Introducción a VMware Horizon Cloud Service on Microsoft Azure

Transcripción

1 Introducción a VMware Horizon Cloud Service on Microsoft Azure Para el nivel de servicio que comienza el 29 de mayo de 2018 VMware Horizon Cloud Service VMware Horizon Cloud Service on Microsoft Azure 1.6

2 Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en: Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Paseo de la Castellana 141. Planta Madrid. Tel.: Fax: Copyright 2017, 2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada. VMware, Inc. 2

3 Contenido Acerca de este documento de introducción 5 1 Introducción a un entorno de VMware Horizon Cloud Service on Microsoft Azure 7 2 Flujo de trabajo sugerido para el primer nodo de Horizon Cloud en Microsoft Azure 12 3 Preparar la implementación de un nodo de Horizon Cloud en Microsoft Azure 16 Requisitos de máquinas virtuales de Microsoft Azure 18 Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure 22 Configurar la red virtual obligatoria en Microsoft Azure 23 Configurar el servidor DNS de la red virtual 26 Configuraciones de dominio de Active Directory 27 Requisitos de DNS, puertos y protocolos de Horizon Cloud 27 Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones 37 Información relacionada con la suscripción para el Asistente de implementación 46 Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo 47 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure 51 Inicio del asistente de implementación de nodos 54 Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo 56 Especificación de la información de configuración del nodo 60 Activación de la capacidad para acceder a escritorios desde Internet 63 Especificación de la funcionalidad Autenticación en dos fases para el nuevo nodo 66 Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo 69 5 Ahora que el nodo inicial de Horizon Cloud está completamente implementado 74 6 Solución de problemas de implementación del nodo o de enlace de dominio inicial 75 Crear un par de claves SSH 77 Crear un par de claves SSH en un sistema Microsoft Windows 77 Crear un par de claves SSH en un sistema Linux 82 Crear la máquina virtual de prueba en la suscripción a Microsoft Azure 83 Utilizar SSH para conectarse a la máquina virtual de prueba 89 Conexión de SSH con la máquina virtual de prueba desde un sistema Microsoft Windows 89 VMware, Inc. 3

4 Conexión de SSH con la máquina virtual de prueba desde un sistema Linux 92 Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure 93 Eliminar la máquina virtual de prueba después de completar las pruebas 97 VMware, Inc. 4

5 Acerca de este documento de introducción Este documento de introducción a VMware Horizon Cloud Service on Microsoft Azure describe el proceso de implementación de los componentes de software necesarios en el entorno de Microsoft Azure. Conecte su suscripción para utilizar Microsoft Azure con VMware Horizon Cloud Service para administrar y enviar escritorios VDI y aplicaciones remotas y servidores virtuales de Windows con RDS habilitados. Antes de iniciar todos los pasos descritos en este documento, consulte también la lista de comprobación de requisitos de VMware Horizon Cloud Service on Microsoft Azure. Ese documento está disponible en formato PDF y describe diversos elementos de requisitos previos necesarios para que la primera implementación se realice correctamente. Para obtener información acerca de cómo utilizar el entorno después de finalizar todas las tareas detalladas en esta guía, consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure, empezando por el tema Introducción a Horizon Cloud y los nodos de Horizon Cloud en dicha guía. Historial de revisión del documento Este documento, Introducción a VMware Horizon Cloud Service on Microsoft Azure, se actualiza con cada versión del producto o cuando sea necesario. En esta tabla se incluye el historial de actualizaciones. Revisión Descripción 18 de agosto de 2018 Se agregó un tema nuevo: Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure. Se agregaron los tamaños de disco del sistema operativo para las máquinas virtuales del nodo al tema Requisitos de máquinas virtuales de Microsoft Azure. 29 de mayo de 2018 Versión inicial, cuando las funciones descritas se implementaron activas en producción. Manifiesto de nodo de VMware Horizon Cloud Service on Microsoft Azure versión 730 y posteriores. Audiencia prevista La información de este documento está destinada a administradores de centros de datos con experiencia y que tengan conocimientos de Microsoft Azure, tecnología de virtualización y redes. VMware, Inc. 5

6 Acerca de las capturas de pantalla que se utilizan en este documento Normalmente, las capturas de pantalla: Mostrarán solo la parte de la pantalla de interfaz de usuario que se corresponda con el texto del punto en el que aparezca la captura de pantalla, y no necesariamente la interfaz de usuario completa. Tendrán áreas borrosas para mantener el anonimato de los datos donde sea conveniente. NOTA: Algunas capturas de pantalla se toman con una resolución más alta que otras y es posible que aparezcan granuladas cuando el PDF se visualice al 100%. Sin embargo, si amplía el zoom al 200%, las imágenes se verán claras y serán legibles. Comunidad de Horizon Cloud Utilice la comunidad de VMware Horizon Cloud en Microsoft Azure para preguntar dudas, explorar las respuestas dadas a las preguntas frecuentes de otros usuarios y acceder a vínculos de información útil. La comunidad se encuentra en Contactar con el servicio de soporte de VMware Póngase en contacto con el servicio de soporte de VMware si necesita ayuda con el entorno de Horizon Cloud. Puede enviar una solicitud de soporte al servicio de soporte de VMware en línea con su cuenta My VMware o por teléfono. El artículo KB Customer Support Guidelines proporciona detalles para obtener soporte según el problema encontrado. En la consola administrativa, al hacer clic en el artículo KB > Asistencia, se muestra también el vínculo a ese Glosario de publicaciones técnicas de VMware El departamento de Publicaciones técnicas de VMware ofrece un glosario de términos que quizás desconozca. Para conocer la definición de los términos que se utilizan en la documentación técnica de VMware, visite la página VMware, Inc. 6

7 Introducción a un entorno de VMware Horizon Cloud Service on Microsoft Azure 1 Un entorno de VMware Horizon Cloud Service on Microsoft Azure combina la simplicidad de la administración del plano de control de Horizon Cloud con los aspectos económicos de Microsoft Azure. Conecte la suscripción de Microsoft Azure a Horizon Cloud para administrar y enviar escritorios Microsoft Windows 10 VDI, aplicaciones remotas y servidores virtuales Windows con RDS habilitado para escritorios basados en sesiones. Si se configura el entorno, el software necesario de VMware se implementa en su capacidad de Microsoft Azure. El software de VMware implementado crea una entidad configurada correctamente, el nodo de Horizon Cloud, que se empareja con el plano de control. Una vez que el nodo esté implementado, utilice el plano de control para aprovisionar los escritorios VDI y los servidores con RDS habilitado, así como para autorizar a sus usuarios finales a acceder a los escritorios y las aplicaciones remotas. Arquitectura de VMware Horizon Cloud Service on Microsoft Azure Horizon Cloud es un plano de control que VMware aloja en la nube. Este servicio en la nube permite la administración y la coordinación centralizada de aplicaciones y escritorios remotos en su capacidad de Microsoft Azure. VMware se encarga de alojar el servicio y proporcionar actualizaciones y mejoras de la experiencia de software como servicio. El plano de control de la nube también aloja una interfaz de usuario de administración común denominada consola administrativa de Horizon Cloud o, de forma abreviada, consola administrativa. La consola administrativa se ejecuta en los exploradores estándar. Proporciona a los administradores de TI una única ubicación para las tareas de administración relacionadas con las asignaciones de usuarios y los escritorios virtuales, las sesiones de escritorio remoto y las aplicaciones. Es posible acceder a la consola de administración desde cualquier lugar y en cualquier momento, con la máxima flexibilidad. IMPORTANTE: La consola administrativa refleja lo que está disponible en el nivel de servicio actual. Sin embargo, cuando tiene nodos que aún no están actualizados en el nivel actual en el mercado, la consola administrativa no muestra las características que dependen del nivel del software de nodo más reciente. Además, en una versión en particular, Horizon Cloud puede incluir funciones con licencia por separado. La consola administrativa refleja los elementos relacionados con esas funciones cuando la licencia incluye el uso de estas. VMware, Inc. 7

8 Implementación de nodos en Microsoft Azure Un nodo de Horizon Cloud o, abreviado, nodo, tiene su ubicación física regional en una nube de Microsoft Azure. En el asistente de implementación del nodo, seleccione dónde quiere colocar el nodo según las regiones disponibles para su suscripción de Microsoft Azure. Seleccione también una red virtual existente que utilizará el nodo en la región seleccionada. NOTA: Aunque se preconfigure su entorno de Microsoft Azure con esa vnet, las subredes no se crean por adelantado. El implementador de nodo crea las subredes dado que implementa el software del nodo en su entorno. Es necesario que sepa qué espacios de dirección IP desea utilizar para las subredes del nodo antes de iniciar el Asistente de implementación. Puede implementar más de un nodo y administrarlos desde la consola de administración de Horizon Cloud. Los nodos que implemente después del primero pueden reutilizar la misma vnet que el primer nodo o utilizar vnets diferentes. Además, cada nodo puede estar en una región distinta de Microsoft Azure, usando una vnet en esa región. IMPORTANTE: Un nodo no es un tenant. Un nodo no cumple con el mismo conjunto de características que un tenant define y que se esperaría de un tenant. Por ejemplo, aunque un tenant tenga una asignación uno a uno a un dominio de Active Directory y este aislado de otros tenants, todos los nodos de Horizon Cloud en Microsoft Azure que se implementen mediante el mismo registro de cuenta de cliente de Horizon Cloud necesitar poder comunicarse con los mismos servidores de Active Directory, y la configuración de DNS debe resolver todos esos dominios de Active Directory. Para generar multi-tenancy, debería configurar varios registros de cuentas de cliente de Horizon Cloud. El registro de cuenta del cliente de Horizon Cloud, que se crea cuando se registra con VMware para utilizar el servicio de Horizon Cloud y se asocia con sus credenciales de My VMware, se asemeja más a un tenant. Un registro de cuenta del cliente de Horizon Cloud está aislado de otros registros de cuentas de cliente de Horizon Cloud. Se asigna un solo registro de cuenta del cliente a varios nodos, y cuando alguien utiliza alguna de las credenciales de cuenta asociadas con ese registro de cuenta del cliente para iniciar sesión en la consola administrativa, la consola refleja todos los nodos que están asignados a ese registro de cuenta del cliente. El proceso de implementación del nodo crea automáticamente un conjunto de grupos de recursos en su capacidad de Microsoft Azure. Los grupos de recursos se usan para organizar los activos que necesita y crea el entorno, como: Subredes virtuales Máquinas virtuales para la instancia del administrador de nodos Máquinas virtuales para las instancias del equilibrador de carga y de Unified Access Gateway Máquinas virtuales para las imágenes del servidor principal con RDS habilitado Máquinas virtuales para las imágenes de escritorio de VDI principales VMware, Inc. 8

9 Máquinas virtuales para las imágenes asignables (publicadas) realizadas a partir de las imágenes principales Máquinas virtuales para las granjas RDSH que proporcionan las aplicaciones remotas y los escritorios RDSH Máquinas virtuales para los escritorios VDI Activos adicionales que las máquinas virtuales y el entorno requieren para operaciones compatibles, como interfaces de red, direcciones IP, discos y diversos elementos a lo largo de esas líneas. A todos los grupos de recursos creados por Horizon Cloud en su entorno de Microsoft Azure se les da un nombre que comienza por el prefijo vmw-hcs. En el siguiente diagrama, RG significa el grupo de recursos. Figura 1 1. Ilustración de la arquitectura de nodo de Horizon Cloud Usuario Internet Horizon Cloud Panel de control de Administrador vmw-hcs-<node-uuid> -base-vms vmw-hcs-<node-uuid>-uag Equilibrador de carga de Microsoft Azure IP pública vmw-hcs- <node-uuid> vmw-hcs- <node-uuid> -jumpbox Máquina virtual base publicada Imagen NIC/IP NIC/IP Máquina virtual: Unified Access Gateway 1 NIC/IP NIC/IP NIC/IP Máquina virtual: Unified Access Gateway 2 NIC/IP Máquina virtual: nodo Administrador de NIC/IP NIC/IP Pública/IP Máquina virtual: Jumpbox (temporal) NIC/IP Grupo de recursos proporcionados por los clientes Red DMZ Red de tenant Red de administración Red virtual con 3 subredes RG: vmw-hcs-<node-guid>-pool-1001 RG: vmw-hcs-<node-guid>-pool-100n Puerta de enlace VPN (opcional) Puerta de enlace VPN 2 con túnel de IPsec Puerta de enlace VPN (opcional) Conectada a red externa VMware, Inc. 9

10 Terminología y referencias de Microsoft Azure La documentación del producto VMware Horizon Cloud Service on Microsoft Azure utiliza la terminología de Microsoft Azure aplicable según corresponda en las descripciones y los pasos para las tareas de los flujos de trabajo de VMware Horizon Cloud Service on Microsoft Azure. Si no está familiarizado con la terminología de Microsoft Azure, puede usar las siguientes referencias aplicables en la documentación del producto de Microsoft Azure para obtener más información. NOTA: El uso de mayúsculas y minúsculas, como la ortografía en las citas a continuación siguen el mismo uso de mayúsculas y minúsculas, y la misma ortografía que se encuentran en los artículos vinculados en la documentación de Microsoft Azure en sí. Referencias útiles de Microsoft Azure Glosario de Microsoft Azure: un diccionario de terminología de nube en la plataforma de Azure Descripción Utilice este glosario para conocer el significado de los términos que se utilizan en el contexto de nube de Microsoft Azure, para términos como equilibrador de carga, región, grupo de recursos, suscripción, máquina virtual y la red virtual (vnet). NOTA: El glosario de Microsoft Azure no incluye el término "entidad de servicio" debido a que la entidad de servicio es un recurso que se crea automáticamente en Microsoft Azure cuando se crea un registro de aplicación en Microsoft Azure. La razón por la que se crea un registro de aplicación en su suscripción de Microsoft Azure es que es la forma en que se autoriza a Horizon Cloud como aplicación a utilizar la capacidad de Microsoft Azure. El registro de aplicación y su entidad de servicio complementaria habilitan el servicio de nube de Horizon Cloud que actúa como una aplicación para acceder a los recursos en su suscripción de Microsoft Azure. Utilice la siguiente referencia a continuación para obtener información sobre las aplicaciones y las entidades de servicio que pueden acceder a recursos de Microsoft Azure. Utilizar el portal para crear una aplicación de Azure Active Directory y la entidad de servicio que puede acceder a recursos Resumen del administrador de recursos de Azure VNet de Azure Emparejamiento de VNet de Azure Descripción general de la ruta exprés de Microsoft Azure Acerca de la puerta de enlace de VPN Planificación y diseño de la puerta de enlace de VPN Creación de una conexión de sitio a sitio en el portal de Azure Utilice este artículo para obtener información sobre la relación entre una aplicación y una entidad de servicio en una nube de Microsoft Azure. Utilice este artículo para obtener información sobre las relaciones entre los recursos, grupos de recursos y el administrador de recursos en Microsoft Azure. Utilice este artículo para obtener información sobre el servicio de red virtual (VNet) de Azure en Microsoft Azure. Consulte también Preguntas frecuentes sobre la red virtual de Azure. Utilice este artículo para obtener información sobre el emparejamiento de red virtual en Microsoft Azure. Utilice este artículo para obtener información acerca de la ruta exprés de Microsoft Azure y sobre cómo puede usarlo a fin de establecer conexiones entre las redes locales, Microsoft Azure y los nodos de Horizon Cloud. Use estos artículos para obtener información sobre cómo configurar VPN en Microsoft Azure. VMware, Inc. 10

11 Recursos adicionales de VMware Los siguientes recursos proporcionan información técnica detallada sobre el servicio. Recursos técnicos de VMware adicionales Lista de comprobación de requisitos Consideraciones de redes y Active Directory en Microsoft Azure con VMware Horizon Cloud Consideraciones de seguridad sobre Horizon Cloud Service on Microsoft Azure Horizon Cloud on Microsoft Azure: escalabilidad de aplicaciones y escritorios RDS (descargar las notas del producto) Descripción Utilice esta lista de comprobación para obtener información sobre los activos que necesita y para configurarlos antes de comenzar el proceso de implementación de nodos. Utilice este artículo para obtener información sobre las diversas opciones y las prácticas recomendadas para las conexiones de red y el uso de Microsoft Active Directory con los nodos de Horizon Cloud en Microsoft Azure. Use este artículo para obtener información sobre los detalles de seguridad del entorno y los tipos de datos almacenados. Utilice este artículo para obtener información sobre los análisis de escalabilidad de los escritorios RDS y las aplicaciones remotas y la densidad de usuario óptima, así como sobre las consideraciones de costo relacionadas con la configuración de administración de energía y de implementación de granja de servidores. VMware, Inc. 11

12 Flujo de trabajo sugerido para el primer nodo de Horizon Cloud en Microsoft Azure 2 Primero debe implementar un nodo en su capacidad de Microsoft Azure y completar algunos pasos en la consola administrativa para poder empezar a aprovisionar los escritorios VDI, los escritorios basados en sesiones RDSH o las aplicaciones remotas basadas en RDSH en Horizon Cloud para que estén disponibles para los usuarios finales. 1 Cumpla los requisitos previos, tal y como se describen en el documento independiente de comprobación de los mismos. Puede abrir el documento desde este vínculo PDF o ir a él desde la página de destino de la documentación de Horizon Cloud. 2 Realice las tareas de preparación fuera de Horizon Cloud. Consulte Capítulo 3 Preparar la implementación de un nodo de Horizon Cloud en Microsoft Azure. 3 Implemente el nodo. Consulte Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. 4 Registre su dominio de Active Directory en el nodo implementado, lo que incluye proporcionar el nombre de una cuenta de unión al dominio. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 5 Asigne la función de superadministrador de Horizon Cloud a un grupo de Active Directory que incluya esa cuenta de unión al dominio como miembro. IMPORTANTE: Debe asegurarse de que la cuenta de unión al dominio que introdujo cuando registró el dominio esté también en uno de los grupos de Active Directory a los que asigna la función de superadministrador de Horizon Cloud. Las operaciones de unión al dominio del sistema dependen de la cuenta de unión al dominio que tienen la función de superadministrador de Horizon Cloud. Consulte la Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 6 Cargue los certificados SSL para el nodo directamente, mediante la página de resumen del nodo en la consola administrativa si tiene pensado tener una o ambas de las siguientes opciones: VMware Identity Manager configurado con el conector que apunta a la dirección IP de la máquina virtual del administrador de nodo. Clientes que se conectan directamente a la dirección IP de la máquina virtual del administrador de nodo. VMware, Inc. 12

