En los sistemas de producción, un caso práctico clave para configurar un certificado SSL en las máquinas virtuales del administrador de pods de Horizon Cloud es la integración de Workspace ONE Access con el pod. En este caso, incluso un pod que ya tiene una configuración de Unified Access Gateway necesita certificados SSL en las máquinas virtuales del administrador de pods para admitir conexiones de confianza con Workspace ONE Access Connector.

Una parte clave de la integración de Workspace ONE Access con un pod de Horizon Cloud en Microsoft Azure es configurar Workspace ONE Access Connector para sincronizar la colección de aplicaciones virtuales de Horizon Cloud que se configuraron en Workspace ONE Access para usar las aplicaciones remotas y los escritorios aprovisionados por el pod. Workspace ONE Access Connector debe comunicarse con las máquinas virtuales del administrador de pods para realizar esa sincronización. Por lo tanto, el pod debe presentar un certificado SSL válido para que Workspace ONE Access Connector confíe en él. Para obtener más información acerca de esta integración, consulte Integrar un pod de Horizon Cloud en Microsoft Azure con Workspace ONE Access.

Relación del campo Dirección IP del equilibrador de carga del administrador de pods de la página de detalles del pod con los requisitos de los certificados SSL

Una parte importante de la información que necesitará para crear un certificado SSL de confianza válido que se pueda configurar en las máquinas virtuales del administrador de pods es la dirección IP numérica que se muestra en la página de detalles del pod junto a la etiqueta Dirección IP del equilibrador de carga del administrador de pods. La siguiente captura de pantalla es una ilustración donde se muestra la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod implementado.


Ubicación de la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod.

El certificado SSL de confianza debe basarse en el nombre de dominio completo (FQDN) que asigne en el servidor DNS a la dirección IP que se muestra en ese campo. Esta asignación es necesaria para que un cliente usuario final que está configurado para utilizar ese FQDN pueda obtener una conexión de confianza con el pod.

Pero, ¿cuál es esa dirección IP numérica relacionada? Es una dirección IP privada de la subred del tenant del pod. El recurso de pod al que está asociada la dirección IP depende de si el pod tiene una versión de manifiesto 1600 o posterior, o si tiene una versión de manifiesto anterior a la 1600.

Pods con una versión de manifiesto 1600 o posterior

Para los pods con una versión de manifiesto 1600 o posterior, la dirección IP numérica que se muestra para la etiqueta Dirección IP del equilibrador de carga del administrador de pods es la dirección IP privada numérica del recurso del equilibrador de carga de Azure del pod. La arquitectura del pod para los pods con una versión de manifiesto 1600 o posterior incluye un equilibrador de carga de Azure del pod con una dirección IP privada de la subred del tenant del pod. El equilibrador de carga de Azure del pod es el punto para la comunicación SSL con las máquinas virtuales del administrador de pods. Como se describe en , cuando la función de alta disponibilidad está habilitada para el pod, tiene dos máquinas virtuales de administrador detrás del equilibrador de carga de Azure. En este caso, al hacer clic en Cargar certificado en la consola administrativa para cargar los archivos de certificado SSL, Horizon Cloud realiza la configuración en la máquina virtual activa del administrador y, a continuación, copia la configuración del certificado en la otra máquina virtual del administrador. Cuando la función de alta disponibilidad no está habilitada para el pod, tiene una sola máquina virtual de administrador detrás del equilibrador de carga de Azure. Al hacer clic en Cargar certificado en la consola, Horizon Cloud configura el certificado en esa máquina virtual del administrador.

La siguiente captura de pantalla muestra cómo la dirección IP privada del equilibrador de carga de Azure del pod es la misma dirección IP que se muestra junto a esa etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod en la consola para el ejemplo anterior.


Captura de pantalla que muestra el equilibrador de carga de Azure del pod en la suscripción y la dirección IP privada que tiene asignada

Pods de versiones de manifiesto anteriores a 1600

Para los pods de manifiestos anteriores a la versión 1600, la dirección IP numérica del tenant visualizada que se muestra para la etiqueta Dirección IP del equilibrador de carga del administrador de pods es la dirección IP privada numérica de la subred del tenant del pod que está asociada con la NIC del tenant en la máquina virtual del administrador de pods. La arquitectura del pod para manifiestos de versiones anteriores tiene una sola máquina virtual de administrador de pods. La dirección IP privada de la máquina virtual del administrador en la subred del tenant es el punto para la comunicación SSL con esa máquina virtual del administrador. Al hacer clic en Cargar certificado en la consola, Horizon Cloud configura el certificado en esa máquina virtual del administrador.

