En las implementaciones de Horizon Cloud Service on Microsoft Azure first-gen, el servicio utiliza llamadas de API para implementar el pod en una suscripción de Microsoft Azure, así como para administrar ese pod y las granjas y los escritorios VDI aprovisionados por este. Para proporcionar la capacidad de que Horizon Cloud first-gen utilice llamadas de API en la suscripción del pod, hay que crear un registro de la aplicación.

Importante: Esta información se aplica únicamente cuando tenga acceso a un entorno de arrendatario de first-gen en el plano de control de first-gen. Como se describe en el artículo 92424 de la base de conocimientos, el plano de control de first-gen ha llegado a la fecha de fin de disponibilidad (EOA). Consulte el artículo para obtener información.

Breve introducción

En la implementación inicial del pod, el implementador del pod llama a las API de la suscripción de Microsoft Azure escogida para usarla con el pod. Estas llamadas de API realizan acciones en la suscripción del pod para crear elementos como la máquina virtual de administrador de pods, las NIC de máquina virtual, los grupos de seguridad de red (NSG) en esas NIC... en definitiva, todos los recursos que un pod de Horizon Cloud requiere.

Luego, tras la implementación del pod, Horizon Cloud debe seguir teniendo la capacidad de llamar a las API en la suscripción del pod. Después de la implementación del pod, el servicio utiliza llamadas de API para crear las máquinas virtuales de imagen base de las imágenes maestras, para ejecutar sysprep en esas imágenes maestras, para crear hosts de granja y máquinas virtuales de escritorio VDI, para agregar y editar las configuraciones de puerta de enlace del pod y para mantener y actualizar el pod.

Crear el registro de la aplicación antes de ejecutar el implementador de pods

Debido a que el implementador del pod necesita llamar a las API durante el proceso de implementación del pod para crear sus recursos correspondientes mediante programación dentro de la suscripción del pod, el registro de la aplicación y la clave secreta de cliente deben existir antes de iniciar el asistente de implementación. Al crear el registro de la aplicación, se crea automáticamente un objeto de entidad de servicio en la suscripción del pod.

La clave secreta del cliente se debe generar en Azure Portal, y se debe asignar una función al registro de la aplicación de Horizon Cloud que funcione en el nivel de la suscripción del pod.

Si desea utilizar la función en la que la configuración externa de Unified Access Gateway se implementa en su propia suscripción (independiente de la suscripción del pod), Horizon Cloud también debe tener la capacidad de llamar a las API de esa suscripción en el momento en que se ejecute el asistente para la implementación de esa puerta de enlace externa. En este caso, se necesita un registro de la aplicación y una clave secreta de cliente en esa suscripción, aparte de las de la suscripción del pod.

Acerca de la asignación de una función al registro de la aplicación

El registro de la aplicación de Horizon Cloud debe tener una función asignada en la suscripción del pod. Por lo general, la función Contributor integrada es la que Horizon Cloud utiliza con la suscripción del pod. El motivo por el que se utiliza la función Contributor es que cubre todas las llamadas de API que Horizon Cloud probablemente deba realizar dentro de la suscripción del pod.

La asignación de la función debe ser una asignación directa. El uso de una asignación de una función basada en grupos (en la que la función está asignada a un grupo y el registro de la aplicación es miembro de ese grupo) no se admite actualmente.

Si su organización prefiere evitar el uso de la función Contributor en la suscripción del pod, Horizon Cloud también admite el uso de una función personalizada. Si se recurre a esta opción, la función personalizada debe hacer posibles las llamadas de API específicas que Horizon Cloud necesita realizar. Para obtener más información, consulte la sección Funciones personalizadas cerca del final de esta página.

Registrar proveedores de recursos

En la suscripción del pod, todos los proveedores de recursos siguientes deben tener el estado Registered. Es posible que vea que algunos de los proveedores de recursos de esta lista ya tienen el estado Registered, mientras que otros no. Esto se debe al comportamiento estándar de Microsoft Azure, donde suele haber un conjunto de proveedores de recursos ya registrados para todas las suscripciones de Azure.

Conviene asegurarse de que estos proveedores de recursos de la lista tienen el estado Registered antes de ejecutar el asistente de implementación de pods. En el paso final de este asistente, se validará si estos proveedores de recursos tienen el estado Registered y se impedirá el inicio de la implementación del pod si alguno de ellos no está registrado.

