A continuación se muestra una lista de nivel general de los pasos necesarios al llegar al primer pod conectado a la nube mediante la ejecución del implementador de pods para implementar un pod de Horizon Cloud en la capacidad de Microsoft Azure. Después de que el primer pod conectado a la nube se haya implementado por completo y el usuario haya completado los pasos para registrar Horizon Cloud con el dominio de Active Directory previsto del pod, se pueden utilizar todas las funciones proporcionadas por Horizon Cloud, especialmente para aprovisionar escritorios VDI, escritorios basados en sesiones RDSH o aplicaciones remotas basadas en RDSH a los usuarios finales desde ese pod. Cuando la cuenta de cliente está configurada para usar funciones de App Volumes con los pods en Microsoft Azure, también se pueden aprovisionar aplicaciones desde dichas funciones de App Volumes y autorizarlas a los usuarios finales.

Lleve a cabo los siguientes pasos cuando implemente su primer pod conectado a la nube y esté utilizando el asistente de implementación de pods para implementarlo en Microsoft Azure.

  1. Complete los requisitos previos. Consulte Lista de comprobación de requisitos de VMware Horizon Cloud Service on Microsoft Azure para nuevas implementaciones de pod: se actualiza según corresponda para los pods que se implementan a partir de la versión de servicio de octubre de 2020.
  2. Realice las tareas de preparación fuera de Horizon Cloud. Consulte Preparar la implementación de un pod de Horizon Cloud en Microsoft Azure.
  3. Compruebe que cumple con los requisitos de DNS, puertos y protocolos para la implementación del pod. Consulte Requisitos de DNS para un pod de Horizon Cloud en Microsoft Azure y Requisitos de puertos y protocolos para un pod de Horizon Cloud en el manifiesto de la versión de septiembre de 2019 o posterior.
  4. Implemente el pod. Consulte Implementar un pod de Horizon Cloud en Microsoft Azure.
  5. Registre su dominio de Active Directory en el pod implementado, lo que incluye proporcionar el nombre de una cuenta de unión al dominio. Consulte Registrar el primer dominio de Active Directory en el entorno de Horizon Cloud en la Guía de administración.
  6. Asigne la función de superadministrador de Horizon Cloud a un grupo de Active Directory que incluya esa cuenta de unión al dominio como miembro.
    Importante: Debe asegurarse de que la cuenta de unión al dominio que introdujo cuando registró el dominio esté también en uno de los grupos de Active Directory a los que asigna la función de superadministrador de Horizon Cloud. Las operaciones de unión al dominio del sistema con el pod dependen de la cuenta de unión al dominio que tienen la función de superadministrador de Horizon Cloud. Consulte Asignar funciones administrativas a los grupos de Active Directory.
  7. Seleccione el tipo de brokering que desea que utilicen los pods del tenant en el brokering de los recursos aprovisionados por el pod para los usuarios finales. Consulte el tema de Introducción al Universal Broker de Horizon y el brokering de pod único y los temas y subtemas relacionados en la Guía de administración.
    Atención: Se recomienda completar este paso de selección de brokering antes de implementar pods adicionales en Microsoft Azure.
  8. En relación con el paso anterior, si selecciona la configuración del agente de pod único en ese paso anterior y tiene pensado utilizar Workspace ONE Access con el pod o tiene pensado que Horizon Clients se conecte directamente al pod (no a través de una configuración de puerta de enlace del pod), siga estos pasos:
    • En el servidor DNS, asigne un nombre de dominio completo (FQDN) a la dirección IP del equilibrador de carga de Microsoft Azure del administrador de pods
    • Obtenga un certificado SSL basado en ese FQDN asignado.

    Se cargará un certificado SSL en el pod basado en el FQDN que se haya asignado a la dirección IP del equilibrador de carga de Microsoft Azure del administrador de pods en su DNS, de modo que las conexiones que vayan a las máquinas virtuales del administrador de pods establecerán conexiones de confianza. Estas conexiones incluyen Horizon Clients, para los usuarios a los que se otorga el FQDN asignado, y la instancia de Workspace ONE Access Connector que se utiliza al integrar Workspace ONE Access con el pod en una configuración de agente de pod único. Workspace ONE Access Connector debe conectarse al pod mediante un FQDN que esté asignado a la dirección IP del equilibrador de carga de Microsoft Azure del administrador de pods.