13 Si las conexiones siempre utilizan el equilibrador de cargas del nodo que se dirige a las instancias de Unified Access Gateway del nodo o su VMware Identity Manager está configurado con el conector que apunta a ese equilibrador de cargas, no es necesario cargar el certificado SSL en el nodo directamente. En general, la carga de un certificado SSL en el nodo directamente es una práctica recomendada, ya garantiza que los clientes que pueden realizar conexiones directas al entorno de nodo puedan tener conexiones de confianza. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 7 Importe una imagen principal. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 8 Dependiendo de si la imagen principal es para el aprovisionamiento de escritorios VDI o para escritorios de sesión basados en RDSH y aplicaciones remotas basadas en RDSH, realice uno o varios de los pasos siguientes según corresponda: Para obtener pasos más específicos, consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. En la imagen principal para escritorios VDI, instale las aplicaciones de terceros que desee que los usuarios finales usen en sus escritorios VDI, optimice la imagen para las prácticas recomendadas de sysprep y configure otras opciones correspondientes, como el fondo de pantalla del escritorio, etc. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. En la imagen del servidor que admite RDS principal para aprovisionar aplicaciones remotas y escritorios de sesión basados en RDSH, instale las aplicaciones de terceros que desee proporcionar a los usuarios finales desde esta imagen RDS y configure otras personalizaciones aplicables, como la configuración del fondo de escritorio, la instalación de los controladores de GPU NVIDIA (para una imagen basada en NV-series), etc. NOTA: Si ha creado la imagen principal de forma manual en lugar de usar al asistente Importar imagen y desea utilizar el entorno de User Environment Manager con sus escritorios, también se debería instalar al agente de User Environment Manager. El agente se instala automáticamente cuando se crea la imagen con el asistente Importar imagen. IMPORTANTE: Como parte del proceso de configuración, la máquina virtual principal está unida al dominio. Si su organización tiene una directiva que impide el uso de cuentas de administrador local en máquinas virtuales unidas al dominio, no podrá iniciar sesión en la imagen principal para personalizarla hasta que haya configurado el grupo local Usuarios que se conectan directamente a DaaS con esas cuentas de dominio que desee utilizar para personalizar la imagen. Para obtener más información, consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 9 Convierta esa imagen principal en una imagen asignable, también conocida como sellado o publicación de la imagen. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. VMware, Inc. 13

14 10 Para aprovisionar aplicaciones remotas y escritorios de sesión basados en RDSH desde una imagen de servidor principal publicada: a Cree una granja de escritorios RDSH para proporcionar escritorios de sesión y, a continuación, cree asignaciones para autorizar a los usuarios a usar dichos escritorios. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. b Cree una granja de aplicaciones RDSH para proporcionar aplicaciones remotas, agregue las aplicaciones al inventario de aplicaciones y, a continuación, cree asignaciones para autorizar a los usuarios finales a utilizar esas aplicaciones remotas. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 11 Para aprovisionar escritorios VDI desde una imagen de escritorio VDI principal publicada, cree una asignación de escritorio VDI dedicado o flotante. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 12 Cuando se implemente un nodo para tener escritorios habilitados para Internet, debe crearse un registro CNAME en el servidor DNS que asigna el nombre de dominio completo (FQDN) que haya introducido en el Asistente de implementación al FQDN del equilibrador de cargas del nodo generado automáticamente. Cuando un nodo se implementa con la opción Escritorios habilitados para Internet establecida en Sí (predeterminado), la Unified Access Gateway implementada se configura con una dirección IP de equilibrador de cargas que tiene el FQDN público generado automáticamente con el formato vmwhcs-iddelnodo-uag.región.cloudapp.azure.com, donde IDdelnodo es el UUID del nodo y región es donde se encuentra el nodo de la región de Microsoft Azure. En el Asistente de implementación, usted proporcionó lo siguiente: El FQDN (por ejemplo, ourorg.example.com o ourapps.ourorg.example.com). Este FQDN es el que los usuarios finales utilizan para acceder a sus escritorios. Un certificado SSL que está asociado con ese FQDN y que está firmado por una entidad de certificación de confianza. Su servidor DNS debe asignar esos dos FQDN. Cuando las direcciones estén asignadas, los usuarios finales podrán introducir el FQDN de su proveedor como la dirección del servidor en Horizon Client o usarlo con HTML Access para obtener acceso a los escritorios a los que ese nodo presta servicio. ourapps.ourorg.example.com vwm-hcs-iddelnodo-uag.región.cloudapp.azure.com Para obtener más información sobre cómo encontrar el equilibrador de carga del FQDN público en la consola de administración, consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. 13 Cuando se implementa un nodo para tener la autenticación en dos fases RADIUS para sus escritorios habilitados por Internet, debe configurar su sistema RADIUS con la dirección IP pública del equilibrador de cargas de Unified Access Gateway del nodo como un cliente autorizado a realizar solicitudes de ese sistema RADIUS. Las instancias del nodo Unified Access Gateway autentican las solicitudes desde el sistema RADIUS a través de esa dirección. VMware, Inc. 14

15 Después de que se hayan completado los pasos de flujo de trabajo anteriores, los usuarios finales pueden iniciar sus aplicaciones remotas y escritorios autorizados utilizando el FQDN en Horizon Client o con HTML Access. Puede encontrar información detallada sobre cómo realizar cada paso del flujo de trabajo en los temas que están vinculados desde cada paso anterior o en la guía adjunta. Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. VMware, Inc. 15

16 Preparar la implementación de un nodo de Horizon Cloud en Microsoft Azure 3 Antes de iniciar sesión en la consola de administración de Horizon Cloud y de ejecutar el asistente de implementación de nodos por primera vez, debe realizar las siguientes tareas de preparación. 1 Cumpla los requisitos previos, tal y como se describen en el documento de la lista de comprobación de requisitos previos, sobre todo: Asegúrese de que su suscripción y su cuenta de Microsoft Azure abarquen el número y el tamaño necesarios de las máquinas virtuales para el nodo. Consulte Requisitos de máquinas virtuales de Microsoft Azure. Asegúrese de que exista una red virtual en la región en la que va a implementar el nodo y de que esa red virtual cumpla los requisitos de un nodo de Horizon Cloud. Si no tiene una red virtual, cree una que cumpla los requisitos. Consulte Configurar la red virtual obligatoria en Microsoft Azure. ADVERTENCIA: No cree las subredes de administración y tenant por adelantado en la VNet que usted cree. El proceso de implementación de nodo crea esas subredes con la información de CIDR que usted introdujo en el asistente en pantalla. Si crea las subredes con antelación, el Asistente de implementación de nodo marcará un error y bloqueará el avance en el asistente. IMPORTANTE: No todas las regiones de Microsoft Azure son compatibles con las máquinas virtuales que admiten GPU. Si desea utilizar el nodo para aplicaciones remotas o escritorios con GPU habilitado, asegúrese de que la región de Microsoft Azure que seleccione para el nodo disponga de los tipos de máquina virtual NV-series que desea utilizar y que sean compatibles con esta versión de Horizon Cloud. Consulte la documentación de Microsoft en para obtener más detalles. Asegúrese de que esa red virtual esté configurada para apuntar a un servidor de servicios de nombre de dominio (DNS) válido que está resolviendo los nombres externos. Consulte Configurar el servidor DNS de la red virtual. IMPORTANTE: El proceso de implementación de nodo requiere la resolución de nombres internos y externos. Si la VNet se dirige a un servidor DNS que no puede resolver nombres externos, se producirá un error en el proceso de implementación. VMware, Inc. 16

17 Asegúrese de tener una configuración de Active Directory que sea compatible con esta versión, que la red virtual pueda alcanzarla y que el servidor DNS pueda resolver el nombre. Consulte Configuraciones de dominio de Active Directory. 2 Cree una entidad de servicio y obtenga el ID de suscripción de Microsoft Azure, el ID de la aplicación, la clave de autenticación de la aplicación y el ID del directorio Microsoft Azure AD. Horizon Cloud utiliza estos recursos para realizar las operaciones en el entorno de Microsoft Azure. Para obtener pasos más específicos, consulte Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones. IMPORTANTE: La entidad de servicio debe tener la función Colaborador y no la función Propietario. Aunque piense que es suficiente con tener la función Propietario, como un superconjunto de los privilegios de la función Colaborador, el proceso de implementación de nodo específicamente requiere la función Colaborador. El asistente le impedirá continuar con el siguiente paso si el proveedor de servicios tiene cualquier función que no sea la función Colaborador. La razón para requerir la función Colaborador específica es para que no le asigne al nodo el nivel máximo de permisos del nodo de la suscripción. La idea es dar al nodo solo tanto acceso a su entorno de Microsoft Azure como sea necesario para las operaciones de Horizon Cloud. El control de acceso basado en funciones (RBAC) de Microsoft Azure proporciona la función Colaborador con el fin de crear y administrar recursos en su suscripción, que es el nivel de permisos que necesita Horizon Cloud. Para obtener más información, consulte Roles integrados para el control de acceso basado en roles de Azure en la documentación de Microsoft Azure. 3 Si desea tener escritorios habilitados para Internet para que los usuarios externos a su red corporativa puedan acceder a ellos, obtenga el certificado de servidor TLS/SSL para que los clientes de sus usuarios finales confíen en las conexiones a los escritorios. Este certificado debe coincidir con el FQDN que los usuarios finales usarán en sus clientes y debe estar firmado por una entidad de certificación (CA) de confianza. Para que los usuarios puedan acceder a las aplicaciones y escritorios desde Internet, se implementa Unified Access Gateway como parte del proceso de implementación de nodo. Unified Access Gateway presenta su certificado firmado por una entidad de certificación para que los clientes confíen en las conexiones. IMPORTANTE: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado. 4 Si el certificado de servidor SSL firmado que va a utilizar con la instancia de Unified Access Gateway del nodo no está en formato PEM o no es un archivo PEM único que contiene la cadena de certificados completa con la clave privada, convierta la información del certificado al formato PEM requerido. Consulte los pasos en Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo. 5 Obtenga una cuenta de My VMware y regístrese en Horizon Cloud si todavía no lo hizo. VMware, Inc. 17

18 Después de completar las tareas de preparación, inicie sesión en la consola de administración de Horizon Cloud en cloud.horizon.vmware.com con su cuenta de My VMware. Tras iniciar sesión, podrá ver el área Agregar capacidad de nube en la pantalla y hacer clic en Agregar para iniciar el asistente de implementación de nodos. Para finalizar el asistente, introduzca la información necesaria en cada pantalla. Para obtener pasos más específicos, consulte Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. NOTA: La autenticación de inicio de sesión en la consola de administración de Horizon Cloud se basa en las credenciales de cuenta de My VMware. Si el sistema de la cuenta de My VMware está experimentando una interrupción del sistema y no puede aceptar solicitudes de autenticación, no podrá iniciar sesión en la consola de administración durante dicho período de tiempo. Si tiene problemas al iniciar sesión en la primera pantalla de inicio de sesión de la consola de administración, compruebe la página de estado del sistema de Horizon Cloud en para ver el estado del sistema más reciente. En esa página, también puede suscribirse para recibir actualizaciones. Este capítulo cubre los siguientes temas: Requisitos de máquinas virtuales de Microsoft Azure Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure Configurar la red virtual obligatoria en Microsoft Azure Configurar el servidor DNS de la red virtual Configuraciones de dominio de Active Directory Requisitos de DNS, puertos y protocolos de Horizon Cloud Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones Información relacionada con la suscripción para el Asistente de implementación Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo Requisitos de máquinas virtuales de Microsoft Azure La implementación de nodos y las operaciones estándar requieren tipos y tamaños específicos de máquinas virtuales para su capacidad de nube de Microsoft Azure. Su suscripción necesita la configuración y las cuotas adecuadas para admitir estas máquinas virtuales. IMPORTANTE: El Asistente de implementación de nodo valida que el entorno de Microsoft Azure tenga suficiente cuota de núcleos para crear el nodo. Si el asistente determina que la suscripción no tiene suficiente espacio de almacenamiento, se mostrará un mensaje en pantalla y el asistente no continuará con el siguiente paso. NOTA: Las máquinas virtuales con la GPU habilitada solo están disponibles en algunas regiones de Microsoft Azure. Para obtener más información, consulte los Productos de Microsoft Azure por región. VMware, Inc. 18

19 En las tablas que aparecen a continuación, la columna de especificación de máquina virtual proporciona: Los nombres de serie utilizados en la documentación de Microsoft Azure Los nombres de familia de vcpu utilizados en las cuotas que se muestran en el portal de Microsoft Azure El nombre específico del tipo de máquina virtual de esa familia Para ver las cuotas actuales de su suscripción en el portal de Microsoft Azure, desplácese a Todos los servicios > Suscripciones, haga clic en la suscripción y, a continuación, haga clic en Uso + cuotas. Para obtener más información sobre los tamaños de las máquinas virtuales de Microsoft Windows en Microsoft Azure, consulte este tema y sus subtemas en la documentación de Microsoft Azure: Tabla 3 1. Requisitos de máquina virtual jumpbox Máquina Especificación de máquinas Cantidad Descripción virtual virtuales de Microsoft Azure Jumpbox (servidor de salto) F-series de Linux: F2 estándar (2 núcleos, 4 GB de memoria) Disco del SO: HDD estándar de 30 GiB 1 por nodo Una máquina virtual creada en su entorno de Microsoft Azure y que se utilice durante la creación del nodo inicial y durante las actualizaciones de software posteriores en el entorno. Una máquina virtual de jumpbox (servidor de salto) para cada nodo que implemente. Esta se elimina automáticamente cuando se completan los procesos de actualización o de creación del nodo y ya no se necesita. VMware, Inc. 19

20 Tabla 3 2. Requisitos de máquina virtual de Unified Access Gateway y administración de nodos Máquina Especificación de máquinas Cantidad Descripción virtual virtuales de Microsoft Azure Instancia Linux Dv2 estándar: 1 por nodo El tamaño de su entorno debe contener ambas instancias que se ejecutan s de nodo de administr ación D3 v2 estándar (4 núcleos, 14 GB de memoria) Disco del SO: HDD estándar de 30 GiB durante las operacione s de estado estable durante un proceso de actualización. Durante las operaciones de estado estable, existe una máquina virtual existe, que enciende y ejecuta el nodo. Cuando se realiza una actualización en el nodo, se crea una instancia adicional y se enciende para ejecutar actualizaciones de software en el entorno. Una vez completada la 2 por nodo actualización, el nodo pasa a usar la máquina virtual recientemente creada durante para operaciones de estado estable y se elimina la anterior. una actualizaci ón de software Instancia Linux Av2 estándar: 2 por nodo Unified Access Gateway es una función opcional que se implementa en el nodo s de Unified Access Gateway A4 v2 estándar (4 núcleos, 8 GB de memoria) Disco del SO: HDD estándar de 20 GiB durante las operacione s de estado estable cuando se selecciona Sí en el Asistente de implementación para tener escritorios habilitados por Internet. Si decide tener Unified Access Gateway para el nodo, el entorno debe alojar estas instancias que se ejecutan durante un proceso de actualización. Durante las operaciones de estado estable, existen dos instancias, que se 4 por nodo encienden y proporcionan las capacidades de Unified Access Gateway. mientras Durante un proceso de actualización, se crean dos instancias adicionales, que se realiza se encienden para ejecutar actualizaciones de software en una Unified Access Gateway. Una vez completada la actualización, el nodo pasa a actualizaci usar las instancias recientemente creadas y se eliminan las anteriores. ón de software VMware, Inc. 20

21 Tabla 3 3. Requisitos de máquina virtual de imagen y granja Máquina Especificación de máquinas Cantidad Descripción virtual virtuales de Microsoft Azure Imágenes Las imágenes principales están Variable, Una imagen principal es una máquina virtual de sistema operativo Microsoft principale habilitados para GPU o no, según según sus Windows que se configura para que Horizon Cloud pueda convertirla en una s lo que usted seleccione al crearlas. necesidad imagen publicada. En el caso de una máquina virtual de con sistema operativo NOTA: Esta versión admite GPU solo para las imágenes con sistemas operativos Microsoft Windows Server. es Windows Server con RDS habilitado, esa máquina virtual proporciona la base utilizada para crear las granjas de RDSH que proporcionan escritorios basados en sesiones y aplicaciones remotas a los usuarios finales. En el caso de una máquina virtual de sistema operativo cliente de Windows, esa máquina virtual proporciona la base utilizada para crear los escritorios de VDI. Cada imagen Para las imágenesprincipales de principal es una combinación de sistema operativo Microsoft Windows y si tiene servidor habilitadas para GPU, el GPU habilitado o no. Por tanto, si desea que el nodo proporcione: sistema utiliza el estándar NVseries NV6 (de las vcpu de la familia de NV estándar). Para las imágenes principales no habilitadas para GPU y sistemas operativos Microsoft Windows Server, el sistema utiliza el estándar D3 v2 (de las vcpu de la familia de Dv2 estándar). Para las imágenes principales no habilitadas para GPU y sistemas operativos Microsoft Windows Server, el sistema utiliza el estándar D2 v2 (de las vcpu de la familia de Dv2 estándar). Escritorios RDSH que usan el centro de datos de Microsoft Windows 2016, sin GPU Escritorios RDSH que usan el centro de datos de Microsoft Windows 2016, con GPU Tendría al menos 2 máquinas virtuales de imagen principal. El proceso para convertir una imagen principal en una imagen publicada en ocasiones se denomina publicar la imagen, o también, sellar la imagen. La imagen publicada resultante a veces se conoce como una imagen sellada o una imagen asignable, porque tiene un estado finalizado para su uso en asignaciones. El sistema automáticamente apaga la imagen principal cuando se publica (al realizar la acción Convertir en imagen en la imagen principal en la consola administrativa). Al actualizar una imagen publicada, el sistema enciende la máquina virtual nuevamente. NOTA: Cuando duplica una imagen mediante la consola administrativa, el sistema temporalmente se vuelve a encender en la máquina virtual de la imagen principal para obtener su configuración para el duplicado y, a continuación, se vuelve a apagar. Para obtener información sobre cómo crear una imagen principal, consulte el tema Creación de imágenes de escritorio para un nodo de Horizon Cloud en Microsoft Azure en la Guía de administración. Granja Opciones: Variable, Las máquinas virtuales de la granja RDSH son las instancias del servidor que RDSH Dv2 estándar: D2 v2 estándar (2 núcleos, 7 GB de memoria) D3 v2 estándar (4 núcleos, 14 GB de memoria) D4 v2 estándar (8 núcleos, 28 GB de memoria) según sus necesidad es proporcionan aplicaciones remotas y escritorios basados en sesiones a los usuarios finales. Se necesita al menos una granja RDSH para distribuir escritorios de sesión y una granja adicional para distribuir aplicaciones remotas. Para cumplir con las necesidades del usuario final o administrador, puede implementar granjas adicionales. El estado de alimentación de estas máquinas virtuales varía según las opciones de configuración de la granja y de la demanda de los usuarios finales. NV-series con habilitación para GPU (vcpu de familia NV NOTA: En esta versión, no es posible proporcionar escritorios basados en sesiones ni aplicaciones remotas desde la misma granja. estándar): NV6 estándar (6 núcleos, 56 GB de memoria, 1 GPU) NV12 estándar (12 núcleos, 112 GB de memoria, 2 GPU) VMware, Inc. 21

22 Tabla 3 3. Requisitos de máquina virtual de imagen y granja (Continua) Máquina Especificación de máquinas Cantidad Descripción virtual virtuales de Microsoft Azure NV24 estándar (24 núcleos, 224 GB de memoria, 4 GPU) Escritorio Opciones: Variable, Las máquinas virtuales de escritorio VDI son las instancias que proporcionan s VDI Av2 estándar: A1 v2 estándar (1 núcleos, 2 GB de memoria) A2 v2 estándar (2 núcleos, 4 según sus necesidad es escritorios VDI a los usuarios finales. El estado de alimentación de estas máquinas virtuales varía según las opciones de configuración de la asignación de escritorios VDI y la demanda de los usuarios finales. GB de memoria) A4 v2 estándar (4 núcleos, 8 GB de memoria) A8 v2 estándar (8 núcleos, 16 GB de memoria) Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure En este tema se describen algunos de los límites comunes de VMware Horizon Cloud Service on Microsoft Azure, que también se denominan valores máximos admitidos. Actualmente, este tema describe los valores máximos admitidos para el número de máquinas virtuales de escritorio y granja de servidores que se puede implementar en una sola suscripción, así como para el número total de sesiones conectadas simultáneas que puede haber por nodo. Con el tiempo, este tema se actualizará para incluir más limitaciones conocidas. El servicio se ha probado hasta un número determinado de máquinas virtuales implementadas en una sola suscripción y hasta el número de conexiones simultáneas que admite un nodo. Los límites que se describen aquí son los valores máximos admitidos validados como parte de las pruebas de escala de servicio y rendimiento. Máximo de 2000 máquinas virtuales de escritorio y de servidores de granja por suscripción Este límite se basa en los límites de la API de Microsoft Azure en una sola suscripción. Para trabajar bien dentro de estos límites de la API durante operaciones estándar, Horizon Cloud admite hasta un máximo de 2000 máquinas virtuales de escritorio y de servidores de granja por suscripción. VMware, Inc. 22