  • Microsoft.Compute
  • microsoft.insights
  • Microsoft.Network
  • Microsoft.Storage
  • Microsoft.KeyVault
  • Microsoft.Authorization
  • Microsoft.Resources
  • Microsoft.ResourceHealth
  • Microsoft.ResourceGraph
  • Microsoft.Security
  • Microsoft.DBforPostgreSQL
  • Microsoft.Sql
  • Microsoft.MarketplaceOrdering

La siguiente captura de pantalla es una ilustración que muestra el estado Registrado y el estado no registrado en Azure Portal.


Pantalla Proveedores de recursos con una flecha verde que señala un proveedor que no está registrado.

Para verificar los proveedores de recursos en la suscripción del pod:

  1. Inicie sesión en Azure Portal y busque la suscripción donde tenga previsto implementar el pod.
  2. Haga clic en el nombre de la suscripción y desplácese hacia abajo hasta que vea la opción de menú Opción de menú Proveedores de recursos del menú Configuración de suscripción (Proveedores de recursos).
  3. Busque los proveedores de recursos en la lista anterior y confirme que cada uno de ellos muestra el estado Icono de estado Registrado en Azure Portal de un proveedor de recursos (Registrado).

    Si ve algún proveedor de recursos de la lista anterior como NotRegistered, utilice el portal para registrarlo.

Crear el registro de la aplicación de Horizon Cloud

Siga estos pasos usando el portal de Microsoft Azure adecuado para su cuenta registrada. Por ejemplo, hay varios endpoints de portal específicos para estas nubes de Microsoft Azure.

  • Microsoft Azure Commercial (regiones globales estándares)
  • Microsoft Azure China
  • Microsoft Azure, gobierno de EE. UU.

Si va a utilizar la función Horizon Cloud en la que la puerta de enlace externa utiliza su propia suscripción, independiente de la del pod, deberá repetir los pasos de registro de la aplicación en esa suscripción.

Para completar todos los pasos siguientes en Azure Portal, el usuario con el que se inicie sesión en el portal debe tener permisos suficientes para crear un registro de la aplicación y asignar una función a ese registro de la aplicación en la suscripción en la que planea implementar el pod. Si no es el propietario o el administrador de esa suscripción, pregunte a alguno de ellos si su usuario tiene los permisos necesarios para crear un registro de aplicación y asignarle una función.

  1. Inicie sesión en Microsoft Azure Portal con unas credenciales que permitan registrar aplicaciones.
  2. En la barra de búsqueda del portal, busque App registrations y haga clic en Registros de aplicaciones cuando aparezca en la lista de resultados.
    Captura de pantalla que refleja la búsqueda de las palabras "Registros de aplicaciones" en Azure Portal y su aparición en los resultados

    El portal abre la página Registros de aplicaciones.

  3. En la página Registros de aplicaciones, haga clic en Nuevo registro.
    Captura de pantalla de la ubicación de la acción Nuevo registro en la página Registros de aplicaciones de Azure Portal
  4. Escriba un nombre para mostrar que le recuerde que el uso de este registro corresponde a Horizon Cloud.
  5. Seleccione Solo las cuentas de este directorio organizativo.
  6. Deje la sección URI de redireccionamiento opcional en su estado predeterminado y vacío.
  7. Haga clic en el botón Registrar para terminar de crear el registro de la aplicación.

    El registro de la aplicación recién creado se muestra en la pantalla.

  8. Copie el ID de la aplicación y el ID del directorio y guárdelos en una ubicación desde la que pueda recuperarlos cuando ejecute el asistente de implementación. En la siguiente captura de pantalla se muestra el registro de una aplicación con el nombre Hzn-Cloud-Principal y una flecha verde que apunta al lugar donde aparecen el ID de la aplicación y el ID de directorio.
    Pantalla de detalles de la entidad de servicio con una flecha que apunta al ID de la aplicación.

  9. A continuación, cree la clave secreta del cliente del registro de la aplicación:
    1. En la captura de pantalla anterior, compruebe dónde aparece Elemento de menú Certificados y secretos en Microsoft Azure Portal. En Azure Portal, en la página del registro de la aplicación recién creado, haga clic en Certificados y secretos).
    2. Haga clic en Nuevo secreto de cliente.
    3. Como se ilustra en la siguiente captura de pantalla, se abre la pantalla Agregar un secreto de cliente en el portal. Escriba una descripción, seleccione la duración de la caducidad y haga clic en Guardar. La descripción de la clave debe tener 16 caracteres como máximo, por ejemplo Hzn-Cloud-Key1.
      Pantalla de claves que muestra una nueva clave que se agrega con una duración que no caduca nunca.

