Arrendatarios de first-gen: especificar la configuración de puerta de enlace del pod de Horizon Cloud

En este paso del asistente, especifique la información necesaria para implementar el pod basado en el administrador de pods con una o varias puertas de enlace configuradas. Unified Access Gateway proporciona el entorno de puerta de enlace para este tipo de pod.

Importante: Esta información se aplica únicamente cuando tenga acceso a un entorno de arrendatario de first-gen en el plano de control de first-gen. Como se describe en el artículo 92424 de la base de conocimientos, el plano de control de first-gen ha llegado a la fecha de fin de disponibilidad (EOA). Consulte el artículo para obtener información.

Configuración de puerta de enlace externa: La configuración de puerta de enlace externa permite brindar acceso a escritorios y aplicaciones para los usuarios finales ubicados fuera de la red corporativa. Cuando el pod tiene esta configuración de puerta de enlace externa, incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. En este caso, cada instancia tiene tres NIC: una NIC en la subred de administración, una NIC en la subred de escritorio y una NIC en la subred DMZ. En el asistente de implementación, tiene la opción de especificar el tipo de equilibrio de carga como privado o público, en función de si desea una dirección IP privada o pública para el equilibrador de carga. Si desactiva esta opción de IP pública en el asistente, el asistente muestra un campo en el que se debe especificar una dirección IP. En ese tipo de configuración, las conexiones PCoIP a la puerta de enlace desde Horizon Client utilizarán esta dirección IP.
Para una configuración de puerta de enlace externa, también tiene la opción de implementar la configuración en una VNet que sea independiente de la VNet del pod. Las redes virtuales deben estar emparejadas. Este tipo de configuración ofrece la capacidad de implementar el pod en topologías de red más complejas en Microsoft Azure, como una topología de red radial.

Nota: Si habilitó la opción para que la puerta de enlace externa use su propia suscripción en el primer paso del asistente, debe implementar la puerta de enlace externa en su propia red virtual, la red virtual que está asociada con esa suscripción. Si habilitó esa opción, opcionalmente puede seleccionar un grupo de recursos existente en esa suscripción para los recursos de la puerta de enlace externa. Debe haber preparado previamente ese grupo de recursos para que pueda seleccionarlo en este paso del asistente.
Configuración de puerta de enlace interna: La configuración de puerta de enlace interna permite que los usuarios finales ubicados dentro de la red corporativa puedan establecer conexiones de HTML Access (Blast) de confianza a sus aplicaciones y escritorios. Si el pod no está configurado con una configuración interna de puerta de enlace, los usuarios finales dentro de la red corporativa verán el error de certificado que no es de confianza del navegador estándar cuando utilicen sus navegadores para establecer conexiones de HTML Access (Blast) a sus escritorios y aplicaciones. Cuando el pod tiene esta configuración de puerta de enlace interna, el pod incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. En este caso, cada instancia tiene dos NIC: una NIC en la subred de administración y una NIC en la subred de escritorio. De forma predeterminada, el tipo de equilibrio de carga de esta puerta de enlace es privado.

La siguiente captura de pantalla es un ejemplo del paso, tal como se muestra inicialmente. Algunos controles solo se muestran cuando se seleccionó en el primer paso del asistente la opción para usar una suscripción diferente para la configuración de puerta de enlace externa.

Horizon Cloud on Microsoft Azure: paso 3 del asistente de implementación de pods cuando se muestra inicialmente.

Requisitos previos

Compruebe que cumpla los requisitos descritos en Arrendatarios de first-gen: requisitos previos para ejecutar el asistente de implementación de pods de first-gen.

Seleccione el modelo de máquina virtual que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado. Si prevé que el entorno se ampliará a 2000 sesiones por pod, seleccione F8s_v2. Como se indica en Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure, el modelo de máquina virtual de A4_v2 solo es suficiente para pruebas de concepto (PoC), pruebas piloto o entornos más pequeños en los que se sabe que no se superarán las 1000 sesiones activas en el pod.