23 Esta cantidad por suscripción incluye las máquinas virtuales de escritorio VDI y de servidores de granja y se aplica a todos los nodos de dicha suscripción. Por ejemplo, si hay un nodo en la suscripción, se podrán tener hasta 2000 escritorios VDI en dicho nodo, o 1950 escritorios VDI más 50 servidores de granja. Si hay más de un nodo en la suscripción, el número total de escritorios VDI y servidores de granja de todos los nodos no debe superar Máximo de 2000 sesiones por nodo Horizon Cloud admite la ejecución de hasta 2000 sesiones conectadas simultáneas por nodo. Esta cantidad incluye las conexiones con escritorios VDI, escritorios RDS y aplicaciones RDS proporcionadas por el nodo. Las capacidades de control de sesiones del nodo determinan este máximo. Configurar la red virtual obligatoria en Microsoft Azure El entorno de Microsoft Azure debe tener una red virtual existente antes de que pueda implementar el nodo de Horizon Cloud en el entorno. Si no tiene ya una red virtual (VNet) en la región en la que va a implementar, debe crear dicha red. En las pantallas del Asistente de implementación de nodo, se selecciona la vnet y se especifican los espacios de direcciones para las subredes que el implementador de nodos creará en la vnet. ADVERTENCIA: No cree las subredes de administración y tenant por adelantado en la VNet que usted cree. El proceso de implementación de nodo crea esas subredes con la información de CIDR que usted introdujo en el asistente en pantalla. Si crea las subredes con antelación, el Asistente de implementación de nodo marcará un error y bloqueará el avance en el asistente. Durante la implementación del nodo, el implementador creará automáticamente las siguientes subredes en la VNet. Subred de administración, para direcciones IP usadas por las máquinas virtuales involucradas en las actividades de administración del nodo en sí Subred de escritorio, para direcciones IP usadas para las máquinas virtuales de servidor RDSH y de escritorios VDI en esa subred. IMPORTANTE: Las máquinas virtuales de los escritorios VDI, las imágenes RDS y cada servidor de las granjas de RDS del nodo consumen estas direcciones IP. Debido a que no puede extenderse esta subred de escritorio después de implementado el nodo, asegúrese de establecer este rango lo suficientemente grande para admitir al número de escritorios que prevea que querrá que este nodo proporcione. Por ejemplo, si prevé que este nodo debería proporcionar más de 1000 escritorios en el futuro, asegúrese de que este rango incluya más que ese número de direcciones IP. Subred DMZ, para la dirección IP utilizada por las máquinas virtuales de Unified Access Gateway, que se implementan cuando se selecciona la opción Escritorios habilitados para Internet en el Asistente de implementación VMware, Inc. 23

24 El implementador crea siempre las subredes nuevas en la VNet. En términos de espacio de direcciones de la VNet, el implementador controla los espacios de direcciones de subred que introduce en el Asistente de la siguiente manera: Si se especifican espacios de direcciones en el asistente que aún no están en el espacio de direcciones de la VNet, el implementador actualiza automáticamente la configuración de la VNet para agregarlos. A continuación, crea las subredes nuevas en la VNet. Si los espacios de direcciones especificados en el asistente ya se encuentran dentro del espacio de direcciones de la VNet existente, el implementador simplemente crea las subredes nuevas en la VNet mediante los espacios de direcciones especificados. NOTA: Si la VNet existente está emparejada, no se puede actualizar su espacio de direcciones. Si la VNet está emparejada y especifica espacios de direcciones de subred que no están incluidos en el espacio de direcciones existente de la VNet, el asistente mostrará un mensaje de error, y deberá especificar espacios de direcciones de subred válidos para poder continuar, o bien, utilizar una red virtual no emparejada. Siga estos pasos usando el portal de Microsoft Azure adecuado para su cuenta registrada. Por ejemplo, hay varios endpoints de portal específicos para estas nubes de Microsoft Azure. Microsoft Azure (estándar global) Microsoft Azure Alemania Microsoft Azure China Microsoft Azure, gobierno de EE. UU. Inicie sesión en el portal utilizando la dirección URL adecuada para su cuenta. Procedimiento 1 En la barra de navegación izquierda del portal de Microsoft Azure, haga clic en (Redes virtuales) y, a continuación, haga clic en Agregar. Aparecerá la pantalla Crear una red virtual. 2 Proporcione la información de los campos obligatorios. Opción Nombre Espacio de direcciones Suscripción Grupo de recursos Ubicación Rango de subred y dirección Descripción Especifique un nombre para la VNet. Especifique de espacio de direcciones de la VNet. Seleccione la misma suscripción que planea utilizar al implementar el nodo. Puede elegir un grupo de recursos existente o hacer que se cree uno nuevo cuando se crea la red virtual. Seleccione la misma región en la que planea implementar el nodo. Microsoft Azure requiere la creación de una subred al crear la VNet. Puede conservar los valores predeterminados o personalizar el nombre y el rango. Mantenga los valores predeterminados de la configuración opcional. VMware, Inc. 24

25 3 Haga clic en Crear. Se crea la red virtual (VNet) en su cuenta de Microsoft Azure. Qué hacer a continuación Configure la VNet recién creada con un servicio de DNS activo y conectividad con el servicio de Active Directory que se utilizará con el nodo. Consulte los pasos en Configurar el servidor DNS de la red virtual. Asegúrese de la configuración de la VNet, en términos de los servidores de seguridad y de otros comportamientos de la red, se ajuste a los requisitos de DNS de la implementación del nodo, los puertos y los protocolos que se describen en Requisitos de DNS, puertos y protocolos de Horizon Cloud. IMPORTANTE: La máquina virtual jumpbox temporal del nodo y la máquina virtual del administrador de nodos requieren acceso saliente a Internet en la VNet Microsoft Azure. Si requiere de acceso a Internet saliente basado en proxy, deberá especificar la información del servidor proxy a medida que complete los campos en el Asistente de implementación de nodo. VMware, Inc. 25

26 Configurar el servidor DNS de la red virtual La red virtual que utiliza para el nodo de Horizon Cloud debe tener la capacidad de resolver los nombres de máquina internos y externos. Durante el proceso de implementación de nodos, el implementador descarga de forma segura el software de nodo en el entorno de Microsoft Azure desde direcciones externas en el plano de control de Horizon Cloud. La capacidad para resolver nombres de máquinas virtuales (VM) internos es necesaria para las operaciones de unión de dominio de Active Directory de Horizon Cloud del nodo con las máquinas virtuales que se implementen en su entorno de Microsoft Azure. En una suscripción de Microsoft Azure, la conectividad de red interna no está configurada de forma predeterminada. Por lo general, para entornos de producción, se configurarían los parámetros de DNS de la red virtual para que señale a un servidor DNS válido que pueda resolver nombres externos y también funcionar en Microsoft Azure para las máquinas corporativas. Por ejemplo, es posible que desee implementar una máquina virtual de Microsoft Windows Server 2016 en la red virtual para que actúe como el servidor DNS, y quiera configurar los ajustes de DNS de la red virtual para que esta apunte a la dirección IP de ese servidor DNS implementado. Para entornos de prueba de concepto, si las políticas de privacidad y seguridad de su organización lo permiten, puede configurar el DNS interno para delegar a un DNS público externo la resolución de nombres externos. Algunas organizaciones e ISP proporcionan servidores de nombres recursivos públicos que se utilizará para estos fines, como Google Public DNS en u OpenDNS en Para obtener una lista de ejemplo de servidores de nombres recursivos y públicos, consulte el artículo de Wikipedia Servidor de nombres recursivo y público. Prerequisitos Asegúrese de que la región de Microsoft Azure tenga la red virtual que va a usar para el nodo. Consulte Configurar la red virtual obligatoria en Microsoft Azure. Asegúrese de que el servidor DNS especificado en estos pasos pueda resolver y comunicarse con los nombres externos específicos necesarios para una implementación correcta de nodos. Para obtener más información, consulte Requisitos de DNS, puertos y protocolos de Horizon Cloud. Procedimiento 1 En la barra de navegación izquierda del portal de Microsoft Azure, haga clic en (Redes virtuales) y, a continuación, haga clic en la red virtual que va a usar para el nodo. 2 Muestre la configuración del servidor DNS de la red virtual haciendo clic en Servidores DNS. VMware, Inc. 26

27 3 Use la opción Personalizado, agregue la dirección del servidor DNS que desea utilizar para la resolución de nombres y haga clic en Guardar. Qué hacer a continuación Compruebe que se cumplan los requisitos de acceso del implementador de nodos para DNS, puertos y protocolos. Consulte Requisitos de DNS, puertos y protocolos de Horizon Cloud. Configuraciones de dominio de Active Directory Un entorno de Horizon Cloud requiere el registro de al menos un dominio de Active Directory (AD) en el nodo de Horizon Cloud. En este tema se describen las configuraciones que son compatibles para su uso con los nodos de Horizon Cloud en Microsoft Azure. Las configuraciones compatibles son las siguientes: Servidor de AD local y conexión de dicho AD local al entorno de Microsoft Azure mediante VPN o MPLS o la ruta de Microsoft Azure Express. Servidor AD que se ejecuta en el entorno de Microsoft Azure. Uso de servicios de dominio de Active Directory de Microsoft Azure. Para obtener un resumen de estos servicios que proporciona Microsoft Azure, consulte este artículo de servicios de dominio de AD de Azure en la documentación de Microsoft. Para obtener una descripción técnica detallada de cada configuración admitida, algunas opciones para cada una de estas y sus ventajas y desventajas, consulte el documento técnico de VMware Consideraciones de redes y Active Directory en Microsoft Azure con VMware Horizon Cloud. Requisitos de DNS, puertos y protocolos de Horizon Cloud Para que el proceso de implementación de nodo implemente el nodo correctamente, debe configurar los servidores de seguridad para permitir que Horizon Cloud acceda a las direcciones del servicio de nombres de dominio (DNS) que necesita. Además, el DNS debe resolver nombres específicos, como se describe en este tema. A continuación, después de que el nodo se implementa correctamente, se necesitan protocolos y puertos específicos para las operaciones de Horizon Cloud en curso. VMware, Inc. 27

28 Requisitos de DNS para el proceso de implementación de nodo y las operaciones en curso Debe asegurarse de que los siguientes nombres DNS son puedan resolver y estén accesibles desde las subredes de tenant y de administración del nodo con los protocolos y puertos específicos, como se muestra en la siguiente tabla. Horizon Cloud utiliza los puertos de salida específicos para descargar de forma segura el software del nodo en su entorno de Microsoft Azure y para que el nodo se puede conectar con el plano de control de Horizon Cloud. Debe configurar el firewall de red para que Horizon Cloud tenga la capacidad de ponerse en contacto con las direcciones DNS en los puertos que requiera. De lo contrario, se producirá un error en el proceso de implementación del nodo. ADVERTENCIA: No cree las subredes de administración y tenant por adelantado en la VNet que usted cree. El proceso de implementación de nodo crea esas subredes con la información de CIDR que usted introdujo en el asistente en pantalla. Si crea las subredes con antelación, el Asistente de implementación de nodo marcará un error y bloqueará el avance en el asistente. Tabla 3 4. Requisitos de DNS de operaciones e implementación del nodo Subred del nodo de origen Destino (nombre DNS) Puerto Protocolo Propósito Administración Uno de los siguientes, según qué plano de control de Horizon Cloud se especifica en su cuenta de Horizon Cloud: cloud.horizon.vmware.com cloud-eu-central-1.horizon.vmware.com cloud-ap-southeast-2.horizon.vmware.com 443 TCP Plano de control de Horizon Cloud. cloud.horizon.vm ware.com en Estados Unidos cloud-eucentral-1.horizon. vmware.com en Europa cloud-apsoutheast-2.horiz on.vmware.com en Australia Administración softwareupdate.vmware.com 443 TCP Servidor de paquete de software de VMware. Se utiliza para descargar actualizaciones del software relacionado con el agente que se usa en las operaciones relacionadas con la imagen del sistema. VMware, Inc. 28

29 Tabla 3 4. Requisitos de DNS de operaciones e implementación del nodo (Continua) Subred del nodo de origen Destino (nombre DNS) Puerto Protocolo Propósito Administración d1mes20qfad06k.cloudfront.net 443 TCP Servidor de distribución de contenido de Horizon Cloud. En la subred de administración, se utiliza este sitio para descargar los archivos VHD (discos duros virtuales) para el administrador de nodo y las máquinas virtuales de Unified Access Gateway. Administración s3-us-west-2.amazonaws.com 443 TCP Servidor de distribución de contenido de Horizon Cloud. En la subred de administración, se utiliza este sitio para descargar los archivos binarios usados para el administrador de nodo y las máquinas virtuales de Unified Access Gateway. Administración packages.microsoft.com 443 y TCP Servidor de paquete de software Microsoft. Se utiliza para descargar de forma segura el software de la interfaz de línea de comandos (CLI) de Microsoft Azure. VMware, Inc. 29

30 Tabla 3 4. Requisitos de DNS de operaciones e implementación del nodo (Continua) Subred del nodo de origen Destino (nombre DNS) Puerto Protocolo Propósito Administración azure.archive.ubuntu.com 80 TCP Servidor de paquete de software de Ubuntu. Utilizado por máquinas virtuales basadas en Linux del nodo para las actualizaciones del sistema operativo Ubuntu. Administración api.snapcraft.io 443 TCP Servidor de paquete de software de Ubuntu. Utilizado por máquinas virtuales basadas en Linux del nodo para las actualizaciones del sistema operativo Ubuntu. Administración archive.ubuntu.com 80 TCP Servidor de paquete de software de Ubuntu. Utilizado por máquinas virtuales basadas en Linux del nodo para las actualizaciones del sistema operativo Ubuntu. Administración changelogs.ubuntu.com 80 TCP Servidor de paquete de software de Ubuntu. Utilizado por máquinas virtuales basadas en Linux del nodo para el seguimiento de las actualizaciones del sistema operativo Ubuntu. VMware, Inc. 30

31 Tabla 3 4. Requisitos de DNS de operaciones e implementación del nodo (Continua) Subred del nodo de origen Destino (nombre DNS) Puerto Protocolo Propósito Administración security.ubuntu.com 80 TCP Servidor de paquete de software de Ubuntu. Utilizado por máquinas virtuales basadas en Linux del nodo para las actualizaciones del sistema operativo Ubuntu relacionadas con la seguridad. Arrendatario d1mes20qfad06k.cloudfront.net 443 TCP Servidor de distribución de contenido de Horizon Cloud. En la subred del tenant, el proceso automatizado Importar imagen del sistema utiliza este sitio para descargar al instalador del software relacionado con el agente. Arrendatario s3-us-west-2.amazonaws.com 443 TCP Servidor de distribución de contenido de Horizon Cloud. En la subred del tenant, se utiliza este sitio para descargar los archivos binarios utilizados para las imágenes. Arrendatario kinesis.us-east-1.amazonaws.com query-prod-us-east-1.cms.vmware.com 443 TCP Servicio de supervisión en la nube (CMS) Puertos y protocolos requeridos para las operaciones en curso Además de los requisitos de DNS, los puertos y protocolos en las tablas siguientes son necesarios para que el nodo funcione correctamente durante las operaciones en curso después de la implementación. VMware, Inc. 31

32 Tabla 3 5. Protocolos y puertos de operaciones del nodo Origen Destino Puert os Protocolo Propósito Máquina virtual del administra dor de nodo Controlado r de dominio 389 TCP UDP Servicios LDAP. Servidor que contiene una función de controlador de dominio en una configuración de Active Directory. Es necesario registrar el nodo con Active Directory. Máquina virtual del administra dor de nodo Catálogo global 3268 TCP Servicios LDAP. Servidor que contiene la función de catálogo global en una configuración de Active Directory. Es necesario registrar el nodo con Active Directory. Máquina virtual del administra dor de nodo Controlado r de dominio 88 TCP UDP Servicios Kerberos. Servidor que contiene una función de controlador de dominio en una configuración de Active Directory. Es necesario registrar el nodo con Active Directory. Máquina virtual del administra dor de nodo servidor DNS 53 TCP UDP Servicios DNS. Máquina virtual del administra dor de nodo Instancias de Unified Access Gateway en el nodo Servidor NTP Servidor de inscripción True SSO 123 UDP Servicios NTP. Servidor que proporciona la sincronización de hora de NTP TCP Servidor de inscripción True SSO. Opcional si no utiliza las capacidades del servidor de inscripción True SSO con los nodos. Máquina virtual del administra dor de nodo RADIUS 1812 UDP Puerto de autenticación de RADIUS. Opcional si no utiliza las capacidades de autenticación en dos fases RADIUS. Máquina virtual del administra dor de nodo Servicio de VMware Identity Manager 443 HTTPS Opcional si no utiliza VMware Identity Manager con el nodo. Se utiliza para crear una relación de confianza entre el nodo y el servicio de VMware Identity Manager. Asegúrese de que el nodo pueda comunicarse con el entorno de VMware Identity Manager que utiliza, ya sea el servicio de nube o local, en el puerto 443. Si utiliza el servicio de nube de VMware Identity Manager, consulte también la lista de direcciones IP del servicio de VMware Identity Manager a la que el nodo y el conector de VMware Identity Manager deben tener acceso en el artículo de la base de conocimientos de VMware VMware, Inc. 32

33 Los puertos que deben estar abiertos para el tráfico desde las conexiones de los usuarios finales para acceder a sus aplicaciones remotas y escritorios virtuales aprovisionados por el nodo dependerán de la selección que realice respecto de cómo se conectarán los usuarios finales: Al elegir la opción de tener escritorios habilitados por Internet para el nodo, las instancias de Unified Access Gateway se implementan automáticamente en el entorno de Microsoft Azure, junto con un equilibrador de cargas, para esas instancias. El diagrama Figura 1 1 describe la ubicación del equilibrador de cargas y las instancias de Unified Access Gateway. Los usuarios finales pueden conectarse con el equilibrador de cargas del nodo, que distribuye las solicitudes a las instancias de Unified Access Gateway. Debe asegurarse de que esas conexiones de los usuarios finales puedan alcanzar el equilibrador de cargas, utilizando os puertos y protocolos enumerados a continuación. En un nodo implementado, el equilibrador de cargas se encuentra en el grupo de recursos con el nombre vmw-hcs-nodeuuid-uag, donde nodeuuid es el UUID del nodo. Cuando no selecciona la opción de escritorios habilitados por Internet, sus usuarios finales se conectan directamente al nodo, como por ejemplo usando una conexión VPN. Para esta configuración, carga un certificado SSL en la instancia del nodo desde la página de resumen del nodo en la consola administrativa, como se describe en la Guía de administración de Microsoft Azure del servicio de nube de VMware Horizon. Para obtener información detallada acerca de los clientes de Horizon que es posible que utilicen los usuarios finales con el nodo de Horizon Cloud, consulte la página de la documentación de Horizon Client en Tabla 3 6. Protocolos y puertos de conexiones de usuario final cuando la configuración del nodo tiene instancias de Unified Access Gateway Origen Destino Puer to Protocolo Propósito Horizon Client Equilibrador de cargas del nodo a las instancias de Unified Access Gateway 443 TCP Tráfico de autenticación de inicio de sesión. También puede transportar el tráfico de túnel RDP, el redireccionamiento USB, el redireccionamiento multimedia (MMR) y el redireccionamiento de unidades de cliente (CDR). SSL (acceso HTTPS) está habilitado de forma predeterminada para las conexiones cliente. En algunos casos, puede utilizarse el puerto 80 (acceso HTTP). Consulte el tema Comprender en qué consiste el redireccionamiento de contenido de URL en la Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. Horizon Client Equilibrador de cargas del nodo a las instancias de Unified Access Gateway 4172 TCP UDP PCoIP a través de la puerta de enlace segura de PCoIP de Unified Access Gateway Horizon Client Equilibrador de cargas del nodo a las instancias de Unified Access Gateway 443 TCP Blast Extreme a través de la puerta de enlace segura de Blast Extreme en Unified Access Gateway para el tráfico de datos. VMware, Inc. 33

