Horizon Cloud Service on Introducción a VMware … · Conexión de SSH con la máquina virtual de prueba desde un sistema Linux 92 Ejecutar las pruebas para comprobar las redes en

Introducción a VMwareHorizon Cloud Service onMicrosoft AzurePara el nivel de servicio que comienza el 29 de mayo de2018VMware Horizon Cloud ServiceVMware Horizon Cloud Service on Microsoft Azure 1.6

Introducción a VMware Horizon Cloud Service on Microsoft Azure

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2017, 2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de este documento de introducción 5

1 Introducción a un entorno de

VMware Horizon Cloud Service on Microsoft Azure 7

2 Flujo de trabajo sugerido para el primer nodo de Horizon Cloud en Microsoft

Azure 12

3 Preparar la implementación de un nodo de Horizon Cloud en Microsoft Azure 16

Requisitos de máquinas virtuales de Microsoft Azure 18

Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure 22

Configurar la red virtual obligatoria en Microsoft Azure 23

Configurar el servidor DNS de la red virtual 26

Configuraciones de dominio de Active Directory 27

Requisitos de DNS, puertos y protocolos de Horizon Cloud 27

Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones 37

Información relacionada con la suscripción para el Asistente de implementación 46

Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo 47

4 Implementar un nodo para VMware Horizon Cloud Service on Microsoft Azure 51

Inicio del asistente de implementación de nodos 54

Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo 56

Especificación de la información de configuración del nodo 60

Activación de la capacidad para acceder a escritorios desde Internet 63

Especificación de la funcionalidad Autenticación en dos fases para el nuevo nodo 66

Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo 69

5 Ahora que el nodo inicial de Horizon Cloud está completamente

implementado 74

6 Solución de problemas de implementación del nodo o de enlace de dominio

inicial 75Crear un par de claves SSH 77

Crear un par de claves SSH en un sistema Microsoft Windows 77

Crear un par de claves SSH en un sistema Linux 82

Crear la máquina virtual de prueba en la suscripción a Microsoft Azure 83

Utilizar SSH para conectarse a la máquina virtual de prueba 89

Conexión de SSH con la máquina virtual de prueba desde un sistema Microsoft Windows 89

VMware, Inc. 3

Conexión de SSH con la máquina virtual de prueba desde un sistema Linux 92

Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure 93

Eliminar la máquina virtual de prueba después de completar las pruebas 97


VMware, Inc. 4

Acerca de este documento deintroducción

Este documento de introducción a VMware Horizon Cloud Service™ on Microsoft Azure describe elproceso de implementación de los componentes de software necesarios en el entorno de MicrosoftAzure. Conecte su suscripción para utilizar Microsoft Azure con VMware Horizon® Cloud Service™ paraadministrar y enviar escritorios VDI y aplicaciones remotas y servidores virtuales de Windows con RDShabilitados.

Antes de iniciar todos los pasos descritos en este documento, consulte también la lista de comprobaciónde requisitos de VMware Horizon Cloud Service on Microsoft Azure. Ese documento está disponible enformato PDF y describe diversos elementos de requisitos previos necesarios para que la primeraimplementación se realice correctamente.

Para obtener información acerca de cómo utilizar el entorno después de finalizar todas las tareasdetalladas en esta guía, consulte Guía de administración de VMware Horizon Cloud Service on MicrosoftAzure, empezando por el tema Introducción a Horizon Cloud y los nodos de Horizon Cloud en dicha guía.

Historial de revisión del documentoEste documento, Introducción a VMware Horizon Cloud Service on Microsoft Azure, se actualiza concada versión del producto o cuando sea necesario.

En esta tabla se incluye el historial de actualizaciones.

Revisión Descripción

18 de agosto de 2018 Se agregó un tema nuevo: Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure.

Se agregaron los tamaños de disco del sistema operativo para las máquinas virtuales del nodo al tema Requisitos de máquinas virtuales de Microsoft Azure.

29 de mayo de 2018 Versión inicial, cuando las funciones descritas se implementaron activas en producción.

Manifiesto de nodo de VMware Horizon Cloud Service on Microsoft Azure versión 730 y posteriores.

Audiencia previstaLa información de este documento está destinada a administradores de centros de datos con experienciay que tengan conocimientos de Microsoft Azure, tecnología de virtualización y redes.

VMware, Inc. 5

http://www.vmware.com/info?id=1434


Acerca de las capturas de pantalla que se utilizan en estedocumentoNormalmente, las capturas de pantalla:

n Mostrarán solo la parte de la pantalla de interfaz de usuario que se corresponda con el texto delpunto en el que aparezca la captura de pantalla, y no necesariamente la interfaz de usuariocompleta.

n Tendrán áreas borrosas para mantener el anonimato de los datos donde sea conveniente.

NOTA: Algunas capturas de pantalla se toman con una resolución más alta que otras y es posible queaparezcan granuladas cuando el PDF se visualice al 100%. Sin embargo, si amplía el zoom al 200%, lasimágenes se verán claras y serán legibles.

Comunidad de Horizon CloudUtilice la comunidad de VMware Horizon Cloud en Microsoft Azure para preguntar dudas, explorar lasrespuestas dadas a las preguntas frecuentes de otros usuarios y acceder a vínculos de información útil.La comunidad se encuentra en https://communities.vmware.com/community/vmtn/horizon-cloud-service/horizon-cloud-on-azure.

Contactar con el servicio de soporte de VMwarePóngase en contacto con el servicio de soporte de VMware si necesita ayuda con el entorno deHorizon Cloud.

n Puede enviar una solicitud de soporte al servicio de soporte de VMware en línea con su cuentaMy VMware® o por teléfono.

n El artículo KB 2144012 Customer Support Guidelines proporciona detalles para obtener soportesegún el problema encontrado.

n En la consola administrativa, al hacer clic en el > Asistencia, se muestra también el vínculo a eseartículo KB 2144012.

Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware ofrece un glosario de términos que quizásdesconozca. Para conocer la definición de los términos que se utilizan en la documentación técnica deVMware, visite la página http://www.vmware.com/support/pubs.


VMware, Inc. 6

https://communities.vmware.com/community/vmtn/horizon-cloud-service/horizon-cloud-on-azure

https://communities.vmware.com/community/vmtn/horizon-cloud-service/horizon-cloud-on-azure

https://kb.vmware.com/s/article/2144012

http://www.vmware.com/support/pubs

Introducción a un entorno deVMware Horizon Cloud Serviceon Microsoft Azure 1Un entorno de VMware Horizon Cloud Service on Microsoft Azure combina la simplicidad de laadministración del plano de control de Horizon Cloud con los aspectos económicos de Microsoft Azure.Conecte la suscripción de Microsoft Azure a Horizon Cloud para administrar y enviar escritorios MicrosoftWindows 10 VDI, aplicaciones remotas y servidores virtuales Windows con RDS habilitado paraescritorios basados en sesiones. Si se configura el entorno, el software necesario de VMware seimplementa en su capacidad de Microsoft Azure. El software de VMware implementado crea una entidadconfigurada correctamente, el nodo de Horizon Cloud, que se empareja con el plano de control. Una vezque el nodo esté implementado, utilice el plano de control para aprovisionar los escritorios VDI y losservidores con RDS habilitado, así como para autorizar a sus usuarios finales a acceder a los escritoriosy las aplicaciones remotas.

Arquitectura deVMware Horizon Cloud Service on Microsoft AzureHorizon Cloud es un plano de control que VMware aloja en la nube. Este servicio en la nube permite laadministración y la coordinación centralizada de aplicaciones y escritorios remotos en su capacidad deMicrosoft Azure.

VMware se encarga de alojar el servicio y proporcionar actualizaciones y mejoras de la experiencia desoftware como servicio.

El plano de control de la nube también aloja una interfaz de usuario de administración comúndenominada consola administrativa de Horizon Cloud o, de forma abreviada, consola administrativa. Laconsola administrativa se ejecuta en los exploradores estándar. Proporciona a los administradores de TIuna única ubicación para las tareas de administración relacionadas con las asignaciones de usuarios ylos escritorios virtuales, las sesiones de escritorio remoto y las aplicaciones. Es posible acceder a laconsola de administración desde cualquier lugar y en cualquier momento, con la máxima flexibilidad.

IMPORTANTE: La consola administrativa refleja lo que está disponible en el nivel de servicio actual. Sinembargo, cuando tiene nodos que aún no están actualizados en el nivel actual en el mercado, la consolaadministrativa no muestra las características que dependen del nivel del software de nodo más reciente.Además, en una versión en particular, Horizon Cloud puede incluir funciones con licencia por separado.La consola administrativa refleja los elementos relacionados con esas funciones cuando la licenciaincluye el uso de estas.

VMware, Inc. 7

Implementación de nodos en Microsoft AzureUn nodo de Horizon Cloud o, abreviado, nodo, tiene su ubicación física regional en una nube deMicrosoft Azure. En el asistente de implementación del nodo, seleccione dónde quiere colocar el nodosegún las regiones disponibles para su suscripción de Microsoft Azure. Seleccione también una redvirtual existente que utilizará el nodo en la región seleccionada.

NOTA: Aunque se preconfigure su entorno de Microsoft Azure con esa vnet, las subredes no se creanpor adelantado. El implementador de nodo crea las subredes dado que implementa el software del nodoen su entorno. Es necesario que sepa qué espacios de dirección IP desea utilizar para las subredes delnodo antes de iniciar el Asistente de implementación.

Puede implementar más de un nodo y administrarlos desde la consola de administración deHorizon Cloud. Los nodos que implemente después del primero pueden reutilizar la misma vnet que elprimer nodo o utilizar vnets diferentes. Además, cada nodo puede estar en una región distinta deMicrosoft Azure, usando una vnet en esa región.

IMPORTANTE: Un nodo no es un tenant. Un nodo no cumple con el mismo conjunto de característicasque un tenant define y que se esperaría de un tenant. Por ejemplo, aunque un tenant tenga unaasignación uno a uno a un dominio de Active Directory y este aislado de otros tenants, todos los nodosde Horizon Cloud en Microsoft Azure que se implementen mediante el mismo registro de cuenta decliente de Horizon Cloud necesitar poder comunicarse con los mismos servidores de Active Directory, y laconfiguración de DNS debe resolver todos esos dominios de Active Directory.

Para generar multi-tenancy, debería configurar varios registros de cuentas de cliente de Horizon Cloud.El registro de cuenta del cliente de Horizon Cloud, que se crea cuando se registra con VMware parautilizar el servicio de Horizon Cloud y se asocia con sus credenciales de My VMware, se asemeja más aun tenant. Un registro de cuenta del cliente de Horizon Cloud está aislado de otros registros de cuentasde cliente de Horizon Cloud. Se asigna un solo registro de cuenta del cliente a varios nodos, y cuandoalguien utiliza alguna de las credenciales de cuenta asociadas con ese registro de cuenta del cliente parainiciar sesión en la consola administrativa, la consola refleja todos los nodos que están asignados a eseregistro de cuenta del cliente.

El proceso de implementación del nodo crea automáticamente un conjunto de grupos de recursos en sucapacidad de Microsoft Azure. Los grupos de recursos se usan para organizar los activos que necesita ycrea el entorno, como:

n Subredes virtuales

n Máquinas virtuales para la instancia del administrador de nodos

n Máquinas virtuales para las instancias del equilibrador de carga y de Unified Access Gateway

n Máquinas virtuales para las imágenes del servidor principal con RDS habilitado

n Máquinas virtuales para las imágenes de escritorio de VDI principales


VMware, Inc. 8

n Máquinas virtuales para las imágenes asignables (publicadas) realizadas a partir de las imágenesprincipales

n Máquinas virtuales para las granjas RDSH que proporcionan las aplicaciones remotas y losescritorios RDSH

n Máquinas virtuales para los escritorios VDI

n Activos adicionales que las máquinas virtuales y el entorno requieren para operaciones compatibles,como interfaces de red, direcciones IP, discos y diversos elementos a lo largo de esas líneas.

A todos los grupos de recursos creados por Horizon Cloud en su entorno de Microsoft Azure se les da unnombre que comienza por el prefijo vmw-hcs.

En el siguiente diagrama, RG significa el grupo de recursos.

Figura 1‑1. Ilustración de la arquitectura de nodo de Horizon Cloud

vmw-hcs-<node-UUID>-base-vms

InternetUsuario AdministradorPanel de control deHorizon Cloud

Máquina virtual base Imagen

publicada

vmw-hcs-<node-UUID>-uag

Equilibrador de carga de Microsoft Azure

IP pública

Máquina virtual: Unified Access

Gateway 1

NIC/IPNIC/IP

NIC/IP

Máquina virtual: Unified Access

Gateway 2

NIC/IPNIC/IP

NIC/IP

vmw-hcs-<node-UUID>

Máquina virtual:

Administrador denodo

NIC/IPNIC/IP

vmw-hcs-<node-UUID>

-jumpbox

Máquina virtual: Jumpbox

(temporal)

NIC/IPPública/IP

RG: vmw-hcs-<node-guid>-pool-1001 RG: vmw-hcs-<node-guid>-pool-100nPuerta de enlace VPN 2con túnel de IPsec

Conectada a red externa

Red DMZ Red de administración

Red de tenant Red virtual con 3 subredes

Puerta de enlace VPN

(opcional)

Puerta de enlace VPN (opcional)

Grupo de recursos proporcionados por los clientes


VMware, Inc. 9

Terminología y referencias de Microsoft AzureLa documentación del producto VMware Horizon Cloud Service on Microsoft Azure utiliza la terminologíade Microsoft Azure aplicable según corresponda en las descripciones y los pasos para las tareas de losflujos de trabajo de VMware Horizon Cloud Service on Microsoft Azure. Si no está familiarizado con laterminología de Microsoft Azure, puede usar las siguientes referencias aplicables en la documentacióndel producto de Microsoft Azure para obtener más información.

NOTA: El uso de mayúsculas y minúsculas, como la ortografía en las citas a continuación siguen elmismo uso de mayúsculas y minúsculas, y la misma ortografía que se encuentran en los artículosvinculados en la documentación de Microsoft Azure en sí.

Referencias útiles de Microsoft Azure Descripción

Glosario de Microsoft Azure: undiccionario de terminología de nube en laplataforma de Azure

Utilice este glosario para conocer el significado de los términos que se utilizan en elcontexto de nube de Microsoft Azure, para términos como equilibrador de carga,región, grupo de recursos, suscripción, máquina virtual y la red virtual (vnet).

NOTA: El glosario de Microsoft Azure no incluye el término "entidad de servicio"debido a que la entidad de servicio es un recurso que se crea automáticamente enMicrosoft Azure cuando se crea un registro de aplicación en Microsoft Azure. Larazón por la que se crea un registro de aplicación en su suscripción de MicrosoftAzure es que es la forma en que se autoriza a Horizon Cloud como aplicación autilizar la capacidad de Microsoft Azure. El registro de aplicación y su entidad deservicio complementaria habilitan el servicio de nube de Horizon Cloud que actúacomo una aplicación para acceder a los recursos en su suscripción de MicrosoftAzure. Utilice la siguiente referencia a continuación para obtener información sobrelas aplicaciones y las entidades de servicio que pueden acceder a recursos deMicrosoft Azure.

Utilizar el portal para crear una aplicaciónde Azure Active Directory y la entidad deservicio que puede acceder a recursos

Utilice este artículo para obtener información sobre la relación entre una aplicacióny una entidad de servicio en una nube de Microsoft Azure.

Resumen del administrador de recursosde Azure

Utilice este artículo para obtener información sobre las relaciones entre losrecursos, grupos de recursos y el administrador de recursos en Microsoft Azure.

VNet de Azure Utilice este artículo para obtener información sobre el servicio de red virtual (VNet)de Azure en Microsoft Azure. Consulte también Preguntas frecuentes sobre la redvirtual de Azure.

Emparejamiento de VNet de Azure Utilice este artículo para obtener información sobre el emparejamiento de redvirtual en Microsoft Azure.

Descripción general de la ruta exprés deMicrosoft Azure

Utilice este artículo para obtener información acerca de la ruta exprés de MicrosoftAzure y sobre cómo puede usarlo a fin de establecer conexiones entre las redeslocales, Microsoft Azure y los nodos de Horizon Cloud.

Acerca de la puerta de enlace de VPN

Planificación y diseño de la puerta deenlace de VPN

Creación de una conexión de sitio a sitioen el portal de Azure

Use estos artículos para obtener información sobre cómo configurar VPN enMicrosoft Azure.


VMware, Inc. 10

https://docs.microsoft.com/en-us/azure/azure-glossary-cloud-terminology



https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-create-service-principal-portal



https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-overview

https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-overview

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-overview

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-faq

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-faq

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview

https://docs.microsoft.com/en-us/azure/expressroute/expressroute-introduction

https://docs.microsoft.com/en-us/azure/expressroute/expressroute-introduction

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-plan-design

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-plan-design

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal

Recursos adicionales de VMwareLos siguientes recursos proporcionan información técnica detallada sobre el servicio.

Recursos técnicos de VMwareadicionales Descripción

Lista de comprobación de requisitos Utilice esta lista de comprobación para obtener información sobre los activos quenecesita y para configurarlos antes de comenzar el proceso de implementación denodos.

Consideraciones de redes y ActiveDirectory en Microsoft Azure con VMwareHorizon Cloud

Utilice este artículo para obtener información sobre las diversas opciones y lasprácticas recomendadas para las conexiones de red y el uso de Microsoft ActiveDirectory con los nodos de Horizon Cloud en Microsoft Azure.

Consideraciones de seguridad sobreHorizon Cloud Service on Microsoft Azure

Use este artículo para obtener información sobre los detalles de seguridad delentorno y los tipos de datos almacenados.

Horizon Cloud on Microsoft Azure:escalabilidad de aplicaciones y escritoriosRDS (descargar las notas del producto)

Utilice este artículo para obtener información sobre los análisis de escalabilidad delos escritorios RDS y las aplicaciones remotas y la densidad de usuario óptima,así como sobre las consideraciones de costo relacionadas con la configuración deadministración de energía y de implementación de granja de servidores.


VMware, Inc. 11


https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/horizon/vmw-wp-networking-ad-horizon-cloud-azure-uslet-20171201.pdf



https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/horizon/vmw-wp-horizon-cloud-microsoft-azure-uslet-white-paper.pdf

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/horizon/vmw-wp-horizon-cloud-microsoft-azure-uslet-white-paper.pdf

https://secure.vmware.com/44435_REG



Flujo de trabajo sugerido parael primer nodo deHorizon Cloud en MicrosoftAzure 2Primero debe implementar un nodo en su capacidad de Microsoft Azure y completar algunos pasos en laconsola administrativa para poder empezar a aprovisionar los escritorios VDI, los escritorios basados ensesiones RDSH o las aplicaciones remotas basadas en RDSH en Horizon Cloud para que esténdisponibles para los usuarios finales.1 Cumpla los requisitos previos, tal y como se describen en el documento independiente de

comprobación de los mismos. Puede abrir el documento desde este vínculo PDF o ir a él desde la página de destino de la documentación de Horizon Cloud.

2 Realice las tareas de preparación fuera de Horizon Cloud. Consulte Capítulo 3 Preparar laimplementación de un nodo de Horizon Cloud en Microsoft Azure.

3 Implemente el nodo. Consulte Capítulo 4 Implementar un nodo para VMware Horizon Cloud Serviceon Microsoft Azure.

4 Registre su dominio de Active Directory en el nodo implementado, lo que incluye proporcionar elnombre de una cuenta de unión al dominio. Consulte Guía de administración de VMware HorizonCloud Service on Microsoft Azure.

5 Asigne la función de superadministrador de Horizon Cloud a un grupo de Active Directory que incluyaesa cuenta de unión al dominio como miembro.

IMPORTANTE: Debe asegurarse de que la cuenta de unión al dominio que introdujo cuandoregistró el dominio esté también en uno de los grupos de Active Directory a los que asigna la funciónde superadministrador de Horizon Cloud. Las operaciones de unión al dominio del sistema dependende la cuenta de unión al dominio que tienen la función de superadministrador de Horizon Cloud.Consulte la Guía de administración de VMware Horizon Cloud Service on Microsoft Azure.

