En este paso del asistente, especifique la información necesaria para implementar el pod con una configuración de puerta de enlace. Unified Access Gateway proporciona el entorno de puerta de enlace para un pod implementado en Microsoft Azure. Al implementar el nuevo pod, puede elegir tener una configuración de puerta de enlace externa o interna, o ambos tipos en el mismo pod. De forma predeterminada, cuando se muestra este paso del asistente, se selecciona la configuración de puerta de enlace externa.

Configuración de puerta de enlace externa
La configuración de puerta de enlace externa permite brindar acceso a escritorios y aplicaciones para los usuarios finales ubicados fuera de la red corporativa. Cuando el pod tiene esta configuración de puerta de enlace externa, incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. En este caso, cada instancia tiene tres NIC: una NIC en la subred de administración, una NIC en la subred de escritorio y una NIC en la subred DMZ. En el asistente de implementación, tiene la opción de especificar el tipo de equilibrio de carga como privado o público, en función de si desea una dirección IP privada o pública para el equilibrador de carga. Si desactiva esta opción de IP pública en el asistente, debe especificar la dirección IP que ha asignado en el servidor DNS al FQDN que los clientes de Horizon de los usuarios finales usarán para las conexiones PCoIP con la puerta de enlace.

Para una configuración de puerta de enlace externa, también tiene la opción de implementar la configuración en una VNet que sea independiente de la VNet del pod. Las redes virtuales deben estar emparejadas. Este tipo de configuración ofrece la capacidad de implementar el pod en topologías de red más complejas en Microsoft Azure, como una topología de red radial.

Nota: Si habilitó la opción para que la puerta de enlace externa use su propia suscripción en el primer paso del asistente, debe implementar la puerta de enlace externa en su propia red virtual, la red virtual que está asociada con esa suscripción. Si habilitó esa opción, opcionalmente puede seleccionar un grupo de recursos existente en esa suscripción para los recursos de la puerta de enlace externa. Debe haber preparado previamente ese grupo de recursos para que pueda seleccionarlo en este paso del asistente.
Configuración de puerta de enlace interna
La configuración de puerta de enlace interna permite que los usuarios finales ubicados dentro de la red corporativa puedan establecer conexiones de HTML Access (Blast) de confianza a sus aplicaciones y escritorios. Si el pod no está configurado con una configuración interna de puerta de enlace, los usuarios finales dentro de la red corporativa verán el error de certificado que no es de confianza del navegador estándar cuando utilicen sus navegadores para establecer conexiones de HTML Access (Blast) a sus escritorios y aplicaciones. Cuando el pod tiene esta configuración de puerta de enlace interna, el pod incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. En este caso, cada instancia tiene dos NIC: una NIC en la subred de administración y una NIC en la subred de escritorio. De forma predeterminada, el tipo de equilibrio de carga de esta puerta de enlace es privado.

La siguiente captura de pantalla es un ejemplo del paso, tal como se muestra inicialmente. Algunos controles solo se muestran cuando se seleccionó en el primer paso del asistente la opción para usar una suscripción diferente para la configuración de puerta de enlace externa.


Horizon Cloud on Microsoft Azure: paso 3 del asistente de implementación de pods cuando se muestra inicialmente.

Requisitos previos

Compruebe que cumpla los requisitos descritos en Requisitos previos para ejecutar el asistente de implementación de pods.

Importante: Para completar este paso, debe tener el nombre de dominio completo (FQDN) requerido que los usuarios finales utilizarán para acceder al servicio y tener un certificado SSL firmado (en formato PEM) basado en ese FQDN. El certificado debe estar firmado por una entidad de certificación de confianza. Un único archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada. Para obtener más información, consulte Convertir un archivo de certificado al formato PEM requerido para la implementación del pod.

Compruebe que todos los certificados de la cadena de certificados tengan intervalos de tiempo válidos. Si ningún certificado de la cadena ha caducado. Se pueden producir errores inesperados más adelante en el proceso de incorporación de pods.

Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.

Procedimiento

  1. Si desea la configuración externa de puerta de enlace, complete los campos en la sección Puerta de enlace externa.
    Opción Descripción
    ¿Habilitar puerta de enlace externa? Controla si el pod tiene una configuración de puerta de enlace externa. La configuración externa de puerta de enlace proporciona acceso a escritorios y aplicaciones para los usuarios ubicados fuera de la red corporativa. El pod incluye un recurso de equilibrador de carga de Microsoft Azure e instancias de Unified Access Gateway para proporcionar este acceso.
    Nota: Se recomienda dejar la opción predeterminada habilitada.

    Cuando esta opción está desactivada, los clientes deben conectarse a través del Workspace ONE Access integrado con el pod o directamente al equilibrador de carga de los administradores de pods, o bien conectarse a través de una configuración de puerta de enlace interna. En el caso de los clientes que se conectan a través de Workspace ONE Access integrado con el pod o directamente, se requieren algunos pasos posteriores a la implementación. En este caso, después de que se implemente el pod, siga los pasos de Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods, como cuando se integra el dispositivo de Workspace ONE Access Connector con el pod de Horizon Cloud en Microsoft Azure, para que Connector pueda confiar en las conexiones con las máquinas virtuales del administrador de pods.

    FQDN Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como ourOrg.example.com, que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN.
    Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.
    Direcciones de DNS Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separadas por comas. Al usar la configuración externa de Unified Access Gateway para utilizar la autenticación en dos fases con el servidor RADIUS local, especifique la dirección de un servidor DNS que pueda resolver el nombre del servidor RADIUS local.

    Como se describe en los requisitos previos de implementación, un servidor DNS debe instalarse de forma interna en su suscripción y configurarse para proporcionar la resolución de nombre externo. Las instancias de Unified Access Gateway utilizarán ese servidor DNS de forma predeterminada. Si especifica direcciones en este campo, las instancias de Unified Access Gateway implementadas utilizarán las direcciones además de los requisitos previos del servidor DNS que configuró en la red virtual de la suscripción.

    Rutas Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como el enrutamiento a servidores RADIUS para la autenticación en dos fases.

    Al configurar este pod para utilizar la autenticación en dos fases con un servidor RADIUS local, debe introducir la ruta correcta que las instancias de Unified Access Gateway pueden usar para acceder al servidor RADIUS. Por ejemplo, si el servidor RADIUS local utiliza 10.10.60.20 como dirección IP, escriba 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

    Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de máquina virtual Seleccione un modelo que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado.
    Certificado Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.

    Especifique la configuración del equilibrador de carga de Microsoft de esta puerta de enlace.

    Opción Descripción
    ¿Desea habilitar la dirección IP pública? Controla si el tipo de equilibrio de carga de esta puerta de enlace está configurado como privado o público. Si está activado, el recurso de equilibrador de carga de Microsoft Azure implementado se configura con una dirección IP pública. Si está desactivado, el recurso de equilibrador de carga de Microsoft Azure se configura con una dirección IP privada.
    Importante: En esta versión, no puede cambiar más adelante el tipo de equilibrio de carga de la puerta de enlace externa de público a privado o de privado a público. La única forma de hacer ese cambio sería eliminar completamente la configuración de puerta de enlace del pod implementado y, a continuación, editar el pod y volver a agregarlo con la configuración opuesta.

    Si desactiva esta opción, se mostrará el campo IP pública el FQDN de Horizon.

    IP pública para el FQDN de Horizon Cuando haya elegido no configurar el equilibrador de carga de Microsoft Azure implementado con una IP pública, debe proporcionar la dirección IP que está asignando en su DNS al FQDN que los clientes de Horizon de los usuarios finales usarán para las conexiones PCoIP con la puerta de enlace. El implementador configurará esta dirección IP en las opciones de configuración de Unified Access Gateway.