34 Tabla 3 6. Protocolos y puertos de conexiones de usuario final cuando la configuración del nodo tiene instancias de Unified Access Gateway (Continua) Origen Destino Puer to Protocolo Propósito Horizon Client Horizon Client Navegad or Equilibrador de cargas del nodo a las instancias de Unified Access Gateway Equilibrador de cargas del nodo a las instancias de Unified Access Gateway Equilibrador de cargas del nodo a las instancias de Unified Access Gateway 443 UDP Blast Extreme a través de Unified Access Gateway para el tráfico de datos UDP Blast Extreme a través de la puerta de enlace segura de Blast en Unified Access Gateway para el tráfico de datos (transporte adaptativo). 443 TCP HTML Access Tabla 3 7. Protocolos y puertos de conexiones de usuarios finales internos al utilizar conexiones directas de nodo, por ejemplo, a través de VPN Origen Destino Puerto Protocol o Propósito Horizon Client Máquina virtual del administrador de nodo 443 TCP Tráfico de autenticación de inicio de sesión Horizon Client Horizon Agent en las máquinas virtuales del servidor de granja o escritorio 4172 TCP UDP PCoIP Horizon Client Horizon Agent en las máquinas virtuales del servidor de granja o escritorio TCP UDP Blast Extreme Horizon Client Horizon Agent en las máquinas virtuales del servidor de granja o escritorio TCP Redireccionamiento USB VMware, Inc. 34

35 Tabla 3 7. Protocolos y puertos de conexiones de usuarios finales internos al utilizar conexiones directas de nodo, por ejemplo, a través de VPN (Continua) Origen Destino Puerto Protocol o Propósito Horizon Client Navegad or Horizon Agent en las máquinas virtuales del servidor de granja o escritorio Horizon Agent en las máquinas virtuales del servidor de granja o escritorio 9427 TCP Redireccionamiento de unidades cliente (CDR) y redireccionamiento multimedia (MMR) 443 TCP HTML Access Para las conexiones externas que usan un nodo configurado con instancias de Unified Access Gateway, debe permitirse el tráfico desde las instancias de Unified Access Gateway del nodo hacia los destinos que se indican en la siguiente tabla. Durante la implementación del nodo, se crea un grupo de seguridad de red (NSG) en el entorno de Microsoft Azure para que sea utilizado por el software de Unified Access Gateway del nodo. Tabla 3 8. Requisitos de puertos para el tráfico desde las instancias de Unified Access Gateway del nodo Origen Destino Puerto Protocolo Propósito Instancias de Unified Access Gateway en el nodo Máquina virtual del administrador de nodo 443 TCP Tráfico de autenticación de inicio de sesión Instancias de Unified Access Gateway en el nodo Horizon Agent en las máquinas virtuales del servidor de granja o escritorio 4172 TCP UDP PCoIP Instancias de Unified Access Gateway en el nodo Horizon Agent en las máquinas virtuales del servidor de granja o escritorio TCP UDP Blast Extreme De forma predeterminada, cuando se utiliza Blast Extreme, el tráfico de redireccionamiento de unidades cliente (CDR) y el tráfico USB se canaliza en este puerto. Si lo prefiere, puede separar el tráfico de CDR hacia el puerto TCP 9427 y el tráfico de redireccionamiento USB hacia el puerto TCP Instancias de Unified Access Gateway en el nodo Horizon Agent en las máquinas virtuales del servidor de granja o escritorio 9427 TCP Opcional para el redireccionamiento de unidades cliente (CDR) y el tráfico de redireccionamiento multimedia (MMR). VMware, Inc. 35

36 Tabla 3 8. Requisitos de puertos para el tráfico desde las instancias de Unified Access Gateway del nodo (Continua) Origen Destino Puerto Protocolo Propósito Instancias de Unified Access Gateway en el nodo Instancias de Unified Access Gateway en el nodo Horizon Agent en las máquinas virtuales del servidor de granja o escritorio La instancia RADIUS TCP Opcional para el tráfico de redireccionamiento USB UDP Cuando se usa la autenticación de dos fases RADIUS con el nodo. El valor predeterminado de RADIUS se muestra aquí. Los siguientes puertos deben permitir el tráfico desde el software relacionado con Horizon Agent que se instala en las máquinas virtuales y el servidor de escritorio y de servidor de granja. Origen Destino Puerto Protocolo Propósito Horizon Agent en las máquinas virtuales del servidor de granja o escritorio Horizon Agent en las máquinas virtuales del servidor de granja o escritorio Máquina virtual del administrador de nodo Máquina virtual del administrador de nodo 4002 TCP Java Message Service (JMS) cuando se utiliza la seguridad mejorada (predeterminado) 4001 TCP Java Message Service (JMS), heredado VMware, Inc. 36

37 Origen Destino Puerto Protocolo Propósito Horizon Agent en las máquinas virtuales del servidor de granja o escritorio User Environme nt Manager Agent (FlexEngin e) en las máquinas virtuales de escritorio o de servidor de granja Máquina virtual del administrador de nodo Esos recursos compartidos de archivos configurados para ser utilizados por User Environment Manager Agent, las máquinas virtuales de servidor de granja o de escritorio 3099 TCP Servidor de mensajes de escritorio 445 TCP Acceso de User Environment Manager Agent los recursos compartidos de archivos SMB, si utiliza las capacidades de User Environment Manager. Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones Horizon Cloud necesita una entidad de servicio para acceder a la capacidad de su suscripción de Microsoft Azure y utilizarla para los nodos de Horizon Cloud. Cuando se registra una aplicación de Microsoft Azure AD, también se crea la entidad de servicio. También debe generar una clave de autenticación y asignar la función de colaborador a la entidad de servicio en el nivel de suscripción. IMPORTANTE: La entidad de servicio debe tener la función Colaborador y no la función Propietario. Aunque piense que es suficiente con tener la función Propietario, como un superconjunto de los privilegios de la función Colaborador, el proceso de implementación de nodo específicamente requiere la función Colaborador. El asistente le impedirá continuar con el siguiente paso si el proveedor de servicios tiene cualquier función que no sea la función Colaborador. La razón para requerir la función Colaborador específica es para que no le asigne al nodo el nivel máximo de permisos del nodo de la suscripción. La idea es dar al nodo solo tanto acceso a su entorno de Microsoft Azure como sea necesario para las operaciones de Horizon Cloud. El control de acceso basado en funciones (RBAC) de Microsoft Azure proporciona la función Colaborador con el fin de crear y administrar recursos en su suscripción, que es el nivel de permisos que necesita Horizon Cloud. Para obtener más información, consulte Roles integrados para el control de acceso basado en roles de Azure en la documentación de Microsoft Azure. VMware, Inc. 37

38 Siga estos pasos usando el portal de Microsoft Azure adecuado para su cuenta registrada. Por ejemplo, hay varios endpoints de portal específicos para estas nubes de Microsoft Azure. Microsoft Azure (estándar global) Microsoft Azure Alemania Microsoft Azure China Microsoft Azure, gobierno de EE. UU. NOTA: Cuando realice estos pasos, podrá recopilar algunos de los valores que necesitará para el asistente de implementación, como se describe en Información relacionada con la suscripción para el Asistente de implementación, concretamente: ID de aplicación Clave de autenticación ADVERTENCIA: A pesar de que puede definir la duración de la caducidad de la clave en un marco de tiempo específico, si lo hace, debe recordar actualizar la clave antes de que caduque. De lo contrario, el nodo de Horizon Cloud asociado dejará de funcionar. Horizon Cloud no puede detectar ni saber qué duración se establece. Para un correcto funcionamiento, asigne el valor No caduca nunca a la duración de la clave. Si prefiere no establecer No caduca nunca y prefiere en su lugar actualizar la clave antes de que caduque, debe acordarse de iniciar sesión en la consola administrativa de Horizon Cloud antes de la fecha de caducidad e introducir el nuevo valor de clave en la información de suscripción del nodo asociado. Para obtener los pasos detallados, consulte Actualizar información de suscripción asociada con nodos implementados en la Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. Procedimiento 1 En la barra de navegación de la izquierda del portal de Microsoft Azure, haga clic en (Registros de aplicaciones). (Azure Active Directory), a continuación, haga clic en VMware, Inc. 38

39 Aparecerá la pantalla Registros de aplicaciones. 2 Haga clic en el (Nuevo registro de aplicación). 3 Escriba un nombre descriptivo, seleccione el Tipo de aplicación Aplicación web o API, introduzca en el campo URL de inicio de sesióny haga clic en Crear. Opción Nombre Tipo de aplicación URL de inicio de sesión Descripción Elija el nombre que desee. El nombre sirve para diferenciar la entidad de servicio que utiliza Horizon Cloud de otras entidades de servicio que puedan existir en la misma suscripción. Asegúrese de que Aplicación web o API esté seleccionada (el valor predeterminado). Escriba como se muestra. Microsoft Azure se marca como un campo obligatorio. Debido a que Horizon Cloud no necesita una URL de inicio de sesión para el servicio principal se utiliza para cumplir con el requisito de Microsoft Azure. El elemento recién creado aparece en la pantalla. VMware, Inc. 39

40 4 Haga clic en el icono de la entidad de servicio para recopilar su ID de aplicación de los detalles. Copie el ID de la aplicación a una ubicación desde la que pueda recuperarlo cuando ejecute el asistente de implementación. 5 Desde la pantalla de detalles de la entidad de servicio, cree una clave de autenticación para dicha entidad. a Si no se muestra el menú Configuración, ábralo haciendo clic en Configuración. b Haga clic en (Claves). VMware, Inc. 40

41 c Escriba una descripción de la clave, seleccione la duración de la caducidad y haga clic en Guardar. La descripción de la clave debe tener 16 caracteres como máximo, por ejemplo Hzn-Cloud- Key1. ADVERTENCIA: Puede asignar el valor No caduca nunca a la duración de la caducidad o determinar un marco de tiempo específico. Sin embargo, si establece una duración específica, debe recordar actualizar la clave antes de que caduque y escribir la nueva clave en la información de suscripción del nodo en la consola de administración de Horizon Cloud. De lo contrario, el nodo asociado dejará de funcionar. Horizon Cloud no puede detectar ni saber qué duración se establece. IMPORTANTE: Mantenga la pantalla Claves abierta hasta que copie el valor de la clave y lo pegue en una ubicación desde la que pueda recuperarlo más tarde. No cierre la pantalla hasta que copie el valor de la clave. d Copie el valor de la clave a una ubicación desde la que pueda recuperarlo cuando ejecute el asistente de implementación. VMware, Inc. 41

42 6 Asigne la función de colaborador a la entidad de servicio en el nivel de suscripción. ADVERTENCIA: La entidad de servicio debe tener la función Colaborador y no la función Propietario. Aunque piense que es suficiente con tener la función Propietario, como un superconjunto de los privilegios de la función Colaborador, el proceso de implementación de nodo específicamente requiere la función Colaborador. El Asistente de implementación de nodo le impedirá continuar con el siguiente paso si el proveedor de servicios tiene cualquier función que no sea la función Colaborador. a Acceda a la pantalla de configuración de su suscripción haciendo clic en (Suscripciones) de la barra de navegación principal del portal de Microsoft Azure y, a continuación, haga clic en el nombre de la suscripción que utilizará con el nodo. NOTA: En este momento, puede copiar el ID de la suscripción que aparece en la pantalla y que necesitará posteriormente para el asistente de implementación. b Haga clic en Agregar para abrir la pantalla Agregar permisos. (Control de acceso (IAM)) y, a continuación, haga clic en VMware, Inc. 42

43 c En la pantalla Agregar permisos, asigne el valor Contributor a Rol y, a continuación, utilice el cuadro Seleccionar para buscar su entidad de servicio por el nombre que le asignó. NOTA: Asegúrese de que la lista desplegable Asignar acceso a esté establecida en Aplicación, grupo o usuario de Azure AD. d Haga clic en su entidad de servicio para establecerla como un miembro seleccionado y, a continuación, haga clic en Guardar. VMware, Inc. 43

44 VMware, Inc. 44

45 7 Compruebe que la suscripción tenga los proveedores de recursos registrados que requiere el nodo. a Desde la pantalla en la que se encuentra desde el paso anterior, acceda a la lista de la suscripción de proveedores de recursos haciendo clic en recursos) del menú de la suscripción. (Proveedores de b Compruebe que los siguientes proveedores de recursos tengan el estado (Registrado) y si no es así, regístrelos. Microsoft.Compute microsoft.insights Microsoft.Network Microsoft.Storage Microsoft.KeyVault VMware, Inc. 45

46 En este momento, ha creado y configurado el proveedor de servicios para el nodo, y tiene tres de los valores relacionados con la suscripción que necesita en el primer paso del Asistente de implementación del nodo. También necesitará el identificador de Azure Active Directory. Obtenga ese identificador en el portal de Microsoft Azure. Para ello haga clic en > (en Administrar). Los cuatro valores relacionados con la suscripción son los siguientes: ID de suscripción ID de Azure Active Directory ID de aplicación Valor de clave de aplicación Qué hacer a continuación Compruebe que haya recopilado toda la información relacionada con la suscripción que introducirá en el Asistente de implementación. Consulte Información relacionada con la suscripción para el Asistente de implementación. Información relacionada con la suscripción para el Asistente de implementación El Asistente de implementación del nodo de Horizon Cloud requiere que se proporcione la siguiente información de la suscripción de Microsoft Azure. IMPORTANTE: Se debe obtener la clave de la aplicación en el momento en que se generará en el portal de Microsoft Azure. Para obtener información, consulte Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones. Se puede obtener el resto de la información en cualquier momento iniciando sesión en el portal de Microsoft Azure con las credenciales de la cuenta de Microsoft Azure. Los identificadores son UUID, con el formato Estos identificadores y la clave que se describe en la siguiente tabla se utilizan en el primer paso del Asistente de implementación del nodo. VMware, Inc. 46

47 Valor obligatorio Cómo recopilar Los valores Entorno ID de suscripción Debe determinar el entorno de nube de Microsoft Azure cuando se registre para la suscripción de Microsoft Azure. En ese momento, se crea la cuenta y la suscripción en el entorno específico de Microsoft Azure. En el portal de Microsoft Azure, haga clic en el en el menú de la izquierda. ID de directorio En el portal de Microsoft Azure, haga clic en (en Administrar). > ID de aplicación En el portal de Microsoft Azure, haga clic en > y, a continuación, haga clic en el registro de la aplicación que haya creado para Horizon Cloud con los pasos descriptos en Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones. Clave de aplicación Obtenga la clave cuando la generen en el portal de Microsoft Azure. Consulte Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones. Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo La capacidad de Unified Access Gateway en el nodo requiere SSL para las conexiones de cliente. Cuando desee que el nodo preste servicio a las aplicaciones remotas y los escritorios habilitados por Internet, el Asistente de implementación de nodo requiere un archivo de formato PEM para proporcionar la cadena de certificados de servidor SSL a la configuración Unified Access Gateway del nodo. El archivo PEM único debe contener la cadena de certificados completa, incluso la clave privada: el certificado de servidor SSL, cualquier certificado de CA intermedio necesario, el certificado de CA raíz y la clave privada. Para obtener más detalles sobre los tipos de certificado utilizados en Unified Access Gateway, consulte el tema sobre cómo seleccionar el tipo de certificado correcto en la documentación del producto de Unified Access Gateway. En el paso del asistente de implementación de nodos sobre escritorios habilitados por Internet, se carga un archivo de certificado. Durante el proceso de implementación, este archivo se envía a la configuración de las instancias de Unified Access Gateway del nodo. Cuando se realiza el paso de carga en la interfaz del asistente, este comprueba que el archivo cargado cumpla los siguientes requisitos: El archivo se puede analizar como formato PEM. VMware, Inc. 47

48 Contiene una cadena de certificados válida y una clave privada. Esa clave privada coincide con la clave pública del certificado del servidor. Si no tiene un archivo con formato PEM para la información del certificado, debe convertir la información del certificado en un archivo que cumpla los requisitos mencionados anteriormente. Debe convertir el archivo que no es de formato PEM a formato PEM y crear un archivo PEM único que contenga la cadena completa de certificados, más la clave privada. También debe editar el archivo para eliminar la información adicional, si apareciera alguna, para que el asistente no tenga problemas al analizar el archivo. Los pasos de alto nivel son: 1 Convertir la información del certificado en formato PEM y crear un único archivo PEM que contenga la cadena de certificados y la clave privada. 2 Editar el archivo para quitar la información de certificado adicional, si la hubiera, que se encuentra fuera de la información del certificado entre cada conjunto de marcadores de ----BEGIN CERTIFICATE---- y -----END CERTIFICATE Los ejemplos de código en los siguientes pasos dan por sentado que comienza con un archivo denominado mycaservercert.pfx que contiene el certificado de CA raíz, la información del certificado de CA intermedio y la clave privada. Prerequisitos Compruebe que disponga del archivo de certificado. El formato del archivo puede ser PKCS#12 (.p12 o.pfx) o bien Java JKS o JCEKS. Familiarícese con la herramienta de línea de comandos openssl que utilizará para convertir el certificado. Consulte Si el certificado tiene el formato Java JKS o JCEKS, familiarícese con la herramienta de línea de comandos de Java keytool para convertir en primer lugar el certificado al formato.p12 o.pks antes de convertirlo en archivos.pem. Procedimiento 1 Si su certificado tiene el formato Java JKS o JCEKS, utilice keytool para pasar el certificado al formato.p12 o.pks. IMPORTANTE: Durante la conversión, utilice la misma contraseña de origen y destino. 2 Si su certificado tiene el formato PKCS#12 (.p12 o.pfx), o después de que el certificado se convierte al formato PKCS#12, utilice openssl para convertir el certificado en un archivo.pem. Por ejemplo, si el nombre del certificado es mycaservercert.pfx, puede usar los comandos siguientes para convertir el certificado: openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem VMware, Inc. 48