6 Cargue los certificados SSL para el nodo directamente, mediante la página de resumen del nodo enla consola administrativa si tiene pensado tener una o ambas de las siguientes opciones:n VMware Identity Manager™™ configurado con el conector que apunta a la dirección IP de la

máquina virtual del administrador de nodo.

n Clientes que se conectan directamente a la dirección IP de la máquina virtual del administradorde nodo.

VMware, Inc. 12



Si las conexiones siempre utilizan el equilibrador de cargas del nodo que se dirige a las instancias deUnified Access Gateway del nodo o su VMware Identity Manager™™ está configurado con elconector que apunta a ese equilibrador de cargas, no es necesario cargar el certificado SSL en elnodo directamente. En general, la carga de un certificado SSL en el nodo directamente es unapráctica recomendada, ya garantiza que los clientes que pueden realizar conexiones directas alentorno de nodo puedan tener conexiones de confianza.

Consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure.

7 Importe una imagen principal. Consulte Guía de administración de VMware Horizon Cloud Service onMicrosoft Azure.

8 Dependiendo de si la imagen principal es para el aprovisionamiento de escritorios VDI o paraescritorios de sesión basados en RDSH y aplicaciones remotas basadas en RDSH, realice uno ovarios de los pasos siguientes según corresponda: Para obtener pasos más específicos, consulteGuía de administración de VMware Horizon Cloud Service on Microsoft Azure.

n En la imagen principal para escritorios VDI, instale las aplicaciones de terceros que desee quelos usuarios finales usen en sus escritorios VDI, optimice la imagen para las prácticasrecomendadas de sysprep y configure otras opciones correspondientes, como el fondo depantalla del escritorio, etc. Consulte Guía de administración de VMware Horizon Cloud Serviceon Microsoft Azure.

n En la imagen del servidor que admite RDS principal para aprovisionar aplicaciones remotas yescritorios de sesión basados en RDSH, instale las aplicaciones de terceros que deseeproporcionar a los usuarios finales desde esta imagen RDS y configure otras personalizacionesaplicables, como la configuración del fondo de escritorio, la instalación de los controladores deGPU NVIDIA (para una imagen basada en NV-series), etc.

NOTA: Si ha creado la imagen principal de forma manual en lugar de usar al asistente Importarimagen y desea utilizar el entorno de User Environment Manager con sus escritorios, también sedebería instalar al agente de User Environment Manager. El agente se instala automáticamentecuando se crea la imagen con el asistente Importar imagen.

IMPORTANTE: Como parte del proceso de configuración, la máquina virtual principal está unida aldominio. Si su organización tiene una directiva que impide el uso de cuentas de administrador localen máquinas virtuales unidas al dominio, no podrá iniciar sesión en la imagen principal parapersonalizarla hasta que haya configurado el grupo local Usuarios que se conectan directamente aDaaS con esas cuentas de dominio que desee utilizar para personalizar la imagen. Para obtener másinformación, consulte Guía de administración de VMware Horizon Cloud Service on Microsoft Azure.

9 Convierta esa imagen principal en una imagen asignable, también conocida como sellado opublicación de la imagen. Consulte Guía de administración de VMware Horizon Cloud Service onMicrosoft Azure.


VMware, Inc. 13

10 Para aprovisionar aplicaciones remotas y escritorios de sesión basados en RDSH desde una imagende servidor principal publicada:a Cree una granja de escritorios RDSH para proporcionar escritorios de sesión y, a continuación,

cree asignaciones para autorizar a los usuarios a usar dichos escritorios. Consulte Guía deadministración de VMware Horizon Cloud Service on Microsoft Azure.

b Cree una granja de aplicaciones RDSH para proporcionar aplicaciones remotas, agregue lasaplicaciones al inventario de aplicaciones y, a continuación, cree asignaciones para autorizar alos usuarios finales a utilizar esas aplicaciones remotas. Consulte Guía de administración deVMware Horizon Cloud Service on Microsoft Azure.

11 Para aprovisionar escritorios VDI desde una imagen de escritorio VDI principal publicada, cree unaasignación de escritorio VDI dedicado o flotante. Consulte Guía de administración de VMwareHorizon Cloud Service on Microsoft Azure.

12 Cuando se implemente un nodo para tener escritorios habilitados para Internet, debe crearse unregistro CNAME en el servidor DNS que asigna el nombre de dominio completo (FQDN) que hayaintroducido en el Asistente de implementación al FQDN del equilibrador de cargas del nodo generadoautomáticamente.

Cuando un nodo se implementa con la opción Escritorios habilitados para Internet establecida enSí (predeterminado), la Unified Access Gateway implementada se configura con una dirección IP deequilibrador de cargas que tiene el FQDN público generado automáticamente con el formato vmw-hcs-IDdelnodo-uag.región.cloudapp.azure.com, donde IDdelnodo es el UUID del nodo yregión es donde se encuentra el nodo de la región de Microsoft Azure.

En el Asistente de implementación, usted proporcionó lo siguiente:

n El FQDN (por ejemplo, ourOrg.example.com o ourApps.ourOrg.example.com). Este FQDNes el que los usuarios finales utilizan para acceder a sus escritorios.

n Un certificado SSL que está asociado con ese FQDN y que está firmado por una entidad decertificación de confianza.

Su servidor DNS debe asignar esos dos FQDN. Cuando las direcciones estén asignadas, losusuarios finales podrán introducir el FQDN de su proveedor como la dirección del servidor enHorizon Client o usarlo con HTML Access para obtener acceso a los escritorios a los que ese nodopresta servicio.

ourApps.ourOrg.example.com vwm-hcs-IDdelnodo-uag.región.cloudapp.azure.com

Para obtener más información sobre cómo encontrar el equilibrador de carga del FQDN público en laconsola de administración, consulte Guía de administración de VMware Horizon Cloud Service onMicrosoft Azure.

13 Cuando se implementa un nodo para tener la autenticación en dos fases RADIUS para susescritorios habilitados por Internet, debe configurar su sistema RADIUS con la dirección IP públicadel equilibrador de cargas de Unified Access Gateway del nodo como un cliente autorizado a realizarsolicitudes de ese sistema RADIUS. Las instancias del nodo Unified Access Gateway autentican lassolicitudes desde el sistema RADIUS a través de esa dirección.


VMware, Inc. 14

Después de que se hayan completado los pasos de flujo de trabajo anteriores, los usuarios finalespueden iniciar sus aplicaciones remotas y escritorios autorizados utilizando el FQDN en Horizon Client ocon HTML Access.

Puede encontrar información detallada sobre cómo realizar cada paso del flujo de trabajo en los temasque están vinculados desde cada paso anterior o en la guía adjunta. Consulte Guía de administración deVMware Horizon Cloud Service on Microsoft Azure.


VMware, Inc. 15

Preparar la implementación deun nodo de Horizon Cloud enMicrosoft Azure 3Antes de iniciar sesión en la consola de administración de Horizon Cloud y de ejecutar el asistente deimplementación de nodos por primera vez, debe realizar las siguientes tareas de preparación.1 Cumpla los requisitos previos, tal y como se describen en el documento de la lista de comprobación

de requisitos previos, sobre todo:n Asegúrese de que su suscripción y su cuenta de Microsoft Azure abarquen el número y el

tamaño necesarios de las máquinas virtuales para el nodo. Consulte Requisitos de máquinasvirtuales de Microsoft Azure.

n Asegúrese de que exista una red virtual en la región en la que va a implementar el nodo y de queesa red virtual cumpla los requisitos de un nodo de Horizon Cloud. Si no tiene una red virtual,cree una que cumpla los requisitos. Consulte Configurar la red virtual obligatoria en MicrosoftAzure.

ADVERTENCIA: No cree las subredes de administración y tenant por adelantado en la VNetque usted cree. El proceso de implementación de nodo crea esas subredes con la informaciónde CIDR que usted introdujo en el asistente en pantalla. Si crea las subredes con antelación, elAsistente de implementación de nodo marcará un error y bloqueará el avance en el asistente.

IMPORTANTE: No todas las regiones de Microsoft Azure son compatibles con las máquinasvirtuales que admiten GPU. Si desea utilizar el nodo para aplicaciones remotas o escritorios conGPU habilitado, asegúrese de que la región de Microsoft Azure que seleccione para el nododisponga de los tipos de máquina virtual NV-series que desea utilizar y que sean compatiblescon esta versión de Horizon Cloud. Consulte la documentación de Microsoft en https://azure.microsoft.com/es-es/regions/services/ para obtener más detalles.

n Asegúrese de que esa red virtual esté configurada para apuntar a un servidor de servicios denombre de dominio (DNS) válido que está resolviendo los nombres externos. Consulte Configurar el servidor DNS de la red virtual.

IMPORTANTE: El proceso de implementación de nodo requiere la resolución de nombresinternos y externos. Si la VNet se dirige a un servidor DNS que no puede resolver nombresexternos, se producirá un error en el proceso de implementación.

VMware, Inc. 16



https://azure.microsoft.com/en-us/regions/services/

n Asegúrese de tener una configuración de Active Directory que sea compatible con esta versión,que la red virtual pueda alcanzarla y que el servidor DNS pueda resolver el nombre. Consulte Configuraciones de dominio de Active Directory.

2 Cree una entidad de servicio y obtenga el ID de suscripción de Microsoft Azure, el ID de laaplicación, la clave de autenticación de la aplicación y el ID del directorio Microsoft Azure AD.Horizon Cloud utiliza estos recursos para realizar las operaciones en el entorno de Microsoft Azure.Para obtener pasos más específicos, consulte Crear la entidad de servicio necesaria mediante lacreación de un registro de aplicaciones.

IMPORTANTE: La entidad de servicio debe tener la función Colaborador y no la función Propietario.Aunque piense que es suficiente con tener la función Propietario, como un superconjunto de losprivilegios de la función Colaborador, el proceso de implementación de nodo específicamenterequiere la función Colaborador. El asistente le impedirá continuar con el siguiente paso si elproveedor de servicios tiene cualquier función que no sea la función Colaborador. La razón pararequerir la función Colaborador específica es para que no le asigne al nodo el nivel máximo depermisos del nodo de la suscripción. La idea es dar al nodo solo tanto acceso a su entorno deMicrosoft Azure como sea necesario para las operaciones de Horizon Cloud. El control de accesobasado en funciones (RBAC) de Microsoft Azure proporciona la función Colaborador con el fin decrear y administrar recursos en su suscripción, que es el nivel de permisos que necesitaHorizon Cloud. Para obtener más información, consulte Roles integrados para el control de accesobasado en roles de Azure en la documentación de Microsoft Azure.

3 Si desea tener escritorios habilitados para Internet para que los usuarios externos a su redcorporativa puedan acceder a ellos, obtenga el certificado de servidor TLS/SSL para que los clientesde sus usuarios finales confíen en las conexiones a los escritorios. Este certificado debe coincidir conel FQDN que los usuarios finales usarán en sus clientes y debe estar firmado por una entidad decertificación (CA) de confianza.

Para que los usuarios puedan acceder a las aplicaciones y escritorios desde Internet, se implementaUnified Access Gateway como parte del proceso de implementación de nodo. Unified AccessGateway presenta su certificado firmado por una entidad de certificación para que los clientesconfíen en las conexiones.

IMPORTANTE: Este FQDN no puede contener caracteres de subrayado. En esta versión, segenerará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDNcontenga caracteres de subrayado.

4 Si el certificado de servidor SSL firmado que va a utilizar con la instancia de Unified Access Gatewaydel nodo no está en formato PEM o no es un archivo PEM único que contiene la cadena decertificados completa con la clave privada, convierta la información del certificado al formato PEMrequerido. Consulte los pasos en Convertir un archivo de certificado al formato PEM requerido parala implementación de nodo.

5 Obtenga una cuenta de My VMware y regístrese en Horizon Cloud si todavía no lo hizo.


VMware, Inc. 17

https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-built-in-roles


Después de completar las tareas de preparación, inicie sesión en la consola de administración deHorizon Cloud en cloud.horizon.vmware.com con su cuenta de My VMware. Tras iniciar sesión, podrá verel área Agregar capacidad de nube en la pantalla y hacer clic en Agregar para iniciar el asistente deimplementación de nodos. Para finalizar el asistente, introduzca la información necesaria en cadapantalla. Para obtener pasos más específicos, consulte Capítulo 4 Implementar un nodo para VMwareHorizon Cloud Service on Microsoft Azure.

NOTA: La autenticación de inicio de sesión en la consola de administración de Horizon Cloud se basaen las credenciales de cuenta de My VMware. Si el sistema de la cuenta de My VMware estáexperimentando una interrupción del sistema y no puede aceptar solicitudes de autenticación, no podráiniciar sesión en la consola de administración durante dicho período de tiempo. Si tiene problemas aliniciar sesión en la primera pantalla de inicio de sesión de la consola de administración, compruebe lapágina de estado del sistema de Horizon Cloud en https://status.horizon.vmware.com para ver el estadodel sistema más reciente. En esa página, también puede suscribirse para recibir actualizaciones.

Este capítulo cubre los siguientes temas:

n Requisitos de máquinas virtuales de Microsoft Azure

n Límites del servicio de VMware Horizon Cloud Service on Microsoft Azure

n Configurar la red virtual obligatoria en Microsoft Azure

n Configurar el servidor DNS de la red virtual

n Configuraciones de dominio de Active Directory

n Requisitos de DNS, puertos y protocolos de Horizon Cloud

n Crear la entidad de servicio necesaria mediante la creación de un registro de aplicaciones

n Información relacionada con la suscripción para el Asistente de implementación

n Convertir un archivo de certificado al formato PEM requerido para la implementación de nodo

Requisitos de máquinas virtuales de Microsoft AzureLa implementación de nodos y las operaciones estándar requieren tipos y tamaños específicos demáquinas virtuales para su capacidad de nube de Microsoft Azure. Su suscripción necesita laconfiguración y las cuotas adecuadas para admitir estas máquinas virtuales.

IMPORTANTE: El Asistente de implementación de nodo valida que el entorno de Microsoft Azure tengasuficiente cuota de núcleos para crear el nodo. Si el asistente determina que la suscripción no tienesuficiente espacio de almacenamiento, se mostrará un mensaje en pantalla y el asistente no continuarácon el siguiente paso.

NOTA: Las máquinas virtuales con la GPU habilitada solo están disponibles en algunas regiones deMicrosoft Azure. Para obtener más información, consulte los Productos de Microsoft Azure por región.


VMware, Inc. 18

https://cloud.horizon.vmware.com

https://status.horizon.vmware.com


En las tablas que aparecen a continuación, la columna de especificación de máquina virtual proporciona:

n Los nombres de serie utilizados en la documentación de Microsoft Azure

n Los nombres de familia de vCPU utilizados en las cuotas que se muestran en el portal de MicrosoftAzure

n El nombre específico del tipo de máquina virtual de esa familia

Para ver las cuotas actuales de su suscripción en el portal de Microsoft Azure, desplácese a Todos losservicios > Suscripciones, haga clic en la suscripción y, a continuación, haga clic en Uso + cuotas.Para obtener más información sobre los tamaños de las máquinas virtuales de Microsoft Windows enMicrosoft Azure, consulte este tema y sus subtemas en la documentación de Microsoft Azure: https://docs.microsoft.com/es-es/azure/virtual-machines/windows/sizes.

Tabla 3‑1. Requisitos de máquina virtual jumpbox

Máquinavirtual

Especificación de máquinasvirtuales de Microsoft Azure

Cantidad Descripción

Jumpbox

(servidor

de salto)

F-series de Linux:

F2 estándar (2 núcleos, 4 GB de

memoria)

Disco del SO: HDD estándar de 30

GiB

1 por nodo Una máquina virtual creada en su entorno de Microsoft Azure y que se utilice

durante la creación del nodo inicial y durante las actualizaciones de software

posteriores en el entorno. Una máquina virtual de jumpbox (servidor de salto)

para cada nodo que implemente. Esta se elimina automáticamente cuando se

completan los procesos de actualización o de creación del nodo y ya no se

necesita.


VMware, Inc. 19

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/sizes

Tabla 3‑2. Requisitos de máquina virtual de Unified Access Gateway y administración de nodos

Máquinavirtual



Instancia

s de

nodo de

administr

ación

Linux Dv2 estándar:

D3 v2 estándar (4 núcleos, 14 GB

de memoria)


GiB

1 por nodo

durante las

operacione

s de

estado

estable

2 por nodo

durante

una

actualizaci

ón de

software

El tamaño de su entorno debe contener ambas instancias que se ejecutan

durante un proceso de actualización.

Durante las operaciones de estado estable, existe una máquina virtual existe,

que enciende y ejecuta el nodo. Cuando se realiza una actualización en el

nodo, se crea una instancia adicional y se enciende para ejecutar

actualizaciones de software en el entorno. Una vez completada la

actualización, el nodo pasa a usar la máquina virtual recientemente creada

para operaciones de estado estable y se elimina la anterior.

Instancia

s de

Unified

Access

Gateway

Linux Av2 estándar:

A4 v2 estándar (4 núcleos, 8 GB de

memoria)


GiB

2 por nodo

durante las

operacione

s de

estado

estable

4 por nodo

mientras

se realiza

una

actualizaci

ón de

software

Unified Access Gateway es una función opcional que se implementa en el nodo

cuando se selecciona Sí en el Asistente de implementación para tener

escritorios habilitados por Internet. Si decide tener Unified Access Gateway

para el nodo, el entorno debe alojar estas instancias que se ejecutan durante

un proceso de actualización.

Durante las operaciones de estado estable, existen dos instancias, que se

encienden y proporcionan las capacidades de Unified Access Gateway.

Durante un proceso de actualización, se crean dos instancias adicionales, que

se encienden para ejecutar actualizaciones de software en

Unified Access Gateway. Una vez completada la actualización, el nodo pasa a

usar las instancias recientemente creadas y se eliminan las anteriores.


VMware, Inc. 20

Tabla 3‑3. Requisitos de máquina virtual de imagen y granja

Máquinavirtual



Imágenes

principale

s

Las imágenes principales están

habilitados para GPU o no, según

lo que usted seleccione al crearlas.

NOTA: Esta versión admite GPU

solo para las imágenes con

sistemas operativos Microsoft

Windows Server.

Para las imágenesprincipales de

servidor habilitadas para GPU, el

sistema utiliza el estándar NV-

series NV6 (de las vCPU de la

familia de NV estándar).

Para las imágenes principales no

habilitadas para GPU y sistemas

operativos Microsoft Windows

Server, el sistema utiliza el estándar

D3 v2 (de las vCPU de la familia de

Dv2 estándar).

Para las imágenes principales no

habilitadas para GPU y sistemas

operativos Microsoft Windows

Server, el sistema utiliza el estándar

D2 v2 (de las vCPU de la familia de

Dv2 estándar).

Variable,

según sus

necesidad

es

Una imagen principal es una máquina virtual de sistema operativo Microsoft

Windows que se configura para que Horizon Cloud pueda convertirla en una

imagen publicada. En el caso de una máquina virtual de con sistema operativo

Windows Server con RDS habilitado, esa máquina virtual proporciona la base

utilizada para crear las granjas de RDSH que proporcionan escritorios basados

en sesiones y aplicaciones remotas a los usuarios finales. En el caso de una

máquina virtual de sistema operativo cliente de Windows, esa máquina virtual

proporciona la base utilizada para crear los escritorios de VDI. Cada imagen

principal es una combinación de sistema operativo Microsoft Windows y si tiene

GPU habilitado o no. Por tanto, si desea que el nodo proporcione:

n Escritorios RDSH que usan el centro de datos de Microsoft Windows 2016,

sin GPU

n Escritorios RDSH que usan el centro de datos de Microsoft Windows 2016,

con GPU

Tendría al menos 2 máquinas virtuales de imagen principal.

El proceso para convertir una imagen principal en una imagen publicada en

ocasiones se denomina publicar la imagen, o también, sellar la imagen. La

imagen publicada resultante a veces se conoce como una imagen sellada o una

imagen asignable, porque tiene un estado finalizado para su uso en

asignaciones.

El sistema automáticamente apaga la imagen principal cuando se publica (al

realizar la acción Convertir en imagen en la imagen principal en la consola

administrativa). Al actualizar una imagen publicada, el sistema enciende la

máquina virtual nuevamente.

