente bloque de código es un ejemplo del comando en una línea de comandos de PowerShell con un sufijo-DNS de ejemplo de xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net.
```
powershell -file 'nsx_install.ps1' -operation install -dnsSuffix xxxxxxxxxxxxxxxxxxxxxxxxx.xx.internal.cloudapp.net -startOnDemand true
```
Cuando finaliza la ejecución del script, aparece un mensaje que indica si NSX Tools está instalado correctamente.
Cierre la línea de comandos de PowerShell.
Verifique que el estado de arranque de NSX Tools es Ready abriendo una línea de comandos normal y ejecutando el comando siguiente.
```
schtasks /query /tn nsx_bootstrap
```
La ejecución del comando debe mostrar la tarea nsx_bootstrap en estado Ready. A continuación, se muestra un ejemplo.
```
TaskName              Next Run Time       Status
--------------------- ------------------- -----------
nsx_bootstrap         N/A                 Ready
```
Cierre sesión en el sistema operativo Windows de la máquina virtual.

Qué hacer a continuación

Con NSX Tools instalado y la tarea nsx_bootstrap visualizada como Ready, puede publicar la imagen si ya no debe realizar ninguna personalización adicional. Consulte Convertir una máquina virtual de imagen configurada en una imagen asignable en Horizon Cloud por pod.

Reglas de firewall requeridas en NSX Manager para las máquinas virtuales aprovisionadas por pod

Al usar funciones de NSX Cloud con su pod en Microsoft Azure, debe habilitar algunas reglas de firewall distribuido en NSX Manager para permitir la comunicación con las máquinas virtuales administradas por NSX que se aprovisionan desde el pod. Si estas reglas no están habilitadas, los usuarios finales no podrán iniciar sus escritorios o aplicaciones remotas ni iniciar sesión en ellos.

En NSX Manager, habilite estas reglas para permitir el tráfico según se indica. En la tabla, la frase "Grupo de escritorios" hace referencia a la granja RDSH o a la asignación de escritorio VDI.


Tipo de tráfico	Origen	Destino	Servicio/Protocolo/Puerto
Tráfico de Horizon HTML Access (Blast)	Máquinas virtuales Unified Access Gateway del pod	Grupo de escritorios	VMware-View-PCoIP/TCP/4172 VMware-View5.x-PCoIP/UDP/4172 HTTPS/TCP/443 Horizon Blast UDP/UDP/22443 Horizon Blast TCP/TCP/22443 Horizon-USB-RedirectionIn/TCP/32111 Horizon-Beat/TCP-8443 Horizon-TCP-Side-Channel/TCP/9427
Grupo de escritorios al tráfico de administrador del pod	Grupo de escritorios	Máquina virtual de administrador del pod	VMware-View5.x-JMS/TCP/4001 Desktop-Messaging Server/TCP/3099 VMware-View7-JMS/TCP/4002
Grupo de escritorios al tráfico de servidor de dominio de Active Directory	Grupo de escritorios	Máquina virtual de administrador del pod	CUALQUIERA

Agregar la directiva de reenvío requerida en NSX Manager para las máquinas virtuales aprovisionadas por pod

Cuando se utiliza NSX-T Data Center 2.4 con un pod en Microsoft Azure, además de habilitar las reglas de firewall, también debe agregar una directiva de reenvío para enrutar el tráfico que pertenece a las máquinas virtuales administradas por NSX del pod a través de la red de nube de Microsoft Azure (subyacente). Las directivas de reenvío se introdujeron en NSX-T Data Center 2.4.

Lleve a cabo estos pasos en el entorno de NSX-T Data Center 2.4.

Procedimiento

Inicie sesión en el NSX Manager de su entorno.
Desplácese hasta Redes > Directivas de reenvío.
En la página Directivas de reenvío, expanda la sección que representa la VNet en la que se ha implementado la puerta de enlace de nube pública (PCG) de NSX para uso de su pod.
En la sección expandida, haga una copia de la última regla que aparece en esa sección, la que tiene el nombre CloudDefaultRoute, haciendo clic con el botón derecho y seleccionando Copiar regla.
Establezca la acción de la nueva copia en Ruta de subyacencia.
Haga clic en Publicar.