Cuando se implementa inicialmente un pod de Horizon Cloud en Microsoft Azure sin puerta de enlace o con solo un tipo de puerta de enlace, es posible agregar una configuración de puerta de enlace al pod mediante el flujo de trabajo Editar pod. Ese flujo de trabajo se inicia desde la página de detalles del pod.

Sugerencia: La consola es dinámica. En la interfaz de usuario, solo estarán disponibles esos flujos de trabajo y esas opciones, así como los campos que tienen sentido y que son adecuados en función de la configuración actual del pod y la configuración del entorno general.

Tal como se describe en Introducción a los pods de Horizon Cloud en Microsoft Azure, un pod puede tener una configuración de puerta de enlace externa, interna o ambas. Puede utilizar este flujo de trabajo para agregar el tipo que el pod aún no tenga. Al tiempo que se edita el pod para agregar una configuración de puerta de enlace, también se puede especificar la configuración de la autenticación en dos fases para esa puerta de enlace.

Importante: Cuando modifique el pod siguiendo estos pasos, tenga en cuenta los siguientes puntos:
  • Tenga en cuenta que la configuración de IP del equilibrador de carga de una puerta de enlace externa no se puede cambiar después de que se establece inicialmente la configuración de puerta de enlace externa. Al agregar una configuración de puerta de enlace externa, tiene la opción de que esta use una dirección IP privada para el equilibrador de carga de la puerta de enlace en lugar de una pública. La opción predeterminada es usar una IP pública.
  • Durante el tiempo en que el sistema cambia la configuración del pod hasta su finalización, se aplican las siguientes limitaciones:
    • No se pueden realizar tareas de administración en el pod.
    • Los usuarios finales que no tengan sesiones conectadas a sus aplicaciones remotas o escritorios que se procesan en el pod y que intenten conectarse no podrán hacerlo.
    • Los usuarios finales que tengan sesiones conectadas que se procesan en el pod tendrán desconectadas esas sesiones activas. No se producirá pérdida de datos. Una vez finalizados los cambios de configuración, esos usuarios pueden volver a conectarse.

Requisitos previos

Nota: Si el pod tiene la función de alta disponibilidad habilitada y una de las máquinas virtuales del administrador de pods está desconectada, el sistema no permite agregar una puerta de enlace al pod. El mensaje aparecerá después de hacer clic en Guardar y salir. Para poder agregar la puerta de enlace, debe volver a conectar la máquina virtual del administrador de pods sin conexión mediante el portal de Microsoft Azure.

Al agregar una configuración de puerta de enlace a un pod existente en Microsoft Azure, para completar los campos del asistente Editar pod, es necesario proporcionar la información que se describe en Requisitos previos para las configuraciones de Unified Access Gateway. Si también se desea especificar la configuración de la autenticación en dos fases al tiempo que se agrega la puerta de enlace, es necesario proporcionar la información que se describe en Requisitos previos cuando se implementa con una configuración de autenticación de doble factor. Si va a agregar una configuración de puerta de enlace externa y desea que utilice su propia suscripción, también necesita información de esa suscripción y asegurarse de que la VNet que va a utilizar para esa puerta de enlace cumpla los requisitos de la VNet. Para conocer los requisitos de la VNet, consulte Configurar la red virtual requerida en Microsoft Azure.

Importante: Todos los certificados de la cadena de certificados deben tener intervalos de tiempo válidos. Las máquinas virtuales de Unified Access Gateway requieren que todos los certificados de la cadena, incluidos los certificados intermedios, tengan plazos válidos. Si no ha caducado ningún certificado de la cadena, se pueden producir errores inesperados más adelante al cargar el certificado en la configuración de Unified Access Gateway.