NOTA: Cuando duplica una imagen mediante la consola administrativa, el

sistema temporalmente se vuelve a encender en la máquina virtual de la

imagen principal para obtener su configuración para el duplicado y, a

continuación, se vuelve a apagar.

Para obtener información sobre cómo crear una imagen principal, consulte el

tema Creación de imágenes de escritorio para un nodo de Horizon Cloud en

Microsoft Azure en la Guía de administración.

Granja

RDSH

Opciones:

Dv2 estándar:

n D2 v2 estándar (2 núcleos, 7

GB de memoria)


GB de memoria)


GB de memoria)

NV-series con habilitación para

GPU (vCPU de familia NV

estándar):

n NV6 estándar (6 núcleos, 56

GB de memoria, 1 GPU)

n NV12 estándar (12 núcleos,

112 GB de memoria, 2 GPU)

Variable,

según sus

necesidad

es

Las máquinas virtuales de la granja RDSH son las instancias del servidor que

proporcionan aplicaciones remotas y escritorios basados en sesiones a los

usuarios finales. Se necesita al menos una granja RDSH para distribuir

escritorios de sesión y una granja adicional para distribuir aplicaciones remotas.

Para cumplir con las necesidades del usuario final o administrador, puede

implementar granjas adicionales.

El estado de alimentación de estas máquinas virtuales varía según las opciones

de configuración de la granja y de la demanda de los usuarios finales.

NOTA: En esta versión, no es posible proporcionar escritorios basados en

sesiones ni aplicaciones remotas desde la misma granja.


VMware, Inc. 21


Tabla 3‑3. Requisitos de máquina virtual de imagen y granja (Continua)

Máquinavirtual



n NV24 estándar (24 núcleos,

224 GB de memoria, 4 GPU)

Escritorio

s VDI

Opciones:

Av2 estándar:

n A1 v2 estándar (1 núcleos, 2

GB de memoria)


GB de memoria)


GB de memoria)


GB de memoria)

Variable,

según sus

necesidad

es

Las máquinas virtuales de escritorio VDI son las instancias que proporcionan

escritorios VDI a los usuarios finales.

El estado de alimentación de estas máquinas virtuales varía según las opciones

de configuración de la asignación de escritorios VDI y la demanda de los

usuarios finales.

Límites del servicio deVMware Horizon Cloud Service on Microsoft AzureEn este tema se describen algunos de los límites comunes deVMware Horizon Cloud Service on Microsoft Azure, que también se denominan valores máximosadmitidos. Actualmente, este tema describe los valores máximos admitidos para el número de máquinasvirtuales de escritorio y granja de servidores que se puede implementar en una sola suscripción, asícomo para el número total de sesiones conectadas simultáneas que puede haber por nodo. Con eltiempo, este tema se actualizará para incluir más limitaciones conocidas.

El servicio se ha probado hasta un número determinado de máquinas virtuales implementadas en unasola suscripción y hasta el número de conexiones simultáneas que admite un nodo. Los límites que sedescriben aquí son los valores máximos admitidos validados como parte de las pruebas de escala deservicio y rendimiento.

Máximo de 2000máquinas virtuales deescritorio y deservidores de granjapor suscripción

Este límite se basa en los límites de la API de Microsoft Azure en una solasuscripción. Para trabajar bien dentro de estos límites de la API duranteoperaciones estándar, Horizon Cloud admite hasta un máximo de 2000máquinas virtuales de escritorio y de servidores de granja por suscripción.


VMware, Inc. 22

Esta cantidad por suscripción incluye las máquinas virtuales de escritorioVDI y de servidores de granja y se aplica a todos los nodos de dichasuscripción. Por ejemplo, si hay un nodo en la suscripción, se podrán tenerhasta 2000 escritorios VDI en dicho nodo, o 1950 escritorios VDI más 50servidores de granja. Si hay más de un nodo en la suscripción, el númerototal de escritorios VDI y servidores de granja de todos los nodos no debesuperar 2000.

Máximo de 2000sesiones por nodo

Horizon Cloud admite la ejecución de hasta 2000 sesiones conectadassimultáneas por nodo. Esta cantidad incluye las conexiones con escritoriosVDI, escritorios RDS y aplicaciones RDS proporcionadas por el nodo. Lascapacidades de control de sesiones del nodo determinan este máximo.

Configurar la red virtual obligatoria en Microsoft AzureEl entorno de Microsoft Azure debe tener una red virtual existente antes de que pueda implementar elnodo de Horizon Cloud en el entorno. Si no tiene ya una red virtual (VNet) en la región en la que va aimplementar, debe crear dicha red.

En las pantallas del Asistente de implementación de nodo, se selecciona la vNet y se especifican losespacios de direcciones para las subredes que el implementador de nodos creará en la vNet.

ADVERTENCIA: No cree las subredes de administración y tenant por adelantado en la VNet que ustedcree. El proceso de implementación de nodo crea esas subredes con la información de CIDR que ustedintrodujo en el asistente en pantalla. Si crea las subredes con antelación, el Asistente de implementaciónde nodo marcará un error y bloqueará el avance en el asistente.

Durante la implementación del nodo, el implementador creará automáticamente las siguientes subredesen la VNet.

n Subred de administración, para direcciones IP usadas por las máquinas virtuales involucradas en lasactividades de administración del nodo en sí

n Subred de escritorio, para direcciones IP usadas para las máquinas virtuales de servidor RDSH y deescritorios VDI en esa subred.

IMPORTANTE: Las máquinas virtuales de los escritorios VDI, las imágenes RDS y cada servidor delas granjas de RDS del nodo consumen estas direcciones IP. Debido a que no puede extenderseesta subred de escritorio después de implementado el nodo, asegúrese de establecer este rango losuficientemente grande para admitir al número de escritorios que prevea que querrá que este nodoproporcione. Por ejemplo, si prevé que este nodo debería proporcionar más de 1000 escritorios en elfuturo, asegúrese de que este rango incluya más que ese número de direcciones IP.

n Subred DMZ, para la dirección IP utilizada por las máquinas virtuales de Unified Access Gateway,que se implementan cuando se selecciona la opción Escritorios habilitados para Internet en elAsistente de implementación


VMware, Inc. 23

El implementador crea siempre las subredes nuevas en la VNet. En términos de espacio de direccionesde la VNet, el implementador controla los espacios de direcciones de subred que introduce en elAsistente de la siguiente manera:

n Si se especifican espacios de direcciones en el asistente que aún no están en el espacio dedirecciones de la VNet, el implementador actualiza automáticamente la configuración de la VNet paraagregarlos. A continuación, crea las subredes nuevas en la VNet.

n Si los espacios de direcciones especificados en el asistente ya se encuentran dentro del espacio dedirecciones de la VNet existente, el implementador simplemente crea las subredes nuevas en laVNet mediante los espacios de direcciones especificados.

NOTA: Si la VNet existente está emparejada, no se puede actualizar su espacio de direcciones. Si laVNet está emparejada y especifica espacios de direcciones de subred que no están incluidos en elespacio de direcciones existente de la VNet, el asistente mostrará un mensaje de error, y deberáespecificar espacios de direcciones de subred válidos para poder continuar, o bien, utilizar una red virtualno emparejada.

Siga estos pasos usando el portal de Microsoft Azure adecuado para su cuenta registrada. Por ejemplo,hay varios endpoints de portal específicos para estas nubes de Microsoft Azure.

n Microsoft Azure (estándar global)

n Microsoft Azure Alemania

n Microsoft Azure China

n Microsoft Azure, gobierno de EE. UU.

Inicie sesión en el portal utilizando la dirección URL adecuada para su cuenta.

Procedimiento

1 En la barra de navegación izquierda del portal de Microsoft Azure, haga clic en (Redes virtuales) y, a continuación, haga clic en Agregar.

Aparecerá la pantalla Crear una red virtual.

2 Proporcione la información de los campos obligatorios.

Opción Descripción

Nombre Especifique un nombre para la VNet.

Espacio de direcciones Especifique de espacio de direcciones de la VNet.

Suscripción Seleccione la misma suscripción que planea utilizar al implementar el nodo.

Grupo de recursos Puede elegir un grupo de recursos existente o hacer que se cree uno nuevocuando se crea la red virtual.

Ubicación Seleccione la misma región en la que planea implementar el nodo.

Rango de subred y dirección Microsoft Azure requiere la creación de una subred al crear la VNet. Puedeconservar los valores predeterminados o personalizar el nombre y el rango.

Mantenga los valores predeterminados de la configuración opcional.


VMware, Inc. 24

3 Haga clic en Crear.

Se crea la red virtual (VNet) en su cuenta de Microsoft Azure.

Qué hacer a continuación

Configure la VNet recién creada con un servicio de DNS activo y conectividad con el servicio de ActiveDirectory que se utilizará con el nodo. Consulte los pasos en Configurar el servidor DNS de la red virtual.

Asegúrese de la configuración de la VNet, en términos de los servidores de seguridad y de otroscomportamientos de la red, se ajuste a los requisitos de DNS de la implementación del nodo, los puertosy los protocolos que se describen en Requisitos de DNS, puertos y protocolos de Horizon Cloud.

IMPORTANTE: La máquina virtual jumpbox temporal del nodo y la máquina virtual del administrador denodos requieren acceso saliente a Internet en la VNet Microsoft Azure. Si requiere de acceso a Internetsaliente basado en proxy, deberá especificar la información del servidor proxy a medida que complete loscampos en el Asistente de implementación de nodo.


VMware, Inc. 25

Configurar el servidor DNS de la red virtualLa red virtual que utiliza para el nodo de Horizon Cloud debe tener la capacidad de resolver los nombresde máquina internos y externos. Durante el proceso de implementación de nodos, el implementadordescarga de forma segura el software de nodo en el entorno de Microsoft Azure desde direccionesexternas en el plano de control de Horizon Cloud. La capacidad para resolver nombres de máquinasvirtuales (VM) internos es necesaria para las operaciones de unión de dominio de Active Directory deHorizon Cloud del nodo con las máquinas virtuales que se implementen en su entorno de MicrosoftAzure.

En una suscripción de Microsoft Azure, la conectividad de red interna no está configurada de formapredeterminada. Por lo general, para entornos de producción, se configurarían los parámetros de DNSde la red virtual para que señale a un servidor DNS válido que pueda resolver nombres externos ytambién funcionar en Microsoft Azure para las máquinas corporativas. Por ejemplo, es posible que deseeimplementar una máquina virtual de Microsoft Windows Server 2016 en la red virtual para que actúecomo el servidor DNS, y quiera configurar los ajustes de DNS de la red virtual para que esta apunte a ladirección IP de ese servidor DNS implementado.

Para entornos de prueba de concepto, si las políticas de privacidad y seguridad de su organización lopermiten, puede configurar el DNS interno para delegar a un DNS público externo la resolución denombres externos. Algunas organizaciones e ISP proporcionan servidores de nombres recursivospúblicos que se utilizará para estos fines, como Google Public DNS en 8.8.8.8 u OpenDNS en208.67.222.222. Para obtener una lista de ejemplo de servidores de nombres recursivos y públicos,consulte el artículo de Wikipedia Servidor de nombres recursivo y público.

Prerequisitos

Asegúrese de que la región de Microsoft Azure tenga la red virtual que va a usar para el nodo. Consulte Configurar la red virtual obligatoria en Microsoft Azure.

Asegúrese de que el servidor DNS especificado en estos pasos pueda resolver y comunicarse con losnombres externos específicos necesarios para una implementación correcta de nodos. Para obtener másinformación, consulte Requisitos de DNS, puertos y protocolos de Horizon Cloud.

Procedimiento

1 En la barra de navegación izquierda del portal de Microsoft Azure, haga clic en (Redes virtuales) y, a continuación, haga clic en la red virtual que va a usar para el nodo.

2 Muestre la configuración del servidor DNS de la red virtual haciendo clic en Servidores DNS.


VMware, Inc. 26

https://en.wikipedia.org/wiki/Public_recursive_name_server

3 Use la opción Personalizado, agregue la dirección del servidor DNS que desea utilizar para la

resolución de nombres y haga clic en Guardar.


Compruebe que se cumplan los requisitos de acceso del implementador de nodos para DNS, puertos yprotocolos. Consulte Requisitos de DNS, puertos y protocolos de Horizon Cloud.

Configuraciones de dominio de Active DirectoryUn entorno de Horizon Cloud requiere el registro de al menos un dominio de Active Directory (AD) en elnodo de Horizon Cloud. En este tema se describen las configuraciones que son compatibles para su usocon los nodos de Horizon Cloud en Microsoft Azure.

Las configuraciones compatibles son las siguientes:

n Servidor de AD local y conexión de dicho AD local al entorno de Microsoft Azure mediante VPN oMPLS o la ruta de Microsoft Azure Express.

n Servidor AD que se ejecuta en el entorno de Microsoft Azure.

n Uso de servicios de dominio de Active Directory de Microsoft Azure. Para obtener un resumen deestos servicios que proporciona Microsoft Azure, consulte este artículo de servicios de dominio deAD de Azure en la documentación de Microsoft.

Para obtener una descripción técnica detallada de cada configuración admitida, algunas opciones paracada una de estas y sus ventajas y desventajas, consulte el documento técnico de VMware Consideraciones de redes y Active Directory en Microsoft Azure con VMware Horizon Cloud.

Requisitos de DNS, puertos y protocolos deHorizon CloudPara que el proceso de implementación de nodo implemente el nodo correctamente, debe configurar losservidores de seguridad para permitir que Horizon Cloud acceda a las direcciones del servicio denombres de dominio (DNS) que necesita. Además, el DNS debe resolver nombres específicos, como sedescribe en este tema. A continuación, después de que el nodo se implementa correctamente, senecesitan protocolos y puertos específicos para las operaciones de Horizon Cloud en curso.


VMware, Inc. 27

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-overview

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-overview


Requisitos de DNS para el proceso de implementación de nodo ylas operaciones en cursoDebe asegurarse de que los siguientes nombres DNS son puedan resolver y estén accesibles desde lassubredes de tenant y de administración del nodo con los protocolos y puertos específicos, como semuestra en la siguiente tabla. Horizon Cloud utiliza los puertos de salida específicos para descargar deforma segura el software del nodo en su entorno de Microsoft Azure y para que el nodo se puedeconectar con el plano de control de Horizon Cloud. Debe configurar el firewall de red para queHorizon Cloud tenga la capacidad de ponerse en contacto con las direcciones DNS en los puertos querequiera. De lo contrario, se producirá un error en el proceso de implementación del nodo.


Tabla 3‑4. Requisitos de DNS de operaciones e implementación del nodo

Subred del nodo deorigen

Destino (nombre DNS) Puerto Protocolo Propósito

Administración Uno de los siguientes, según qué plano decontrol de Horizon Cloud se especifica en sucuenta de Horizon Cloud:

cloud.horizon.vmware.com

cloud-eu-central-1.horizon.vmware.com

cloud-ap-southeast-2.horizon.vmware.com

443 TCP Plano de controldeHorizon Cloud.

cloud.horizon.vmware.com enEstados Unidos

cloud-eu-central-1.horizon.vmware.com enEuropa

cloud-ap-southeast-2.horizon.vmware.comen Australia

Administración softwareupdate.vmware.com 443 TCP Servidor depaquete desoftware deVMware. Seutiliza paradescargaractualizacionesdel softwarerelacionado conel agente que seusa en lasoperacionesrelacionadas conla imagen delsistema.


VMware, Inc. 28

Tabla 3‑4. Requisitos de DNS de operaciones e implementación del nodo (Continua)



Administración d1mes20qfad06k.cloudfront.net 443 TCP Servidor dedistribución decontenido deHorizon Cloud.En la subred deadministración,se utiliza estesitio paradescargar losarchivos VHD(discos durosvirtuales) para eladministrador denodo y lasmáquinasvirtuales deUnified AccessGateway.

Administración s3-us-west-2.amazonaws.com 443 TCP Servidor dedistribución decontenido deHorizon Cloud.En la subred deadministración,se utiliza estesitio paradescargar losarchivos binariosusados para eladministrador denodo y lasmáquinasvirtuales deUnified AccessGateway.

Administración packages.microsoft.com 443 y 11371 TCP Servidor depaquete desoftwareMicrosoft. Seutiliza paradescargar deforma segura elsoftware de lainterfaz de líneade comandos(CLI) de MicrosoftAzure.


VMware, Inc. 29




Administración azure.archive.ubuntu.com 80 TCP Servidor depaquete desoftware deUbuntu. Utilizadopor máquinasvirtuales basadasen Linux del nodopara lasactualizacionesdel sistemaoperativo Ubuntu.

Administración api.snapcraft.io 443 TCP Servidor depaquete desoftware deUbuntu. Utilizadopor máquinasvirtuales basadasen Linux del nodopara lasactualizacionesdel sistemaoperativo Ubuntu.

Administración archive.ubuntu.com 80 TCP Servidor depaquete desoftware deUbuntu. Utilizadopor máquinasvirtuales basadasen Linux del nodopara lasactualizacionesdel sistemaoperativo Ubuntu.

Administración changelogs.ubuntu.com 80 TCP Servidor depaquete desoftware deUbuntu. Utilizadopor máquinasvirtuales basadasen Linux del nodopara elseguimiento delasactualizacionesdel sistemaoperativo Ubuntu.


VMware, Inc. 30




Administración security.ubuntu.com 80 TCP Servidor depaquete desoftware deUbuntu. Utilizadopor máquinasvirtuales basadasen Linux del nodopara lasactualizacionesdel sistemaoperativo Ubunturelacionadas conla seguridad.

Arrendatario d1mes20qfad06k.cloudfront.net 443 TCP Servidor dedistribución decontenido deHorizon Cloud.En la subred deltenant, el procesoautomatizadoImportar imagendel sistema utilizaeste sitio paradescargar alinstalador delsoftwarerelacionado conel agente.

Arrendatario s3-us-west-2.amazonaws.com 443 TCP Servidor dedistribución decontenido deHorizon Cloud.En la subred deltenant, se utilizaeste sitio paradescargar losarchivos binariosutilizados paralas imágenes.

Arrendatario kinesis.us-east-1.amazonaws.com

query-prod-us-east-1.cms.vmware.com

443 TCP Servicio desupervisión en lanube (CMS)

Puertos y protocolos requeridos para las operaciones en cursoAdemás de los requisitos de DNS, los puertos y protocolos en las tablas siguientes son necesarios paraque el nodo funcione correctamente durante las operaciones en curso después de la implementación.


VMware, Inc. 31

Tabla 3‑5. Protocolos y puertos de operaciones del nodo

Origen Destino Puertos

Protocolo Propósito

Máquinavirtual deladministrador denodo

Controlador dedominio

389 TCP

UDP

Servicios LDAP. Servidor que contiene una función de controlador dedominio en una configuración de Active Directory. Es necesario registrar elnodo con Active Directory.


Catálogoglobal

3268 TCP Servicios LDAP. Servidor que contiene la función de catálogo global en unaconfiguración de Active Directory. Es necesario registrar el nodo con ActiveDirectory.


Controlador dedominio

88 TCP

UDP

Servicios Kerberos. Servidor que contiene una función de controlador dedominio en una configuración de Active Directory. Es necesario registrar elnodo con Active Directory.


servidorDNS

53 TCP

UDP

Servicios DNS.


ServidorNTP

123 UDP Servicios NTP. Servidor que proporciona la sincronización de hora de NTP.

Instanciasde UnifiedAccessGatewayen el nodo

ServidordeinscripciónTrue SSO

32111 TCP Servidor de inscripción True SSO. Opcional si no utiliza las capacidades delservidor de inscripción True SSO con los nodos.


RADIUS 1812 UDP Puerto de autenticación de RADIUS. Opcional si no utiliza las capacidadesde autenticación en dos fases RADIUS.


ServiciodeVMwareIdentityManager™

443 HTTPS Opcional si no utiliza VMware Identity Manager™ con el nodo. Se utilizapara crear una relación de confianza entre el nodo y el servicio de VMwareIdentity Manager™. Asegúrese de que el nodo pueda comunicarse con elentorno de VMware Identity Manager™ que utiliza, ya sea el servicio denube o local, en el puerto 443. Si utiliza el servicio de nube de VMwareIdentity Manager™, consulte también la lista de direcciones IP del serviciode VMware Identity Manager™ a la que el nodo y el conector de VMwareIdentity Manager™ deben tener acceso en el artículo de la base deconocimientos de VMware 2149884.