49 La primera línea anterior obtiene los certificados en mycaservercert.pfx y los escribe en formato PEM en mycaservercertchain.pem. La segunda línea anterior obtiene la clave privada de mycaservercert.pfx y la escribe en formato PEM en mycaservercertkey.pem 3 (Opcional) Si la clave privada no está en formato RSA, conviértala al formato de clave privada RSA. Las instancias de Unified Access Gateway requieren el formato de clave privada RSA. Para comprobar si necesita realizar este paso, observe el archivo PEM y consulte si la información de clave privada empieza con la línea: -----BEGIN PRIVATE KEY----- Si la clave privada comienza con esa línea, se debe convertir la clave privada al formato RSA. Si la clave privada comienza con -----BEGIN RSA PRIVATE KEY-----, no es necesario realizar este paso para convertir la clave privada. Para convertir la clave privada al formato RSA, ejecute este comando. openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem La clave privada del archivo PEM ahora está en formato RSA (-----BEGIN RSA PRIVATE KEY----- y -----END RSA PRIVATE KEY-----). 4 Combine la información en el archivo PEM de cadena de certificados y el archivo PEM de clave privada para crear un único archivo PEM. El ejemplo siguiente se muestra dónde se encuentra el contenido de mycaservercertkeyrsa.pem primero (la clave privada en formato RSA), seguido por el contenido de mycaservercertchain.pem, que es el certificado SSL principal, seguido por un certificado intermedio, seguido por el certificado raíz BEGIN CERTIFICATE (your primary SSL certificate) -----END CERTIFICATE BEGIN CERTIFICATE (the intermediate CA certificate) -----END CERTIFICATE BEGIN CERTIFICATE (the trusted root certificate) -----END CERTIFICATE BEGIN RSA PRIVATE KEY (your server key from mycaservercertkeyrsa.pem) END RSA PRIVATE KEY----- NOTA: El certificado del servidor debería aparecer primero, seguido de los intermedios y, a continuación, el certificado raíz de confianza. 5 Si existe información extraña o entradas de certificado no necesarias entre los marcadores BEGIN y END, edite el archivo para eliminarlas. VMware, Inc. 49

50 El archivo PEM resultante cumple los requisitos del asistente de implementación de nodos. VMware, Inc. 50

51 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure 4 Ejecute el asistente de implementación de nodos para implementar los componentes llamados Nodo de Horizon Cloud o, de forma abreviada, nodo. El nodo se empareja con Horizon Cloud para que pueda utilizar su capacidad de Microsoft Azure con Horizon Cloud. El implementador de nodos utiliza la información que se proporciona en cada paso del asistente para determinar cómo se configurará el nodo. Después de proporcionar la información solicitada en un paso concreto, haga clic en Siguiente para continuar con el siguiente paso. ADVERTENCIA: Las direcciones IP que se mencionan en estos pasos son ejemplos. Debe utilizar los rangos de direcciones que cumplan las necesidades de su organización. En cada paso que mencione un rango de direcciones IP, sustituya los que se apliquen a su organización. Prerequisitos Los siguientes elementos son necesarios para que proporcione los valores necesarios en el Asistente de implementación de nodo y siga los pasos del asistente. Compruebe que se completaron todas las tareas de preparación, como se describe en Capítulo 3 Preparar la implementación de un nodo de Horizon Cloud en Microsoft Azure. Compruebe que tiene la información de suscripción, como se describe en Información relacionada con la suscripción para el Asistente de implementación. Compruebe que cuente con una red virtual existente en la suscripción de Microsoft Azure y en la región en la que va a implementar el nodo, tal y como se describe en Configurar la red virtual obligatoria en Microsoft Azure. IMPORTANTE: No todas las regiones de Microsoft Azure son compatibles con las máquinas virtuales que admiten GPU. Si desea utilizar el nodo para aplicaciones remotas o escritorios con GPU habilitado, asegúrese de que la región de Microsoft Azure que seleccione para el nodo disponga de los tipos de máquina virtual NV-series que desea utilizar y que sean compatibles con esta versión de Horizon Cloud. Consulte la documentación de Microsoft en para obtener más detalles. VMware, Inc. 51

52 Compruebe que la VNet esté configurada para apuntar a un DNS que pueda resolver direcciones externas. El implementador de nodos debe poder conectarse con las direcciones externas en el plano de control de Horizon Cloud para descargar de forma segura el software del nodo en su entorno de Microsoft Azure. Compruebe que se cumplan los requisitos de los protocolos, puertos y DNS del implementador del nodo, como se describe en Requisitos de DNS, puertos y protocolos de Horizon Cloud. Si necesita utilizar un proxy para acceso saliente a Internet, compruebe que cuenta con la información de red para la configuración de proxy y las credenciales de autenticación que necesita, si las hubiere. El proceso de implementación del nodo requiere de acceso saliente a Internet. Compruebe que tenga la información de al menos un servidor NTP que desee que el nodo utilice para la sincronización de hora. El servidor NTP puede ser un servidor NTP público o su propio servidor NTP que configuró para este fin. El servidor NTP que especifique debe ser accesible desde la red virtual que configuró. Cuando vaya a usar un servidor NTP, utilizando su nombre de dominio en lugar de una dirección IP numérica, asegúrese también de que el DNS configurado para la red virtual puede resolver el nombre del servidor NTP. Compruebe que conoce los rangos de direcciones que va a escribir en el asistente para la subred de administración, la subred de escritorio y la subred de DMZ (cuando se eligen escritorios habilitados por Internet), y compruebe que no se superpongan esos rangos. Introduzca los rangos de direcciones en notación CIDR (notación de enrutamiento de interdominios sin clases). El asistente mostrará un error si los rangos de subredes introducidos se superponen. Para los rangos de subredes DMZ y de administración, se requiere una CIDR de al menos /28. Si desea mantener los intervalos de subredes DMZ y administración ubicados de forma conjunta, puede hacer que el rango de subredes DMZ sea el mismo que el rango de subredes de administración con una dirección IP especificada. Por ejemplo, si la subred de administración es /28, la subred DMZ sería /28. IMPORTANTE: Los CIDR que introduzca en los campos del asistente deben configurarse de tal modo que cada combinación de máscara de bits y prefijo dé como resultado un rango de direcciones IP con el prefijo como la dirección IP inicial. Microsoft Azure requiere que el prefijo CIDR sea el principio del rango. Por ejemplo, un CIDR correcto de /28 podría provocar un rango de IP de a , y el prefijo es igual que la dirección IP inicial ( ). Sin embargo, un CIDR incorrecto de /28 podría provocar un rango de IP de a , donde la dirección IP inicial no es igual al prefijo de Asegúrese de que sus CIDR deriven en rangos de direcciones IP en los que la dirección IP inicial coincida con el prefijo de CIDR. Compruebe que las subredes con esos rangos de direcciones no existan en la VNet. El implementador en sí creará automáticamente las subredes con los rangos de direcciones que se proporcionan en el asistente. Si el asistente detecta que ya existen subredes con esos rangos, el asistente mostrará un error acerca de las direcciones superpuestas y no continuará. VMware, Inc. 52

53 Si piensa usar la funcionalidad Unified Access Gateway para tener escritorios habilitados por Internet desde este nodo, debe proporcionar lo siguiente: Tal vez tenga el nombre de dominio totalmente cualificado (FQDN) necesario que utilizarán sus usuarios finales para acceder al servicio. IMPORTANTE: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado. Un certificado de servidor SSL firmado (formato PEM) basado en dicho FQDN. Las funciones de Unified Access Gateway requieren SSL para las conexiones cliente, como se describe en la documentación del producto Unified Access Gateway. El certificado debe estar firmado por una entidad de certificación (CA) de confianza. El archivo PEM único debe contener la cadena de certificados completa con la clave privada. Por ejemplo, el archivo PEM único debe contener el certificado de servidor SSL, los certificados de CA intermedios que sean necesarios, el certificado de CA raíz y la clave privada. OpenSSL es una herramienta que puede utilizar para crear el archivo PEM. Para obtener más información sobre las consideraciones de archivo PEM requeridas por Unified Access Gateway, consulte Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo. Si planea utilizar la capacidad de la autenticación en dos fases y utilizarla con un servidor de autenticación en dos fases en las instalaciones, compruebe que tenga la siguiente información utilizada en la configuración de su servidor de autenticación, para que pueda proporcionarla en los campos adecuados en el Asistente de implementación de nodos. Si tiene un servidor principal y uno secundario, obtenga la información de cada uno de ellos. La dirección IP o el nombre DNS del servidor de autenticación. El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor de autenticación. Los números de puerto de autenticación, por lo general, el puerto UDP El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolo de autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 y MSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2). Procedimiento 1 Inicio del asistente de implementación de nodos Al implementar el primer nodo en Microsoft Azure, se inicia el asistente de implementación de nodos usando la función Agregar capacidad de nube de la página de introducción a la consola administrativa de Horizon Cloud. 2 Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo En este paso del asistente de implementación de nodos, proporcione la información de suscripción a Microsoft Azure que desee utilizar para el nodo. VMware, Inc. 53

54 3 Especificación de la información de configuración del nodo En el paso de configuración del nodo del asistente de implementación de nodos, especifique los detalles como el nombre del nodo, además de información de red. 4 Activación de la capacidad para acceder a escritorios desde Internet Puede configurar el nodo con la capacidad de proporcionar acceso a las aplicaciones y los escritorios para los usuarios finales que se encuentren fuera de su red empresarial. De forma predeterminada, cuando se muestra este paso del asistente, la opción Sí está activada para que los escritorios admitan Internet. Cuando el nodo se implementa con esta capacidad configurada, el nodo incluye un equilibrador de carga e instancias de Unified Access Gateway para habilitar el acceso. 5 Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo Después de hacer clic en Validar y continuar, el sistema comprueba los valores especificados. Si se valida todo, el asistente muestra un resumen de la información para su revisión. A continuación, inicie el proceso de implementación. Inicio del asistente de implementación de nodos Al implementar el primer nodo en Microsoft Azure, se inicia el asistente de implementación de nodos usando la función Agregar capacidad de nube de la página de introducción a la consola administrativa de Horizon Cloud. NOTA: La autenticación de inicio de sesión en la consola de administración de Horizon Cloud se basa en las credenciales de cuenta de My VMware. Si el sistema de la cuenta de My VMware está experimentando una interrupción del sistema y no puede aceptar solicitudes de autenticación, no podrá iniciar sesión en la consola de administración durante dicho período de tiempo. Si tiene problemas al iniciar sesión en la primera pantalla de inicio de sesión de la consola de administración, compruebe la página de estado del sistema de Horizon Cloud en para ver el estado del sistema más reciente. En esa página, también puede suscribirse para recibir actualizaciones. Prerequisitos Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. Procedimiento 1 Inicie sesión en la consola de administración de Horizon Cloud en con las credenciales de su cuenta de My VMware. Las credenciales de cuenta son la dirección de correo electrónico principal, como user@example.com, y la contraseña que se establecen en el perfil de la cuenta. VMware, Inc. 54

55 Si no ha aceptado previamente los términos del servicio de Horizon Cloud usando las credenciales de My VMware, aparecerá un cuadro de notificación de los términos del servicio después de hacer clic en el botón Inicio de sesión. Acepte los términos del servicio para continuar. Después de iniciar sesión, se abre la consola de administración de Horizon Cloud. Cuando no disponga de ningún nodo, el asistente de introducción se muestra de forma predeterminada con la sección Capacidad expandida. VMware, Inc. 55

56 2 En el área Agregar capacidad de nube, haga clic en Agregar. El asistente Agregar capacidad de nube se abre desde el primer paso. 3 Especifique la suscripción que se usará para este nodo siguiendo los pasos descritos en Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo. Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo En este paso del asistente de implementación de nodos, proporcione la información de suscripción a Microsoft Azure que desee utilizar para el nodo. Prerequisitos Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. En este paso del asistente, compruebe que disponga de la información relacionada con la suscripción como se describe en Información relacionada con la suscripción para el Asistente de implementación. Complete los pasos que se describen en Inicio del asistente de implementación de nodos. Procedimiento 1 En el primer paso del asistente, especifique la suscripción que se usará para el nodo seleccionando el nombre de una suscripción anterior o introduciendo nueva información de suscripción. VMware, Inc. 56

57 Si selecciona una suscripción existente, el paso se rellenará con la información de la suscripción que se especificó previamente en el sistema. NOTA: Es posible que quiera saber por qué puede haber información especificada anteriormente cuando se implementa un nodo desde la página inicial de Primeros pasos. Puede existir información de suscripción introducida anteriormente en situaciones como los ejemplos siguientes: Inicie al asistente, introduzca la información de suscripción en este primer paso del asistente y haga clic en Agregar para enviar la información de suscripción al sistema y avanzar en el asistente. A continuación, en un paso posterior, se cancela el asistente antes de completar todos los pasos. En esta situación, el sistema ha guardado la información de suscripción que introdujo en el primer paso del asistente después de hacer clic en Agregar. A pesar de que se cancela el Asistente en un paso posterior, el sistema conserva esa información de suscripción introducida anteriormente. Usted utilizó este registro de cuenta del cliente de Horizon Cloud antes, implementando los nodos inicial y posteriores para el registro de la cuenta y, a continuación, en algún momento específico, eliminó dichos nodos. Cuando vuelve a iniciar sesión con las credenciales que están asociadas con el registro de cuenta del cliente de Horizon Cloud, la información de suscripción que especificó anteriormente aún está asociada a ese registro de cliente y se muestran los nombres anteriores de suscripción en la lista desplegable. Opción Aplicar suscripción Nombre de suscripción Descripción Seleccione el nombre de una suscripción anterior, o seleccione Agregar nueva para introducir la información de una nueva suscripción. Cuando proporcione la información de la nueva suscripción, introduzca un nombre descriptivo para que pueda identificarla desde suscripciones anteriores. El nombre debe empezar por una letra y solo contiene números, letras y guiones. VMware, Inc. 57

58 Opción Entorno Descripción Seleccione el entorno de nube asociado a su suscripción, por ejemplo: Azure, para la nube de Microsoft Azure global estándar Azure - China, para la nube de Microsoft Azure de China Azure - Alemania, para la nube de Microsoft Azure de Alemania Azure, gobierno de EE. UU., para la nube de Microsoft Azure del gobierno de Estados Unidos ID de suscripción ID de directorio ID de aplicación Clave de aplicación Introduzca su ID de suscripción de la capacidad de nube (en formato UUID). Este ID de suscripción debe ser válido para el entorno que seleccionó. Para Microsoft Azure, puede obtener este UUID del área de suscripciones de su portal de Microsoft Azure. Introduzca su ID de directorio de Microsoft Azure Active Directory (en formato UUID). Para Microsoft Azure, puede obtener este UUID de las propiedades de Microsoft Azure Active Directory en el portal de Microsoft Azure. Escriba el ID de aplicación (en formato UUID) asociado a la entidad de servicio que creó en el portal de Microsoft Azure. Es obligatorio crear un registro de aplicación y su entidad de servicio correspondiente en Microsoft Azure Active Directory. Escriba el valor de la clave de autenticación de la entidad de servicio que creó en el portal de Microsoft Azure. Es obligatorio crear esta clave. IMPORTANTE: En esta pantalla, no puede eliminar los valores de suscripción introducidos anteriormente y que están asociados con un Nombre de suscripción en particular. Aunque esto es poco frecuente, podemos imaginar una situación donde: a b c d e Configura los fragmentos relacionados con la suscripción de Microsoft Azure. Inicie el asistente Agregar capacidad de nube, introduce esos valores de suscripción en el primer paso y pasa al siguiente paso del asistente. Sin embargo, después de leer los valores de red solicitados en el siguiente paso del asistente, cancela para salir de este asistente y abre una nueva pestaña del explorador para volver al portal de Microsoft Azure y ajustar la configuración de red para cumplir con los requisitos previos. Mientras está en el portal de Microsoft Azure, también decide realizar un nuevo registro de aplicación para tener un proveedor de servicios con un nombre distinto. Regresa al explorador que tiene la página Primeros pasos y reinicia el asistente Agregar capacidad de nube. En este momento, su nombre de suscripción introducido anteriormente aún está en la lista del menú desplegable Aplicar suscripción. Sin embargo, si selecciona ese nombre, todos los campos se rellenan previamente con los valores anteriores, incluido el antiguo ID de aplicación, y no hay manera de cambiar los valores en la pantalla ni de editar o eliminar ese nombre de suscripción para volver a empezar con él. Si esto sucede, cancele el asistente, reinícielo y, en este primer paso, cree un nuevo nombre de suscripción seleccionando Agregar nuevo, introduzca los valores actuales que desee utilizar y continúe. Más adelante cuando el nodo esté totalmente implementado y pueda acceder a la página de resumen en la consola administrativa, podrá eliminar la información de suscripción anterior. La siguiente captura de pantalla es un ejemplo con este paso completado. VMware, Inc. 58

59 2 Continúe con el siguiente paso del asistente. Al hacer clic en el botón para pasar al paso siguiente, el sistema comprueba la validez de todos los valores especificados y si están correctamente relacionados entre sí, como: Es el identificador de suscripción especificado válido en el entorno seleccionado? Son el identificador de directorio, el identificador de la aplicación y la clave de aplicación válidos especificados en la suscripción? Se configuró la función Contributor en la entidad de servicio de la aplicación para el identificador de la aplicación especificado? IMPORTANTE: La entidad de servicio debe tener la función Colaborador y no la función Propietario. Aunque piense que es suficiente con tener la función Propietario, como un superconjunto de los privilegios de la función Colaborador, el proceso de implementación de nodo específicamente requiere la función Colaborador. El asistente le impedirá continuar con el siguiente paso si el proveedor de servicios tiene cualquier función que no sea la función Colaborador. La razón para requerir la función Colaborador específica es para que no le asigne al nodo el nivel máximo de permisos del nodo de la suscripción. La idea es dar al nodo solo tanto acceso a su entorno de Microsoft Azure como sea necesario para las operaciones de Horizon Cloud. El control de acceso basado en funciones (RBAC) de Microsoft Azure proporciona la función Colaborador con el fin de crear y administrar recursos en su suscripción, que es el nivel de permisos que necesita Horizon Cloud. Para obtener más información, consulte Roles integrados para el control de acceso basado en roles de Azure en la documentación de Microsoft Azure. Si aparece un mensaje de error sobre la corrección de valores, al menos uno de los valores no es válido porque no existe en la suscripción o no tiene una relación válida con otro de los valores. He aquí una lista de algunas, aunque no necesariamente todas, las situaciones que pueden derivar en ese mensaje de error: Si especificó un identificador de directorio que está en la suscripción, pero especificó un valor de identificador de la aplicación que se encuentra en otro directorio. VMware, Inc. 59

60 Si su entidad de servicio complementaria tiene cualquier función que no sea la de colaborador. El sistema prueba específicamente el rol de colaborador. IMPORTANTE: Más de una parte puede no ser válida si aparece ese mensaje de error. Si aparece ese mensaje de error, compruebe la información relacionada con la suscripción que haya recopilado y la configuración de la entidad de servicio. 3 Especifique los detalles del nodo y la información de red siguiendo los pasos descritos en Especificación de la información de configuración del nodo. Especificación de la información de configuración del nodo En el paso de configuración del nodo del asistente de implementación de nodos, especifique los detalles como el nombre del nodo, además de información de red. ADVERTENCIA: Las direcciones IP que se mencionan en estos pasos son ejemplos. Debe utilizar los rangos de direcciones que cumplan las necesidades de su organización. En cada paso que mencione un rango de direcciones IP, sustituya los que se apliquen a su organización. Prerequisitos Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. Compruebe que los rangos de direcciones CIDR que va a especificar en los campos del asistente para las subredes no estén ya siendo utilizados por las subredes existentes en la VNet Microsoft Azure. ADVERTENCIA: No cree las subredes de administración y tenant por adelantado en la VNet que usted cree. El proceso de implementación de nodo crea esas subredes con la información de CIDR que usted introdujo en el asistente en pantalla. Si crea las subredes con antelación, el Asistente de implementación de nodo marcará un error y bloqueará el avance en el asistente. Compruebe que cumpla los requisitos descritos en Requisitos de DNS, puertos y protocolos de Horizon Cloud. Procedimiento 1 En este paso del asistente, proporcione detalles acerca del nodo y la información de red necesaria. La siguiente captura de pantalla es un ejemplo del paso en el que se muestra inicialmente. VMware, Inc. 60