Procedimiento

  1. En la consola, vaya a Configuración > Capacidad y haga clic en el nombre del pod para abrir su página de detalles.
  2. En la página de detalles del pod, haga clic en Editar.
  3. En el paso Suscripción, si va a agregar una configuración de puerta de enlace externa y desea utilizar una suscripción independiente de la del pod, habilite Utilizar una suscripción diferente para la puerta de enlace externa e introduzca la información de la suscripción.
  4. Haga clic en Siguiente hasta que llegue al paso Configuración de puerta de enlace.
    Este paso tiene una sección para la configuración de puerta de enlace externa y una sección para la configuración de puerta de enlace interna. La interfaz de usuario refleja la configuración actual del pod y la configuración de puerta de enlace que ya tiene.
  5. Para agregar una puerta de enlace externa, active la opción ¿Habilitar UAG externa? y rellene los campos de la sección UAG externa.
    Opción Descripción
    ¿Habilitar puerta de enlace externa? Controla si el pod tiene una configuración de puerta de enlace externa. La configuración externa de puerta de enlace proporciona acceso a escritorios y aplicaciones para los usuarios ubicados fuera de la red corporativa. El pod incluye un recurso de equilibrador de carga de Microsoft Azure e instancias de Unified Access Gateway para proporcionar este acceso.
    Nota: Se recomienda dejar la opción predeterminada habilitada.

    Cuando esta opción está desactivada, los clientes deben conectarse a través del Workspace ONE Access integrado con el pod o directamente al equilibrador de carga de los administradores de pods, o bien conectarse a través de una configuración de puerta de enlace interna. En el caso de los clientes que se conectan a través de Workspace ONE Access integrado con el pod o directamente, se requieren algunos pasos posteriores a la implementación. En este caso, después de que se implemente el pod, siga los pasos de Configurar certificados SSL en las máquinas virtuales del administrador de pods de Horizon Cloud.

    FQDN Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como ourOrg.example.com, que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN.
    Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.
    Direcciones de DNS Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separadas por comas. Al usar la configuración externa de Unified Access Gateway para utilizar la autenticación en dos fases con el servidor RADIUS local, especifique la dirección de un servidor DNS que pueda resolver el nombre del servidor RADIUS local.

    Como se describe en los requisitos previos de implementación, un servidor DNS debe instalarse de forma interna en su suscripción y configurarse para proporcionar la resolución de nombre externo. Las instancias de Unified Access Gateway utilizarán ese servidor DNS de forma predeterminada. Si especifica direcciones en este campo, las instancias de Unified Access Gateway implementadas utilizarán las direcciones además de los requisitos previos del servidor DNS que configuró en la red virtual de la suscripción.

    Rutas Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como el enrutamiento a servidores RADIUS para la autenticación en dos fases.

    Al configurar este pod para utilizar la autenticación en dos fases con un servidor RADIUS local, debe introducir la ruta correcta que las instancias de Unified Access Gateway pueden usar para acceder al servidor RADIUS. Por ejemplo, si el servidor RADIUS local utiliza 10.10.60.20 como dirección IP, escriba 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

    Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de máquina virtual Seleccione un modelo que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado.
    Certificado Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.

    Especifique la configuración del equilibrador de carga de Microsoft de esta puerta de enlace.

    Opción Descripción
    ¿Desea habilitar la dirección IP pública? Controla si el tipo de equilibrio de carga de esta puerta de enlace está configurado como privado o público. Si está activado, el recurso de equilibrador de carga de Microsoft Azure implementado se configura con una dirección IP pública. Si está desactivado, el recurso de equilibrador de carga de Microsoft Azure se configura con una dirección IP privada.
    Importante: En esta versión, no puede cambiar más adelante el tipo de equilibrio de carga de la puerta de enlace externa de público a privado o de privado a público. La única forma de hacer ese cambio sería eliminar completamente la configuración de puerta de enlace del pod implementado y, a continuación, editar el pod y volver a agregarlo con la configuración opuesta.

    Si deshabilita esta opción, se mostrará el campo IP pública el FQDN de Horizon.

    IP pública para el FQDN de Horizon Cuando haya elegido no configurar el equilibrador de carga de Microsoft Azure implementado con una IP pública, debe proporcionar la dirección IP que está asignando en su DNS al FQDN que los clientes de Horizon de los usuarios finales usarán para las conexiones PCoIP con la puerta de enlace. El implementador configurará esta dirección IP en las opciones de configuración de Unified Access Gateway.

    Especifique la configuración de red de la puerta de enlace externa.

    Opción Descripción
    Utilizar una red virtual diferente Esta opción controla si la puerta de enlace externa se implementará en su propia VNet, independiente de la VNet del pod.

    Las siguientes filas describen los diferentes casos.