VMware, Inc. 32



Los puertos que deben estar abiertos para el tráfico desde las conexiones de los usuarios finales paraacceder a sus aplicaciones remotas y escritorios virtuales aprovisionados por el nodo dependerán de laselección que realice respecto de cómo se conectarán los usuarios finales:

n Al elegir la opción de tener escritorios habilitados por Internet para el nodo, las instancias de UnifiedAccess Gateway se implementan automáticamente en el entorno de Microsoft Azure, junto con unequilibrador de cargas, para esas instancias. El diagrama Figura 1‑1 describe la ubicación delequilibrador de cargas y las instancias de Unified Access Gateway. Los usuarios finales puedenconectarse con el equilibrador de cargas del nodo, que distribuye las solicitudes a las instancias deUnified Access Gateway. Debe asegurarse de que esas conexiones de los usuarios finales puedanalcanzar el equilibrador de cargas, utilizando os puertos y protocolos enumerados a continuación. Enun nodo implementado, el equilibrador de cargas se encuentra en el grupo de recursos con elnombre vmw-hcs-nodeUUID-uag, donde nodeUUID es el UUID del nodo.

n Cuando no selecciona la opción de escritorios habilitados por Internet, sus usuarios finales seconectan directamente al nodo, como por ejemplo usando una conexión VPN. Para estaconfiguración, carga un certificado SSL en la instancia del nodo desde la página de resumen delnodo en la consola administrativa, como se describe en la Guía de administración de Microsoft Azuredel servicio de nube de VMware Horizon.

Para obtener información detallada acerca de los clientes de Horizon que es posible que utilicen losusuarios finales con el nodo de Horizon Cloud, consulte la página de la documentación de Horizon Clienten https://docs.vmware.com/es/VMware-Horizon-Client/index.html.

Tabla 3‑6. Protocolos y puertos de conexiones de usuario final cuando la configuración delnodo tiene instancias de Unified Access Gateway

Origen Destino Puerto


HorizonClient

Equilibrador decargas del nodoa las instanciasde UnifiedAccess Gateway

443 TCP Tráfico de autenticación de inicio de sesión. También puede transportarel tráfico de túnel RDP, el redireccionamiento USB, el redireccionamientomultimedia (MMR) y el redireccionamiento de unidades de cliente (CDR).

SSL (acceso HTTPS) está habilitado de forma predeterminada para lasconexiones cliente. En algunos casos, puede utilizarse el puerto 80(acceso HTTP). Consulte el tema Comprender en qué consiste elredireccionamiento de contenido de URL en la Guía de administración deVMware Horizon Cloud Service on Microsoft Azure.

HorizonClient


4172 TCP

UDP

PCoIP a través de la puerta de enlace segura de PCoIP de UnifiedAccess Gateway

HorizonClient


443 TCP Blast Extreme a través de la puerta de enlace segura de Blast Extremeen Unified Access Gateway para el tráfico de datos.


VMware, Inc. 33

https://docs.vmware.com/es/VMware-Horizon-Client/index.html

Tabla 3‑6. Protocolos y puertos de conexiones de usuario final cuando la configuración delnodo tiene instancias de Unified Access Gateway (Continua)

Origen Destino Puerto


HorizonClient


443 UDP Blast Extreme a través de Unified Access Gateway para el tráfico dedatos.

HorizonClient


8443 UDP Blast Extreme a través de la puerta de enlace segura de Blast en UnifiedAccess Gateway para el tráfico de datos (transporte adaptativo).

Navegador


443 TCP HTML Access

Tabla 3‑7. Protocolos y puertos de conexiones de usuarios finales internos al utilizarconexiones directas de nodo, por ejemplo, a través de VPN

Origen Destino Puerto Protocolo

Propósito

HorizonClient

Máquina virtualdel administradorde nodo

443 TCP Tráfico de autenticación de inicio de sesión

HorizonClient

Horizon Agent enlas máquinasvirtuales delservidor degranja oescritorio

4172 TCP

UDP

PCoIP

HorizonClient


22443 TCP

UDP

Blast Extreme

HorizonClient


32111 TCP Redireccionamiento USB


VMware, Inc. 34

Tabla 3‑7. Protocolos y puertos de conexiones de usuarios finales internos al utilizarconexiones directas de nodo, por ejemplo, a través de VPN (Continua)

Origen Destino Puerto Protocolo

Propósito

HorizonClient


9427 TCP Redireccionamiento de unidades cliente (CDR) y redireccionamientomultimedia (MMR)

Navegador


443 TCP HTML Access

Para las conexiones externas que usan un nodo configurado con instancias de Unified Access Gateway,debe permitirse el tráfico desde las instancias de Unified Access Gateway del nodo hacia los destinosque se indican en la siguiente tabla. Durante la implementación del nodo, se crea un grupo de seguridadde red (NSG) en el entorno de Microsoft Azure para que sea utilizado por el software de Unified AccessGateway del nodo.

Tabla 3‑8. Requisitos de puertos para el tráfico desde las instancias de Unified AccessGateway del nodo

Origen Destino Puerto Protocolo Propósito



443 TCP Tráfico de autenticación de inicio de sesión



4172 TCP

UDP

PCoIP



22443 TCP

UDP

Blast Extreme

De forma predeterminada, cuando se utiliza Blast Extreme, eltráfico de redireccionamiento de unidades cliente (CDR) y eltráfico USB se canaliza en este puerto. Si lo prefiere, puedeseparar el tráfico de CDR hacia el puerto TCP 9427 y el tráfico deredireccionamiento USB hacia el puerto TCP 32111.



9427 TCP Opcional para el redireccionamiento de unidades cliente (CDR) yel tráfico de redireccionamiento multimedia (MMR).


VMware, Inc. 35

Tabla 3‑8. Requisitos de puertos para el tráfico desde las instancias de Unified AccessGateway del nodo (Continua)




32111 TCP Opcional para el tráfico de redireccionamiento USB.


La instanciaRADIUS

5500 UDP Cuando se usa la autenticación de dos fases RADIUS con elnodo. El valor predeterminado de RADIUS se muestra aquí.

Los siguientes puertos deben permitir el tráfico desde el software relacionado con Horizon Agent que seinstala en las máquinas virtuales y el servidor de escritorio y de servidor de granja.


HorizonAgent enlasmáquinasvirtualesdelservidorde granjaoescritorio


4002 TCP Java Message Service (JMS) cuando se utiliza la seguridadmejorada (predeterminado)



4001 TCP Java Message Service (JMS), heredado


VMware, Inc. 36




3099 TCP Servidor de mensajes de escritorio

UserEnvironmentManagerAgent(FlexEngine) en lasmáquinasvirtualesdeescritorioo deservidorde granja

Esos recursoscompartidos dearchivosconfiguradospara serutilizados porUserEnvironmentManager Agent,las máquinasvirtuales deservidor degranja o deescritorio

445 TCP Acceso de User Environment Manager Agent los recursoscompartidos de archivos SMB, si utiliza las capacidades de UserEnvironment Manager.

Crear la entidad de servicio necesaria mediante lacreación de un registro de aplicacionesHorizon Cloud necesita una entidad de servicio para acceder a la capacidad de su suscripción deMicrosoft Azure y utilizarla para los nodos de Horizon Cloud. Cuando se registra una aplicación deMicrosoft Azure AD, también se crea la entidad de servicio. También debe generar una clave deautenticación y asignar la función de colaborador a la entidad de servicio en el nivel de suscripción.

IMPORTANTE: La entidad de servicio debe tener la función Colaborador y no la función Propietario.Aunque piense que es suficiente con tener la función Propietario, como un superconjunto de losprivilegios de la función Colaborador, el proceso de implementación de nodo específicamente requiere lafunción Colaborador. El asistente le impedirá continuar con el siguiente paso si el proveedor de serviciostiene cualquier función que no sea la función Colaborador. La razón para requerir la función Colaboradorespecífica es para que no le asigne al nodo el nivel máximo de permisos del nodo de la suscripción. Laidea es dar al nodo solo tanto acceso a su entorno de Microsoft Azure como sea necesario para lasoperaciones de Horizon Cloud. El control de acceso basado en funciones (RBAC) de Microsoft Azureproporciona la función Colaborador con el fin de crear y administrar recursos en su suscripción, que es elnivel de permisos que necesita Horizon Cloud. Para obtener más información, consulte Roles integradospara el control de acceso basado en roles de Azure en la documentación de Microsoft Azure.


VMware, Inc. 37



Siga estos pasos usando el portal de Microsoft Azure adecuado para su cuenta registrada. Por ejemplo,hay varios endpoints de portal específicos para estas nubes de Microsoft Azure.

n Microsoft Azure (estándar global)

n Microsoft Azure Alemania

n Microsoft Azure China

n Microsoft Azure, gobierno de EE. UU.

NOTA: Cuando realice estos pasos, podrá recopilar algunos de los valores que necesitará para elasistente de implementación, como se describe en Información relacionada con la suscripción para elAsistente de implementación, concretamente:

n ID de aplicación

n Clave de autenticación

ADVERTENCIA: A pesar de que puede definir la duración de la caducidad de la clave en un marco detiempo específico, si lo hace, debe recordar actualizar la clave antes de que caduque. De lo contrario, elnodo de Horizon Cloud asociado dejará de funcionar. Horizon Cloud no puede detectar ni saber quéduración se establece. Para un correcto funcionamiento, asigne el valor No caduca nunca a la duraciónde la clave.

Si prefiere no establecer No caduca nunca y prefiere en su lugar actualizar la clave antes de quecaduque, debe acordarse de iniciar sesión en la consola administrativa de Horizon Cloud antes de lafecha de caducidad e introducir el nuevo valor de clave en la información de suscripción del nodoasociado. Para obtener los pasos detallados, consulte Actualizar información de suscripción asociadacon nodos implementados en la Guía de administración de VMware Horizon Cloud Service on MicrosoftAzure.

Procedimiento

1 En la barra de navegación de la izquierda del portal de Microsoft Azure, haga clic en

(Azure Active Directory), a continuación, haga clic en (Registros de aplicaciones).


VMware, Inc. 38



Aparecerá la pantalla Registros de aplicaciones.

2 Haga clic en el (Nuevo registro de aplicación).

3 Escriba un nombre descriptivo, seleccione el Tipo de aplicación Aplicación web o API, introduzcahttp://localhost:8000 en el campo URL de inicio de sesióny haga clic en Crear.


Nombre Elija el nombre que desee. El nombre sirve para diferenciar la entidad de servicioque utiliza Horizon Cloud de otras entidades de servicio que puedan existir en lamisma suscripción.

Tipo de aplicación Asegúrese de que Aplicación web o API esté seleccionada (el valorpredeterminado).

URL de inicio de sesión Escriba http://localhost:8000 como se muestra. Microsoft Azure se marcacomo un campo obligatorio. Debido a que Horizon Cloud no necesita una URL deinicio de sesión para el servicio principal http://localhost:8000, se utilizapara cumplir con el requisito de Microsoft Azure.

El elemento recién creado aparece en la pantalla.


VMware, Inc. 39

4 Haga clic en el icono de la entidad de servicio para recopilar su ID de aplicación de los detalles.

Copie el ID de la aplicación a una ubicación desde la que pueda recuperarlo cuando ejecute elasistente de implementación.

5 Desde la pantalla de detalles de la entidad de servicio, cree una clave de autenticación para dichaentidad.

a Si no se muestra el menú Configuración, ábralo haciendo clic en Configuración.

b Haga clic en (Claves).


VMware, Inc. 40

c Escriba una descripción de la clave, seleccione la duración de la caducidad y haga clic enGuardar.

La descripción de la clave debe tener 16 caracteres como máximo, por ejemplo Hzn-Cloud-Key1.

ADVERTENCIA: Puede asignar el valor No caduca nunca a la duración de la caducidad odeterminar un marco de tiempo específico. Sin embargo, si establece una duración específica,debe recordar actualizar la clave antes de que caduque y escribir la nueva clave en lainformación de suscripción del nodo en la consola de administración de Horizon Cloud. De locontrario, el nodo asociado dejará de funcionar. Horizon Cloud no puede detectar ni saber quéduración se establece.

IMPORTANTE: Mantenga la pantalla Claves abierta hasta que copie el valor de la clave y lopegue en una ubicación desde la que pueda recuperarlo más tarde. No cierre la pantalla hastaque copie el valor de la clave.

d Copie el valor de la clave a una ubicación desde la que pueda recuperarlo cuando ejecute el

asistente de implementación.


VMware, Inc. 41

6 Asigne la función de colaborador a la entidad de servicio en el nivel de suscripción.

ADVERTENCIA: La entidad de servicio debe tener la función Colaborador y no la funciónPropietario. Aunque piense que es suficiente con tener la función Propietario, como un superconjuntode los privilegios de la función Colaborador, el proceso de implementación de nodo específicamenterequiere la función Colaborador. El Asistente de implementación de nodo le impedirá continuar con elsiguiente paso si el proveedor de servicios tiene cualquier función que no sea la función Colaborador.

a Acceda a la pantalla de configuración de su suscripción haciendo clic en (Suscripciones) de la barra de navegación principal del portal de Microsoft Azure y, acontinuación, haga clic en el nombre de la suscripción que utilizará con el nodo.

NOTA: En este momento, puede copiar el ID de la suscripción que aparece en la pantalla y quenecesitará posteriormente para el asistente de implementación.

b Haga clic en (Control de acceso (IAM)) y, a continuación, haga clic en

Agregar para abrir la pantalla Agregar permisos.


VMware, Inc. 42

c En la pantalla Agregar permisos, asigne el valor Contributor a Rol y, a continuación, utilice elcuadro Seleccionar para buscar su entidad de servicio por el nombre que le asignó.

NOTA: Asegúrese de que la lista desplegable Asignar acceso a esté establecida enAplicación, grupo o usuario de Azure AD.

d Haga clic en su entidad de servicio para establecerla como un miembro seleccionado y, acontinuación, haga clic en Guardar.


VMware, Inc. 43


VMware, Inc. 44

7 Compruebe que la suscripción tenga los proveedores de recursos registrados que requiere el nodo.

a Desde la pantalla en la que se encuentra desde el paso anterior, acceda a la lista de la

suscripción de proveedores de recursos haciendo clic en (Proveedores derecursos) del menú de la suscripción.

b Compruebe que los siguientes proveedores de recursos tengan el estado (Registrado)

y si no es así, regístrelos.

n Microsoft.Compute

n microsoft.insights

n Microsoft.Network

n Microsoft.Storage

n Microsoft.KeyVault


VMware, Inc. 45

En este momento, ha creado y configurado el proveedor de servicios para el nodo, y tiene tres de losvalores relacionados con la suscripción que necesita en el primer paso del Asistente de implementacióndel nodo. También necesitará el identificador de Azure Active Directory. Obtenga ese identificador en el

portal de Microsoft Azure. Para ello haga clic en > (enAdministrar).

Los cuatro valores relacionados con la suscripción son los siguientes:

n ID de suscripción

n ID de Azure Active Directory

n ID de aplicación

n Valor de clave de aplicación


Compruebe que haya recopilado toda la información relacionada con la suscripción que introducirá en elAsistente de implementación. Consulte Información relacionada con la suscripción para el Asistente deimplementación.

Información relacionada con la suscripción para elAsistente de implementaciónEl Asistente de implementación del nodo de Horizon Cloud requiere que se proporcione la siguienteinformación de la suscripción de Microsoft Azure.

IMPORTANTE: Se debe obtener la clave de la aplicación en el momento en que se generará en elportal de Microsoft Azure. Para obtener información, consulte Crear la entidad de servicio necesariamediante la creación de un registro de aplicaciones. Se puede obtener el resto de la información encualquier momento iniciando sesión en el portal de Microsoft Azure con las credenciales de la cuenta deMicrosoft Azure.

Los identificadores son UUID, con el formato 8-4-4-4-12. Estos identificadores y la clave que se describeen la siguiente tabla se utilizan en el primer paso del Asistente de implementación del nodo.


VMware, Inc. 46

Valor obligatorio Cómo recopilar Los valores

Entorno Debe determinar el entorno de nube de MicrosoftAzure cuando se registre para la suscripción deMicrosoft Azure. En ese momento, se crea la cuentay la suscripción en el entorno específico de MicrosoftAzure.

ID de suscripción En el portal de Microsoft Azure, haga clic en el

en el menú de la izquierda.

ID de directorio En el portal de Microsoft Azure, haga clic en

> (en Administrar).

ID de aplicación En el portal de Microsoft Azure, haga clic en

>

y, a continuación, haga clic en elregistro de la aplicación que haya creado paraHorizon Cloud con los pasos descriptos en Crear laentidad de servicio necesaria mediante la creaciónde un registro de aplicaciones.

Clave de aplicación Obtenga la clave cuando la generen en el portal deMicrosoft Azure. Consulte Crear la entidad deservicio necesaria mediante la creación de unregistro de aplicaciones.

Convertir un archivo de certificado al formato PEMrequerido para la implementación de nodoLa capacidad de Unified Access Gateway en el nodo requiere SSL para las conexiones de cliente.Cuando desee que el nodo preste servicio a las aplicaciones remotas y los escritorios habilitados porInternet, el Asistente de implementación de nodo requiere un archivo de formato PEM para proporcionarla cadena de certificados de servidor SSL a la configuración Unified Access Gateway del nodo. El archivoPEM único debe contener la cadena de certificados completa, incluso la clave privada: el certificado deservidor SSL, cualquier certificado de CA intermedio necesario, el certificado de CA raíz y la claveprivada.

Para obtener más detalles sobre los tipos de certificado utilizados en Unified Access Gateway, consulteel tema sobre cómo seleccionar el tipo de certificado correcto en la documentación del producto de Unified Access Gateway.

En el paso del asistente de implementación de nodos sobre escritorios habilitados por Internet, se cargaun archivo de certificado. Durante el proceso de implementación, este archivo se envía a la configuraciónde las instancias de Unified Access Gateway del nodo. Cuando se realiza el paso de carga en la interfazdel asistente, este comprueba que el archivo cargado cumpla los siguientes requisitos:

n El archivo se puede analizar como formato PEM.


VMware, Inc. 47

n Contiene una cadena de certificados válida y una clave privada.

n Esa clave privada coincide con la clave pública del certificado del servidor.

Si no tiene un archivo con formato PEM para la información del certificado, debe convertir la informacióndel certificado en un archivo que cumpla los requisitos mencionados anteriormente. Debe convertir elarchivo que no es de formato PEM a formato PEM y crear un archivo PEM único que contenga la cadenacompleta de certificados, más la clave privada. También debe editar el archivo para eliminar lainformación adicional, si apareciera alguna, para que el asistente no tenga problemas al analizar elarchivo. Los pasos de alto nivel son:

1 Convertir la información del certificado en formato PEM y crear un único archivo PEM que contengala cadena de certificados y la clave privada.

2 Editar el archivo para quitar la información de certificado adicional, si la hubiera, que se encuentrafuera de la información del certificado entre cada conjunto de marcadores de ----BEGINCERTIFICATE---- y -----END CERTIFICATE-----.

Los ejemplos de código en los siguientes pasos dan por sentado que comienza con un archivodenominado mycaservercert.pfx que contiene el certificado de CA raíz, la información del certificadode CA intermedio y la clave privada.

Prerequisitos

n Compruebe que disponga del archivo de certificado. El formato del archivo puede ser PKCS#12(.p12 o .pfx) o bien Java JKS o JCEKS.

n Familiarícese con la herramienta de línea de comandos openssl que utilizará para convertir elcertificado. Consulte https://www.openssl.org/docs/apps/openssl.html.

n Si el certificado tiene el formato Java JKS o JCEKS, familiarícese con la herramienta de línea decomandos de Java keytool para convertir en primer lugar el certificado al formato .p12 o .pksantes de convertirlo en archivos .pem.

Procedimiento

1 Si su certificado tiene el formato Java JKS o JCEKS, utilice keytool para pasar el certificado alformato .p12 o .pks.

IMPORTANTE: Durante la conversión, utilice la misma contraseña de origen y destino.

2 Si su certificado tiene el formato PKCS#12 (.p12 o .pfx), o después de que el certificado seconvierte al formato PKCS#12, utilice openssl para convertir el certificado en un archivo .pem.