61 Opción Nombre de nodo Ubicación Región de Microsoft Azure Descripción Introduzca un nombre descriptivo para este nodo. Este nombre se utiliza en la consola de administración para diferenciar este nodo del resto. Seleccione una ubicación existente o haga clic en Agregar para especificar una nueva. Las ubicaciones agrupan sus nodos según los nombres asignados (Unidad de negocio A, Unidad de negocio B, Almacenes de la Costa Oeste, etc.). Seleccione la región geográfica/física de Microsoft Azure en la que desee implementar el nodo. Las regiones disponibles dependen del entorno de Microsoft Azure seleccionado con anterioridad. Considere la posibilidad de elegir la región en función de su proximidad a los usuarios finales a los que pretende prestar servicio con este nodo. Una mayor proximidad proporcionaría una latencia más baja. IMPORTANTE: No todas las regiones de Microsoft Azure son compatibles con las máquinas virtuales que admiten GPU. Si desea utilizar el nodo para aplicaciones remotas o escritorios con GPU habilitado, asegúrese de que la región de Microsoft Azure que seleccione para el nodo disponga de los tipos de máquina virtual NV-series que desea utilizar y que sean compatibles con esta versión de Horizon Cloud. Consulte la documentación de Microsoft en para obtener más detalles. Descripción Red virtual Opcional: escriba una descripción para este nodo. Seleccionar una red virtual de la lista. Aquí se muestran solo las redes virtuales (VNet) que existen en la región seleccionada en el campo Región de Microsoft Azure. Debe haber creado la VNet que desea utilizar en esa región en la suscripción de Microsoft Azure. VMware, Inc. 61

62 Opción Subred de administración(cidr) Descripción Introduzca un rango de direcciones de subred (en notación CIDR) para que el implementador cree una subred a la que las instancias de Unified Access Gateway y el nodo se conectarán, como /28. Para la subred de administración, se requiere una CIDR de /28. ADVERTENCIA: La subred no debe existir en el entorno de Microsoft Azure. Si ya existe, se producirá un error cuando intente continuar con el siguiente paso del asistente. Subred de escritorio(cidr) Introduzca un rango de direcciones de subred (en notación CIDR) para que el implementador cree una subred a la que se conecten todos los escritorios VDI y servidores de granja RDSH del nodo para las aplicaciones y los escritorios remotos para el usuario final, como /22. Mínimo: /28. Recomendado: /22. ADVERTENCIA: La subred no debe existir en el entorno de Microsoft Azure. Si ya existe, se producirá un error cuando intente continuar con el siguiente paso del asistente. Servidores NTP Usar proxy Introduzca la lista de servidores NTP que quiera usar para la sincronización de hora, separados por comas. El servidor NTP introducido aquí puede ser un servidor NTP público o el propio servidor NTP que configuró para proporcionar la sincronización de hora. Debe poder accederse a los servidores NTP que especifique aquí desde la red virtual que seleccionó en el campo Red virtual para uso por parte del nodo. En este campo, puede especificar cada servidor NTP, ya sea mediante su dirección IP numérica o su nombre de dominio. Cuando proporcione un nombre de dominio en este campo en lugar de una dirección IP numérica, debe asegurarse de que el DNS configurado para la red virtual pueda resolver el nombre especificado. Algunos ejemplos de nombres de dominio del servidor NTP público son time.windows.com, us.pool.ntp.org, time.google.com. Si se requiere un proxy para la conectividad de Internet saliente, establezca esta opción en Sí y complete los campos mostrados asociados. El implementador de nodo requiere acceso saliente a Internet para descargar el software de forma segura en el entorno de nube de Microsoft Azure y volver a conectarse al plano de control de la nube de Horizon Cloud. Para habilitar el uso por parte del nodo de la configuración de proxy, debe proporcionar la siguiente información después de establecer el conmutador en Sí. Proxy (obligatorio): escriba el nombre de host o la dirección IP para el servidor proxy. Puerto (obligatorio): escriba el número de puerto especificado en la configuración del servidor proxy. Si la configuración del servidor proxy requiere un nombre de usuario y una contraseña para la autenticación, proporcione esas credenciales también. La siguiente captura de pantalla es un ejemplo con este paso completado. En este ejemplo, un servidor proxy no era necesario para cumplir con los requisitos de conectividad de Internet saliente. VMware, Inc. 62

63 2 Para continuar con el siguiente paso, haga clic en Siguiente. 3 Especifique los detalles del nodo para admitir escritorios con Internet habilitado siguiendo los pasos descritos en Activación de la capacidad para acceder a escritorios desde Internet. Activación de la capacidad para acceder a escritorios desde Internet Puede configurar el nodo con la capacidad de proporcionar acceso a las aplicaciones y los escritorios para los usuarios finales que se encuentren fuera de su red empresarial. De forma predeterminada, cuando se muestra este paso del asistente, la opción Sí está activada para que los escritorios admitan Internet. Cuando el nodo se implementa con esta capacidad configurada, el nodo incluye un equilibrador de carga e instancias de Unified Access Gateway para habilitar el acceso. VMware, Inc. 63

64 Prerequisitos Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. IMPORTANTE: Para completar este paso, debe tener el nombre de dominio completo (FQDN) requerido que los usuarios finales utilizarán para acceder al servicio y tener un certificado SSL firmado (en formato PEM) basado en ese FQDN. El certificado debe estar firmado por una entidad de certificación de confianza. Un único archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada. Para obtener más información, consulte Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo. Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado. Procedimiento 1 En este paso del asistente, especifique la información necesaria para que el nodo proporcione acceso de escritorio a los usuarios finales que se encuentren fuera de su red empresarial. La siguiente captura de pantalla es un ejemplo del paso en el que se muestra inicialmente. VMware, Inc. 64

65 Opción Escritorios habilitados por Internet? Descripción Cuando se seleccione Sí, los usuarios que se encuentren fuera de su red corporativa tendrán acceso a escritorios y aplicaciones. El nodo incluye un equilibrador de carga e instancias de Unified Access Gateway para habilitar este acceso. NOTA: Se recomienda dejar la opción predeterminada Sí. Cuando se asigna el valor No, los clientes deben conectarse directamente al nodo y no a través de Unified Access Gateway. En este caso, es necesario realizar algunos pasos después de la implementación. Consulte la información de Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. FQDN Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como ourorg.example.com, que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre de dominio y tener un certificado en formato PEM que pueda validar ese FQDN. IMPORTANTE: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres de subrayado. Subred DMZ(CIDR) Direcciones de DNS Rutas Certificado Introduzca la subred en notación CIDR para la red DMZ (zona desmilitarizada) que se configurará para conectar las instancias de Unified Access Gateway con el equilibrador de carga. Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway pueda usar para la resolución de nombres, separados por comas (por ejemplo, , , , ourdns.example.com). Al configurar este nodo para utilizar la autenticación en dos fases con el servidor RADIUS local, especifique la dirección de un servidor DNS que pueda resolver el nombre del servidor RADIUS local. Como se describe en Configurar el servidor DNS de la red virtual, un servidor DNS debe instalarse de forma interna en su suscripción y configurarse para proporcionar la resolución de nombres externos. Las instancias de Unified Access Gateway utilizarán ese servidor DNS de forma predeterminada. Si especifica direcciones en este campo, las instancias de Unified Access Gateway implementadas utilizarán las direcciones además de los requisitos previos del servidor DNS que configuró en la red virtual de la suscripción. Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instancias de Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso de usuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver el enrutamiento de red, como el enrutamiento a servidores RADIUS para la autenticación en dos fases. Al configurar este nodo para utilizar la autenticación en dos fases con un servidor RADIUS local, debe introducir la ruta correcta que las instancias de Unified Access Gateway usarán para acceder al servidor RADIUS. Por ejemplo, si el servidor RADIUS local utiliza como dirección IP, escriba /24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno. Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4- network-address/bits ipv4-gateway-address, por ejemplo: / , / Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientes confíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. El certificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación de confianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada. La siguiente captura de pantalla es un ejemplo con este paso completado. VMware, Inc. 65

66 2 Elija una de las siguientes opciones. Opción Descripción Implementar el nodo sin configurar la autenticación en dos fases Configurar la autenticación en dos fases a b a b Deje la opción Habilitar autenticación en dos fases como No. Complete los pasos que se describen en Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo. Establezca la opción Habilitar autenticación en dos fases como Sí. Complete los pasos que se describen en Especificación de la funcionalidad Autenticación en dos fases para el nuevo nodo. Especificación de la funcionalidad Autenticación en dos fases para el nuevo nodo En el paso del Asistente de implementación de nodos para especificar escritorios habilitados por Internet, también puede especificar el uso de la autenticación en dos fases para el acceso de los usuarios finales a dichos escritorios. Estos detalles se configuran después de proporcionar la información de la sección Configuración de puerta de enlace. Prerequisitos Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure. VMware, Inc. 66

67 Compruebe que ha rellenado los campos de la configuración de puerta de enlace en el asistente tal como se describe en Activación de la capacidad para acceder a escritorios desde Internet. Al configurar la autenticación en dos fases en un servidor de autenticación local, también se proporciona información en los siguientes campos de modo que las instancias de Unified Access Gateway puedan resolver el enrutamiento a ese servidor local. Opción Direcciones de DNS Rutas Descripción Especifique una o más direcciones de servidores DNS que puedan resolver el nombre de su servidor de autenticación local. Especifique una de varias rutas personalizadas que permitan que las instancias del nodo de Unified Access Gateway resuelvan el enrutamiento de red para el servidor de autenticación local. Por ejemplo, si tiene un servidor RADIUS local que utiliza como dirección IP, use /24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno. Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-networkaddress/bits ipv4-gateway-address, por ejemplo: / , / Compruebe que ha usado la siguiente información en la configuración del servidor de autenticación, de modo que pueda incluirla en los campos adecuados del asistente de implementación de nodos. Si tiene un servidor principal y uno secundario, obtenga la información de cada uno de ellos. La dirección IP o el nombre DNS del servidor de autenticación. El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor de autenticación. Los números de puerto de autenticación, por lo general, el puerto UDP El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolo de autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 y MSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2). Procedimiento 1 Establezca la opción Habilitar autenticación en dos fases como Sí. Cuando la opción se establece como Sí, el asistente muestra campos de configuración adicionales. Utilice la barra de desplazamiento para acceder a todos los campos. La siguiente captura de pantalla es un ejemplo de lo que se muestra después de establecer la opción como Sí. VMware, Inc. 67

68 2 En la lista desplegable, seleccione el método de autenticación en dos fases. En esta versión, se admite la autenticación RADIUS. 3 En el campo Nombre, escriba un nombre identificativo para esta configuración. 4 En la sección Propiedades, especifique los detalles relacionados con la interacción de los usuarios finales con la pantalla de inicio de sesión que utilizarán para autenticar el acceso. Opción Nombre para mostrar Mostrar sugerencia Sufijo de ID de nombre Número de iteraciones Mantener nombre de usuario Descripción De forma opcional, proporcione un nombre que el sistema mostrará a los usuarios finales en la pantalla de inicio de sesión de Horizon Cloud para identificar el sistema RADIUS que usan para autenticarse. Opcionalmente, introduzca una cadena de texto que el sistema mostrará en el mensaje de la pantalla de inicio de sesión para que se introduzca el código de acceso RADIUS correcto. De forma opcional, introduzca una cadena de texto, como un nombre de dominio, que desee anexar al nombre de usuario antes de enviarlo al servidor de autenticación. Por ejemplo, si desea que un usuario escriba user1 en la pantalla de inicio de sesión, pero quiere que el sistema envíe user1@example.com al servidor de autenticación, en este campo. Introduzca el número máximo de intentos erróneos de autenticación que se permiten para el usuario al intentar iniciar sesión con el sistema RADIUS. Seleccione Sí para mantener el nombre de usuario de RADIUS durante la autenticación en Horizon Cloud. Cuando se selecciona Sí: El usuario debe tener las mismas credenciales de nombre de usuario para RADIUS que para su autenticación de Active Directory para Horizon Cloud. El usuario no puede cambiar el nombre de usuario en la pantalla de inicio de sesión. Si selecciona No, el usuario puede escribir otro nombre de usuario en la pantalla de inicio de sesión. VMware, Inc. 68

69 5 En la sección Servidor principal, especifique los detalles del servidor de autenticación. Opción Nombre de host/dirección IP Secreto compartido Puerto de autenticación Puerto de cuentas Mecanismo Tiempo de espera del servidor Número máximo de reintentos Prefijo del dominio kerberos Sufijo del dominio kerberos Descripción Introduzca el nombre DNS o la dirección IP del servidor de autenticación. Escriba el secreto para la comunicación con el servidor de autenticación. El valor debe ser idéntico al valor configurado por el servidor. Especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de autenticación. El valor predeterminado es De forma opcional, especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de contabilidad. El valor predeterminado es Seleccione el protocolo de autenticación compatible con el servidor de autenticación especificado y que desea que use el nodo implementado. Especifique el número de segundos que el nodo debe esperar para recibir una respuesta del servidor de autenticación. Después de este periodo de tiempo, se enviará un reintento si el servidor no responde. Especifique el número máximo de veces que el nodo debe volver a reenviar las solicitudes fallidas al servidor de autenticación. De forma opcional, proporcione una cadena que el sistema colocará delante del nombre de usuario cuando este se envíe al servidor de autenticación. La ubicación de la cuenta de usuario se denomina dominio kerberos. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el prefijo de dominio kerberos DOMAIN-A\ aquí, el sistema enviará DOMAIN- A\user1 al servidor de autenticación. Si no especifica ningún prefijo de dominio kerberos, solo se enviará el nombre de usuario. De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuario cuando este se envíe al servidor de autenticación. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el sufijo de dominio aquí, el sistema enviará user1@example.com al servidor de autenticación. 6 (Opcional) En la sección Servidor secundario, especifique opcionalmente los detalles de un servidor de autenticación auxiliar. Puede configurar un servidor de autenticación secundario para proporcionar alta disponibilidad. Establezca la opción Servidor auxiliar como Sí y rellene los campos tal como se describe en la Step 5. 7 Complete los pasos que se describen en Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo. Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo Después de hacer clic en Validar y continuar, el sistema comprueba los valores especificados. Si se valida todo, el asistente muestra un resumen de la información para su revisión. A continuación, inicie el proceso de implementación. VMware, Inc. 69

70 Procedimiento 1 Haga clic en Validar y continuar. El sistema valida los valores especificados, tales como: Son los intervalos de direcciones especificados para que las subredes por crear sean válidas y no se solapen con otras direcciones en la región seleccionada dentro de la suscripción. Hay suficientes máquinas virtuales (VM) y núcleos en la cuota de su suscripción para generar el nodo? Está el certificado en el formato PEM correcto? Si se valida todo, se muestra la página de resumen. Si aparece un mensaje de error sobre las direcciones de red superpuestas, compruebe si ya hay subredes que utilicen los mismos valores en la suscripción. 2 En el paso final del asistente, revise la información resumida y haga clic en Enviar. El sistema empezará a implementar el nodo en su entorno de Microsoft Azure. La implementación del primer nodo puede tardar hasta una hora. Mientras se esté implementando el nodo, aparecerá un icono de progreso en la consola de administración de la pantalla Introducción. Es posible que tenga que actualizar la pantalla del navegador para ver el progreso. La interfaz de usuario basada en navegador puede agotar el tiempo de espera después de 30 minutos aproximadamente y pedirle que vuelva a iniciar sesión. IMPORTANTE: La etapa pendiente del nodo dura normalmente hasta diez minutos. No obstante, al implementar un nodo en la nube de Microsoft Azure China, el proceso de implementación general puede tardar hasta siete (7) horas en completarse. El proceso está sujeto a problemas de red geográficos que pueden provocar bajas velocidades de descarga dado que los archivos binarios se descargan desde el plano de control de nube. Si ve la etapa del nodo como Pendiente durante más de 20 minutos y la implementación no se realiza en Microsoft Azure China, probablemente haya un problema con la configuración de red de su entorno. Por ejemplo, es posible que el DNS de la VNet configurado no esté resolviendo los nombres internos o externos, o que los puertos salientes necesarios no estén abiertos o estén bloqueados por el firewall. Cuando el nodo parezca estar bloqueado en el estado pendiente, puede ejecutar algunas pruebas para verificar si las redes de su entorno están configuradas correctamente para los requisitos del nodo. Consulte Capítulo 6 Solución de problemas de implementación del nodo o de enlace de dominio inicial. Durante el proceso de implementación del nodo, la sección Capacidad de la página Introducción indica las diversas etapas por las que atraviesa el proceso, como pendiente, descargando, en creación, conectando, etc. VMware, Inc. 70

71 La siguiente tabla ofrece algunas duraciones aproximadas de ejemplo para las etapas de la creación del nodo. IMPORTANTE: Las duraciones reales que experimente en curso de la implementación variarán según las latencias de red que existan en el momento. Realizar copias intermedias Pendiente Descargando Creando Conectando Duración de muestra 10 minutos 10 minutos 15 minutos 10 minutos Cuando el nodo se implementa correctamente: Horizon Cloud envía una notificación por correo electrónico al propietario de la cuenta que se haya identificado en el registro de cuenta del cliente de Horizon Cloud correspondiente. El correo electrónico indica que la incorporación del nodo está completa. Aparece una marca de verificación verde en la pantalla Introducción junto a un mensaje que reza que se agregó el nodo y que explica cómo completar el proceso de unión al dominio. VMware, Inc. 71

72 NOTA: Si se produce un error en el proceso de implementación por algún motivo, o si no le gusta los valores que utilizó y desea empezar de nuevo antes de registrar el dominio de Active Directory, se muestra un botón Eliminar. Puede hacer clic en el botón Eliminar para eliminar los artefactos que se hayan implementado. Cuando la pantalla indique que el nodo se eliminó correctamente, puede iniciar el proceso haciendo clic en Agregar nuevamente. Si decide eliminar el nodo desde este punto, debido a la latencia de red, la página Primeros pasos puede indicar que el nodo se elimine completamente antes de que todos los artefactos relacionados con el nodo se borren completamente del entorno de Microsoft Azure. Antes de ejecutar al Asistente de implementación de nodos nuevamente después de eliminar el nodo nuevo, realice los siguientes pasos: 1 Cierre sesión en la interfaz de usuario de Horizon Cloud. 2 Inicie sesión en el portal de Microsoft Azure. 3 Desplácese hasta la VNet y compruebe que las subredes creadas por el nodo no existan y que los rangos de direcciones que especificó para las subredes del nodo se hayan eliminado del espacio de direcciones de la VNet. A continuación, puede volver a iniciar sesión en Horizon Cloud para ejecutar nuevamente el Asistente de implementación de nodos. Qué hacer a continuación Expanda la sección Configuración general del asistente Introducción a Horizon Cloud y complete la tarea de registro de un dominio de Active Directory requerida. El siguiente paso que debe realizar es registrar Active Directory. Después de registrar el dominio, continúe administrando este nodo en la consola de administración. Consulte el capítulo de introducción a Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. Después de registrar el dominio de Active Directory, siga el asistente Introducción para ver qué tarea ha de completarse a continuación. Si el nodo se implementa con la opción Escritorios habilitados para Internet establecida en Sí (predeterminado), antes de que los usuarios finales puedan acceder a las aplicaciones remotas o los escritorios, debe configurar un registro CNAME en el servidor DNS para asignar el FQDN público generado automáticamente del equilibrador de cargas implementado por el nodo al FQDN que introdujo en el asistente de implementación. La dirección IP pública del equilibrador de carga tiene un FQDN público generado automáticamente en formato vmw-hcs-iddelnodouag.región.cloudapp.azure.com, donde IDdelnodo es el UUID del nodo y región es la región de Microsoft Azure en la que se encuentra el nodo. El registro de su servidor DNS asigna el FQDN público generado automáticamente del equilibrador de cargas al FQDN que utilizarán los usuarios finales, y que se utiliza en el certificado cargado. ourapps.ourorg.example.com vwm-hcs-iddelnodo-uag.región.cloudapp.azure.com VMware, Inc. 72