    Especifique la configuración de red de la puerta de enlace externa.

    Opción Descripción
    Utilizar una red virtual diferente Esta opción controla si la puerta de enlace externa se implementará en su propia VNet, independiente de la VNet del pod.

    Las siguientes filas describen los diferentes casos.

    Nota: Cuando especificó utilizar una suscripción diferente para la puerta de enlace externa en el primer paso del asistente, esta opción está habilitada de forma predeterminada. Debe elegir una VNet para la puerta de enlace en ese caso.
    Usar una red virtual diferente: desactivado Cuando esta opción está desactivada, la puerta de enlace externa se implementará en la VNet del pod. En este caso, debe especificar la subred DMZ.
    • Subred DMZ: cuando Utilizar subred existente se habilita en el paso del asistente de configuración del pod, en Subred DMZ, se muestran las subredes disponibles en la VNet seleccionada para la Red virtual. Seleccione la subred existente que desea utilizar para la subred de DMZ del pod.
      Importante: Seleccione una subred vacía que no tenga otros recursos conectados a ella. Si la subred no está vacía, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod.
    • Subred DMZ (CIDR): cuando Utilizar subred existente se desactiva en el paso anterior del asistente, introduzca la subred (en notación CIDR) para la red DMZ (zona desmilitarizada) que se configurará a fin de conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.
    Usar una red virtual diferente: habilitado Cuando esta opción está habilitada, la puerta de enlace externa se implementará en su propia VNet. En este caso, debe seleccionar la VNet que se va a utilizar y, a continuación, especificar las tres subredes necesarias. Habilite la opción Usar la subred existente para seleccionar las subredes que haya creado previamente en la VNet especificada. De lo contrario, especifique las subredes en notación CIDR.
    Importante: Seleccione subredes vacías que no tengan otros recursos conectados a ellas. Si las subredes no están vacías, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod.

    En este caso, la VNet de la puerta de enlace y la VNet del pod están emparejadas. La práctica recomendada es que las subredes se creen por adelantado y no usen aquí las entradas de CIDR. Consulte Requisitos previos cuando se implementa con una configuración de Unified Access Gateway externa que utiliza su propia VNet o una suscripción independiente de la de la VNet o suscripción del pod.

    • Subred de administración: especifique la subred que se utilizará para la subred de administración de la puerta de enlace. Se requiere un CIDR de al menos /27. Esta subred debe tener el servicio Microsoft.SQL configurado como un endpoint de servicio.
    • Subred de back-end: especifique la subred que se utilizará para la subred de back-end de la puerta de enlace. Se requiere un CIDR de al menos /27.
    • Subred de front-end: especifique la subred de la subred de front-end que se configurará para conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.
  2. (opcional) En la sección Puerta de enlace externa, configure, opcionalmente, la autenticación en dos fases para la puerta de enlace externa.
  3. (opcional) En la sección Implementación, utilice la opción para seleccionar un grupo de recursos existente en el que desea que el implementador despliegue los recursos para la configuración de puerta de enlace externa.
    Esta opción se muestra cuando se ha especificado que se utilice una suscripción diferente para la puerta de enlace externa en el primer paso del asistente. Al habilitar la opción, aparece un campo en el que puede buscar y seleccionar el grupo de recursos.
  4. En la sección Puerta de enlace interna, si desea la configuración de la puerta de enlace interna, habilite la opción ¿Desea habilitar la puerta de enlace interna? y complete los campos que aparecen.
    Opción Descripción
    ¿Desea habilitar la puerta de enlace interna? Controla si el pod tiene una configuración de puerta de enlace interna. La configuración interna proporciona acceso de confianza a escritorios y aplicaciones para las conexiones de HTML Access (Blast) a los usuarios que se encuentran dentro de la red corporativa. El pod incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. De forma predeterminada, el tipo de equilibrio de carga de esta puerta de enlace es privado. El equilibrador de carga se configura con una dirección IP privada.
    FQDN Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como ourOrg.example.com, que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN.