Por ejemplo, si el nombre del certificado es mycaservercert.pfx, puede usar los comandossiguientes para convertir el certificado:

openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem

openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem


VMware, Inc. 48

https://www.openssl.org/docs/apps/openssl.html

La primera línea anterior obtiene los certificados en mycaservercert.pfx y los escribe en formatoPEM en mycaservercertchain.pem. La segunda línea anterior obtiene la clave privada demycaservercert.pfx y la escribe en formato PEM en mycaservercertkey.pem

3 (Opcional) Si la clave privada no está en formato RSA, conviértala al formato de clave privada RSA.

Las instancias de Unified Access Gateway requieren el formato de clave privada RSA. Paracomprobar si necesita realizar este paso, observe el archivo PEM y consulte si la información declave privada empieza con la línea:

-----BEGIN PRIVATE KEY-----

Si la clave privada comienza con esa línea, se debe convertir la clave privada al formato RSA. Si laclave privada comienza con -----BEGIN RSA PRIVATE KEY-----, no es necesario realizar estepaso para convertir la clave privada.

Para convertir la clave privada al formato RSA, ejecute este comando.

openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem

La clave privada del archivo PEM ahora está en formato RSA (-----BEGIN RSA PRIVATEKEY----- y -----END RSA PRIVATE KEY-----).

4 Combine la información en el archivo PEM de cadena de certificados y el archivo PEM de claveprivada para crear un único archivo PEM.

El ejemplo siguiente se muestra dónde se encuentra el contenido de mycaservercertkeyrsa.pemprimero (la clave privada en formato RSA), seguido por el contenido de mycaservercertchain.pem,que es el certificado SSL principal, seguido por un certificado intermedio, seguido por el certificadoraíz.

-----BEGIN CERTIFICATE-----

.... (your primary SSL certificate)

-----END CERTIFICATE-----


.... (the intermediate CA certificate)



.... (the trusted root certificate)


-----BEGIN RSA PRIVATE KEY-----

.... (your server key from mycaservercertkeyrsa.pem)

----- END RSA PRIVATE KEY-----

NOTA: El certificado del servidor debería aparecer primero, seguido de los intermedios y, acontinuación, el certificado raíz de confianza.

5 Si existe información extraña o entradas de certificado no necesarias entre los marcadores BEGIN yEND, edite el archivo para eliminarlas.


VMware, Inc. 49

El archivo PEM resultante cumple los requisitos del asistente de implementación de nodos.


VMware, Inc. 50

Implementar un nodo paraVMware Horizon Cloud Serviceon Microsoft Azure 4Ejecute el asistente de implementación de nodos para implementar los componentes llamados Nodo deHorizon Cloud o, de forma abreviada, nodo. El nodo se empareja con Horizon Cloud para que puedautilizar su capacidad de Microsoft Azure con Horizon Cloud.

El implementador de nodos utiliza la información que se proporciona en cada paso del asistente paradeterminar cómo se configurará el nodo. Después de proporcionar la información solicitada en un pasoconcreto, haga clic en Siguiente para continuar con el siguiente paso.

ADVERTENCIA: Las direcciones IP que se mencionan en estos pasos son ejemplos. Debe utilizar losrangos de direcciones que cumplan las necesidades de su organización. En cada paso que mencione unrango de direcciones IP, sustituya los que se apliquen a su organización.

Prerequisitos

Los siguientes elementos son necesarios para que proporcione los valores necesarios en el Asistente deimplementación de nodo y siga los pasos del asistente.

n Compruebe que se completaron todas las tareas de preparación, como se describe en Capítulo 3Preparar la implementación de un nodo de Horizon Cloud en Microsoft Azure.

n Compruebe que tiene la información de suscripción, como se describe en Información relacionadacon la suscripción para el Asistente de implementación.

n Compruebe que cuente con una red virtual existente en la suscripción de Microsoft Azure y en laregión en la que va a implementar el nodo, tal y como se describe en Configurar la red virtualobligatoria en Microsoft Azure.

IMPORTANTE: No todas las regiones de Microsoft Azure son compatibles con las máquinasvirtuales que admiten GPU. Si desea utilizar el nodo para aplicaciones remotas o escritorios conGPU habilitado, asegúrese de que la región de Microsoft Azure que seleccione para el nododisponga de los tipos de máquina virtual NV-series que desea utilizar y que sean compatibles conesta versión de Horizon Cloud. Consulte la documentación de Microsoft en https://azure.microsoft.com/es-es/regions/services/ para obtener más detalles.

VMware, Inc. 51


n Compruebe que la VNet esté configurada para apuntar a un DNS que pueda resolver direccionesexternas. El implementador de nodos debe poder conectarse con las direcciones externas en elplano de control de Horizon Cloud para descargar de forma segura el software del nodo en suentorno de Microsoft Azure.

n Compruebe que se cumplan los requisitos de los protocolos, puertos y DNS del implementador delnodo, como se describe en Requisitos de DNS, puertos y protocolos de Horizon Cloud.

n Si necesita utilizar un proxy para acceso saliente a Internet, compruebe que cuenta con lainformación de red para la configuración de proxy y las credenciales de autenticación que necesita, silas hubiere. El proceso de implementación del nodo requiere de acceso saliente a Internet.

n Compruebe que tenga la información de al menos un servidor NTP que desee que el nodo utilicepara la sincronización de hora. El servidor NTP puede ser un servidor NTP público o su propioservidor NTP que configuró para este fin. El servidor NTP que especifique debe ser accesible desdela red virtual que configuró. Cuando vaya a usar un servidor NTP, utilizando su nombre de dominioen lugar de una dirección IP numérica, asegúrese también de que el DNS configurado para la redvirtual puede resolver el nombre del servidor NTP.

n Compruebe que conoce los rangos de direcciones que va a escribir en el asistente para la subred deadministración, la subred de escritorio y la subred de DMZ (cuando se eligen escritorios habilitadospor Internet), y compruebe que no se superpongan esos rangos. Introduzca los rangos dedirecciones en notación CIDR (notación de enrutamiento de interdominios sin clases). El asistentemostrará un error si los rangos de subredes introducidos se superponen. Para los rangos desubredes DMZ y de administración, se requiere una CIDR de al menos /28. Si desea mantener losintervalos de subredes DMZ y administración ubicados de forma conjunta, puede hacer que el rangode subredes DMZ sea el mismo que el rango de subredes de administración con una dirección IPespecificada. Por ejemplo, si la subred de administración es 192.168.8.0/28, la subred DMZ sería192.168.8.32/28.

IMPORTANTE: Los CIDR que introduzca en los campos del asistente deben configurarse de talmodo que cada combinación de máscara de bits y prefijo dé como resultado un rango de direccionesIP con el prefijo como la dirección IP inicial. Microsoft Azure requiere que el prefijo CIDR sea elprincipio del rango. Por ejemplo, un CIDR correcto de 192.168.182.48/28 podría provocar un rangode IP de 192.168.182.48 a 192.168.182.63, y el prefijo es igual que la dirección IP inicial(192.168.182.48). Sin embargo, un CIDR incorrecto de 192.168.182.60/28 podría provocar un rangode IP de 192.168.182.48 a 192.168.182.63, donde la dirección IP inicial no es igual al prefijo de192.168.182.60. Asegúrese de que sus CIDR deriven en rangos de direcciones IP en los que ladirección IP inicial coincida con el prefijo de CIDR.

n Compruebe que las subredes con esos rangos de direcciones no existan en la VNet. Elimplementador en sí creará automáticamente las subredes con los rangos de direcciones que seproporcionan en el asistente. Si el asistente detecta que ya existen subredes con esos rangos, elasistente mostrará un error acerca de las direcciones superpuestas y no continuará.


VMware, Inc. 52

Si piensa usar la funcionalidad Unified Access Gateway para tener escritorios habilitados por Internetdesde este nodo, debe proporcionar lo siguiente:

n Tal vez tenga el nombre de dominio totalmente cualificado (FQDN) necesario que utilizarán sususuarios finales para acceder al servicio.

IMPORTANTE: Este FQDN no puede contener caracteres de subrayado. En esta versión, segenerará un error con las conexiones a las instancias de Unified Access Gateway cuando el FQDNcontenga caracteres de subrayado.

n Un certificado de servidor SSL firmado (formato PEM) basado en dicho FQDN. Las funciones deUnified Access Gateway requieren SSL para las conexiones cliente, como se describe en ladocumentación del producto Unified Access Gateway. El certificado debe estar firmado por unaentidad de certificación (CA) de confianza. El archivo PEM único debe contener la cadena decertificados completa con la clave privada. Por ejemplo, el archivo PEM único debe contener elcertificado de servidor SSL, los certificados de CA intermedios que sean necesarios, el certificado deCA raíz y la clave privada. OpenSSL es una herramienta que puede utilizar para crear el archivoPEM.

Para obtener más información sobre las consideraciones de archivo PEM requeridas porUnified Access Gateway, consulte Convertir un archivo de certificado al formato PEM requerido para laimplementación de nodo.

Si planea utilizar la capacidad de la autenticación en dos fases y utilizarla con un servidor deautenticación en dos fases en las instalaciones, compruebe que tenga la siguiente información utilizadaen la configuración de su servidor de autenticación, para que pueda proporcionarla en los camposadecuados en el Asistente de implementación de nodos. Si tiene un servidor principal y uno secundario,obtenga la información de cada uno de ellos.

n La dirección IP o el nombre DNS del servidor de autenticación.

n El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor deautenticación.

n Los números de puerto de autenticación, por lo general, el puerto UDP 1812.

n El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolode autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 yMSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2).

Procedimiento

1 Inicio del asistente de implementación de nodos

Al implementar el primer nodo en Microsoft Azure, se inicia el asistente de implementación denodos usando la función Agregar capacidad de nube de la página de introducción a la consolaadministrativa de Horizon Cloud.

2 Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo

En este paso del asistente de implementación de nodos, proporcione la información de suscripcióna Microsoft Azure que desee utilizar para el nodo.


VMware, Inc. 53

3 Especificación de la información de configuración del nodo

En el paso de configuración del nodo del asistente de implementación de nodos, especifique losdetalles como el nombre del nodo, además de información de red.

4 Activación de la capacidad para acceder a escritorios desde Internet

Puede configurar el nodo con la capacidad de proporcionar acceso a las aplicaciones y losescritorios para los usuarios finales que se encuentren fuera de su red empresarial. De formapredeterminada, cuando se muestra este paso del asistente, la opción Sí está activada para que losescritorios admitan Internet. Cuando el nodo se implementa con esta capacidad configurada, elnodo incluye un equilibrador de carga e instancias de Unified Access Gateway para habilitar elacceso.

5 Validar y continuar y, a continuación, iniciar el proceso de implementación de nodo

Después de hacer clic en Validar y continuar, el sistema comprueba los valores especificados. Sise valida todo, el asistente muestra un resumen de la información para su revisión. A continuación,inicie el proceso de implementación.

Inicio del asistente de implementación de nodosAl implementar el primer nodo en Microsoft Azure, se inicia el asistente de implementación de nodosusando la función Agregar capacidad de nube de la página de introducción a la consola administrativade Horizon Cloud.

NOTA: La autenticación de inicio de sesión en la consola de administración de Horizon Cloud se basaen las credenciales de cuenta de My VMware. Si el sistema de la cuenta de My VMware estáexperimentando una interrupción del sistema y no puede aceptar solicitudes de autenticación, no podráiniciar sesión en la consola de administración durante dicho período de tiempo. Si tiene problemas aliniciar sesión en la primera pantalla de inicio de sesión de la consola de administración, compruebe lapágina de estado del sistema de Horizon Cloud en https://status.horizon.vmware.com para ver el estadodel sistema más reciente. En esa página, también puede suscribirse para recibir actualizaciones.

Prerequisitos

Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMwareHorizon Cloud Service on Microsoft Azure.

Procedimiento

1 Inicie sesión en la consola de administración de Horizon Cloud en https://cloud.horizon.vmware.comcon las credenciales de su cuenta de My VMware.

Las credenciales de cuenta son la dirección de correo electrónico principal, [email protected], y la contraseña que se establecen en el perfil de la cuenta.


VMware, Inc. 54

https://status.horizon.vmware.com

https://cloud.horizon.vmware.com

Si no ha aceptado previamente los términos del servicio de Horizon Cloud usando las credencialesde My VMware, aparecerá un cuadro de notificación de los términos del servicio después de hacerclic en el botón Inicio de sesión. Acepte los términos del servicio para continuar.

Después de iniciar sesión, se abre la consola de administración de Horizon Cloud. Cuando nodisponga de ningún nodo, el asistente de introducción se muestra de forma predeterminada con lasección Capacidad expandida.


VMware, Inc. 55

2 En el área Agregar capacidad de nube, haga clic en Agregar.

El asistente Agregar capacidad de nube se abre desde el primer paso.

3 Especifique la suscripción que se usará para este nodo siguiendo los pasos descritos en

Especificación de la información de suscripción a Microsoft Azure para el nuevo nodo.

Especificación de la información de suscripción aMicrosoft Azure para el nuevo nodoEn este paso del asistente de implementación de nodos, proporcione la información de suscripción aMicrosoft Azure que desee utilizar para el nodo.

Prerequisitos

n Compruebe que cumpla los requisitos descritos en Capítulo 4 Implementar un nodo para VMwareHorizon Cloud Service on Microsoft Azure.

n En este paso del asistente, compruebe que disponga de la información relacionada con lasuscripción como se describe en Información relacionada con la suscripción para el Asistente deimplementación.

n Complete los pasos que se describen en Inicio del asistente de implementación de nodos.

Procedimiento

1 En el primer paso del asistente, especifique la suscripción que se usará para el nodo seleccionandoel nombre de una suscripción anterior o introduciendo nueva información de suscripción.


VMware, Inc. 56

Si selecciona una suscripción existente, el paso se rellenará con la información de la suscripción quese especificó previamente en el sistema.

NOTA: Es posible que quiera saber por qué puede haber información especificada anteriormentecuando se implementa un nodo desde la página inicial de Primeros pasos. Puede existir informaciónde suscripción introducida anteriormente en situaciones como los ejemplos siguientes:

n Inicie al asistente, introduzca la información de suscripción en este primer paso del asistente yhaga clic en Agregar para enviar la información de suscripción al sistema y avanzar en elasistente. A continuación, en un paso posterior, se cancela el asistente antes de completar todoslos pasos. En esta situación, el sistema ha guardado la información de suscripción que introdujoen el primer paso del asistente después de hacer clic en Agregar. A pesar de que se cancela elAsistente en un paso posterior, el sistema conserva esa información de suscripción introducidaanteriormente.

n Usted utilizó este registro de cuenta del cliente de Horizon Cloud antes, implementando losnodos inicial y posteriores para el registro de la cuenta y, a continuación, en algún momentoespecífico, eliminó dichos nodos. Cuando vuelve a iniciar sesión con las credenciales que estánasociadas con el registro de cuenta del cliente de Horizon Cloud, la información de suscripciónque especificó anteriormente aún está asociada a ese registro de cliente y se muestran losnombres anteriores de suscripción en la lista desplegable.


Aplicarsuscripción

Seleccione el nombre de una suscripción anterior, o seleccione Agregar nueva para introducir lainformación de una nueva suscripción.

Nombre desuscripción

Cuando proporcione la información de la nueva suscripción, introduzca un nombre descriptivo paraque pueda identificarla desde suscripciones anteriores.

El nombre debe empezar por una letra y solo contiene números, letras y guiones.


VMware, Inc. 57


Entorno Seleccione el entorno de nube asociado a su suscripción, por ejemplo:n Azure, para la nube de Microsoft Azure global estándarn Azure - China, para la nube de Microsoft Azure de Chinan Azure - Alemania, para la nube de Microsoft Azure de Alemanian Azure, gobierno de EE. UU., para la nube de Microsoft Azure del gobierno de Estados Unidos

ID de suscripción Introduzca su ID de suscripción de la capacidad de nube (en formato UUID). Este ID de suscripcióndebe ser válido para el entorno que seleccionó. Para Microsoft Azure, puede obtener este UUID delárea de suscripciones de su portal de Microsoft Azure.

ID de directorio Introduzca su ID de directorio de Microsoft Azure Active Directory (en formato UUID). Para MicrosoftAzure, puede obtener este UUID de las propiedades de Microsoft Azure Active Directory en el portalde Microsoft Azure.

ID de aplicación Escriba el ID de aplicación (en formato UUID) asociado a la entidad de servicio que creó en el portalde Microsoft Azure. Es obligatorio crear un registro de aplicación y su entidad de serviciocorrespondiente en Microsoft Azure Active Directory.

Clave deaplicación

Escriba el valor de la clave de autenticación de la entidad de servicio que creó en el portal deMicrosoft Azure. Es obligatorio crear esta clave.

IMPORTANTE: En esta pantalla, no puede eliminar los valores de suscripción introducidosanteriormente y que están asociados con un Nombre de suscripción en particular. Aunque esto espoco frecuente, podemos imaginar una situación donde:

a Configura los fragmentos relacionados con la suscripción de Microsoft Azure.

b Inicie el asistente Agregar capacidad de nube, introduce esos valores de suscripción en el primerpaso y pasa al siguiente paso del asistente.

c Sin embargo, después de leer los valores de red solicitados en el siguiente paso del asistente,cancela para salir de este asistente y abre una nueva pestaña del explorador para volver al portalde Microsoft Azure y ajustar la configuración de red para cumplir con los requisitos previos.

d Mientras está en el portal de Microsoft Azure, también decide realizar un nuevo registro deaplicación para tener un proveedor de servicios con un nombre distinto.

e Regresa al explorador que tiene la página Primeros pasos y reinicia el asistente Agregarcapacidad de nube.

En este momento, su nombre de suscripción introducido anteriormente aún está en la lista del menúdesplegable Aplicar suscripción. Sin embargo, si selecciona ese nombre, todos los campos serellenan previamente con los valores anteriores, incluido el antiguo ID de aplicación, y no hay manerade cambiar los valores en la pantalla ni de editar o eliminar ese nombre de suscripción para volver aempezar con él. Si esto sucede, cancele el asistente, reinícielo y, en este primer paso, cree un nuevonombre de suscripción seleccionando Agregar nuevo, introduzca los valores actuales que deseeutilizar y continúe. Más adelante cuando el nodo esté totalmente implementado y pueda acceder a lapágina de resumen en la consola administrativa, podrá eliminar la información de suscripciónanterior.

La siguiente captura de pantalla es un ejemplo con este paso completado.


VMware, Inc. 58

2 Continúe con el siguiente paso del asistente.

Al hacer clic en el botón para pasar al paso siguiente, el sistema comprueba la validez de todos losvalores especificados y si están correctamente relacionados entre sí, como:

n ¿Es el identificador de suscripción especificado válido en el entorno seleccionado?

n ¿Son el identificador de directorio, el identificador de la aplicación y la clave de aplicación válidosespecificados en la suscripción?

n ¿Se configuró la función Contributor en la entidad de servicio de la aplicación para elidentificador de la aplicación especificado?

IMPORTANTE: La entidad de servicio debe tener la función Colaborador y no la funciónPropietario. Aunque piense que es suficiente con tener la función Propietario, como unsuperconjunto de los privilegios de la función Colaborador, el proceso de implementación denodo específicamente requiere la función Colaborador. El asistente le impedirá continuar con elsiguiente paso si el proveedor de servicios tiene cualquier función que no sea la funciónColaborador. La razón para requerir la función Colaborador específica es para que no le asigneal nodo el nivel máximo de permisos del nodo de la suscripción. La idea es dar al nodo solo tantoacceso a su entorno de Microsoft Azure como sea necesario para las operaciones deHorizon Cloud. El control de acceso basado en funciones (RBAC) de Microsoft Azureproporciona la función Colaborador con el fin de crear y administrar recursos en su suscripción,que es el nivel de permisos que necesita Horizon Cloud. Para obtener más información, consulte Roles integrados para el control de acceso basado en roles de Azure en la documentación deMicrosoft Azure.

Si aparece un mensaje de error sobre la corrección de valores, al menos uno de los valores no esválido porque no existe en la suscripción o no tiene una relación válida con otro de los valores. Heaquí una lista de algunas, aunque no necesariamente todas, las situaciones que pueden derivar enese mensaje de error:

n Si especificó un identificador de directorio que está en la suscripción, pero especificó un valorde identificador de la aplicación que se encuentra en otro directorio.