Importante: Elija el modelo de máquina virtual según sus propias necesidades. En la versión de servicio actual, el modelo de máquina virtual utilizado por las instancias implementadas no se puede cambiar fácilmente después de implementar la configuración de la puerta de enlace. Cambiar el modelo de máquina virtual después de la implementación implica eliminar la configuración de la puerta de enlace y volver a implementarla.

Importante: Para completar este paso, debe tener el nombre de dominio completo (FQDN) requerido que los usuarios finales utilizarán para acceder al servicio y tener un certificado SSL firmado (en formato PEM) basado en ese FQDN. El certificado debe estar firmado por una entidad de certificación de confianza. Un único archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada. Para obtener más información, consulte Arrendatarios de first-gen: convertir un archivo de certificado al formato PEM requerido para las implementaciones de pods de first-gen Horizon Cloud.

Compruebe que todos los certificados de la cadena de certificados tengan intervalos de tiempo válidos. Si ningún certificado de la cadena ha caducado. Se pueden producir errores inesperados más adelante en el proceso de incorporación de pods.

Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.

Cuando se selecciona una configuración de puerta de enlace externa, Horizon Cloud espera que el FQDN especificado para la configuración de la puerta de enlace externa se pueda resolver públicamente. Si desactiva la opción ¿Habilitar IP pública? en el asistente para especificar una dirección IP de la configuración de NAT o firewall, el usuario es responsable de garantizar que este FQDN esté asignado a esa dirección IP en la configuración de firewall o NAT. Este FQDN se utiliza para las conexiones PCoIP a la puerta de enlace.

Además, cuando el entorno de arrendatario está configurado para usar Universal Broker, el servicio debe poder conectarse a este FQDN desde el plano de control de la nube para validar que las opciones de autenticación en dos fases configuradas en la configuración de la puerta de enlace externa coincidan con las configuradas para Universal Broker y con las configuraciones de todas las demás instancias de Unified Access Gateway dentro del grupo de pods conectados a la nube.

Si el arrendatario está configurado con Universal Broker que tiene configurada la autenticación en dos fases, debe configurar un Unified Access Gateway externo con opciones de autenticación en dos fases.

Procedimiento

Si desea la configuración externa de puerta de enlace, complete los campos en la sección Puerta de enlace externa.