73 Para conocer los pasos que deben seguirse para obtener el FQDN público del equilibrador de cargas en el portal de Microsoft Azure, consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. Puede realizar esos pasos después de los pasos necesarios para registrar el dominio de Active Directory. Si especificó la autenticación en dos fases RADIUS para los escritorios de los usuarios finales desde este nodo, debe configurar su sistema RADIUS con la dirección IP pública del equilibrador de cargas de Unified Access Gateway del nodo como un cliente autorizado a realizar solicitudes de ese sistema RADIUS. Las instancias del nodo Unified Access Gateway autentican las solicitudes desde el sistema RADIUS a través de esa dirección. VMware, Inc. 73

74 Ahora que el nodo inicial de Horizon Cloud está completamente implementado 5 Enhorabuena por implementar su primera instancia de Horizon Cloud en Microsoft Azure. La página Primeros pasos de la consola administrativa indica cuándo se ha incorporado correctamente el nodo en el sistema. En Guía de administración de VMware Horizon Cloud Service on Microsoft Azure, se proporcionan los pasos detallados para continuar. Consulte el tema denominado Introducción al uso del entorno de Horizon Cloud y sus subtemas en Guía de administración de VMware Horizon Cloud Service on Microsoft Azure. Ese documento está disponible desde la página de destino de la documentación de Horizon Cloud. VMware, Inc. 74

75 Solución de problemas de implementación del nodo o de enlace de dominio inicial 6 Si las redes de su entorno no están configuradas correctamente para su uso con el nodo de Horizon Cloud, el proceso para crear el nodo puede quedar atascado en el estado PENDIENTE o puede fallar la acción posterior a la implementación de enlace de dominio para el entorno Active Directory. Las dos causas más comunes de errores relacionados con la red son no abrir los puertos salientes necesarios y no poder habilitar el DNS para resolver las direcciones internas y externas. Siguiendo los pasos de solución de problemas descritos aquí, puede ejecutar algunas pruebas para comprobar que los puertos salientes necesarios estén abiertos y el DNS pueda resolver las direcciones internas y externas. Los requisitos de redes generales para implementar correctamente un nodo se establecen en el documento de lista de comprobación de requisitos previos, ubicado en este vínculo PDF y descriptos en Configurar el servidor DNS de la red virtual y Requisitos de DNS, puertos y protocolos de Horizon Cloud. Si las redes de su entorno no cumplen estos requisitos, se enfrentará a uno o ambos de estos dos problemas: Problemas La página Introducción muestra el nodo en estado pendiente y nunca pasa al estado de conexión. Por lo general, un nodo está en estado pendiente durante aproximadamente 10 minutos (excepto cuando se implementa un nodo en la nube de Microsoft Azure China, que tarda más). Incluso cuando el nodo se haya implementado correctamente, cuando se intenta registrar Active Directory, el paso del enlace de dominio falla y presenta el error Unable to register Active Directory Causas comunes Los puertos salientes necesarios no están abiertos o están bloqueados por su entorno de firewall. Si los puertos salientes necesarios no están abiertos o están bloqueados por un firewall, se impide que el software del nodo se descargue de forma segura en el entorno de nube de Microsoft Azure y vuelva a conectarse con el plano de control de la nube de Horizon Cloud. Como resultado, se produce el problema de estado pendiente. El servidor DNS de la VNet no está configurado correctamente para que apunte a un servidor DNS válido que pueda resolver nombres de máquina tanto internos como externos. Aunque el servidor DNS de la VNet apunte correctamente a un servidor DNS, ese servidor DNS no puede resolver los nombres de máquina internos ni externos. Si no se proporciona a la VNet ninguna resolución de DNS para los nombres de máquina externos, se puede producir el problema de estado pendiente y el problema de enlace de dominio. Por ejemplo, si el DNS no se puede resolver en Active Directory en los controladores de dominio, se produce un error en el paso del enlace de dominio. Para obtener más información sobre la configuración de DNS de la VNet, consulte Configurar el servidor DNS de la red virtual. VMware, Inc. 75

76 Para ejecutar algunas pruebas que comprobarán que la configuración de DNS puede resolver nombres internos y externos, y comprobar que los puertos salientes necesarios estén abiertos, debe implementar una máquina virtual (VM) de prueba pequeña en la suscripción de Microsoft Azure y, a continuación, usar esa máquina virtual para ejecutar estas pruebas de redes. La secuencia de alto nivel de pasos para solucionar problemas es la siguiente: 1 Cree un par de claves de SSH. 2 Cree la máquina virtual de prueba en la suscripción a Microsoft Azure. 3 Conéctese a esa máquina virtual de prueba. 4 Ejecute las pruebas de redes. 5 Al realizar la prueba, elimine la máquina virtual de prueba y todos los artefactos relacionados con la prueba que se crearon en su entorno de Microsoft Azure para realizar esta solución de problemas. NOTA: Si no elimina los artefactos relacionados con la prueba y, posteriormente, usa la acción Eliminar de la consola administrativa para eliminar el nodo, pueden producirse resultados inesperados. Al eliminar un nodo, el sistema comprueba las subredes del nodo para comprobar que todos los elementos conectados a las subredes pertenecen al nodo (de acuerdo con el UUID de nodo). Si el sistema determina que las máquinas virtuales adicionales, discos de máquina virtual, direcciones IP u otros artefactos están conectados a las subredes del nodo, el sistema no puede eliminar el nodo correctamente. Para obtener más información sobre la ejecución de las pruebas de solución de problemas, consulte las secciones siguientes. IMPORTANTE: Si se dirige todo el tráfico saliente a través de la red local y solo se permite que pase el tráfico autenticado, pero no proporcionó valores para usar un proxy en el Asistente de implementación de nodo, a pesar de que todas estas pruebas manuales se realizarán correctamente, el tráfico enviado por un origen sin autenticar, el jumpbox, presentará un error. El síntoma de esta situación es que la implementación del nodo se bloquea en estado pendiente. Si se encuentra en esta situación, debe eliminar el nodo de la página Primeros pasos, volver a ejecutar el Asistente de implementación de nodo y especificar la información del proxy requerida. Procedimiento 1 Crear un par de claves SSH Es necesario un par de claves SSH para autenticación en la máquina virtual Linux de prueba que se va a implementar en su suscripción a Microsoft Azure. Cree el par de claves en el sistema que se va a utilizar para la conexión SSH con la máquina virtual de prueba. Este paso es opcional si ya tiene un par de claves en ese sistema. 2 Crear la máquina virtual de prueba en la suscripción a Microsoft Azure Para ejecutar las pruebas que comprobación la conectividad de red que esté configurada para el nodo Horizon Cloud utilizará una máquina virtual (VM) de prueba de Linux en el entorno de Microsoft Azure. VMware, Inc. 76

77 3 Utilizar SSH para conectarse a la máquina virtual de prueba Establezca una conexión SSH (shell seguro) con la máquina virtual de prueba para poder ejecutar las pruebas de conectividad de red en el entorno de Microsoft Azure. 4 Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure Puede ejecutar estas pruebas para comprobar que estas dos áreas relacionadas con la red estén configuradas correctamente: que el DNS pueda resolver las direcciones internas y externas, y que los puertos salientes necesarios estén abiertos. Estas pruebas se ejecutan con la máquina virtual de prueba. 5 Eliminar la máquina virtual de prueba después de completar las pruebas Cuando haya terminado las pruebas para comprobar la configuración de red de Microsoft Azure y ya no necesite la máquina virtual de prueba, debe eliminarla del entorno de Microsoft Azure, como también, debe eliminar todos los artefactos relacionados. Crear un par de claves SSH Es necesario un par de claves SSH para autenticación en la máquina virtual Linux de prueba que se va a implementar en su suscripción a Microsoft Azure. Cree el par de claves en el sistema que se va a utilizar para la conexión SSH con la máquina virtual de prueba. Este paso es opcional si ya tiene un par de claves en ese sistema. Puede utilizar un sistema Microsoft Windows o Linux para crear este par de claves SSH. Los pasos para ambos tipos de sistemas se describen a continuación. Elija los pasos más adecuados para su situación. Crear un par de claves SSH en un sistema Microsoft Windows Siga estos pasos cuando vaya a utilizar un sistema Microsoft Windows para conexión SSH con la máquina virtual Linux de prueba que se va a implementar en su suscripción a Microsoft Azure. Cuando se crea la máquina virtual de prueba en Microsoft Azure, utilizará el contenido del archivo de la clave pública generada. Si ya tiene un par de claves SSH existente en el sistema Microsoft Windows que se va a utilizar para conectarse con la máquina virtual de prueba, puede omitir este paso y continuar con la creación de la máquina virtual de prueba, como se describe en Crear la máquina virtual de prueba en la suscripción a Microsoft Azure. Siguiendo estos pasos, se genera el par de claves SSH, se copia el contenido del archivo de clave pública de manera que pueda utilizarlo al crear la máquina virtual de prueba y se carga la clave privada en la herramienta Pageant de PuTTY. Pageant es un agente de autenticación SSH que puede contener las claves privadas en la memoria. Manteniendo la clave privada en la memoria, la clave privada se aplica automáticamente contra cualquier sesión SSH de ese sistema Microsoft Windows, lo que facilita aún más su uso. VMware, Inc. 77

78 Prerequisitos Un sistema Microsoft Windows no tiene instalado de forma predeterminada el software de par de claves SSH. Compruebe que el software de generación de par de claves SSH esté instalado en el sistema que va a utilizar. Puede utilizar cualquier software de generación de par de claves SSH. Los siguientes pasos describen cómo usar el software PuTTY en Microsoft Windows para crear el par de claves SSH. Puede obtener el software PuTTY en Tras la instalación, el conjunto de herramientas PuTTY está disponible. La siguiente captura de pantalla muestra un ejemplo de las herramientas PuTTY en el menú Inicio. Procedimiento 1 En el sistema Microsoft Windows, inicie PuTTYgen (el generador de claves de PuTTY). En Microsoft Windows 10, la opción PuTTYgen en el menú Inicio es similar a la. Se muestra la ventana del generador de claves de PuTTY. Como se resaltó en la siguiente captura de pantalla, el objetivo es generar un par de claves pública y privada, del tipo SSH-2 RSA y tener 2048 bits. VMware, Inc. 78

79 2 Compruebe que SSH 2RSA esté seleccionado, 2048 esté establecido como la cantidad de bits y, a continuación, haga clic en Generar. La ventana cambia a la ventana Clave que muestra una barra de progreso. 3 Mueva el cursor de forma aleatoria en el área en blanco situada debajo de la barra de progreso. Al mover el cursor en el área se agrega la aleatoriedad requerida en el proceso. VMware, Inc. 79

80 4 Guarde la clave privada en el sistema. Para ello introduzca una frase de contraseña de clave y haga clic en Guardar la clave privada. NOTA: Utilizar una frase de contraseña de clave es una práctica recomendada opcional. Sin embargo, si hace clic en Guardar la clave privada sin tener que introducir una frase de contraseña de clave, una ventana emergente le pide que confirme si desea guardar la clave privada sin una frase de contraseña de clave. La clave privada se descarga como un archivo PPK. Después de hacer clic en Guardar la clave privada, puede desplazarse a un directorio en el sistema local, escribir un nombre de archivo y guardar el archivo. 5 Utilice el botón Guardar la clave pública para guardar la clave pública en una ubicación desde donde pueda copiarla al crear la máquina virtual de prueba. VMware, Inc. 80

81 6 Inicie Pageant, el agente de autenticación SSH de PuTTY. En Microsoft Windows 10, la opción Pageant del menú Inicio es similar a la. Al hacer clic en ella, el icono de Pageant de un equipo de computación con un sombrero se carga en la bandeja del sistema. La siguiente captura de pantalla muestra el icono de Pageant cargado en la bandeja del sistema Microsoft Windows Agregue la clave privada a Pageant haciendo clic derecho en ese icono de bandeja del sistema, haciendo clic en Agregar clave y utilizando la ventana de selección de archivo para ir a archivo de clave privada (PPK) guardado y seleccionarlo. NOTA: Si especificó una frase de contraseña de clave cuando se guardó el archivo de clave privada anteriormente, se muestra un cuadro para que escribir esa frase de contraseña. En este punto, la clave privada se carga en Pageant. Puede utilizar la opción de Ver claves en el menú Acción para ver la clave en la lista de claves cargadas. Cuando inicie una sesión SSH con PuTTY, PuTTY recuperará la clave automáticamente desde Pageant y la utilizará para autenticar sin tener que escribir la frase de contraseña. Posteriormente, cuando haya terminado de ejecutar las sesiones de SSH y desee apagar Pageant, utilice la opción Salir desde el menú secundario del icono de la bandeja del sistema de Pageant. Qué hacer a continuación Cree la máquina virtual de prueba siguiendo los pasos que aparecen en Crear la máquina virtual de prueba en la suscripción a Microsoft Azure. VMware, Inc. 81

82 Crear un par de claves SSH en un sistema Linux Siga estos pasos cuando utilice un sistema Linux para conectarse mediante SSH a la máquina virtual Linux de prueba que se implementará en la suscripción de Microsoft Azure. En los pasos para crear la máquina virtual de prueba en Microsoft Azure, se utilizará el contenido del archivo de claves públicas generado. Si ya hay un par de claves SSH en el sistema Linux que se utilizará para conectarse a la máquina virtual de prueba, puede omitir este paso y continuar con la creación de la máquina virtual de prueba, tal como se describe en Crear la máquina virtual de prueba en la suscripción a Microsoft Azure. Prerequisitos Antes de realizar estos pasos, asegúrese de que no se sobrescribirá ningún par de claves SSH existente que desee conservar para otros fines. En un sistema Linux, los archivos de claves SSH públicas y privadas se crean en el directorio de Linux ~/.ssh/id_rsa de forma predeterminada. Si ya existe un par de claves SSH en el directorio, y se usa el mismo nombre de archivo al ejecutar este comando, o si se especifica una ubicación diferente en el comando y ya existe un par de claves SSH en esa ubicación, el par existente se sobrescribirá. Procedimiento 1 En el sistema Linux, abra un shell de bash. 2 En el shell de bash, escriba el siguiente comando: ssh-keygen -t rsa -b Siga las instrucciones que aparecen en pantalla para introducir el archivo en el que se guardará la clave, escribir una frase de contraseña y confirmar la frase de contraseña. A continuación, se muestra un ejemplo de las instrucciones en pantalla, donde mykey se ha introducido como el archivo en el que se guardará la clave. -bash-4.1$ ssh-keygen -t rsa -b 2048 Generating public/private rsa key pair. Enter file in which to save the key (/mts-cm/home/user1/.ssh/id_rsa): mykey Enter passphrase (empty for no passphrase): Enter same passphrase again: NOTA: El uso de una frase de contraseña de clave es una práctica recomendada opcional. La clave privada se guardará en el archivo que se especifique, mientras que la clave pública se guardará en un archivo con el mismo nombre y la extensión.pub. Retomando el ejemplo anterior donde se introdujo mykey como archivo, la salida sería: Your identification has been saved in mykey. Your public key has been saved in mykey.pub. VMware, Inc. 82

83 Qué hacer a continuación Cree la máquina virtual de prueba siguiendo los pasos que aparecen en Crear la máquina virtual de prueba en la suscripción a Microsoft Azure. Crear la máquina virtual de prueba en la suscripción a Microsoft Azure Para ejecutar las pruebas que comprobación la conectividad de red que esté configurada para el nodo Horizon Cloud utilizará una máquina virtual (VM) de prueba de Linux en el entorno de Microsoft Azure. Prerequisitos Compruebe que tenga la clave pública de SSH creada como se describe en Crear un par de claves SSH. Esa clave pública se proporcionará en el Asistente de creación de la máquina virtual para que esta última confíe en las conexiones de SSH procedentes del sistema que tenga la clave privada correspondiente. Compruebe que el nombre de la red virtual (VNet) sea el mismo que se utiliza para implementar el nodo, tal como se describe en Configurar la red virtual obligatoria en Microsoft Azure. Si intentó implementar un nodo y el proceso de implementación falló en algún momento, es posible que el proceso ya haya creado la subred de administración del nodo en la VNet. Si así fuera, se recomienda implementar la máquina virtual de prueba en esa subred. Para identificar la existencia de la subred de administración del nodo en la VNet, inicie sesión en el portal de Microsoft Azure, desplácese a esa VNet y examine la lista de subredes que tiene. Puede desplazarse hasta la VNet mediante la opción Redes virtuales ( ) en la barra de navegación izquierda. La subred de administración del nodo tendrá un nombre con el patrón vmwhcs-nodeid-net-management, donde nodeid es el UUID del nodo. Si el proceso de implementación del nodo no creó la subred de administración del nodo en la VNet, puede elegir cualquier subred disponible en la VNet o crear una nueva subred para que la use la máquina virtual de prueba. Procedimiento 1 Inicie sesión en el portal de Microsoft Azure. 2 En la barra de navegación izquierda del portal, haga clic en Máquinas virtuales ( ) y, a continuación, haga clic en + Agregar. VMware, Inc. 83

84 3 Busque Ubuntu Server LTS y selecciónelo. 4 Seleccione Administrador de recursos como modelo de implementación y haga clic en Crear. Se abrirá el Asistente de creación de máquinas virtuales en los pasos para configurar los ajustes básicos. 5 Proporcione la configuración básica de la máquina virtual y, a continuación, haga clic en Aceptar para ir al siguiente paso del asistente. Opción Nombre Tipo de disco de máquina virtual Nombre de usuario Descripción Escriba un nombre para la máquina virtual. Conserve la configuración de SSD predeterminada. Escriba un nombre de usuario que cumpla con los requisitos de nombre de usuario de Microsoft Azure, tal como se describe en la documentación de Microsoft aquí. IMPORTANTE: Tome nota de este nombre debido a que deberá utilizarlo más adelante. Tipo de autenticación Clave pública SSH Suscripción Grupo de recursos Ubicación Seleccione Clave pública SSH. En este campo, pegue la clave pública SSH que creó al generar el par de claves SSH. El contenido pegado debe comenzar con la línea ---- BEGIN SSH2 PUBLIC KEY ---- y terminar con la línea ---- END SSH2 PUBLIC KEY ---- de la clave pública. Seleccione la misma suscripción que se utiliza para el nodo. La opción recomendada es crear un nuevo grupo de recursos para la máquina virtual de prueba y los artefactos relacionados, como su disco. Seleccione Crear nuevo e introduzca un nombre para el nuevo grupo de recursos. Aunque pueda usar un grupo de recursos existente con esta máquina virtual de prueba, se recomienda un grupo de recursos específico, ya que resulta más fácil eliminar la máquina virtual y los artefactos relacionados simplemente eliminando el grupo de recursos completo cuando haya finalizado la ejecución de las pruebas. Seleccione la misma región geográfica física que se utiliza para el nodo. VMware, Inc. 84

