En los sistemas de producción que están configurados para tipo de brokering de pod único, un caso práctico clave para configurar un certificado SSL en las máquinas virtuales del administrador de pods de Horizon Cloud es la integración de Workspace ONE Access con el pod. Workspace ONE Access Connector debe poder confiar en las conexiones SSL a las máquinas virtuales del administrador de pods. Este es el modo en que funciona la integración de estos pods con Workspace ONE Access. Para este caso práctico específico de la integración con Workspace ONE Access Connector, el pod necesita que los certificados SSL se definan directamente en las máquinas virtuales del administrador de pods.
Cuando los pods están en un entorno de brokering de pod único, una parte clave de la integración de Workspace ONE Access con un pod de Horizon Cloud en Microsoft Azure es configurar Workspace ONE Access Connector para sincronizar la colección de aplicaciones virtuales de Horizon Cloud que se configuraron en Workspace ONE Access para usar los escritorios y las aplicaciones remotas aprovisionados mediante pod. Workspace ONE Access Connector debe comunicarse con las máquinas virtuales del administrador de pods para realizar esa sincronización. Por lo tanto, el pod debe presentar un certificado SSL válido para que Workspace ONE Access Connector confíe en él. Para obtener más información acerca de esta integración, consulte Un entorno de Horizon Cloud con brokering de pod único: Integrar los pods de Horizon Cloud del entorno de Microsoft Azure con Workspace ONE Access.
Relación del campo Dirección IP del equilibrador de carga del administrador de pods de la página de detalles del pod con los requisitos de los certificados SSL de Workspace ONE Access Connector
Una parte importante de la información que necesitará para crear un certificado SSL de confianza válido que se pueda configurar en las máquinas virtuales del administrador de pods es la dirección IP numérica que se muestra en la página de detalles del pod junto a la etiqueta Dirección IP del equilibrador de carga del administrador de pods. La siguiente captura de pantalla es una ilustración donde se muestra la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod implementado.
El certificado SSL de confianza debe basarse en el nombre de dominio completo (FQDN) que asigne en el servidor DNS a la dirección IP que se muestra en ese campo. Esta asignación es necesaria para que un cliente usuario final que está configurado para utilizar ese FQDN pueda obtener una conexión de confianza con el pod.
Pero, ¿cuál es esa dirección IP numérica relacionada? Es una dirección IP privada de la subred de arrendatario del pod y está asociada con el equilibrador de carga de Azure para las máquinas virtuales del administrador de pods del pod.
Acerca de la IP del equilibrador de carga del administrador de pods
Con todos los manifiestos de pod admitidos actualmente, la dirección IP numérica que se muestra para la etiqueta IP de equilibrador de carga del administrador de pods es la dirección IP privada numérica del recurso de equilibrador de carga de Azure del pod. La arquitectura del pod incluye un equilibrador de carga de Azure del pod con una dirección IP privada de la subred de arrendatario del pod. En este equilibrador de carga se produce la comunicación SSL con las máquinas virtuales del administrador de pods que el equilibrador tiene vinculadas.
Si un pod tiene habilitada la alta disponibilidad, al hacer clic en Cargar certificado en la consola administrativa para cargar los archivos de certificado SSL, Horizon Cloud realiza la configuración en la máquina virtual activa del administrador de pods y, a continuación, copia la configuración del certificado en la otra máquina virtual del administrador de pods.
Los pods en los que no está habilitada la alta disponibilidad (caso atípico) tienen una sola máquina virtual del administrador de pods vinculada al equilibrador de carga de Azure. En este caso, al hacer clic en Cargar certificado en la consola, Horizon Cloud configura el certificado en esa máquina virtual del administrador de pods.
La siguiente captura de pantalla muestra cómo la dirección IP privada del equilibrador de carga de Azure del pod es la misma dirección IP que se muestra junto a esa etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod en la consola para el ejemplo anterior.