Opción	Descripción
¿Habilitar puerta de enlace externa?	Controla si el pod tiene una configuración de puerta de enlace externa. La configuración externa de puerta de enlace proporciona acceso a escritorios y aplicaciones para los usuarios ubicados fuera de la red corporativa. El pod incluye un recurso de equilibrador de carga de Microsoft Azure e instancias de Unified Access Gateway para proporcionar este acceso. Nota: Se recomienda dejar la opción predeterminada habilitada. Cuando esta opción está desactivada, los clientes deben conectarse a través del Workspace ONE Access con su dispositivo de conector integrado directamente con el administrador de pods, o conectarse directamente al equilibrador de carga del administrador de pods, o bien conectarse a través de una configuración de puerta de enlace interna. En los dos primeros escenarios mencionados, de clientes que se conectan a través de Workspace ONE Access integrado con el pod o que se conectan directamente al equilibrador de carga, se requerirán algunos pasos posteriores a la implementación. En esos escenarios, después de implementar el pod, cargue certificados SSL en las máquinas virtuales del administrador de pods siguiendo los pasos descritos en Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods.
FQDN	Introduzca el nombre de dominio completo (FQDN) necesario, como `ourOrg.example.com`, que el implementador de pods especificará en la configuración de las instancias de Unified Access Gateway de la puerta de enlace. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN. Horizon Cloud espera que este FQDN especificado para la configuración de la puerta de enlace externa se pueda resolver públicamente. Si desactiva la opción ¿Habilitar IP pública? para especificar una dirección IP de la configuración de NAT o firewall, el usuario es responsable de garantizar que este FQDN esté asignado a esa dirección IP en la configuración de firewall o NAT. Este FQDN se utiliza para las conexiones PCoIP a la puerta de enlace. Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.
Direcciones de DNS	Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separadas por comas. Al establecer esta configuración de Unified Access Gateway externa para utilizar la autenticación en dos fases con un servidor de autenticación en dos fases que se encuentra fuera de la topología de la VNet en la que se implementan las instancias de Unified Access Gateway, se especifica la dirección de un servidor DNS que puede resolver el nombre de host del servidor de autenticación. Por ejemplo, cuando la autenticación en dos fases está establecida localmente, introduzca un servidor DNS que pueda resolver el nombre del servidor de autenticación. Como se describe en los requisitos previos de implementación de Requisitos previos para todas las implementaciones, la topología de VNet utilizada para la implementación de Horizon Cloud on Microsoft Azure debe poder comunicarse con el servidor DNS deseado, proporcionando la resolución de nombres externos durante la implementación de las instancias de Unified Access Gateway y para sus operaciones en curso. De forma predeterminada, se utiliza el servidor DNS que está configurado en la VNet en la que se implementan las instancias. Cuando se especifican direcciones en Direcciones DNS, las instancias de Unified Access Gateway implementadas utilizan dichas direcciones además de la información del servidor DNS en la configuración de la VNet.
Rutas	Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como para la comunicación con servidores de autenticación en dos fases. Al configurar este pod para utilizar la autenticación en dos fases con un servidor de autenticación en dos fases local, debe introducir la ruta correcta que las instancias de Unified Access Gateway pueden usar para acceder al servidor. Por ejemplo, si el servidor de autenticación local utiliza 10.10.60.20 como dirección IP, escriba 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para esta implementación de Horizon Cloud on Microsoft Azure. Especifique las rutas personalizadas como una lista separada por comas en el formulario `ipv4-network-address/bits ipv4-gateway-address`, por ejemplo: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Heredar servidores NTP del pod	Esta opción está habilitada de forma predeterminada para que las instancias de Unified Access Gateway utilicen el mismo servidor NTP que se especifica para las instancias del administrador de pods. Se recomienda encarecidamente mantener esta opción habilitada. Se recomienda utilizar el mismo servidor NTP para las instancias del administrador de pods, las instancias de Unified Access Gateway y los servidores de Active Directory. Pueden producirse sesgos horarios cuando estas instancias utilizan servidores NTP diferentes. Estos sesgos horarios posteriormente pueden provocar errores cuando la puerta de enlace intenta autenticar las sesiones de usuario final en sus escritorios y aplicaciones. Cuando esta opción está habilitada y se implementa la puerta de enlace externa en su propia red virtual independiente de la red virtual del pod, asegúrese de que se pueda acceder a los servidores NTP especificados para las instancias del administrador de pods desde la red virtual seleccionada para la implementación de la puerta de enlace externa.
Modelo de máquina virtual	Seleccione un modelo que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado. Importante: En la versión de servicio actual, el modelo de máquina virtual utilizado por estas instancias no se puede cambiar fácilmente después de implementar la configuración de la puerta de enlace. Cambiar el modelo de máquina virtual después de la implementación requiere eliminar la configuración de la puerta de enlace y volver a implementarla. Si prevé que el entorno se ampliará a 2000 sesiones por pod, seleccione `F8s_v2`. Como se indica en Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure, el modelo de máquina virtual de `A4_v2` solo es suficiente para pruebas de concepto (PoC), pruebas piloto o entornos más pequeños en los que se sabe que no se superarán las 1000 sesiones activas en el pod.
Certificado	Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.
Puerto TCP de Blast Extreme	Seleccione el puerto TCP que se utilizará en el ajuste de Blast Extreme dentro de la configuración de Unified Access Gateway. El ajuste se relaciona con Blast Extreme a través de la puerta de enlace segura de Blast en Unified Access Gateway para el tráfico de datos enviado por el cliente. Es preferible el puerto 8443 porque es más eficaz, proporciona un mejor rendimiento y utiliza menos recursos en las instancias de Unified Access Gateway. Por estos motivos, el asistente tiene 8443 como valor predeterminado. La otra opción, 443, es menos eficaz, de menor rendimiento y provoca congestión de CPU en las instancias, lo cual puede provocar retrasos de tráfico observables en los clientes de los usuarios finales. La opción 443 debe utilizarse solo si una organización ha establecido restricciones del lado del cliente, como por ejemplo, si una organización solo permite 443 de salida. Nota: El puerto UDP utilizado para Blast Extreme no se ve afectado por esta configuración y siempre es UDP 8443.
Conjuntos de claves de cifrado	Si bien en casi todos los casos no es necesario cambiar la configuración predeterminada, Unified Access Gateway ofrece esta función para especificar de manera opcional los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y los dispositivos de Unified Access Gateway. Se debe seleccionar al menos un conjunto de claves de cifrado de la lista que aparece en pantalla. La lista que aparece en pantalla muestra los conjuntos de claves de cifrado admitidos para la implementación de Horizon Cloud on Microsoft Azure.