VMware, Inc. 59


n Si su entidad de servicio complementaria tiene cualquier función que no sea la de colaborador. Elsistema prueba específicamente el rol de colaborador.

IMPORTANTE: Más de una parte puede no ser válida si aparece ese mensaje de error. Si apareceese mensaje de error, compruebe la información relacionada con la suscripción que haya recopiladoy la configuración de la entidad de servicio.

3 Especifique los detalles del nodo y la información de red siguiendo los pasos descritos en Especificación de la información de configuración del nodo.

Especificación de la información de configuración delnodoEn el paso de configuración del nodo del asistente de implementación de nodos, especifique los detallescomo el nombre del nodo, además de información de red.

ADVERTENCIA: Las direcciones IP que se mencionan en estos pasos son ejemplos. Debe utilizar losrangos de direcciones que cumplan las necesidades de su organización. En cada paso que mencione unrango de direcciones IP, sustituya los que se apliquen a su organización.

Prerequisitos


Compruebe que los rangos de direcciones CIDR que va a especificar en los campos del asistente paralas subredes no estén ya siendo utilizados por las subredes existentes en la VNet Microsoft Azure.


Compruebe que cumpla los requisitos descritos en Requisitos de DNS, puertos y protocolos de HorizonCloud.

Procedimiento

1 En este paso del asistente, proporcione detalles acerca del nodo y la información de red necesaria.

La siguiente captura de pantalla es un ejemplo del paso en el que se muestra inicialmente.


VMware, Inc. 60


Nombre de nodo Introduzca un nombre descriptivo para este nodo. Este nombre se utiliza en la consola deadministración para diferenciar este nodo del resto.

Ubicación Seleccione una ubicación existente o haga clic en Agregar para especificar una nueva.

Las ubicaciones agrupan sus nodos según los nombres asignados (Unidad de negocio A,Unidad de negocio B, Almacenes de la Costa Oeste, etc.).

Región de MicrosoftAzure

Seleccione la región geográfica/física de Microsoft Azure en la que desee implementar elnodo. Las regiones disponibles dependen del entorno de Microsoft Azure seleccionado conanterioridad.

Considere la posibilidad de elegir la región en función de su proximidad a los usuarios finales alos que pretende prestar servicio con este nodo. Una mayor proximidad proporcionaría unalatencia más baja.

IMPORTANTE: No todas las regiones de Microsoft Azure son compatibles con las máquinasvirtuales que admiten GPU. Si desea utilizar el nodo para aplicaciones remotas o escritorioscon GPU habilitado, asegúrese de que la región de Microsoft Azure que seleccione para elnodo disponga de los tipos de máquina virtual NV-series que desea utilizar y que seancompatibles con esta versión de Horizon Cloud. Consulte la documentación de Microsoft en https://azure.microsoft.com/es-es/regions/services/ para obtener más detalles.

Descripción Opcional: escriba una descripción para este nodo.

Red virtual Seleccionar una red virtual de la lista.

Aquí se muestran solo las redes virtuales (VNet) que existen en la región seleccionada en elcampo Región de Microsoft Azure. Debe haber creado la VNet que desea utilizar en esaregión en la suscripción de Microsoft Azure.


VMware, Inc. 61



Subred deadministración(CIDR)

Introduzca un rango de direcciones de subred (en notación CIDR) para que el implementadorcree una subred a la que las instancias de Unified Access Gateway y el nodo se conectarán,como 192.168.8.0/28. Para la subred de administración, se requiere una CIDR de /28.

ADVERTENCIA: La subred no debe existir en el entorno de Microsoft Azure. Si ya existe, seproducirá un error cuando intente continuar con el siguiente paso del asistente.

Subred deescritorio(CIDR)

Introduzca un rango de direcciones de subred (en notación CIDR) para que el implementadorcree una subred a la que se conecten todos los escritorios VDI y servidores de granja RDSHdel nodo para las aplicaciones y los escritorios remotos para el usuario final, como192.168.12.0/22. Mínimo: /28. Recomendado: /22.

ADVERTENCIA: La subred no debe existir en el entorno de Microsoft Azure. Si ya existe, seproducirá un error cuando intente continuar con el siguiente paso del asistente.

Servidores NTP Introduzca la lista de servidores NTP que quiera usar para la sincronización de hora,separados por comas.

El servidor NTP introducido aquí puede ser un servidor NTP público o el propio servidor NTPque configuró para proporcionar la sincronización de hora. Debe poder accederse a losservidores NTP que especifique aquí desde la red virtual que seleccionó en el campo Redvirtual para uso por parte del nodo. En este campo, puede especificar cada servidor NTP, yasea mediante su dirección IP numérica o su nombre de dominio. Cuando proporcione unnombre de dominio en este campo en lugar de una dirección IP numérica, debe asegurarse deque el DNS configurado para la red virtual pueda resolver el nombre especificado.

Algunos ejemplos de nombres de dominio del servidor NTP público son time.windows.com,us.pool.ntp.org, time.google.com.

Usar proxy Si se requiere un proxy para la conectividad de Internet saliente, establezca esta opción en Síy complete los campos mostrados asociados.

El implementador de nodo requiere acceso saliente a Internet para descargar el software deforma segura en el entorno de nube de Microsoft Azure y volver a conectarse al plano decontrol de la nube de Horizon Cloud. Para habilitar el uso por parte del nodo de laconfiguración de proxy, debe proporcionar la siguiente información después de establecer elconmutador en Sí.n Proxy (obligatorio): escriba el nombre de host o la dirección IP para el servidor proxy.n Puerto (obligatorio): escriba el número de puerto especificado en la configuración del

servidor proxy.

Si la configuración del servidor proxy requiere un nombre de usuario y una contraseña para laautenticación, proporcione esas credenciales también.

La siguiente captura de pantalla es un ejemplo con este paso completado. En este ejemplo, unservidor proxy no era necesario para cumplir con los requisitos de conectividad de Internet saliente.


VMware, Inc. 62

2 Para continuar con el siguiente paso, haga clic en Siguiente.

3 Especifique los detalles del nodo para admitir escritorios con Internet habilitado siguiendo los pasosdescritos en Activación de la capacidad para acceder a escritorios desde Internet.

Activación de la capacidad para acceder a escritoriosdesde InternetPuede configurar el nodo con la capacidad de proporcionar acceso a las aplicaciones y los escritoriospara los usuarios finales que se encuentren fuera de su red empresarial. De forma predeterminada,cuando se muestra este paso del asistente, la opción Sí está activada para que los escritorios admitanInternet. Cuando el nodo se implementa con esta capacidad configurada, el nodo incluye un equilibradorde carga e instancias de Unified Access Gateway para habilitar el acceso.


VMware, Inc. 63

Prerequisitos


IMPORTANTE: Para completar este paso, debe tener el nombre de dominio completo (FQDN)requerido que los usuarios finales utilizarán para acceder al servicio y tener un certificado SSL firmado(en formato PEM) basado en ese FQDN. El certificado debe estar firmado por una entidad decertificación de confianza. Un único archivo PEM debe contener la cadena de certificados completa y laclave privada: el certificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.Para obtener más información, consulte Convertir un archivo de certificado al formato PEM requeridopara la implementación de nodo.

Este FQDN no puede contener caracteres de subrayado. En esta versión, se generará un error con lasconexiones a las instancias de Unified Access Gateway cuando el FQDN contenga caracteres desubrayado.

Procedimiento

1 En este paso del asistente, especifique la información necesaria para que el nodo proporcioneacceso de escritorio a los usuarios finales que se encuentren fuera de su red empresarial.

La siguiente captura de pantalla es un ejemplo del paso en el que se muestra inicialmente.


VMware, Inc. 64


¿Escritorioshabilitadospor Internet?

Cuando se seleccione Sí, los usuarios que se encuentren fuera de su red corporativa tendrán acceso aescritorios y aplicaciones. El nodo incluye un equilibrador de carga e instancias deUnified Access Gateway para habilitar este acceso.

NOTA: Se recomienda dejar la opción predeterminada Sí.

Cuando se asigna el valor No, los clientes deben conectarse directamente al nodo y no a través deUnified Access Gateway. En este caso, es necesario realizar algunos pasos después de laimplementación. Consulte la información de Guía de administración de VMware Horizon Cloud Serviceon Microsoft Azure.

FQDN Introduzca el nombre de dominio totalmente cualificado (FQDN) necesario, como ourOrg.example.com,que utilizarán sus usuarios finales para acceder al servicio. Debe ser propietario de dicho nombre dedominio y tener un certificado en formato PEM que pueda validar ese FQDN.

IMPORTANTE: Este FQDN no puede contener caracteres de subrayado. En esta versión, se generaráun error con las conexiones a las instancias de Unified Access Gateway cuando el FQDN contengacaracteres de subrayado.

SubredDMZ(CIDR)

Introduzca la subred en notación CIDR para la red DMZ (zona desmilitarizada) que se configurará paraconectar las instancias de Unified Access Gateway con el equilibrador de carga.

Direccionesde DNS

Opcionalmente, introduzca las direcciones de otros servidores DNS que Unified Access Gateway puedausar para la resolución de nombres, separados por comas (por ejemplo, 198.51.100.1, 8.8.8.8,75.75.75.75, ourdns.example.com). Al configurar este nodo para utilizar la autenticación en dos fases conel servidor RADIUS local, especifique la dirección de un servidor DNS que pueda resolver el nombre delservidor RADIUS local.

Como se describe en Configurar el servidor DNS de la red virtual, un servidor DNS debe instalarse deforma interna en su suscripción y configurarse para proporcionar la resolución de nombres externos. Lasinstancias de Unified Access Gateway utilizarán ese servidor DNS de forma predeterminada. Siespecifica direcciones en este campo, las instancias de Unified Access Gateway implementadasutilizarán las direcciones además de los requisitos previos del servidor DNS que configuró en la redvirtual de la suscripción.

Rutas Opcionalmente, especifique rutas personalizadas a otras puertas de enlace que desee que las instanciasde Unified Access Gateway implementadas utilicen para resolver el enrutamiento de red del acceso deusuario final. Las rutas especificadas se utilizarán para que Unified Access Gateway pueda resolver elenrutamiento de red, como el enrutamiento a servidores RADIUS para la autenticación en dos fases.

Al configurar este nodo para utilizar la autenticación en dos fases con un servidor RADIUS local, debeintroducir la ruta correcta que las instancias de Unified Access Gateway usarán para acceder al servidorRADIUS. Por ejemplo, si el servidor RADIUS local utiliza 10.10.60.20 como dirección IP, escriba10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada.Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés ode una VPN que utilice para este entorno.

Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1,192.168.2.0/24 192.168.0.2.

Certificado Cargue el certificado en formato PEM que Unified Access Gateway usará para admitir que los clientesconfíen en conexiones con instancias de Unified Access Gateway que se ejecuten en Microsoft Azure. Elcertificado debe basarse en el FQDN especificado y estar firmado por una entidad de certificación deconfianza. El archivo PEM debe contener la cadena de certificados completa y la clave privada: elcertificado SSL, los certificados intermedios, el certificado de CA raíz y la clave privada.

La siguiente captura de pantalla es un ejemplo con este paso completado.


VMware, Inc. 65

2 Elija una de las siguientes opciones.


Implementar el nodo sin configurar laautenticación en dos fases

a Deje la opción Habilitar autenticación en dos fases como No.

b Complete los pasos que se describen en Validar y continuar y, acontinuación, iniciar el proceso de implementación de nodo.

Configurar la autenticación en dosfases

a Establezca la opción Habilitar autenticación en dos fases como Sí.b Complete los pasos que se describen en Especificación de la funcionalidad

Autenticación en dos fases para el nuevo nodo.

Especificación de la funcionalidad Autenticación en dos fasespara el nuevo nodoEn el paso del Asistente de implementación de nodos para especificar escritorios habilitados por Internet,también puede especificar el uso de la autenticación en dos fases para el acceso de los usuarios finalesa dichos escritorios. Estos detalles se configuran después de proporcionar la información de la secciónConfiguración de puerta de enlace.

Prerequisitos



VMware, Inc. 66

Compruebe que ha rellenado los campos de la configuración de puerta de enlace en el asistente talcomo se describe en Activación de la capacidad para acceder a escritorios desde Internet. Al configurarla autenticación en dos fases en un servidor de autenticación local, también se proporciona informaciónen los siguientes campos de modo que las instancias de Unified Access Gateway puedan resolver elenrutamiento a ese servidor local.


Direcciones deDNS

Especifique una o más direcciones de servidores DNS que puedan resolver el nombre de su servidor deautenticación local.

Rutas Especifique una de varias rutas personalizadas que permitan que las instancias del nodo deUnified Access Gateway resuelvan el enrutamiento de red para el servidor de autenticación local.

Por ejemplo, si tiene un servidor RADIUS local que utiliza 10.10.60.20 como dirección IP, use 10.10.60.0/24y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga ladirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPNque utilice para este entorno.

Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24192.168.0.2.

Compruebe que ha usado la siguiente información en la configuración del servidor de autenticación, demodo que pueda incluirla en los campos adecuados del asistente de implementación de nodos. Si tieneun servidor principal y uno secundario, obtenga la información de cada uno de ellos.

n La dirección IP o el nombre DNS del servidor de autenticación.

n El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor deautenticación.

n Los números de puerto de autenticación, por lo general, el puerto UDP 1812.

n El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolode autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 yMSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2).

Procedimiento

1 Establezca la opción Habilitar autenticación en dos fases como Sí.

Cuando la opción se establece como Sí, el asistente muestra campos de configuración adicionales.Utilice la barra de desplazamiento para acceder a todos los campos.

La siguiente captura de pantalla es un ejemplo de lo que se muestra después de establecer la opcióncomo Sí.


VMware, Inc. 67

2 En la lista desplegable, seleccione el método de autenticación en dos fases.

En esta versión, se admite la autenticación RADIUS.

3 En el campo Nombre, escriba un nombre identificativo para esta configuración.

4 En la sección Propiedades, especifique los detalles relacionados con la interacción de los usuariosfinales con la pantalla de inicio de sesión que utilizarán para autenticar el acceso.


Nombre paramostrar

De forma opcional, proporcione un nombre que el sistema mostrará a los usuarios finales en lapantalla de inicio de sesión de Horizon Cloud para identificar el sistema RADIUS que usan paraautenticarse.

Mostrarsugerencia

Opcionalmente, introduzca una cadena de texto que el sistema mostrará en el mensaje de la pantallade inicio de sesión para que se introduzca el código de acceso RADIUS correcto.

Sufijo de ID denombre

De forma opcional, introduzca una cadena de texto, como un nombre de dominio, que desee anexaral nombre de usuario antes de enviarlo al servidor de autenticación. Por ejemplo, si desea que unusuario escriba user1 en la pantalla de inicio de sesión, pero quiere que el sistema enví[email protected] al servidor de autenticación, escriba @example.com en este campo.

Número deiteraciones

Introduzca el número máximo de intentos erróneos de autenticación que se permiten para el usuarioal intentar iniciar sesión con el sistema RADIUS.

Mantener nombrede usuario

Seleccione Sí para mantener el nombre de usuario de RADIUS durante la autenticación enHorizon Cloud. Cuando se selecciona Sí:n El usuario debe tener las mismas credenciales de nombre de usuario para RADIUS que para su

autenticación de Active Directory para Horizon Cloud.n El usuario no puede cambiar el nombre de usuario en la pantalla de inicio de sesión.

Si selecciona No, el usuario puede escribir otro nombre de usuario en la pantalla de inicio de sesión.


VMware, Inc. 68

5 En la sección Servidor principal, especifique los detalles del servidor de autenticación.


Nombre dehost/dirección IP

Introduzca el nombre DNS o la dirección IP del servidor de autenticación.

Secreto compartido Escriba el secreto para la comunicación con el servidor de autenticación. El valor debe seridéntico al valor configurado por el servidor.

Puerto deautenticación

Especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibirtráfico de autenticación. El valor predeterminado es 1812.

Puerto de cuentas De forma opcional, especifique el puerto UDP configurado en el servidor de autenticación paraenviar o recibir tráfico de contabilidad. El valor predeterminado es 1813.

Mecanismo Seleccione el protocolo de autenticación compatible con el servidor de autenticaciónespecificado y que desea que use el nodo implementado.

Tiempo de espera delservidor

Especifique el número de segundos que el nodo debe esperar para recibir una respuesta delservidor de autenticación. Después de este periodo de tiempo, se enviará un reintento si elservidor no responde.

Número máximo dereintentos

Especifique el número máximo de veces que el nodo debe volver a reenviar las solicitudesfallidas al servidor de autenticación.

Prefijo del dominiokerberos

De forma opcional, proporcione una cadena que el sistema colocará delante del nombre deusuario cuando este se envíe al servidor de autenticación. La ubicación de la cuenta de usuariose denomina dominio kerberos.

Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y seha especificado el prefijo de dominio kerberos DOMAIN-A\ aquí, el sistema enviará DOMAIN-A\user1 al servidor de autenticación. Si no especifica ningún prefijo de dominio kerberos, solose enviará el nombre de usuario.

Sufijo del dominiokerberos

De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuariocuando este se envíe al servidor de autenticación. Por ejemplo, si el nombre de usuariointroducido es user1 en la pantalla de inicio de sesión y se ha especificado el sufijo de dominiokerberos @example.com aquí, el sistema enviará [email protected] al servidor deautenticación.

6 (Opcional) En la sección Servidor secundario, especifique opcionalmente los detalles de un servidorde autenticación auxiliar.

Puede configurar un servidor de autenticación secundario para proporcionar alta disponibilidad.Establezca la opción Servidor auxiliar como Sí y rellene los campos tal como se describe en la Step 5.

7 Complete los pasos que se describen en Validar y continuar y, a continuación, iniciar el proceso deimplementación de nodo.

Validar y continuar y, a continuación, iniciar el proceso deimplementación de nodoDespués de hacer clic en Validar y continuar, el sistema comprueba los valores especificados. Si sevalida todo, el asistente muestra un resumen de la información para su revisión. A continuación, inicie elproceso de implementación.


VMware, Inc. 69

Procedimiento

1 Haga clic en Validar y continuar.

El sistema valida los valores especificados, tales como:

n Son los intervalos de direcciones especificados para que las subredes por crear sean válidas yno se solapen con otras direcciones en la región seleccionada dentro de la suscripción.

n ¿Hay suficientes máquinas virtuales (VM) y núcleos en la cuota de su suscripción para generar elnodo?

n ¿Está el certificado en el formato PEM correcto?

Si se valida todo, se muestra la página de resumen.

Si aparece un mensaje de error sobre las direcciones de red superpuestas, compruebe si ya haysubredes que utilicen los mismos valores en la suscripción.

2 En el paso final del asistente, revise la información resumida y haga clic en Enviar.

El sistema empezará a implementar el nodo en su entorno de Microsoft Azure.

La implementación del primer nodo puede tardar hasta una hora. Mientras se esté implementando elnodo, aparecerá un icono de progreso en la consola de administración de la pantalla Introducción. Esposible que tenga que actualizar la pantalla del navegador para ver el progreso. La interfaz de usuariobasada en navegador puede agotar el tiempo de espera después de 30 minutos aproximadamente ypedirle que vuelva a iniciar sesión.

IMPORTANTE: La etapa pendiente del nodo dura normalmente hasta diez minutos. No obstante, alimplementar un nodo en la nube de Microsoft Azure China, el proceso de implementación general puedetardar hasta siete (7) horas en completarse. El proceso está sujeto a problemas de red geográficos quepueden provocar bajas velocidades de descarga dado que los archivos binarios se descargan desde elplano de control de nube.

Si ve la etapa del nodo como Pendiente durante más de 20 minutos y la implementación no se realizaen Microsoft Azure China, probablemente haya un problema con la configuración de red de su entorno.Por ejemplo, es posible que el DNS de la VNet configurado no esté resolviendo los nombres internos oexternos, o que los puertos salientes necesarios no estén abiertos o estén bloqueados por el firewall.Cuando el nodo parezca estar bloqueado en el estado pendiente, puede ejecutar algunas pruebas paraverificar si las redes de su entorno están configuradas correctamente para los requisitos del nodo.Consulte Capítulo 6 Solución de problemas de implementación del nodo o de enlace de dominio inicial.