      Importante: Mantenga esta pantalla abierta hasta que copie el valor de la clave secreta y pegue el valor en una ubicación desde la que pueda recuperarlo más tarde.

      Clave de autenticación mostrada en la pantalla Secretos de cliente con el valor pixelado.

    4. Copie el valor secreto a una ubicación desde la que pueda recuperarlo cuando ejecute el asistente de implementación. El asistente tiene un campo en el que puede pegar este valor.
  10. Agregue una asignación de función al registro de la aplicación de Horizon Cloud. Asigne la función en el nivel de suscripción:
    1. Para acceder a la pantalla de configuración de la suscripción, haga clic en Todos los servicios en la barra de navegación principal de Microsoft Azure Portal, haga clic en Suscripciones y, a continuación, haga clic en el nombre de la suscripción donde tenga previsto que el implementador implemente el pod.
      Nota: Llegado este punto, anote el ID de la suscripción que aparece en pantalla, y que necesitará posteriormente en el asistente de implementación.

      Detalles de la suscripción en el portal de Azure con los ID pixelados y una flecha verde que señala el ID.

    2. Haga clic en el elemento de menú Control de acceso (IAM) (Control de acceso (IAM)) y, a continuación, haga clic en Agregar > Agregar asignación de funciones para abrir la pantalla Agregar asignación de funciones.
    3. En la pantalla Agregar asignación de funciones, en Función, seleccione la función Contributor.

      Si su organización ha indicado que prefiere usar una función personalizada para Horizon Cloud, seleccione la función personalizada que la organización haya definido a tal fin.

    4. En la lista desplegable Asignar acceso a, seleccione Usuario, grupo o aplicación de Azure AD.
    5. Utilice el cuadro Seleccionar para buscar el nombre del registro de la aplicación de Horizon Cloud. En la siguiente captura de pantalla se ilustra este paso.
      Captura de la pantalla Agregar permisos del portal de Azure con el rol Propietario seleccionado y en busca de la entidad de servicio.

    6. Haga clic en el nombre que dio al registro de la aplicación de Horizon Cloud creada para convertirla en un miembro seleccionado y, a continuación, haga clic en Guardar.
      Entidad de servicio agregada como miembro seleccionado del rol Propietario en la pantalla Agregar permisos.

Resumen

Hasta ahora, ha creado y configurado registro de la aplicación de Horizon Cloud, ha confirmado el estado de registro de los proveedores de recursos que Horizon Cloud requiere y conoce los valores relacionados con la suscripción que necesita introducir en el primer paso del asistente de implementación de pods. Los cuatro valores relacionados con la suscripción son los siguientes:

  • ID de suscripción
  • ID de Azure Active Directory
  • ID de aplicación
  • Valor de clave de aplicación
Nota: Horizon Cloud no puede detectar o conocer la duración de caducidad establecida para la clave secreta de cliente de registro de la aplicación. Para asegurarse de que Horizon Cloud pueda seguir usando este registro de la aplicación para realizar las llamadas de API necesarias para administrar el pod y sus recursos, no olvide actualizar la clave antes de que llegue su fecha de caducidad y, a continuación, introducir la nueva clave en su entorno de Horizon Cloud. Actualmente, la duración máxima de caducidad que se puede establecer mediante Microsoft Azure Portal es de dos (2) años. Si la clave caduca al final de dos años y no se ha actualizado ni se ha introducido nueva información de clave en el entorno de Horizon Cloud para usarla con el pod, el pod asociado con la clave caducada dejará de funcionar. Si prefiere crear una clave secreta con una duración superior a los dos años que permite la interfaz de usuario del portal de Microsoft Azure, Microsoft Azure actualmente proporciona esa capacidad mediante PowerShell, la CLI de Azure o la API de Graph.

Funciones personalizadas y el registro de la aplicación de Horizon Cloud

Si en la organización prefieren evitar el uso de la función Contributor en la suscripción del pod, pueden crear una función personalizada en su lugar y asignarla al registro de la aplicación de Horizon Cloud. Esta función personalizada debe configurarse para permitir las llamadas de API que Horizon Cloud requiere. Si en la organización prefieren evitar el uso de la función Contributor en la suscripción del pod, consulte la información en Arrendatarios de first-gen: cuando la organización prefiere utilizar una función personalizada para el registro de la aplicación de Horizon Cloud first-gen.