Especifique la configuración del equilibrador de carga de Microsoft de esta puerta de enlace.

Opción	Descripción
¿Desea habilitar la dirección IP pública?	Controla si el tipo de equilibrio de carga de esta puerta de enlace está configurado como privado o público. Si está activado, el recurso de equilibrador de carga de Microsoft Azure implementado se configura con una dirección IP pública. Si está desactivado, el recurso de equilibrador de carga de Microsoft Azure se configura con una dirección IP privada. Importante: En esta versión, no puede cambiar más adelante el tipo de equilibrio de carga de la puerta de enlace externa de público a privado o de privado a público. La única forma de hacer ese cambio sería eliminar completamente la configuración de puerta de enlace del pod implementado y, a continuación, editar el pod y volver a agregarlo con la configuración opuesta. Si desactiva esta opción, se mostrará el campo IP pública el FQDN de Horizon.
IP pública para el FQDN de Horizon	Cuando haya elegido no configurar el equilibrador de carga de Microsoft Azure implementado con una IP pública, debe proporcionar la dirección IP a la que va a asignar el FQDN que especificó en el campo FQDN. Las instancias de Horizon Client de los usuarios finales utilizarán este FQDN para las conexiones PCoIP con la puerta de enlace. El implementador configurará esta dirección IP en las opciones de configuración de Unified Access Gateway.

Opción

Descripción

¿Desea habilitar la dirección IP pública?

Controla si el tipo de equilibrio de carga de esta puerta de enlace está configurado como privado o público. Si está activado, el recurso de equilibrador de carga de Microsoft Azure implementado se configura con una dirección IP pública. Si está desactivado, el recurso de equilibrador de carga de Microsoft Azure se configura con una dirección IP privada.

Importante: En esta versión, no puede cambiar más adelante el tipo de equilibrio de carga de la puerta de enlace externa de público a privado o de privado a público. La única forma de hacer ese cambio sería eliminar completamente la configuración de puerta de enlace del pod implementado y, a continuación, editar el pod y volver a agregarlo con la configuración opuesta.

Si desactiva esta opción, se mostrará el campo IP pública el FQDN de Horizon.

IP pública para el FQDN de Horizon

Cuando haya elegido no configurar el equilibrador de carga de Microsoft Azure implementado con una IP pública, debe proporcionar la dirección IP a la que va a asignar el FQDN que especificó en el campo FQDN. Las instancias de Horizon Client de los usuarios finales utilizarán este FQDN para las conexiones PCoIP con la puerta de enlace. El implementador configurará esta dirección IP en las opciones de configuración de Unified Access Gateway.

Especifique la configuración de red de la puerta de enlace externa.