Durante el proceso de implementación del nodo, la sección Capacidad de la página Introducción indicalas diversas etapas por las que atraviesa el proceso, como pendiente, descargando, en creación,conectando, etc.


VMware, Inc. 70

La siguiente tabla ofrece algunas duraciones aproximadas de ejemplo para las etapas de la creación delnodo.

IMPORTANTE: Las duraciones reales que experimente en curso de la implementación variarán segúnlas latencias de red que existan en el momento.

Realizar copias intermedias Duración de muestra

Pendiente 10 minutos

Descargando 10 minutos

Creando 15 minutos

Conectando 10 minutos

Cuando el nodo se implementa correctamente:

n Horizon Cloud envía una notificación por correo electrónico al propietario de la cuenta que se hayaidentificado en el registro de cuenta del cliente de Horizon Cloud correspondiente. El correoelectrónico indica que la incorporación del nodo está completa.

n Aparece una marca de verificación verde en la pantalla Introducción junto a un mensaje que reza quese agregó el nodo y que explica cómo completar el proceso de unión al dominio.


VMware, Inc. 71

NOTA: Si se produce un error en el proceso de implementación por algún motivo, o si no le gusta losvalores que utilizó y desea empezar de nuevo antes de registrar el dominio de Active Directory, semuestra un botón Eliminar. Puede hacer clic en el botón Eliminar para eliminar los artefactos que sehayan implementado. Cuando la pantalla indique que el nodo se eliminó correctamente, puede iniciar elproceso haciendo clic en Agregar nuevamente.

Si decide eliminar el nodo desde este punto, debido a la latencia de red, la página Primeros pasos puedeindicar que el nodo se elimine completamente antes de que todos los artefactos relacionados con el nodose borren completamente del entorno de Microsoft Azure. Antes de ejecutar al Asistente deimplementación de nodos nuevamente después de eliminar el nodo nuevo, realice los siguientes pasos:

1 Cierre sesión en la interfaz de usuario de Horizon Cloud.

2 Inicie sesión en el portal de Microsoft Azure.

3 Desplácese hasta la VNet y compruebe que las subredes creadas por el nodo no existan y que losrangos de direcciones que especificó para las subredes del nodo se hayan eliminado del espacio dedirecciones de la VNet.

A continuación, puede volver a iniciar sesión en Horizon Cloud para ejecutar nuevamente el Asistente deimplementación de nodos.


Expanda la sección Configuración general del asistente Introducción a Horizon Cloud y complete la tareade registro de un dominio de Active Directory requerida. El siguiente paso que debe realizar es registrarActive Directory. Después de registrar el dominio, continúe administrando este nodo en la consola deadministración. Consulte el capítulo de introducción a Guía de administración de VMware Horizon CloudService on Microsoft Azure.

Después de registrar el dominio de Active Directory, siga el asistente Introducción para ver qué tarea hade completarse a continuación.

Si el nodo se implementa con la opción Escritorios habilitados para Internet establecida en Sí(predeterminado), antes de que los usuarios finales puedan acceder a las aplicaciones remotas o losescritorios, debe configurar un registro CNAME en el servidor DNS para asignar el FQDN públicogenerado automáticamente del equilibrador de cargas implementado por el nodo al FQDN que introdujoen el asistente de implementación. La dirección IP pública del equilibrador de carga tiene un FQDNpúblico generado automáticamente en formato vmw-hcs-IDdelnodo-uag.región.cloudapp.azure.com, donde IDdelnodo es el UUID del nodo y región es la región deMicrosoft Azure en la que se encuentra el nodo. El registro de su servidor DNS asigna el FQDN públicogenerado automáticamente del equilibrador de cargas al FQDN que utilizarán los usuarios finales, y quese utiliza en el certificado cargado.

ourApps.ourOrg.example.com vwm-hcs-IDdelnodo-uag.región.cloudapp.azure.com


VMware, Inc. 72

Para conocer los pasos que deben seguirse para obtener el FQDN público del equilibrador de cargas enel portal de Microsoft Azure, consulte Guía de administración de VMware Horizon Cloud Service onMicrosoft Azure. Puede realizar esos pasos después de los pasos necesarios para registrar el dominiode Active Directory.

Si especificó la autenticación en dos fases RADIUS para los escritorios de los usuarios finales desdeeste nodo, debe configurar su sistema RADIUS con la dirección IP pública del equilibrador de cargas deUnified Access Gateway del nodo como un cliente autorizado a realizar solicitudes de ese sistemaRADIUS. Las instancias del nodo Unified Access Gateway autentican las solicitudes desde el sistemaRADIUS a través de esa dirección.


VMware, Inc. 73

Ahora que el nodo inicial deHorizon Cloud estácompletamente implementado 5Enhorabuena por implementar su primera instancia de Horizon Cloud en Microsoft Azure.

La página Primeros pasos de la consola administrativa indica cuándo se ha incorporado correctamente elnodo en el sistema.

En Guía de administración de VMware Horizon Cloud Service on Microsoft Azure, se proporcionan lospasos detallados para continuar. Consulte el tema denominado Introducción al uso del entorno deHorizon Cloud y sus subtemas en Guía de administración de VMware Horizon Cloud Service on MicrosoftAzure. Ese documento está disponible desde la página de destino de la documentación de HorizonCloud.

VMware, Inc. 74

https://docs.vmware.com/es/VMware-Horizon-Cloud-Service/index.html

https://docs.vmware.com/es/VMware-Horizon-Cloud-Service/index.html

Solución de problemas deimplementación del nodo o deenlace de dominio inicial 6Si las redes de su entorno no están configuradas correctamente para su uso con el nodo deHorizon Cloud, el proceso para crear el nodo puede quedar atascado en el estado PENDIENTE o puedefallar la acción posterior a la implementación de enlace de dominio para el entorno Active Directory. Lasdos causas más comunes de errores relacionados con la red son no abrir los puertos salientesnecesarios y no poder habilitar el DNS para resolver las direcciones internas y externas. Siguiendo lospasos de solución de problemas descritos aquí, puede ejecutar algunas pruebas para comprobar que lospuertos salientes necesarios estén abiertos y el DNS pueda resolver las direcciones internas y externas.

Los requisitos de redes generales para implementar correctamente un nodo se establecen en eldocumento de lista de comprobación de requisitos previos, ubicado en este vínculo PDF y descriptos en Configurar el servidor DNS de la red virtual y Requisitos de DNS, puertos y protocolos de Horizon Cloud.Si las redes de su entorno no cumplen estos requisitos, se enfrentará a uno o ambos de estos dosproblemas:

Problemas Causas comunes

n La página Introducción muestra el nodo enestado pendiente y nunca pasa al estado deconexión. Por lo general, un nodo está en estadopendiente durante aproximadamente 10 minutos(excepto cuando se implementa un nodo en lanube de Microsoft Azure China, que tarda más).

n Incluso cuando el nodo se haya implementadocorrectamente, cuando se intenta registrar ActiveDirectory, el paso del enlace de dominio falla ypresenta el error Unable to register ActiveDirectory

n Los puertos salientes necesarios no están abiertos o estánbloqueados por su entorno de firewall. Si los puertos salientesnecesarios no están abiertos o están bloqueados por un firewall, seimpide que el software del nodo se descargue de forma segura enel entorno de nube de Microsoft Azure y vuelva a conectarse con elplano de control de la nube de Horizon Cloud. Como resultado, seproduce el problema de estado pendiente.

n El servidor DNS de la VNet no está configurado correctamente paraque apunte a un servidor DNS válido que pueda resolver nombresde máquina tanto internos como externos.

n Aunque el servidor DNS de la VNet apunte correctamente a unservidor DNS, ese servidor DNS no puede resolver los nombres demáquina internos ni externos.

Si no se proporciona a la VNet ninguna resolución de DNS para losnombres de máquina externos, se puede producir el problema deestado pendiente y el problema de enlace de dominio. Por ejemplo, si elDNS no se puede resolver en Active Directory en los controladores dedominio, se produce un error en el paso del enlace de dominio. Paraobtener más información sobre la configuración de DNS de la VNet,consulte Configurar el servidor DNS de la red virtual.

VMware, Inc. 75


Para ejecutar algunas pruebas que comprobarán que la configuración de DNS puede resolver nombresinternos y externos, y comprobar que los puertos salientes necesarios estén abiertos, debe implementaruna máquina virtual (VM) de prueba pequeña en la suscripción de Microsoft Azure y, a continuación, usaresa máquina virtual para ejecutar estas pruebas de redes. La secuencia de alto nivel de pasos parasolucionar problemas es la siguiente:

1 Cree un par de claves de SSH.

2 Cree la máquina virtual de prueba en la suscripción a Microsoft Azure.

3 Conéctese a esa máquina virtual de prueba.

4 Ejecute las pruebas de redes.

5 Al realizar la prueba, elimine la máquina virtual de prueba y todos los artefactos relacionados con laprueba que se crearon en su entorno de Microsoft Azure para realizar esta solución de problemas.

NOTA: Si no elimina los artefactos relacionados con la prueba y, posteriormente, usa la acción Eliminarde la consola administrativa para eliminar el nodo, pueden producirse resultados inesperados. Al eliminarun nodo, el sistema comprueba las subredes del nodo para comprobar que todos los elementosconectados a las subredes pertenecen al nodo (de acuerdo con el UUID de nodo). Si el sistemadetermina que las máquinas virtuales adicionales, discos de máquina virtual, direcciones IP u otrosartefactos están conectados a las subredes del nodo, el sistema no puede eliminar el nodocorrectamente.

Para obtener más información sobre la ejecución de las pruebas de solución de problemas, consulte lassecciones siguientes.

IMPORTANTE: Si se dirige todo el tráfico saliente a través de la red local y solo se permite que pase eltráfico autenticado, pero no proporcionó valores para usar un proxy en el Asistente de implementación denodo, a pesar de que todas estas pruebas manuales se realizarán correctamente, el tráfico enviado porun origen sin autenticar, el jumpbox, presentará un error. El síntoma de esta situación es que laimplementación del nodo se bloquea en estado pendiente. Si se encuentra en esta situación, debeeliminar el nodo de la página Primeros pasos, volver a ejecutar el Asistente de implementación de nodo yespecificar la información del proxy requerida.

Procedimiento

1 Crear un par de claves SSH

Es necesario un par de claves SSH para autenticación en la máquina virtual Linux de prueba que seva a implementar en su suscripción a Microsoft Azure. Cree el par de claves en el sistema que seva a utilizar para la conexión SSH con la máquina virtual de prueba. Este paso es opcional si yatiene un par de claves en ese sistema.

2 Crear la máquina virtual de prueba en la suscripción a Microsoft Azure

Para ejecutar las pruebas que comprobación la conectividad de red que esté configurada para elnodo Horizon Cloud utilizará una máquina virtual (VM) de prueba de Linux en el entorno deMicrosoft Azure.


VMware, Inc. 76

3 Utilizar SSH para conectarse a la máquina virtual de prueba

Establezca una conexión SSH (shell seguro) con la máquina virtual de prueba para poder ejecutarlas pruebas de conectividad de red en el entorno de Microsoft Azure.

4 Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure

Puede ejecutar estas pruebas para comprobar que estas dos áreas relacionadas con la red esténconfiguradas correctamente: que el DNS pueda resolver las direcciones internas y externas, y quelos puertos salientes necesarios estén abiertos. Estas pruebas se ejecutan con la máquina virtualde prueba.

5 Eliminar la máquina virtual de prueba después de completar las pruebas

Cuando haya terminado las pruebas para comprobar la configuración de red de Microsoft Azure yya no necesite la máquina virtual de prueba, debe eliminarla del entorno de Microsoft Azure, comotambién, debe eliminar todos los artefactos relacionados.

Crear un par de claves SSHEs necesario un par de claves SSH para autenticación en la máquina virtual Linux de prueba que se va aimplementar en su suscripción a Microsoft Azure. Cree el par de claves en el sistema que se va a utilizarpara la conexión SSH con la máquina virtual de prueba. Este paso es opcional si ya tiene un par declaves en ese sistema.

Puede utilizar un sistema Microsoft Windows o Linux para crear este par de claves SSH. Los pasos paraambos tipos de sistemas se describen a continuación. Elija los pasos más adecuados para su situación.

Crear un par de claves SSH en un sistema Microsoft WindowsSiga estos pasos cuando vaya a utilizar un sistema Microsoft Windows para conexión SSH con lamáquina virtual Linux de prueba que se va a implementar en su suscripción a Microsoft Azure.

Cuando se crea la máquina virtual de prueba en Microsoft Azure, utilizará el contenido del archivo de laclave pública generada. Si ya tiene un par de claves SSH existente en el sistema Microsoft Windows quese va a utilizar para conectarse con la máquina virtual de prueba, puede omitir este paso y continuar conla creación de la máquina virtual de prueba, como se describe en Crear la máquina virtual de prueba enla suscripción a Microsoft Azure.

Siguiendo estos pasos, se genera el par de claves SSH, se copia el contenido del archivo de clavepública de manera que pueda utilizarlo al crear la máquina virtual de prueba y se carga la clave privadaen la herramienta Pageant de PuTTY. Pageant es un agente de autenticación SSH que puede contenerlas claves privadas en la memoria. Manteniendo la clave privada en la memoria, la clave privada seaplica automáticamente contra cualquier sesión SSH de ese sistema Microsoft Windows, lo que facilitaaún más su uso.


VMware, Inc. 77

Prerequisitos

Un sistema Microsoft Windows no tiene instalado de forma predeterminada el software de par de clavesSSH. Compruebe que el software de generación de par de claves SSH esté instalado en el sistema queva a utilizar. Puede utilizar cualquier software de generación de par de claves SSH. Los siguientes pasosdescriben cómo usar el software PuTTY en Microsoft Windows para crear el par de claves SSH. Puedeobtener el software PuTTY en www.putty.org. Tras la instalación, el conjunto de herramientas PuTTYestá disponible. La siguiente captura de pantalla muestra un ejemplo de las herramientas PuTTY en elmenú Inicio.

Procedimiento

1 En el sistema Microsoft Windows, inicie PuTTYgen (el generador de claves de PuTTY).

En Microsoft Windows 10, la opción PuTTYgen en el menú Inicio es similar a la .

Se muestra la ventana del generador de claves de PuTTY. Como se resaltó en la siguiente capturade pantalla, el objetivo es generar un par de claves pública y privada, del tipo SSH-2 RSA y tener2048 bits.


VMware, Inc. 78

https://www.putty.org

2 Compruebe que SSH 2RSA esté seleccionado, 2048 esté establecido como la cantidad de bits y, a

continuación, haga clic en Generar. La ventana cambia a la ventana Clave que muestra una barra deprogreso.

3 Mueva el cursor de forma aleatoria en el área en blanco situada debajo de la barra de progreso. Almover el cursor en el área se agrega la aleatoriedad requerida en el proceso.


VMware, Inc. 79

4 Guarde la clave privada en el sistema. Para ello introduzca una frase de contraseña de clave y hagaclic en Guardar la clave privada.

NOTA: Utilizar una frase de contraseña de clave es una práctica recomendada opcional. Sinembargo, si hace clic en Guardar la clave privada sin tener que introducir una frase de contraseñade clave, una ventana emergente le pide que confirme si desea guardar la clave privada sin unafrase de contraseña de clave.

La clave privada se descarga como un archivo PPK. Después de hacer clic en Guardar la claveprivada, puede desplazarse a un directorio en el sistema local, escribir un nombre de archivo yguardar el archivo.

5 Utilice el botón Guardar la clave pública para guardar la clave pública en una ubicación desde

donde pueda copiarla al crear la máquina virtual de prueba.


VMware, Inc. 80

6 Inicie Pageant, el agente de autenticación SSH de PuTTY.

En Microsoft Windows 10, la opción Pageant del menú Inicio es similar a la . Al hacerclic en ella, el icono de Pageant de un equipo de computación con un sombrero se carga en labandeja del sistema.

La siguiente captura de pantalla muestra el icono de Pageant cargado en la bandeja del sistemaMicrosoft Windows 10.

7 Agregue la clave privada a Pageant haciendo clic derecho en ese icono de bandeja del sistema,

haciendo clic en Agregar clave y utilizando la ventana de selección de archivo para ir a archivo declave privada (PPK) guardado y seleccionarlo.

NOTA: Si especificó una frase de contraseña de clave cuando se guardó el archivo de claveprivada anteriormente, se muestra un cuadro para que escribir esa frase de contraseña.

En este punto, la clave privada se carga en Pageant. Puede utilizar la opción de Ver claves en el menúAcción para ver la clave en la lista de claves cargadas. Cuando inicie una sesión SSH con PuTTY,PuTTY recuperará la clave automáticamente desde Pageant y la utilizará para autenticar sin tener queescribir la frase de contraseña. Posteriormente, cuando haya terminado de ejecutar las sesiones de SSHy desee apagar Pageant, utilice la opción Salir desde el menú secundario del icono de la bandeja delsistema de Pageant.


Cree la máquina virtual de prueba siguiendo los pasos que aparecen en Crear la máquina virtual deprueba en la suscripción a Microsoft Azure.


VMware, Inc. 81

Crear un par de claves SSH en un sistema LinuxSiga estos pasos cuando utilice un sistema Linux para conectarse mediante SSH a la máquina virtualLinux de prueba que se implementará en la suscripción de Microsoft Azure.

En los pasos para crear la máquina virtual de prueba en Microsoft Azure, se utilizará el contenido delarchivo de claves públicas generado. Si ya hay un par de claves SSH en el sistema Linux que se utilizarápara conectarse a la máquina virtual de prueba, puede omitir este paso y continuar con la creación de lamáquina virtual de prueba, tal como se describe en Crear la máquina virtual de prueba en la suscripcióna Microsoft Azure.

Prerequisitos

Antes de realizar estos pasos, asegúrese de que no se sobrescribirá ningún par de claves SSH existenteque desee conservar para otros fines. En un sistema Linux, los archivos de claves SSH públicas yprivadas se crean en el directorio de Linux ~/.ssh/id_rsa de forma predeterminada. Si ya existe un parde claves SSH en el directorio, y se usa el mismo nombre de archivo al ejecutar este comando, o si seespecifica una ubicación diferente en el comando y ya existe un par de claves SSH en esa ubicación, elpar existente se sobrescribirá.

Procedimiento

1 En el sistema Linux, abra un shell de bash.

2 En el shell de bash, escriba el siguiente comando:

ssh-keygen -t rsa -b 2048

3 Siga las instrucciones que aparecen en pantalla para introducir el archivo en el que se guardará laclave, escribir una frase de contraseña y confirmar la frase de contraseña.

A continuación, se muestra un ejemplo de las instrucciones en pantalla, donde mykey se haintroducido como el archivo en el que se guardará la clave.

-bash-4.1$ ssh-keygen -t rsa -b 2048

Generating public/private rsa key pair.

Enter file in which to save the key (/mts-cm/home/user1/.ssh/id_rsa): mykey

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

NOTA: El uso de una frase de contraseña de clave es una práctica recomendada opcional.

La clave privada se guardará en el archivo que se especifique, mientras que la clave pública seguardará en un archivo con el mismo nombre y la extensión .pub. Retomando el ejemplo anteriordonde se introdujo mykey como archivo, la salida sería:

Your identification has been saved in mykey.

Your public key has been saved in mykey.pub.


VMware, Inc. 82


Cree la máquina virtual de prueba siguiendo los pasos que aparecen en Crear la máquina virtual deprueba en la suscripción a Microsoft Azure.

Crear la máquina virtual de prueba en la suscripción aMicrosoft AzurePara ejecutar las pruebas que comprobación la conectividad de red que esté configurada para el nodoHorizon Cloud utilizará una máquina virtual (VM) de prueba de Linux en el entorno de Microsoft Azure.

Prerequisitos

Compruebe que tenga la clave pública de SSH creada como se describe en Crear un par de claves SSH.Esa clave pública se proporcionará en el Asistente de creación de la máquina virtual para que esta últimaconfíe en las conexiones de SSH procedentes del sistema que tenga la clave privada correspondiente.

Compruebe que el nombre de la red virtual (VNet) sea el mismo que se utiliza para implementar el nodo,tal como se describe en Configurar la red virtual obligatoria en Microsoft Azure.