    Atención: Cuando el entorno se configura para brokering de pod único y se integra Workspace ONE Access con el pod, debe cargar un certificado SSL en el pod y configurar Workspace ONE Access Connector para que señale al pod, no a las configuraciones de Unified Gateway Access del pod.

    Sin embargo, tenga en cuenta que, cuando se carga un certificado SSL basado en el FQDN asignado por DNS, si se intenta conectar directamente con ese FQDN en un navegador (no está configurando correctamente Workspace ONE Access), el uso de FQDN puro aparecerá como conexiones que no son de confianza en el navegador. La razón es que la carga de ese FQDN en un navegador es una conexión que utiliza HTML Access (Blaster) y que este es el comportamiento de HTML Access (Blaster). Como resultado, cuando se carga el FQDN en un navegador, muestra el error típico de certificado que no es de confianza.

    Al no tener Workspace ONE Access en este tipo de configuración, para que las conexiones que utilizan HTML Access (Blaster) —básicamente con un navegador— eviten mostrar el error de certificado que no es de confianza, debe colocar una configuración de puerta de enlace en el pod y hacer que las conexiones utilicen el equilibrador de carga y las instancias de Unified Access Gateway de la configuración de esa puerta de enlace. Si no desea que su FQDN se exponga en Internet, puede implementar una configuración interna de Unified Access Gateway. La configuración interna de Unified Access Gateway utiliza un equilibrador de carga interno de Microsoft Azure en el cual pueden realizar sus conexiones los usuarios finales que son internos de la red corporativa.