Opción	Descripción
Utilizar una red virtual diferente	Esta opción controla si la puerta de enlace externa se implementará en su propia VNet, independiente de la VNet del pod. Las siguientes filas describen los diferentes casos. Nota: Cuando especificó utilizar una suscripción diferente para la puerta de enlace externa en el primer paso del asistente, esta opción está habilitada de forma predeterminada. Debe elegir una VNet para la puerta de enlace en ese caso. Cuando esta opción está activada y la opción Heredar servidores NTP del pod está activada, asegúrese de que se pueda acceder a los servidores NTP especificados para las instancias del administrador de pods desde la red virtual seleccionada para la implementación de la puerta de enlace externa.
Usar una red virtual diferente: desactivado	Cuando esta opción está desactivada, la puerta de enlace externa se implementará en la VNet del pod. En este caso, debe especificar la subred DMZ. Subred DMZ: cuando Utilizar subred existente se habilita en el paso del asistente de configuración del pod, en Subred DMZ, se muestran las subredes disponibles en la VNet seleccionada para la Red virtual. Seleccione la subred existente que desea utilizar para la subred de DMZ del pod. Importante: Seleccione una subred vacía que no tenga otros recursos conectados a ella. Si la subred no está vacía, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod. Subred DMZ (CIDR): cuando Utilizar subred existente se desactiva en el paso anterior del asistente, introduzca la subred (en notación CIDR) para la red DMZ (zona desmilitarizada) que se configurará a fin de conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.
Usar una red virtual diferente: habilitado	Cuando esta opción está habilitada, la puerta de enlace externa se implementará en su propia VNet. En este caso, debe seleccionar la VNet que se va a utilizar y, a continuación, especificar las tres subredes necesarias. Habilite la opción Usar la subred existente para seleccionar las subredes que haya creado previamente en la VNet especificada. De lo contrario, especifique las subredes en notación CIDR. Importante: Seleccione subredes vacías que no tengan otros recursos conectados a ellas. Si las subredes no están vacías, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod. En este caso, la VNet de la puerta de enlace y la VNet del pod están emparejadas. La práctica recomendada es que las subredes se creen por adelantado y no usen aquí las entradas de CIDR. Consulte Requisitos previos cuando se implementa con una configuración de Unified Access Gateway externa que utiliza su propia VNet o una suscripción independiente de la de la VNet o suscripción del pod. Subred de administración: especifique la subred que se utilizará para la subred de administración de la puerta de enlace. Se requiere un CIDR de al menos /27. Esta subred debe tener el servicio Microsoft.SQL configurado como un endpoint de servicio. Subred de back-end: especifique la subred que se utilizará para la subred de back-end de la puerta de enlace. Se requiere un CIDR de al menos /27. Subred de front-end: especifique la subred de la subred de front-end que se configurará para conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.

Opción

Descripción

Utilizar una red virtual diferente

Esta opción controla si la puerta de enlace externa se implementará en su propia VNet, independiente de la VNet del pod.

Las siguientes filas describen los diferentes casos.

Nota: Cuando especificó utilizar una suscripción diferente para la puerta de enlace externa en el primer paso del asistente, esta opción está habilitada de forma predeterminada. Debe elegir una VNet para la puerta de enlace en ese caso.

Cuando esta opción está activada y la opción Heredar servidores NTP del pod está activada, asegúrese de que se pueda acceder a los servidores NTP especificados para las instancias del administrador de pods desde la red virtual seleccionada para la implementación de la puerta de enlace externa.

Usar una red virtual diferente: desactivado

Cuando esta opción está desactivada, la puerta de enlace externa se implementará en la VNet del pod. En este caso, debe especificar la subred DMZ.

Subred DMZ: cuando Utilizar subred existente se habilita en el paso del asistente de configuración del pod, en Subred DMZ, se muestran las subredes disponibles en la VNet seleccionada para la Red virtual. Seleccione la subred existente que desea utilizar para la subred de DMZ del pod.
Importante: Seleccione una subred vacía que no tenga otros recursos conectados a ella. Si la subred no está vacía, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod.
Subred DMZ (CIDR): cuando Utilizar subred existente se desactiva en el paso anterior del asistente, introduzca la subred (en notación CIDR) para la red DMZ (zona desmilitarizada) que se configurará a fin de conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.

Usar una red virtual diferente: habilitado

Cuando esta opción está habilitada, la puerta de enlace externa se implementará en su propia VNet. En este caso, debe seleccionar la VNet que se va a utilizar y, a continuación, especificar las tres subredes necesarias. Habilite la opción Usar la subred existente para seleccionar las subredes que haya creado previamente en la VNet especificada. De lo contrario, especifique las subredes en notación CIDR.