    Si especificó un FQDN para la puerta de enlace externa, debe introducir el mismo FQDN aquí.

    Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.
    Direcciones de DNS Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separadas por comas. Al usar la configuración de puerta de enlace interna para utilizar la autenticación en dos fases con el servidor RADIUS local, especifique la dirección de un servidor DNS que pueda resolver el nombre del servidor RADIUS local.

    Como se describe en los requisitos previos de implementación, un servidor DNS debe instalarse de forma interna en su suscripción y configurarse para proporcionar la resolución de nombre. Las instancias de Unified Access Gateway utilizarán ese servidor DNS de forma predeterminada. Si especifica direcciones en este campo, las instancias de Unified Access Gateway implementadas utilizarán las direcciones además de los requisitos previos del servidor DNS que configuró en la red virtual de la suscripción.

    Rutas Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como el enrutamiento a servidores RADIUS para la autenticación en dos fases.

    Al configurar este pod para utilizar la autenticación en dos fases con un servidor RADIUS local, debe introducir la ruta correcta que las instancias de Unified Access Gateway pueden usar para acceder al servidor RADIUS. Por ejemplo, si el servidor RADIUS local utiliza 10.10.60.20 como dirección IP, escriba 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

    Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

    Modelo de máquina virtual Seleccione un modelo que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado.
    Certificado Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.
  5. (opcional) En la sección Puerta de enlace interna, configure, opcionalmente, la autenticación en dos fases para el Unified Access Gateway interno.
  6. (opcional) En la sección Etiquetas de recursos de Azure, opcionalmente, agregue etiquetas personalizadas a los grupos de recursos que contengan todas las instancias de Unified Access Gateway internas y externas que haya configurado para el pod.
    Opción Descripción
    Heredar etiquetas del pod

    Active esta opción para agregar las etiquetas de recursos del pod a los grupos de recursos que contengan todas las instancias de Unified Access Gateway que haya configurado. Cada grupo de recursos recibe las etiquetas de recursos que ha definido en el paso del asistente de configuración del pod.

    Desactive esta opción para definir nuevas etiquetas de recursos para las instancias de Unified Access Gateway.

    Etiquetas de recursos de Azure

    Este ajuste se muestra cuando se desactiva la opción Heredar etiquetas del pod. Utilice esta opción para agregar nuevas etiquetas de recursos a los grupos de recursos que contengan las instancias de Unified Access Gateway que haya configurado.

    Para crear la primera etiqueta, introduzca la información en los campos Nombre y Valor. Para crear una etiqueta adicional, haga clic en + y, a continuación, introduzca la información en los campos Nombre y Valor que aparecen debajo de las ya existentes.

    • Puede crear un máximo de 10 etiquetas.
    • El nombre de la etiqueta está limitado a 512 caracteres y el valor de la etiqueta está limitado a 256 caracteres. Para las cuentas de almacenamiento, el nombre de la etiqueta está limitado a 128 caracteres y el valor de la etiqueta está limitado a 256 caracteres.
    • Los nombres de etiqueta no pueden contener los siguientes caracteres:

      < > % & \ ? /

    • Los nombres de etiqueta no pueden contener estas cadenas que no distinguen entre mayúsculas y minúsculas:

      "azure", "windows", "microsoft"

    • Los nombres de las etiquetas y los valores de las etiquetas solo pueden contener caracteres ASCII. No se permiten espacios en blanco ni caracteres fuera del conjunto estándar ASCII de 128 caracteres (también conocidos como caracteres ASCII altos o extendidos).

Resultados

Una vez proporcionada la información necesaria asociada con las opciones seleccionadas, puede hacer clic en Validar y continuar para continuar con el paso final del asistente. Complete los pasos finales de Implementación de pods de Horizon Cloud en Microsoft Azure desde la página Capacidad.