    Nota: Cuando especificó utilizar una suscripción diferente para la puerta de enlace externa en el primer paso del asistente, esta opción está habilitada de forma predeterminada. Debe elegir una VNet para la puerta de enlace en ese caso.
    Usar una red virtual diferente: deshabilitado Cuando esta opción está deshabilitada, la puerta de enlace externa se implementará en la VNet del pod. En este caso, debe especificar la subred DMZ.
    • Subred DMZ: cuando Utilizar subred existente se habilita en el paso del asistente de configuración del pod, en Subred DMZ, se muestran las subredes disponibles en la VNet seleccionada para la Red virtual. Seleccione la subred existente que desea utilizar para la subred de DMZ del pod.
      Importante: Seleccione una subred vacía que no tenga otros recursos conectados a ella. Si la subred no está vacía, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod.
    • Subred DMZ (CIDR): cuando Utilizar subred existente se deshabilita en el paso anterior del asistente, introduzca la subred (en notación CIDR) para la red DMZ (zona desmilitarizada) que se configurará a fin de conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.
    Usar una red virtual diferente: habilitado Cuando esta opción está habilitada, la puerta de enlace externa se implementará en su propia VNet. En este caso, debe seleccionar la VNet que se va a utilizar y, a continuación, especificar las tres subredes necesarias. Habilite la opción Usar la subred existente para seleccionar las subredes que haya creado previamente en la VNet especificada. De lo contrario, especifique las subredes en notación CIDR.
    Importante: Seleccione subredes vacías que no tengan otros recursos conectados a ellas. Si las subredes no están vacías, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod.

    En este caso, la VNet de la puerta de enlace y la VNet del pod están emparejadas. La práctica recomendada es que las subredes se creen por adelantado y no usen aquí las entradas de CIDR. Consulte Requisitos previos cuando se implementa con una configuración de Unified Access Gateway externa que utiliza su propia VNet o una suscripción independiente de la de la VNet o suscripción del pod.

    • Subred de administración: especifique la subred que se utilizará para la subred de administración de la puerta de enlace. Se requiere un CIDR de al menos /27. Esta subred debe tener el servicio Microsoft.SQL configurado como un endpoint de servicio.
    • Subred de back-end: especifique la subred que se utilizará para la subred de back-end de la puerta de enlace. Se requiere un CIDR de al menos /27.
    • Subred de front-end: especifique la subred de la subred de front-end que se configurará para conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.
  6. (opcional) En la sección Implementación, utilice la opción para seleccionar un grupo de recursos existente en el que desea que el implementador despliegue los recursos para la configuración de puerta de enlace externa.
    Esta opción se muestra cuando se ha especificado que se utilice una suscripción diferente para la puerta de enlace externa en el primer paso del asistente. Al habilitar la opción, aparece un campo en el que puede buscar y seleccionar el grupo de recursos.
  7. Para agregar una puerta de enlace interna, active la opción ¿Habilitar UAG interna? y rellene los campos de la sección UAG interna.
    Opción Descripción
    ¿Desea habilitar la puerta de enlace interna? Controla si el pod tiene una configuración de puerta de enlace interna. La configuración interna proporciona acceso de confianza a escritorios y aplicaciones para las conexiones de HTML Access (Blast) a los usuarios que se encuentran dentro de la red corporativa. El pod incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. De forma predeterminada, el tipo de equilibrio de carga de esta puerta de enlace es privado. El equilibrador de carga se configura con una dirección IP privada.
    FQDN Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como ourOrg.example.com, que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN.

    Si especificó un FQDN para la puerta de enlace externa, debe introducir el mismo FQDN aquí.

    Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.
    Direcciones de DNS Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separadas por comas. Al usar la configuración de puerta de enlace interna para utilizar la autenticación en dos fases con el servidor RADIUS local, especifique la dirección de un servidor DNS que pueda resolver el nombre del servidor RADIUS local.

    Como se describe en los requisitos previos de implementación, un servidor DNS debe instalarse de forma interna en su suscripción y configurarse para proporcionar la resolución de nombre. Las instancias de Unified Access Gateway utilizarán ese servidor DNS de forma predeterminada. Si especifica direcciones en este campo, las instancias de Unified Access Gateway implementadas utilizarán las direcciones además de los requisitos previos del servidor DNS que configuró en la red virtual de la suscripción.

    Rutas Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como el enrutamiento a servidores RADIUS para la autenticación en dos fases.