Importante: Seleccione subredes vacías que no tengan otros recursos conectados a ellas. Si las subredes no están vacías, es posible que se produzcan resultados inesperados durante el proceso de implementación o las operaciones del pod.

En este caso, la VNet de la puerta de enlace y la VNet del pod están emparejadas. La práctica recomendada es que las subredes se creen por adelantado y no usen aquí las entradas de CIDR. Consulte Requisitos previos cuando se implementa con una configuración de Unified Access Gateway externa que utiliza su propia VNet o una suscripción independiente de la de la VNet o suscripción del pod.

Subred de administración: especifique la subred que se utilizará para la subred de administración de la puerta de enlace. Se requiere un CIDR de al menos /27. Esta subred debe tener el servicio Microsoft.SQL configurado como un endpoint de servicio.
Subred de back-end: especifique la subred que se utilizará para la subred de back-end de la puerta de enlace. Se requiere un CIDR de al menos /27.
Subred de front-end: especifique la subred de la subred de front-end que se configurará para conectar las instancias de Unified Access Gateway al equilibrador de carga público de Microsoft Azure de la puerta de enlace.

(opcional) En la sección Puerta de enlace externa, configure, opcionalmente, la autenticación en dos fases para la puerta de enlace externa.
Complete los pasos que se describen en Arrendatarios de first-gen: especificar la funcionalidad Autenticación en dos fases para el pod.
(opcional) En la sección Implementación, utilice la opción para seleccionar un grupo de recursos existente en el que desea que el implementador despliegue los recursos para la configuración de puerta de enlace externa.
Esta opción se muestra cuando se ha especificado que se utilice una suscripción diferente para la puerta de enlace externa en el primer paso del asistente. Al habilitar la opción, aparece un campo en el que puede buscar y seleccionar el grupo de recursos.

En la sección Puerta de enlace interna, si desea la configuración de la puerta de enlace interna, habilite la opción ¿Desea habilitar la puerta de enlace interna? y complete los campos que aparecen.