Cómo configurar certificados SSL en las máquinas virtuales del administrador de pods

Desde la consola administrativa, puede configurar certificados SSL en las máquinas virtuales del administrador de pods. Para ver los pasos detallados, consulte Configurar certificados SSL en las máquinas virtuales del administrador de pods de Horizon Cloud. Para conocer los requisitos previos antes de ejecutar esos pasos, consulte Requisitos previos para ejecutar el flujo de trabajo Cargar certificado de Consola administrativa de Horizon Cloud para configurar certificados SSL en las máquinas virtuales del administrador del pod de Horizon Cloud.

Escenarios atípicos que necesitan certificados SSL configurados en las máquinas virtuales del administrador de pods

Si bien estos escenarios pueden ser adecuados para las pruebas de concepto, no se recomiendan para la producción. En el caso de los sistemas de producción, debe aprovechar las funciones de Horizon Cloud de las configuraciones de puerta de enlace interna y externa que admiten conexiones de usuarios finales a los recursos aprovisionados por el pod. Para las conexiones de usuario final internas de la red corporativa, por ejemplo, a través de una VPN, debe tener una configuración de instancia de Unified Access Gateway interna en el pod. Para las conexiones de usuario final a través de Internet, debe tener una configuración de instancia de Unified Access Gateway externa en el pod. Para saber los pasos que se deben seguir para agregar esas configuraciones al pod, consulte Agregar una configuración de puerta de enlace a un pod de Horizon Cloud implementado.

Tabla 1. Escenarios atípicos que necesitan certificados SSL configurados en las máquinas virtuales del administrador de pods
Escenario Descripción
Pod implementado solo con la configuración de puerta de enlace externa y sin configuración de instancia de Unified Access Gateway interna En este escenario, mientras los usuarios finales a través de Internet llegan a los recursos aprovisionados por el pod a través de la configuración de puerta de enlace externa implementada, no existe una configuración de puerta de enlace interna paralela para que los usuarios internos de la red corporativa puedan utilizarla para llegar a los recursos aprovisionados por el pod. Sin una configuración de instancia de Unified Access Gateway interna, estos usuarios internos tendrían que apuntar sus conexiones de cliente para llegar directamente al pod. Llegar directamente al pod significa apuntar el cliente a la dirección IP que se muestra junto a la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod, o bien a un FQDN que se asigne a esa dirección IP que aparece en el DNS.
Pod implementado sin ninguna configuración de puerta de enlace (ninguna máquina virtual de Unified Access Gateway)

En este escenario, todas las conexiones de usuario final a los recursos aprovisionados por el pod tendrían que utilizar uno de los Horizon Clients específicos del sistema operativo para comunicarse directamente con el pod. Llegar directamente al pod significa apuntar el cliente a la dirección IP que se muestra junto a la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod, o bien a un FQDN que se asigne a esa dirección IP que aparece en el DNS.

Atención: A diferencia de cuando se utiliza uno de los Horizon Clients específicos del sistema operativo, cuando se apunta un navegador directamente al pod, la conexión del navegador se comportará como una conexión que no es de confianza aunque se haya configurado un certificado SSL en las máquinas virtuales del administrador de pods mediante la acción Cargar certificado en la consola. Al escribir el FQDN del pod directamente en un navegador, el navegador se conecta mediante el tipo de conexión HTML Access (Blast) y, debido a la forma en que funciona HTML Access (Blast), el navegador mostrará el error típico de certificado que no es de confianza cuando realiza la conexión directa al pod. Para evitar el error que se muestra de certificado que no es de confianza, el pod debe tener las puertas de enlace configuradas para que las conexiones del navegador pasen por la configuración de puerta de enlace adecuada: una configuración de puerta de enlace externa para los usuarios finales que se encuentran fuera de la red corporativa y una configuración de puerta de enlace interna para los usuarios finales que se encuentran dentro de la red corporativa. Si no desea exponer su FQDN en Internet, puede utilizar una configuración de puerta de enlace interna. La configuración interna de puerta de enlace utiliza un equilibrador de carga interno de Microsoft al cual pueden apuntar sus conexiones los usuarios finales que son internos de la red corporativa. Consulte Agregar una configuración de puerta de enlace a un pod de Horizon Cloud implementado.