  9. Si espera que se dé uno de los casos prácticos descritos en el paso anterior (o los dos), cargue un certificado SSL para el pod directamente desde su correspondiente página de resumen en la consola administrativa.Consulte Configurar certificados SSL en las máquinas virtuales del administrador de pods de Horizon Cloud.
    Sugerencia: Si el único caso práctico de acceso que desea admitir es que las conexiones vayan a las instancias de Unified Access Gateway del pod a través del equilibrador de carga conectado a las instancias, cargar el certificado SSL directamente en el pod resulta superfluo. Sin embargo, se recomienda realizar tanto el paso inmediatamente anterior como este, porque así se garantiza que, si en algún momento proporciona el FQDN a los usuarios para que accedan a sus instancias de Horizon Clients, estos clientes tendrán conexiones de confianza. Al realizar estos dos pasos, también tiene la posibilidad de integrar más rápidamente en un futuro el pod en un entorno de agente de pod único con Workspace ONE Access, porque el FQDN ya queda asignado y el certificado SSL colocado en el pod.
  10. Importe una imagen base. En la página Máquinas virtuales importadas, utilice la acción Restablecer el emparejamiento del agente para emparejar la nueva imagen con Horizon Cloud. Consulte Crear imágenes de escritorio para un pod de Horizon Cloud en Microsoft Azure.
    Nota: Vista previa técnica: el uso del sistema operativo Microsoft Windows 10 Enterprise multisesión con App Volumes está actualmente en la vista previa técnica. Para importar una imagen base para este caso práctico, siga estos pasos, alternativamente: Vista previa técnica: cómo configurar una máquina virtual de Windows 10 multisesión para su uso con funciones de App Volumes en esta versión de Horizon Cloud.
  11. Según el tipo de asignación de usuario final para la cual se utilizará finalmente la imagen, realice uno o varios de los siguientes pasos, según corresponda.
    • En una máquina virtual de imagen que se utilizará para aprovisionar escritorios VDI o aplicaciones nativas, instale las aplicaciones de terceros que desee que los usuarios finales puedan usar en sus escritorios VDI y configure otras personalizaciones aplicables, como la configuración de papel tapiz del escritorio, la instalación de los controladores de GPU NVIDIA (para imágenes con GPU habilitado), etc. También debe optimizar la imagen para las prácticas recomendadas de Microsoft Sysprep, si no se realizó como parte del proceso de importación de imagen. Consulte Personalizar el sistema operativo Windows de la máquina virtual de imágenes y sus subtemas, e Instalación de controladores de gráficos NVIDIA en una imagen con GPU habilitada en la Guía de administración.
      Sugerencia: Para realizar un ajuste adicional de la máquina virtual de imagen a fin de proporcionar una configuración mejorada para usar VMware Blast Extreme en casos prácticos de VDI, se recomienda leer la Guía de optimización de VMware Blast Extreme y realizar un ajuste adicional de las opciones de códec en la imagen de acuerdo con las recomendaciones de la guía para las opciones de códec.
    • En una imagen compatible con RDS que se utilizará para aprovisionar aplicaciones remotas y escritorios de sesión basados en RDSH, instale las aplicaciones de terceros que desee proporcionar a los usuarios finales desde esta imagen RDS y configure otras personalizaciones aplicables, como la configuración del fondo de escritorio, la instalación de los controladores de GPU NVIDIA (para imágenes con GPU habilitado), etc. También debe optimizar la imagen para las prácticas recomendadas de Microsoft Sysprep, si no se realizó como parte del proceso de importación de imagen. Si la máquina virtual importada ejecuta uno de los sistemas Microsoft Windows 10 Enterprise multisesión que incluye Office 365 ProPlus de forma predeterminada, debe comprobar que la máquina virtual esté configurada para la activación de equipos compartidos para Office 365 ProPlus, como se describe en el tema de la documentación de Microsoft Introducción a la activación en equipos compartidos para Office 365 ProPlus. Si Office 365 ProPlus no está configurado para la activación de equipos compartidos en la máquina virtual importada, utilice el método que se describe en el documento de Microsoft que sea apropiado para su situación. Consulte Personalizar el sistema operativo Windows de la máquina virtual de imágenes y sus subtemas, e Instalación de controladores de gráficos NVIDIA en una imagen con GPU habilitada en la Guía de administración.
      Sugerencia: Para realizar un ajuste adicional de la máquina virtual de imagen a fin de proporcionar una configuración mejorada para usar VMware Blast Extreme en casos prácticos de VDI, se recomienda leer la Guía de optimización de VMware Blast Extreme y realizar un ajuste adicional de las opciones de códec en la imagen de acuerdo con las recomendaciones de la guía para las opciones de códec.
  12. Convierta esa imagen en una imagen asignable, también conocida como sellado o publicación de la imagen. Consulte Convertir una máquina virtual principal configurada en una imagen asignable en la Guía de administración.
  13. Para aprovisionar aplicaciones remotas y escritorios de sesión basados en RDSH desde una imagen de servidor publicada:
    1. Cree una granja de escritorios RDSH para proporcionar escritorios de sesión y, a continuación, cree asignaciones para autorizar a los usuarios a usar dichos escritorios. Consulte Crear una granja y Crear una asignación de escritorios de sesión RDSH en la Guía de administración.
    2. Cree una granja de aplicaciones RDSH para proporcionar aplicaciones remotas, agregue las aplicaciones al inventario de aplicaciones y, a continuación, cree asignaciones para autorizar a los usuarios finales a utilizar esas aplicaciones remotas. Consulte Crear una granja, Importar nuevas aplicaciones remotas desde una granja RDSH y Crear una asignación de aplicación remota en la Guía de administración.
  14. Para aprovisionar escritorios VDI desde una imagen de escritorio VDI publicada, cree una asignación de escritorios VDI dedicado o flotante. Consulte Acerca de las asignaciones de escritorios para los pods del entorno de Horizon Cloud en Microsoft Azure y los subtemas relacionados con VDI en la Guía de administración.
  15. Para aprovisionar aplicaciones App Volumes a los usuarios finales, agregue las aplicaciones App Volumes al inventario de aplicaciones y cree una asignación de aplicaciones para autorizar a los usuarios finales a utilizar dichas aplicaciones. A continuación, cree una asignación de escritorios basada en la misma imagen publicada para autorizar a los usuarios finales a utilizar los escritorios en los que puedan iniciar dichas aplicaciones. Consulte Aplicaciones App Volumes: información general y requisitos previos en la Guía de administración.
  16. Cuando se implementa un pod con una configuración de puerta de enlace, debe crear un registro CNAME en el servidor DNS que asigne el FQDN que haya introducido en el asistente de implementación al recurso de equilibrador de carga de Microsoft Azure correspondiente que está configurado en el pod para esa puerta de enlace.
    • Para una puerta de enlace externa habilitada con una dirección IP pública, asigne el FQDN que introdujo en el asistente de implementación al FQDN público generado automáticamente que corresponde al recurso de equilibrador de carga de Microsoft Azure de la puerta de enlace. El registro de su servidor DNS asignará ese FQDN público generado automáticamente del equilibrador de carga de Microsoft Azure al FQDN que utilizarán los usuarios finales, y que se utilizará en el certificado cargado. La siguiente línea de código muestra un ejemplo. Una vez registrado el dominio de Active Directory, el ID que se va a utilizar se muestra en la página de detalles del pod (en la consola). Si la puerta de enlace externa se implementó en su propia VNet, utilice el ID que se muestra en el campo ID de implementación.
      ourApps.ourOrg.example.com   vwm-hcs-ID-uag.región.cloudapp.azure.com
    • Para una puerta de enlace interna o una puerta de enlace externa sin una dirección IP pública, asigne el FQDN que introdujo en el asistente de implementación a la dirección IP privada que corresponde al recurso del equilibrador de carga de Microsoft Azure de la puerta de enlace. El registro de su servidor DNS asignará esa dirección IP del equilibrador de carga de Microsoft Azure al FQDN que utilizarán los usuarios finales, y que se utilizará en el certificado cargado. La siguiente línea de código muestra un ejemplo.
      ourApps.ourOrg.example.com   Azure-load-balancer-private-IP