Opción	Descripción
¿Desea habilitar la puerta de enlace interna?	Controla si el pod tiene una configuración de puerta de enlace interna. La configuración interna proporciona acceso de confianza a escritorios y aplicaciones para las conexiones de HTML Access (Blast) a los usuarios que se encuentran dentro de la red corporativa. El pod incluye un recurso de equilibrador de carga de Azure e instancias de Unified Access Gateway para proporcionar este acceso. De forma predeterminada, el tipo de equilibrio de carga de esta puerta de enlace es privado. El equilibrador de carga se configura con una dirección IP privada.
FQDN	Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como `ourOrg.example.com`, que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN. Importante: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado.
Direcciones de DNS	Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separadas por comas. Al establecer esta configuración de Unified Access Gateway interna para utilizar la autenticación en dos fases con un servidor de autenticación en dos fases que se encuentra fuera de la topología de la VNet en la que se implementan las instancias de Unified Access Gateway, se especifica la dirección de un servidor DNS que puede resolver el nombre de host del servidor de autenticación. Por ejemplo, cuando la autenticación en dos fases está establecida localmente, introduzca un servidor DNS que pueda resolver el nombre del servidor de autenticación. Como se describe en los requisitos previos de implementación de Requisitos previos para todas las implementaciones, la topología de VNet utilizada para la implementación de Horizon Cloud on Microsoft Azure debe poder comunicarse con el servidor DNS deseado, proporcionando la resolución de nombres externos durante la implementación de las instancias de Unified Access Gateway y para sus operaciones en curso. De forma predeterminada, se utiliza el servidor DNS que está configurado en la VNet en la que se implementan las instancias. Cuando se especifican direcciones en Direcciones DNS, las instancias de Unified Access Gateway implementadas utilizan dichas direcciones además de la información del servidor DNS en la configuración de la VNet.
Rutas	Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como para la comunicación con servidores de autenticación en dos fases. Al configurar este pod para utilizar la autenticación en dos fases con un servidor de autenticación en dos fases local, debe introducir la ruta correcta que las instancias de Unified Access Gateway pueden usar para acceder al servidor. Por ejemplo, si el servidor de autenticación local utiliza 10.10.60.20 como dirección IP, escriba 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno. Especifique las rutas personalizadas como una lista separada por comas en el formulario `ipv4-network-address/bits ipv4-gateway-address`, por ejemplo: `192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2`.
Heredar servidores NTP del pod	Esta opción está habilitada de forma predeterminada para que las instancias de Unified Access Gateway utilicen el mismo servidor NTP que se especifica para las instancias del administrador de pods. Se recomienda encarecidamente mantener esta opción habilitada. Se recomienda utilizar el mismo servidor NTP para las instancias del administrador de pods, las instancias de Unified Access Gateway y los servidores de Active Directory. Pueden producirse sesgos horarios cuando estas instancias utilizan servidores NTP diferentes. Estos sesgos horarios posteriormente pueden provocar errores cuando la puerta de enlace intenta autenticar las sesiones de usuario final en sus escritorios y aplicaciones.
Modelo de máquina virtual	Seleccione un modelo que se utilizará para las instancias de Unified Access Gateway. Debe asegurarse de que la suscripción de Microsoft Azure especificada para este pod pueda proporcionar la capacidad para dos máquinas virtuales del modelo seleccionado. Importante: En la versión de servicio actual, el modelo de máquina virtual utilizado por estas instancias no se puede cambiar fácilmente después de implementar la configuración de la puerta de enlace. Cambiar el modelo de máquina virtual después de la implementación requiere eliminar la configuración de la puerta de enlace y volver a implementarla. Si prevé que el entorno se ampliará a 2000 sesiones por pod, seleccione `F8s_v2`. Como se indica en Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure, el modelo de máquina virtual de `A4_v2` solo es suficiente para pruebas de concepto (PoC), pruebas piloto o entornos más pequeños en los que se sabe que no se superarán las 1000 sesiones activas en el pod.
Certificado	Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.
Puerto TCP de Blast Extreme	Seleccione el puerto TCP que se utilizará en el ajuste de Blast Extreme dentro de la configuración de Unified Access Gateway. El ajuste se relaciona con Blast Extreme a través de la puerta de enlace segura de Blast en Unified Access Gateway para el tráfico de datos enviado por el cliente. Es preferible el puerto 8443 porque es más eficaz, proporciona un mejor rendimiento y utiliza menos recursos en las instancias de Unified Access Gateway. Por estos motivos, el asistente tiene 8443 como valor predeterminado. La otra opción, 443, es menos eficaz, de menor rendimiento y provoca congestión de CPU en las instancias, lo cual puede provocar retrasos de tráfico observables en los clientes de los usuarios finales. La opción 443 debe utilizarse solo si una organización ha establecido restricciones del lado del cliente, como por ejemplo, si una organización solo permite 443 de salida. Nota: El puerto UDP utilizado para Blast Extreme no se ve afectado por esta configuración y siempre es UDP 8443.
Conjuntos de claves de cifrado	Si bien en casi todos los casos la configuración predeterminada es suficiente, Unified Access Gateway ofrece esta función para especificar los algoritmos criptográficos que se utilizan para cifrar las comunicaciones entre los clientes y los dispositivos de Unified Access Gateway. Se debe seleccionar al menos un conjunto de claves de cifrado de la lista que aparece en pantalla. La lista que aparece en pantalla muestra los conjuntos de claves de cifrado admitidos para la implementación de Horizon Cloud on Microsoft Azure.

(opcional) En la sección Puerta de enlace interna, configure, opcionalmente, la autenticación en dos fases para el Unified Access Gateway interno.
Complete los pasos que se describen en Arrendatarios de first-gen: especificar la funcionalidad Autenticación en dos fases para el pod.