85 VMware, Inc. 85

86 6 En el paso de tamaño del asistente, haga clic en un tamaño de máquina virtual y, a continuación, en Seleccionar para pasar al siguiente paso del asistente. Debido a que se espera que sea una máquina virtual temporal, utilizada solo para completar las pruebas de comprobación, puede elegir cualquier tamaño. Sin embargo, debido a que, por lo general, los tamaños menores suelen tener menores costos asociados en Microsoft Azure, suele elegirse un tamaño pequeño para la máquina virtual de prueba. La siguiente captura de pantalla ilustra el ejemplo de cómo elegir el tamaño D2S_V3 estándar. 7 En el paso de configuración del asistente, especifique las opciones de red clave para la máquina virtual de prueba. En este paso del asistente, se eligen tres opciones importantes. La siguiente captura de pantalla muestra estos tres elementos clave. Después de configurar las tres opciones de red clave, puede conservar todos los demás valores predeterminados. VMware, Inc. 86

87 . VMware, Inc. 87

88 Opción Red virtual Subred Descripción Debe seleccionar la misma VNet que se utiliza para implementar el nodo. Esta VNet debe ser la que configuró según los detalles de la lista de comprobación de requisitos previos y como se describe en Configurar la red virtual obligatoria en Microsoft Azure. Si ya ha intentado implementar el nodo y el proceso falló, es posible que la subred de administración del nodo se haya creado en la red virtual. Si la subred está allí, se recomienda seleccionar esa subred para la máquina virtual de prueba. Haga clic en la opción Subred para desplazarse a las subredes que existen en la red virtual seleccionada. Es posible que deba pasar el cursor sobre la subred para ver su nombre completo en la información sobre herramientas. Esta captura de pantalla muestra cómo colocar el cursor sobre una subred para ver el patrón de nombres de la subred de administración de un nodo, con el patrón vmw-hcs-nodeid-net-management. Si el proceso de implementación del nodo no creó la subred de administración del nodo en la VNet, seleccione la subred de la VNet que identificó para usar para la máquina virtual de prueba (como se describe en los requisitos previos anteriores). NOTA: Si el nodo se implementó correctamente, pero está solucionando problemas de unión a dominio, puede seleccionar la subred de escritorio del nodo para la máquina virtual de prueba en lugar de la subred de administración, debido a que las operaciones de unión a dominio se usan con las imágenes de escritorio que se conectan a esa subred de escritorio. Dirección IP pública Seleccione esta opción para que la máquina virtual de prueba que creó tenga una dirección IP pública asignada. Tener una dirección IP pública le permite conectarse a ella a través de la red de área extensa (WAN). NOTA: Es posible que no sea técnicamente viable usar una dirección IP pública en la configuración de red. Si no se puede crear la máquina virtual de prueba con una IP pública, deberá tener conectividad de red desde el sistema local hacia la subred seleccionada en el campo Subred o será necesario conectarse a alguna otra máquina en la red y, a continuación, realizar una conexión de entrada a la máquina virtual de prueba. 8 Haga clic en Aceptar para ir al paso de resumen del asistente. 9 En el paso de resumen, compruebe que la información clave (suscripción, ubicación, red virtual y la subred) coincida con la que se utiliza para el nodo y, a continuación, haga clic en Crear. VMware, Inc. 88

89 La creación de la máquina virtual de prueba empezará a ejecutarse. Por lo general, podrá ver el progreso de la ejecución en el panel de control de Microsoft Azure, tal como se ilustra en la siguiente captura de pantalla. La implementación de la máquina virtual suele tardar, por lo general, de cinco a diez minutos. Al implementar completamente la máquina virtual, esta tendrá el estado En ejecución. La siguiente captura de pantalla muestra los detalles de una máquina virtual de prueba de ejemplo. Cuando vea que la máquina virtual de prueba está activa y en ejecución, conéctese a ella. Siga los pasos descritos en Utilizar SSH para conectarse a la máquina virtual de prueba. Utilizar SSH para conectarse a la máquina virtual de prueba Establezca una conexión SSH (shell seguro) con la máquina virtual de prueba para poder ejecutar las pruebas de conectividad de red en el entorno de Microsoft Azure. Conexión de SSH con la máquina virtual de prueba desde un sistema Microsoft Windows Esta conexión se establece desde el sistema Microsoft Windows que tiene la clave privada que se corresponde con la clave pública especificada cuando se creó la máquina virtual de prueba. VMware, Inc. 89

90 Prerequisitos Compruebe que tiene la dirección IP de la máquina virtual de prueba y el nombre de usuario que especificó cuando se creó la máquina virtual. En un sistema Microsoft Windows, se suele usar PuTTY. Para facilitar a PuTTY cargar la clave privada al iniciar la sesión de SSH, antes de iniciar PuTTY, inicie Pageant, tal como se describe en Crear un par de claves SSH en un sistema Microsoft Windows, y agregue la clave SSH privada a la lista de claves de Pageant. La clave SSH privada debe coincidir con la clave pública que se especificó al crear la máquina virtual de prueba. Cuando se carga la clave privada en Pageant, la sesión de SSH de PuTTY utilizará dicha clave privada automáticamente. Procedimiento 1 Inicie PuTTY ( ). Se abrirá la ventana de configuración de PuTTY. 2 En la ventana de configuración de PuTTY, especifique el nombre de host, seleccione SSH y, a continuación, haga clic en Abrir. En el campo Nombre de Host de la ventana de configuración de PuTTY, escriba una cadena con el patrón testvm_username@testvmip sustituyendo el nombre de usuario y la dirección IP de la máquina virtual de prueba por testv_username y testvmip en la cadena. IMPORTANTE: Después de hacer clic en Abrir, si es la primera vez que se conecta a la máquina virtual de prueba, aparecerá un mensaje de seguridad de PuTTY que indica que la clave de host del servidor no se ha almacenado en caché y que muestra la huella digital de clave rsa2 del servidor. Haga clic en Sí para agregar la clave de host del servidor en la memoria caché de PuTTY y establecer la conexión, o haga clic en No para conectarse sin agregar la clave a la memoria caché de PuTTY. Si sospecha que la conexión no se establecerá con la máquina virtual de prueba, haga clic en Cancelar para abandonar la conexión y volver a la ventana de configuración de PuTTY con el objetivo de comprobar la entrada del nombre de host. La siguiente captura de pantalla ilustra la ventana que usa el ejemplo testvmadmin@ VMware, Inc. 90

91 . Cuando se establece la conexión SSH, aparece una ventana de la línea de comandos con un aspecto parecido a la siguiente captura de pantalla. Qué hacer a continuación Ahora que se ha establecido la conexión con la máquina virtual de prueba, puede ejecutar las pruebas para comprobar la conectividad de red en el entorno de Microsoft Azure. Siga los pasos que se describen en Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure. VMware, Inc. 91

92 Conexión de SSH con la máquina virtual de prueba desde un sistema Linux Esta conexión se establece desde el sistema Linux que tiene la clave privada que se corresponde con la clave pública especificada cuando se creó la máquina virtual de prueba. Prerequisitos Compruebe que tiene la dirección IP de la máquina virtual de prueba y el nombre de usuario que especificó cuando se creó la máquina virtual. Procedimiento 1 Abra un shell de bash. 2 En la línea de comandos $ del shell de bash, introduzca el comando ssh tal como se muestra a continuación, sustituyendo la dirección IP y el nombre de usuario de la máquina virtual de prueba por testvmip y testvm_username en el comando: ssh testvm_username@testvmip Por ejemplo, con la información de la máquina virtual de prueba de los ejemplos de Crear la máquina virtual de prueba en la suscripción a Microsoft Azure, este sería el aspecto del comando de ejemplo: ssh testvmadmin@ Cuando se establece la conexión SSH, aparece una ventana de la línea de comandos con un aspecto parecido a la siguiente captura de pantalla. VMware, Inc. 92

93 Qué hacer a continuación Ahora que se ha establecido la conexión con la máquina virtual de prueba, puede ejecutar las pruebas para comprobar la conectividad de red en el entorno de Microsoft Azure. Siga los pasos que se describen en Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure. Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure Puede ejecutar estas pruebas para comprobar que estas dos áreas relacionadas con la red estén configuradas correctamente: que el DNS pueda resolver las direcciones internas y externas, y que los puertos salientes necesarios estén abiertos. Estas pruebas se ejecutan con la máquina virtual de prueba. El nodo se basa en DNS para resolver las direcciones internas y externas. Las dos primeras pruebas aquí comprueban si el DNS configurado en el entorno de red puede resolver los FQDN conocidos para las direcciones internas y externas. IMPORTANTE: Si se dirige todo el tráfico saliente a través de la red local y solo se permite que pase el tráfico autenticado, pero no proporcionó valores para usar un proxy en el Asistente de implementación de nodo, a pesar de que todas estas pruebas manuales se realizarán correctamente, el tráfico enviado por un origen sin autenticar, el jumpbox, presentará un error. El síntoma de esta situación es que la implementación del nodo se bloquea en estado pendiente. Si se encuentra en esta situación, debe eliminar el nodo de la página Primeros pasos, volver a ejecutar el Asistente de implementación de nodo y especificar la información del proxy requerida. Prerequisitos Antes de ejecutar estas pruebas, compruebe que haya creado una máquina virtual de prueba en la suscripción a Microsoft Azure y que esta tenga una conexión SSH, como se describe en Crear la máquina virtual de prueba en la suscripción a Microsoft Azure y Utilizar SSH para conectarse a la máquina virtual de prueba. Obtenga las direcciones IP y los nombres de dominio completos (FQDN) para los servidores que son internos de la red que se espera que sean accesibles desde la VNet, como el controlador de dominio de Active Directory. Esta información se utilizará en la prueba de verificación de DNS. Procedimiento 1 Compruebe que el DNS esté funcionando en su entorno para resolver los FQDN internos utilizando el comando dlg para consultar un nombre de dominio conocido que sea interno de la VNet en Microsoft Azure. En la ventana de la conexión SSH, emita el comando dig para consultar el nombre de dominio de un servidor que sabe que sea interno de la red, como el controlador de dominio de Active Directory. dig internal-domain-name Donde internal-domain-name es el nombre de dominio totalmente cualificado de un servidor que sabe es interno de la red. VMware, Inc. 93

94 dig (Domain Information Groper) es una herramienta de línea de comandos para solucionar problemas de red. Al ejecutar este comando con un nombre de host interno, el resultado verifica que la configuración del DNS pueda resolver las direcciones internas correctamente. Si la configuración del DNS puede resolver el internal-domain-name que se utiliza en el comando, la salida del comando devolverá la dirección IP correcta asociada con ese nombre de dominio. Por ejemplo, supongamos que la VNet está configurada con un servidor interno de Active Directory cuyo controlador de dominio de Active Directory tiene una entrada DNS de skylo.local y una dirección IP de Al ejecutar dig skylo.local se debería comprobar si la configuración de DNS de la VNet puede resolver ese nombre de servidor interno skylo.local: testvmadmin@hcs-testingvm:~$ dig skylo.local ; <<>> DiG P4-Ubuntu <<>> skylo.local ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4000 ;; QUESTION SECTION: ;skylo.local. IN A ;; ANSWER SECTION: skylo.local. 600 IN A ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Mon Mar 26 20:58:01 UTC 2018 ;; MSG SIZE rcvd: 56 testvmadmin@hcs-testingvm:~$ La prueba es correcta cuando ANSWER SECTION indica que el nombre de host proporcionado se resolvió a la dirección IP que se espera para ese nombre de host. NOTA: En ocasiones, el DNS no es totalmente fiable y algunas solicitudes resuelven correctamente mientras que otras no. Si la emisión del comando produce un error la primera vez, ejecútelo de diez a veinte iteraciones y vea si obtiene respuestas confiables cada vez. 2 Compruebe que el DNS esté funcionando en su entorno para resolver nombres de dominio completos externos utilizando el comando dlg para consultar un nombre de dominio externo conocido. En la ventana de la conexión SSH, emita el comando dig para consultar un nombre de dominio externo estándar del sector, como vmware.com o microsoft.com. dig external-domain-name VMware, Inc. 94

95 Donde external-domain-name es un nombre de dominio totalmente cualificado que está fuera de la VNet. Por ejemplo, al ejecutar dig vmware.com se comprueba si la configuración de DNS de la VNet pudo resolver ese nombre externo: dig vmware.com ; <<>> DiG P4-Ubuntu <<>> vmware.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4000 ;; QUESTION SECTION: ;vmware.com. IN A ;; ANSWER SECTION: vmware.com. 150 IN A vmware.com. 150 IN A ;; Query time: 28 msec ;; SERVER: #53( ) ;; WHEN: Mon Mar 26 21:14:29 UTC 2018 ;; MSG SIZE rcvd: 71 testvmadmin@hcs-testingvm:~ En el ejemplo anterior, ANSWER SECTION indica que el nombre de dominio externo vmware.com se resolvió correctamente a dos direcciones IP. NOTA: Puede repetir esta prueba usando diversos nombres de dominio externo, como azure.com o microsoft.com, para comprobar que el DNS pueda resolver diferentes nombres externos. Si las pruebas de DNS no funcionan, compruebe las configuraciones de red y su servidor DNS. Compruebe que haya agregado su servidor DNS a la VNet. IMPORTANTE: Si detecta que necesita agregar el servidor DNS a la VNet o tiene que cambiar la configuración del servidor DNS de la VNet, debe reiniciar todas las máquinas virtuales que estén conectadas a esa VNet para que estas incorporen el cambio. Si cambia la configuración del servidor DNS de la VNet y no reinicia todas las máquinas virtuales conectadas a esa VNet, los cambios no se propagarán correctamente en la VNet. VMware, Inc. 95

96 3 Compruebe que los puertos de salida obligatorios estén disponibles mediante el comando netcat. Horizon Cloud requiere que algunos puertos salientes estén abiertos, para que el software del nodo pueda descargarse de forma segura en su entorno de Microsoft Azure y para que el nodo se pueda conectar con el plano de control de Horizon Cloud. Como se describe en Requisitos de DNS, puertos y protocolos de Horizon Cloud, los siguientes puertos TCP salientes deben estar abiertos en la subred de administración del nodo: el puerto 80, 443 y Si ejecuta netcat, como se indica en el siguiente comando, puede verificar que esos puertos salientes estén abiertos. En la ventana de la conexión SSH, ejecute los siguientes comandos (uno por puerto). NOTA: El siguiente comando para probar el puerto especifica packages.microsoft.com para probar la conexión, mientras que las otras dos líneas prueban la conexión saliente con el plano de control de Horizon Cloud. testvmadmin@hcs-testingvm:~$ netcat -v -w 3 cloud.horizon.vmware.com 80 Connection to cloud.horizon.vmware.com 80 port [tcp/http] succeeded! testvmadmin@hcs-testingvm:~$ netcat -v -w 3 cloud.horizon.vmware.com 443 Connection to cloud.horizon.vmware.com 443 port [tcp/https] succeeded! testvmadmin@hcs-testingvm:~$ netcat -v -w 3 packages.microsoft.com Connection to packages.microsoft.com port [tcp/hkp] succeeded! Cuando un puerto está abierto correctamente, el comando netcat devuelve la línea succeeded! para su prueba. Si los comandos netcat devuelven errores, compruebe las conexiones de red de Microsoft Azure, los grupos de seguridad de red en su suscripción y cualquier servidor de seguridad que pueda tener instalado. Asegúrese de que la configuración de red cumpla los requisitos de DNS, puertos y protocolo que el nodo necesita para la implementación, como se describe en Requisitos de DNS, puertos y protocolos de Horizon Cloud. Si las pruebas anteriores se realizan correctamente, podrá implementar correctamente el nodo. NOTA: Si va a configurar funciones opcionales para su uso con el nodo, como la autenticación de dos factores Radius o True SSO, es posible que se necesiten puertos adicionales para estos fines. Puede utilizar las técnicas de prueba de puertos de salida anteriores para comprobar que estos puertos están abiertos correctamente. VMware, Inc. 96

97 Qué hacer a continuación Cuando haya completado la prueba, debe eliminar la máquina virtual de prueba y todos los artefactos relacionados, como su disco de máquina virtual, dirección IP, NIC, desde el entorno de Microsoft Azure. Lo ideal es que debería haber creado un grupo de recursos para la máquina virtual de prueba y simplemente elimine ese grupo de recursos para eliminar todos los artefactos de la máquina virtual. Siga los pasos descritos en Eliminar la máquina virtual de prueba después de completar las pruebas. IMPORTANTE: Si no elimina todos los artefactos de la máquina virtual de prueba del entorno de Microsoft Azure y conecta la máquina virtual a una de las subredes del nodo, es posible que, debido a esos artefactos conectados, el sistema no pueda eliminar completamente el nodo restante si intenta eliminar el nodo mediante la consola administrativa de una versión posterior. De forma predeterminada, cuando se utiliza la acción Eliminar para eliminar un nodo, Horizon Cloud elimina los grupos de recursos y las subredes que ha creado para el nodo. Microsoft Azure impedirá la eliminación de subredes que aún están en uso. Si los artefactos de la máquina virtual de prueba están conectados a las subredes del nodo, no se puede eliminar esas subredes, y la eliminación del nodo quedará incompleta. Para evitar esta situación, asegúrese de que se eliminen todos los artefactos de la máquina virtual de prueba después de que el nodo se implemente correctamente. Eliminar la máquina virtual de prueba después de completar las pruebas Cuando haya terminado las pruebas para comprobar la configuración de red de Microsoft Azure y ya no necesite la máquina virtual de prueba, debe eliminarla del entorno de Microsoft Azure, como también, debe eliminar todos los artefactos relacionados. IMPORTANTE: Si no elimina todos los artefactos de la máquina virtual de prueba del entorno de Microsoft Azure y conecta la máquina virtual a una de las subredes del nodo, es posible que, debido a esos artefactos conectados, el sistema no pueda eliminar completamente el nodo restante si intenta eliminar el nodo mediante la consola administrativa de una versión posterior. De forma predeterminada, cuando se utiliza la acción Eliminar para eliminar un nodo, Horizon Cloud elimina los grupos de recursos y las subredes que ha creado para el nodo. Microsoft Azure impedirá la eliminación de subredes que aún están en uso. Si los artefactos de la máquina virtual de prueba están conectados a las subredes del nodo, no se puede eliminar esas subredes, y la eliminación del nodo quedará incompleta. Para evitar esta situación, asegúrese de que se eliminen todos los artefactos de la máquina virtual de prueba después de que el nodo se implemente correctamente. Procedimiento 1 Inicie sesión en el portal de Microsoft Azure. VMware, Inc. 97

98 2 Utilice uno de los siguientes métodos para eliminar la máquina virtual de prueba, en función de cómo se haya implementado. Si implementó la máquina virtual de prueba en su propio grupo de recursos y dicho grupo no se usa con ningún otro fin, puede eliminar el grupo de recursos completo. ADVERTENCIA: Para evitar eliminar accidentalmente otros elementos, asegúrese de que el grupo de recursos contenga solo la máquina virtual de prueba y sus objetos asociados, como los adaptadores de red y el disco, antes de eliminar el grupo de recursos. a En el panel de navegación izquierdo del portal, haga clic en Grupos de recursos y busque el grupo de recursos de la máquina virtual de prueba. b Haga clic en el nombre del grupo de recursos para ver los elementos de ese grupo de recursos. VMware, Inc. 98