    Cuando el pod ya esté incorporado y pueda acceder a la página Capacidad de la consola administrativa, vaya hasta ella y obtenga el valor de vmw-hcs-ID-uag.region.cloudapp.azure.com necesario para asignar el FQDN en el DNS.

    Para obtener más información sobre cómo localizar el FQDN del equilibrador de carga de Microsoft Azure en la consola, consulte Obtener la información del equilibrador de carga de puerta de enlace del pod para asignarlo en el servidor DNS en la Guía de administración.

  17. Cuando se implementa un pod de modo que tenga una autenticación en dos fases RADIUS para las puertas de enlace del pod, debe completar las siguientes tareas:
    • Si configuró una puerta de enlace externa con la configuración de RADIUS y no se puede acceder a ese servidor RADIUS en la misma VNet que utiliza el pod, o dentro de la topología de VNet emparejada si implementó la puerta de enlace externa en su propia VNet, compruebe y configure que el servidor RADIUS permita las conexiones de cliente desde la dirección IP del equilibrador de carga de la puerta de enlace externa. En una configuración de puerta de enlace externa, las instancias de Unified Access Gateway intentan ponerse en contacto con el servidor RADIUS mediante la dirección del equilibrador de carga. Para permitir estas conexiones, asegúrese de que la dirección IP del recurso del equilibrador de carga que se encuentra en el grupo de recursos de la puerta de enlace externa esté especificada como un cliente en la configuración del servidor RADIUS.
    • Si configuró una puerta de enlace interna, o una puerta de enlace externa, y se puede acceder al servidor RADIUS en la misma VNet que utiliza el pod, configure el servidor RADIUS para permitir las conexiones desde las NIC correspondientes que se crearon en el grupo de recursos de la puerta de enlace en Microsoft Azure y que deben comunicarse con el servidor RADIUS. El administrador de red determina la visibilidad de red del servidor RADIUS en las subredes y la red virtual de Azure del pod. El servidor RADIUS debe permitir conexiones de cliente desde las direcciones IP de las NIC de puerta de enlace que correspondan a la subred para la cual el administrador de red haya otorgado visibilidad de red en el servidor RADIUS. El grupo de recursos de la puerta de enlace en Microsoft Azure tiene cuatro NIC que corresponden a esa subred: dos que están activas actualmente para las dos instancias de Unified Access Gateway, y dos que están inactivas y se convertirán en las instancias activas después de que se actualice el pod. Si desea permitir la conectividad entre la puerta de enlace y el servidor RADIUS para las operaciones del pod en curso y después de cada actualización del pod, asegúrese de que las direcciones IP de esas cuatro NIC estén especificadas como clientes en la configuración del servidor RADIUS.

    Para obtener información sobre cómo obtener esas direcciones IP, consulte Actualizar el sistema RADIUS con la información requerida de puerta de enlace del pod de Horizon Cloud.

Después de que se hayan completado los pasos de flujo de trabajo anteriores, los usuarios finales pueden utilizar Horizon Client o Horizon HTML Access (el cliente web) para iniciar sus escritorios y aplicaciones remotas autorizados:

  • En un entorno configurado con Universal Broker, utilizando el FQDN de brokering de Universal Broker en el cliente.
  • En un entorno de configurado con brokering de pod único, utilizando el FQDN en su cliente, el que se asignó en el paso 16.

Puede encontrar información detallada sobre cómo realizar cada paso del flujo de trabajo en los temas que están vinculados desde cada paso anterior o en la guía adjunta. Consulte el tema Administración de su entorno de tenant de Horizon Cloud y el conjunto de pods incorporados y sus subtemas.