(opcional) En la sección Etiquetas de recursos de Azure, opcionalmente, agregue etiquetas personalizadas a los grupos de recursos que contengan todas las instancias de Unified Access Gateway internas y externas que haya configurado para el pod.

Opción Descripción

Opción	Descripción
Heredar etiquetas del pod	Active esta opción para agregar las etiquetas de recursos del pod a los grupos de recursos que contengan todas las instancias de Unified Access Gateway que haya configurado. Cada grupo de recursos recibe las etiquetas de recursos que ha definido en el paso del asistente de configuración del pod. Desactive esta opción para definir nuevas etiquetas de recursos para las instancias de Unified Access Gateway.
Etiquetas de recursos de Azure	Este ajuste se muestra cuando se desactiva la opción Heredar etiquetas del pod. Utilice esta opción para agregar nuevas etiquetas de recursos a los grupos de recursos que contengan las instancias de Unified Access Gateway que haya configurado. Para crear la primera etiqueta, introduzca la información en los campos Nombre y Valor. Para crear una etiqueta adicional, haga clic en + y, a continuación, introduzca la información en los campos Nombre y Valor que aparecen debajo de las ya existentes. Puede crear un máximo de 10 etiquetas. El nombre de la etiqueta está limitado a 512 caracteres y el valor de la etiqueta está limitado a 256 caracteres. Para las cuentas de almacenamiento, el nombre de la etiqueta está limitado a 128 caracteres y el valor de la etiqueta está limitado a 256 caracteres. Los nombres de etiqueta no pueden contener los siguientes caracteres: `< > % & \ ? /` Los nombres de etiqueta no pueden contener estas cadenas que no distinguen entre mayúsculas y minúsculas: `azure`, `windows`, `microsoft` Los nombres de las etiquetas y los valores de las etiquetas solo pueden contener caracteres ASCII. No se permiten espacios en blanco ni caracteres fuera del conjunto estándar ASCII de 128 caracteres (también conocidos como caracteres ASCII altos o extendidos).

Heredar etiquetas del pod

Active esta opción para agregar las etiquetas de recursos del pod a los grupos de recursos que contengan todas las instancias de Unified Access Gateway que haya configurado. Cada grupo de recursos recibe las etiquetas de recursos que ha definido en el paso del asistente de configuración del pod.

Desactive esta opción para definir nuevas etiquetas de recursos para las instancias de Unified Access Gateway.

Etiquetas de recursos de Azure

Este ajuste se muestra cuando se desactiva la opción Heredar etiquetas del pod. Utilice esta opción para agregar nuevas etiquetas de recursos a los grupos de recursos que contengan las instancias de Unified Access Gateway que haya configurado.

Para crear la primera etiqueta, introduzca la información en los campos Nombre y Valor. Para crear una etiqueta adicional, haga clic en + y, a continuación, introduzca la información en los campos Nombre y Valor que aparecen debajo de las ya existentes.

Puede crear un máximo de 10 etiquetas.
El nombre de la etiqueta está limitado a 512 caracteres y el valor de la etiqueta está limitado a 256 caracteres. Para las cuentas de almacenamiento, el nombre de la etiqueta está limitado a 128 caracteres y el valor de la etiqueta está limitado a 256 caracteres.
Los nombres de etiqueta no pueden contener los siguientes caracteres: < > % & \ ? /
Los nombres de etiqueta no pueden contener estas cadenas que no distinguen entre mayúsculas y minúsculas: azure, windows, microsoft
Los nombres de las etiquetas y los valores de las etiquetas solo pueden contener caracteres ASCII. No se permiten espacios en blanco ni caracteres fuera del conjunto estándar ASCII de 128 caracteres (también conocidos como caracteres ASCII altos o extendidos).

Resultados

Una vez proporcionada la información necesaria asociada con las opciones seleccionadas, puede hacer clic en Validar y continuar para continuar con el paso final del asistente. Complete los pasos finales de Arrendatarios de first-gen: pods de Horizon Cloud en Microsoft Azure: uso de la página Capacidad de Horizon Universal Consolefirst-gen para agregar más pods al grupo de pods.