Cómo configurar certificados SSL en las máquinas virtuales del administrador de pods
Desde la consola administrativa, puede configurar certificados SSL en las máquinas virtuales del administrador de pods. Para ver los pasos detallados, consulte Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods, como cuando se integra el dispositivo de Workspace ONE Access Connector con el pod de Horizon Cloud en Microsoft Azure, para que Connector pueda confiar en las conexiones con las máquinas virtuales del administrador de pods. Para conocer los requisitos previos antes de ejecutar esos pasos, consulte Requisitos previos para ejecutar el flujo de trabajo Cargar certificado del pod de Horizon Universal Console para configurar certificados SSL en las máquinas virtuales del administrador del pod de Horizon Cloud.
Escenarios atípicos que necesitan certificados SSL configurados en las máquinas virtuales del administrador de pods
Si bien estos escenarios pueden ser adecuados para las pruebas de concepto, no se recomiendan para la producción. En el caso de los sistemas de producción, debe aprovechar las funciones de Horizon Cloud de las configuraciones de puerta de enlace interna y externa que admiten conexiones de usuarios finales a los recursos aprovisionados por el pod. Para las conexiones de usuario final internas de la red corporativa, por ejemplo, a través de una VPN, debe tener una configuración de instancia de Unified Access Gateway interna en el pod. Para las conexiones de usuario final a través de Internet, debe tener una configuración de instancia de Unified Access Gateway externa en el pod. Para saber los pasos que se deben seguir para agregar esas configuraciones al pod, consulte Agregar una configuración de puerta de enlace a un pod de Horizon Cloud implementado.
| Escenario | Descripción |
|---|---|
| Pod implementado solo con la configuración de puerta de enlace externa y sin configuración de instancia de Unified Access Gateway interna | En este escenario, mientras los usuarios finales a través de Internet llegan a los recursos aprovisionados por el pod a través de la configuración de puerta de enlace externa implementada, no existe una configuración de puerta de enlace interna paralela para que los usuarios internos de la red corporativa puedan utilizarla para llegar a los recursos aprovisionados por el pod. Sin una configuración de instancia de Unified Access Gateway interna, estos usuarios internos tendrían que apuntar sus conexiones de cliente para llegar directamente al pod. Llegar directamente al pod significa apuntar el cliente a la dirección IP que se muestra junto a la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod, o bien a un FQDN que se asigne a esa dirección IP que aparece en el DNS. |
| Pod implementado sin ninguna configuración de puerta de enlace (ninguna máquina virtual de Unified Access Gateway) | En este escenario, todas las conexiones de usuario final a los recursos aprovisionados por el pod tendrían que utilizar uno de los Horizon Clients específicos del sistema operativo para comunicarse directamente con el pod. Llegar directamente al pod significa apuntar el cliente a la dirección IP que se muestra junto a la etiqueta Dirección IP del equilibrador de carga del administrador de pods en la página de detalles del pod, o bien a un FQDN que se asigne a esa dirección IP que aparece en el DNS.
Atención: A diferencia de cuando se utiliza uno de los
Horizon Clients específicos del sistema operativo, cuando se apunta un navegador directamente al pod, la conexión del navegador se comportará como una conexión que no es de confianza aunque se haya configurado un certificado SSL en las máquinas virtuales del administrador de pods mediante la acción
Cargar certificado en la consola. Al escribir el FQDN del pod directamente en un navegador, el navegador se conecta mediante el tipo de conexión HTML Access (Blast) y, debido a la forma en que funciona HTML Access (Blast), el navegador mostrará el error típico de certificado que no es de confianza cuando realiza la conexión directa al pod. Para evitar el error que se muestra de certificado que no es de confianza, el pod debe tener las puertas de enlace configuradas para que las conexiones del navegador pasen por la configuración de puerta de enlace adecuada: una configuración de puerta de enlace externa para los usuarios finales que se encuentran fuera de la red corporativa y una configuración de puerta de enlace interna para los usuarios finales que se encuentran dentro de la red corporativa. Si no desea exponer su FQDN en Internet, puede utilizar una configuración de puerta de enlace interna. La configuración interna de puerta de enlace utiliza un equilibrador de carga interno de Microsoft al cual pueden apuntar sus conexiones los usuarios finales que son internos de la red corporativa. Consulte
Agregar una configuración de puerta de enlace a un pod de Horizon Cloud implementado.
|