    Al configurar este pod para utilizar la autenticación en dos fases con un servidor RADIUS local, debe introducir la ruta correcta que las instancias de Unified Access Gateway pueden usar para acceder al servidor RADIUS. Por ejemplo, si el servidor RADIUS local utiliza 10.10.60.20 como dirección IP, escriba 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

    Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de máquina virtual Seleccione un modelo que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado.
    Certificado Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.
  8. En la sección de la puerta de enlace que planea agregar, si desea configurar de forma opcional los escritorios de los usuarios finales para que estos usen la autenticación en dos fases RADIUS, siga los pasos indicados en Habilitar la autenticación en dos fases en las puertas de enlace del pod de Horizon Cloud.
  9. Haga clic en Guardar y salir.
    Aparece un mensaje de confirmación que le pide que confirme el inicio del flujo de trabajo.
  10. Haga clic en para iniciar el flujo de trabajo.

Resultados

Hasta que el sistema termine de implementar los elementos de la puerta de enlace, la sección de la página de resumen del pod para ese tipo de configuración mostrará el estado Pendiente. Además, no puede realizar actividades adicionales relacionadas con el flujo de trabajo Editar pod hasta que el sistema finalice con sus acciones para implementar la puerta de enlace.

Cuando se complete el flujo de trabajo, el estado se mostrará como Listo y el FQDN del equilibrador de carga se mostrará en la página.

Nota: Al ejecutar este flujo de trabajo para un pod de Microsoft Azure China, el proceso puede tardar más de una hora en completarse. El proceso está sujeto a problemas de red geográficos que pueden provocar bajas velocidades de descarga dado que los archivos binarios se descargan desde el plano de control de nube.

Qué hacer a continuación

Importante: Para que los usuarios finales puedan comenzar a utilizar la puerta de enlace recién agregada, primero debe completar las siguientes tareas.
  • Para la configuración de puerta de enlace recién agregada, asegúrese de tener un registro CNAME en el servidor DNS para asignar el equilibrador de carga implementado en la configuración al FQDN que introdujo en el asistente de implementación. Consulte los detalles en Obtener la información del equilibrador de carga de puerta de enlace del pod para asignarlo en el servidor DNS.
  • Si especificó la autenticación en dos fases RADIUS para la puerta de enlace agregada, debe realizar las siguientes tareas:
    • Si configuró una puerta de enlace externa con la configuración de RADIUS y no se puede acceder a ese servidor RADIUS en la misma VNet que utiliza el pod, o dentro de la topología de VNet emparejada si implementó la puerta de enlace externa en su propia VNet, compruebe y configure que el servidor RADIUS permita las conexiones de cliente desde la dirección IP del equilibrador de carga de la puerta de enlace externa. En una configuración de puerta de enlace externa, las instancias de Unified Access Gateway intentan ponerse en contacto con el servidor RADIUS mediante la dirección del equilibrador de carga. Para permitir estas conexiones, asegúrese de que la dirección IP del recurso del equilibrador de carga que se encuentra en el grupo de recursos de la puerta de enlace externa esté especificada como un cliente en la configuración del servidor RADIUS.
    • Si configuró una puerta de enlace interna, o una puerta de enlace externa, y se puede acceder al servidor RADIUS en la misma VNet que utiliza el pod, configure el servidor RADIUS para permitir las conexiones desde las NIC correspondientes que se crearon en el grupo de recursos de la puerta de enlace en Microsoft Azure y que deben comunicarse con el servidor RADIUS. El administrador de red determina la visibilidad de red del servidor RADIUS en las subredes y la red virtual de Azure del pod. El servidor RADIUS debe permitir conexiones de cliente desde las direcciones IP de las NIC de puerta de enlace que correspondan a la subred para la cual el administrador de red haya otorgado visibilidad de red en el servidor RADIUS. El grupo de recursos de la puerta de enlace en Microsoft Azure tiene cuatro NIC que corresponden a esa subred: dos que están activas actualmente para las dos instancias de Unified Access Gateway, y dos que están inactivas y se convertirán en las instancias activas después de que se actualice el pod. Si desea permitir la conectividad entre la puerta de enlace y el servidor RADIUS para las operaciones del pod en curso y después de cada actualización del pod, asegúrese de que las direcciones IP de esas cuatro NIC estén especificadas como clientes en la configuración del servidor RADIUS.

    Para obtener información sobre cómo obtener esas direcciones IP, consulte Actualizar el sistema RADIUS con la información requerida de puerta de enlace del pod de Horizon Cloud.