Si intentó implementar un nodo y el proceso de implementación falló en algún momento, es posible queel proceso ya haya creado la subred de administración del nodo en la VNet.

n Si así fuera, se recomienda implementar la máquina virtual de prueba en esa subred. Para identificarla existencia de la subred de administración del nodo en la VNet, inicie sesión en el portal deMicrosoft Azure, desplácese a esa VNet y examine la lista de subredes que tiene. Puede

desplazarse hasta la VNet mediante la opción Redes virtuales ( ) en la barra denavegación izquierda. La subred de administración del nodo tendrá un nombre con el patrón vmw-hcs-nodeID-net-management, donde nodeID es el UUID del nodo.

n Si el proceso de implementación del nodo no creó la subred de administración del nodo en la VNet,puede elegir cualquier subred disponible en la VNet o crear una nueva subred para que la use lamáquina virtual de prueba.

Procedimiento


2 En la barra de navegación izquierda del portal, haga clic en Máquinas virtuales

( ) y, a continuación, haga clic en + Agregar.


VMware, Inc. 83

3 Busque Ubuntu Server 16.04 LTS y selecciónelo.

4 Seleccione Administrador de recursos como modelo de implementación y haga clic en Crear.

Se abrirá el Asistente de creación de máquinas virtuales en los pasos para configurar los ajustesbásicos.

5 Proporcione la configuración básica de la máquina virtual y, a continuación, haga clic en Aceptarpara ir al siguiente paso del asistente.


Nombre Escriba un nombre para la máquina virtual.

Tipo de disco de máquina virtual Conserve la configuración de SSD predeterminada.

Nombre de usuario Escriba un nombre de usuario que cumpla con los requisitos de nombre deusuario de Microsoft Azure, tal como se describe en la documentación deMicrosoft aquí.

IMPORTANTE: Tome nota de este nombre debido a que deberá utilizarlo másadelante.

Tipo de autenticación Seleccione Clave pública SSH.

Clave pública SSH En este campo, pegue la clave pública SSH que creó al generar el par de clavesSSH. El contenido pegado debe comenzar con la línea ---- BEGIN SSH2PUBLIC KEY ---- y terminar con la línea ---- END SSH2 PUBLIC KEY ----de la clave pública.

Suscripción Seleccione la misma suscripción que se utiliza para el nodo.

Grupo de recursos La opción recomendada es crear un nuevo grupo de recursos para la máquinavirtual de prueba y los artefactos relacionados, como su disco. Seleccione Crearnuevo e introduzca un nombre para el nuevo grupo de recursos. Aunque puedausar un grupo de recursos existente con esta máquina virtual de prueba, serecomienda un grupo de recursos específico, ya que resulta más fácil eliminar lamáquina virtual y los artefactos relacionados simplemente eliminando el grupode recursos completo cuando haya finalizado la ejecución de las pruebas.

Ubicación Seleccione la misma región geográfica física que se utiliza para el nodo.


VMware, Inc. 84

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/faq#what-are-the-username-requirements-when-creating-a-vm


VMware, Inc. 85

6 En el paso de tamaño del asistente, haga clic en un tamaño de máquina virtual y, a continuación, enSeleccionar para pasar al siguiente paso del asistente.

Debido a que se espera que sea una máquina virtual temporal, utilizada solo para completar laspruebas de comprobación, puede elegir cualquier tamaño. Sin embargo, debido a que, por logeneral, los tamaños menores suelen tener menores costos asociados en Microsoft Azure, sueleelegirse un tamaño pequeño para la máquina virtual de prueba. La siguiente captura de pantallailustra el ejemplo de cómo elegir el tamaño D2S_V3 estándar.

7 En el paso de configuración del asistente, especifique las opciones de red clave para la máquinavirtual de prueba.

En este paso del asistente, se eligen tres opciones importantes. La siguiente captura de pantallamuestra estos tres elementos clave. Después de configurar las tres opciones de red clave, puedeconservar todos los demás valores predeterminados.


VMware, Inc. 86

.


VMware, Inc. 87


Red virtual Debe seleccionar la misma VNet que se utiliza para implementar el nodo. Esta VNet debe ser la queconfiguró según los detalles de la lista de comprobación de requisitos previos y como se describe en Configurar la red virtual obligatoria en Microsoft Azure.

Subred Si ya ha intentado implementar el nodo y el proceso falló, es posible que la subred de administracióndel nodo se haya creado en la red virtual. Si la subred está allí, se recomienda seleccionar esasubred para la máquina virtual de prueba. Haga clic en la opción Subred para desplazarse a lassubredes que existen en la red virtual seleccionada. Es posible que deba pasar el cursor sobre lasubred para ver su nombre completo en la información sobre herramientas. Esta captura de pantallamuestra cómo colocar el cursor sobre una subred para ver el patrón de nombres de la subred deadministración de un nodo, con el patrón vmw-hcs-nodeID-net-management.

Si el proceso de implementación del nodo no creó la subred de administración del nodo en la VNet,seleccione la subred de la VNet que identificó para usar para la máquina virtual de prueba (como sedescribe en los requisitos previos anteriores).

NOTA: Si el nodo se implementó correctamente, pero está solucionando problemas de unión adominio, puede seleccionar la subred de escritorio del nodo para la máquina virtual de prueba enlugar de la subred de administración, debido a que las operaciones de unión a dominio se usan conlas imágenes de escritorio que se conectan a esa subred de escritorio.

Dirección IPpública

Seleccione esta opción para que la máquina virtual de prueba que creó tenga una dirección IPpública asignada. Tener una dirección IP pública le permite conectarse a ella a través de la red deárea extensa (WAN).

NOTA: Es posible que no sea técnicamente viable usar una dirección IP pública en la configuraciónde red. Si no se puede crear la máquina virtual de prueba con una IP pública, deberá tenerconectividad de red desde el sistema local hacia la subred seleccionada en el campo Subred o seránecesario conectarse a alguna otra máquina en la red y, a continuación, realizar una conexión deentrada a la máquina virtual de prueba.

8 Haga clic en Aceptar para ir al paso de resumen del asistente.

9 En el paso de resumen, compruebe que la información clave (suscripción, ubicación, red virtual y lasubred) coincida con la que se utiliza para el nodo y, a continuación, haga clic en Crear.


VMware, Inc. 88

La creación de la máquina virtual de prueba empezará a ejecutarse. Por lo general, podrá ver el progresode la ejecución en el panel de control de Microsoft Azure, tal como se ilustra en la siguiente captura de

pantalla.

La implementación de la máquina virtual suele tardar, por lo general, de cinco a diez minutos. Alimplementar completamente la máquina virtual, esta tendrá el estado En ejecución. La siguiente capturade pantalla muestra los detalles de una máquina virtual de prueba de ejemplo.

Cuando vea que la máquina virtual de prueba está activa y en ejecución, conéctese a ella. Siga lospasos descritos en Utilizar SSH para conectarse a la máquina virtual de prueba.

Utilizar SSH para conectarse a la máquina virtual depruebaEstablezca una conexión SSH (shell seguro) con la máquina virtual de prueba para poder ejecutar laspruebas de conectividad de red en el entorno de Microsoft Azure.

Conexión de SSH con la máquina virtual de prueba desde unsistema Microsoft WindowsEsta conexión se establece desde el sistema Microsoft Windows que tiene la clave privada que secorresponde con la clave pública especificada cuando se creó la máquina virtual de prueba.


VMware, Inc. 89

Prerequisitos

Compruebe que tiene la dirección IP de la máquina virtual de prueba y el nombre de usuario queespecificó cuando se creó la máquina virtual.

En un sistema Microsoft Windows, se suele usar PuTTY. Para facilitar a PuTTY cargar la clave privada aliniciar la sesión de SSH, antes de iniciar PuTTY, inicie Pageant, tal como se describe en Crear un par declaves SSH en un sistema Microsoft Windows, y agregue la clave SSH privada a la lista de claves dePageant. La clave SSH privada debe coincidir con la clave pública que se especificó al crear la máquinavirtual de prueba. Cuando se carga la clave privada en Pageant, la sesión de SSH de PuTTY utilizarádicha clave privada automáticamente.

Procedimiento

1

Inicie PuTTY ( ).

Se abrirá la ventana de configuración de PuTTY.

2 En la ventana de configuración de PuTTY, especifique el nombre de host, seleccione SSH y, acontinuación, haga clic en Abrir.

En el campo Nombre de Host de la ventana de configuración de PuTTY, escriba una cadena con elpatrón

testvm_username@testvmip

sustituyendo el nombre de usuario y la dirección IP de la máquina virtual de prueba portestv_username y testvmip en la cadena.

IMPORTANTE: Después de hacer clic en Abrir, si es la primera vez que se conecta a la máquinavirtual de prueba, aparecerá un mensaje de seguridad de PuTTY que indica que la clave de host delservidor no se ha almacenado en caché y que muestra la huella digital de clave rsa2 del servidor.Haga clic en Sí para agregar la clave de host del servidor en la memoria caché de PuTTY yestablecer la conexión, o haga clic en No para conectarse sin agregar la clave a la memoria cachéde PuTTY. Si sospecha que la conexión no se establecerá con la máquina virtual de prueba, hagaclic en Cancelar para abandonar la conexión y volver a la ventana de configuración de PuTTY con elobjetivo de comprobar la entrada del nombre de host.

La siguiente captura de pantalla ilustra la ventana que usa el ejemplo

[email protected]


VMware, Inc. 90

.

Cuando se establece la conexión SSH, aparece una ventana de la línea de comandos con un aspectoparecido a la siguiente captura de pantalla.


Ahora que se ha establecido la conexión con la máquina virtual de prueba, puede ejecutar las pruebaspara comprobar la conectividad de red en el entorno de Microsoft Azure. Siga los pasos que se describenen Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure.


VMware, Inc. 91

Conexión de SSH con la máquina virtual de prueba desde unsistema LinuxEsta conexión se establece desde el sistema Linux que tiene la clave privada que se corresponde con laclave pública especificada cuando se creó la máquina virtual de prueba.

Prerequisitos

Compruebe que tiene la dirección IP de la máquina virtual de prueba y el nombre de usuario queespecificó cuando se creó la máquina virtual.

Procedimiento

1 Abra un shell de bash.

2 En la línea de comandos $ del shell de bash, introduzca el comando ssh tal como se muestra acontinuación, sustituyendo la dirección IP y el nombre de usuario de la máquina virtual de prueba portestvmip y testvm_username en el comando:

ssh testvm_username@testvmip

Por ejemplo, con la información de la máquina virtual de prueba de los ejemplos de Crear la máquinavirtual de prueba en la suscripción a Microsoft Azure, este sería el aspecto del comando de ejemplo:

ssh [email protected]

Cuando se establece la conexión SSH, aparece una ventana de la línea de comandos con un aspectoparecido a la siguiente captura de pantalla.


VMware, Inc. 92


Ahora que se ha establecido la conexión con la máquina virtual de prueba, puede ejecutar las pruebaspara comprobar la conectividad de red en el entorno de Microsoft Azure. Siga los pasos que se describenen Ejecutar las pruebas para comprobar las redes en su entorno de Microsoft Azure.

Ejecutar las pruebas para comprobar las redes en suentorno de Microsoft AzurePuede ejecutar estas pruebas para comprobar que estas dos áreas relacionadas con la red esténconfiguradas correctamente: que el DNS pueda resolver las direcciones internas y externas, y que lospuertos salientes necesarios estén abiertos. Estas pruebas se ejecutan con la máquina virtual de prueba.

El nodo se basa en DNS para resolver las direcciones internas y externas. Las dos primeras pruebasaquí comprueban si el DNS configurado en el entorno de red puede resolver los FQDN conocidos paralas direcciones internas y externas.

IMPORTANTE: Si se dirige todo el tráfico saliente a través de la red local y solo se permite que pase eltráfico autenticado, pero no proporcionó valores para usar un proxy en el Asistente de implementación denodo, a pesar de que todas estas pruebas manuales se realizarán correctamente, el tráfico enviado porun origen sin autenticar, el jumpbox, presentará un error. El síntoma de esta situación es que laimplementación del nodo se bloquea en estado pendiente. Si se encuentra en esta situación, debeeliminar el nodo de la página Primeros pasos, volver a ejecutar el Asistente de implementación de nodo yespecificar la información del proxy requerida.

Prerequisitos

Antes de ejecutar estas pruebas, compruebe que haya creado una máquina virtual de prueba en lasuscripción a Microsoft Azure y que esta tenga una conexión SSH, como se describe en Crear lamáquina virtual de prueba en la suscripción a Microsoft Azure y Utilizar SSH para conectarse a lamáquina virtual de prueba.

Obtenga las direcciones IP y los nombres de dominio completos (FQDN) para los servidores que soninternos de la red que se espera que sean accesibles desde la VNet, como el controlador de dominio deActive Directory. Esta información se utilizará en la prueba de verificación de DNS.

Procedimiento

1 Compruebe que el DNS esté funcionando en su entorno para resolver los FQDN internos utilizandoel comando dlg para consultar un nombre de dominio conocido que sea interno de la VNet enMicrosoft Azure.

En la ventana de la conexión SSH, emita el comando dig para consultar el nombre de dominio de unservidor que sabe que sea interno de la red, como el controlador de dominio de Active Directory.

dig internal-domain-name

Donde internal-domain-name es el nombre de dominio totalmente cualificado de un servidor quesabe es interno de la red.


VMware, Inc. 93

dig (Domain Information Groper) es una herramienta de línea de comandos para solucionarproblemas de red. Al ejecutar este comando con un nombre de host interno, el resultado verifica quela configuración del DNS pueda resolver las direcciones internas correctamente. Si la configuracióndel DNS puede resolver el internal-domain-name que se utiliza en el comando, la salida del comandodevolverá la dirección IP correcta asociada con ese nombre de dominio.

Por ejemplo, supongamos que la VNet está configurada con un servidor interno de Active Directorycuyo controlador de dominio de Active Directory tiene una entrada DNS de skylo.local y unadirección IP de 192.168.0.15. Al ejecutar dig skylo.local se debería comprobar si laconfiguración de DNS de la VNet puede resolver ese nombre de servidor interno skylo.local:

testvmadmin@HCS-testingVM:~$ dig skylo.local

; <<>> DiG 9.10.3-P4-Ubuntu <<>> skylo.local

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64899

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4000

;; QUESTION SECTION:

;skylo.local. IN A

;; ANSWER SECTION: skylo.local. 600 IN A 192.168.0.15

;; Query time: 1 msec

;; SERVER: 192.168.0.15#53(192.168.0.15)

;; WHEN: Mon Mar 26 20:58:01 UTC 2018

;; MSG SIZE rcvd: 56

testvmadmin@HCS-testingVM:~$

La prueba es correcta cuando ANSWER SECTION indica que el nombre de host proporcionado seresolvió a la dirección IP que se espera para ese nombre de host.

NOTA: En ocasiones, el DNS no es totalmente fiable y algunas solicitudes resuelven correctamentemientras que otras no. Si la emisión del comando produce un error la primera vez, ejecútelo de dieza veinte iteraciones y vea si obtiene respuestas confiables cada vez.

2 Compruebe que el DNS esté funcionando en su entorno para resolver nombres de dominiocompletos externos utilizando el comando dlg para consultar un nombre de dominio externoconocido.

En la ventana de la conexión SSH, emita el comando dig para consultar un nombre de dominioexterno estándar del sector, como vmware.com o microsoft.com.

dig external-domain-name


VMware, Inc. 94

Donde external-domain-name es un nombre de dominio totalmente cualificado que está fuera de laVNet. Por ejemplo, al ejecutar dig vmware.com se comprueba si la configuración de DNS de la VNetpudo resolver ese nombre externo:

testvmadmin@HCS-testingVM:~$ dig vmware.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> vmware.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38655

;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4000

;; QUESTION SECTION:

;vmware.com. IN A

;; ANSWER SECTION: vmware.com. 150 IN A 107.154.105.19 vmware.com. 150 IN A 107.154.106.19

;; Query time: 28 msec

;; SERVER: 192.168.0.15#53(192.168.0.15)

;; WHEN: Mon Mar 26 21:14:29 UTC 2018

;; MSG SIZE rcvd: 71

testvmadmin@HCS-testingVM:~

En el ejemplo anterior, ANSWER SECTION indica que el nombre de dominio externo vmware.com seresolvió correctamente a dos direcciones IP.

NOTA: Puede repetir esta prueba usando diversos nombres de dominio externo, como azure.como microsoft.com, para comprobar que el DNS pueda resolver diferentes nombres externos.

Si las pruebas de DNS no funcionan, compruebe las configuraciones de red y su servidor DNS.Compruebe que haya agregado su servidor DNS a la VNet.

IMPORTANTE: Si detecta que necesita agregar el servidor DNS a la VNet o tiene que cambiar laconfiguración del servidor DNS de la VNet, debe reiniciar todas las máquinas virtuales que esténconectadas a esa VNet para que estas incorporen el cambio. Si cambia la configuración del servidorDNS de la VNet y no reinicia todas las máquinas virtuales conectadas a esa VNet, los cambios no sepropagarán correctamente en la VNet.


VMware, Inc. 95

3 Compruebe que los puertos de salida obligatorios estén disponibles mediante el comando netcat.

Horizon Cloud requiere que algunos puertos salientes estén abiertos, para que el software del nodopueda descargarse de forma segura en su entorno de Microsoft Azure y para que el nodo se puedaconectar con el plano de control de Horizon Cloud. Como se describe en Requisitos de DNS, puertosy protocolos de Horizon Cloud, los siguientes puertos TCP salientes deben estar abiertos en lasubred de administración del nodo: el puerto 80, 443 y 11371. Si ejecuta netcat, como se indica enel siguiente comando, puede verificar que esos puertos salientes estén abiertos.

En la ventana de la conexión SSH, ejecute los siguientes comandos (uno por puerto).

NOTA: El siguiente comando para probar el puerto 11371 especifica packages.microsoft.compara probar la conexión, mientras que las otras dos líneas prueban la conexión saliente con el planode control de Horizon Cloud.

testvmadmin@HCS-testingVM:~$ netcat -v -w 3 cloud.horizon.vmware.com 80

Connection to cloud.horizon.vmware.com 80 port [tcp/http] succeeded!

testvmadmin@HCS-testingVM:~$ netcat -v -w 3 cloud.horizon.vmware.com 443

Connection to cloud.horizon.vmware.com 443 port [tcp/https] succeeded!

testvmadmin@HCS-testingVM:~$ netcat -v -w 3 packages.microsoft.com 11371

Connection to packages.microsoft.com 11371 port [tcp/hkp] succeeded!

Cuando un puerto está abierto correctamente, el comando netcat devuelve la línea succeeded!para su prueba.

Si los comandos netcat devuelven errores, compruebe las conexiones de red de Microsoft Azure, losgrupos de seguridad de red en su suscripción y cualquier servidor de seguridad que pueda tenerinstalado. Asegúrese de que la configuración de red cumpla los requisitos de DNS, puertos yprotocolo que el nodo necesita para la implementación, como se describe en Requisitos de DNS,puertos y protocolos de Horizon Cloud.

Si las pruebas anteriores se realizan correctamente, podrá implementar correctamente el nodo.

NOTA: Si va a configurar funciones opcionales para su uso con el nodo, como la autenticación de dosfactores Radius o True SSO, es posible que se necesiten puertos adicionales para estos fines. Puedeutilizar las técnicas de prueba de puertos de salida anteriores para comprobar que estos puertos estánabiertos correctamente.


VMware, Inc. 96


Cuando haya completado la prueba, debe eliminar la máquina virtual de prueba y todos los artefactosrelacionados, como su disco de máquina virtual, dirección IP, NIC, desde el entorno de Microsoft Azure.Lo ideal es que debería haber creado un grupo de recursos para la máquina virtual de prueba ysimplemente elimine ese grupo de recursos para eliminar todos los artefactos de la máquina virtual. Sigalos pasos descritos en Eliminar la máquina virtual de prueba después de completar las pruebas.

IMPORTANTE: Si no elimina todos los artefactos de la máquina virtual de prueba del entorno deMicrosoft Azure y conecta la máquina virtual a una de las subredes del nodo, es posible que, debido aesos artefactos conectados, el sistema no pueda eliminar completamente el nodo restante si intentaeliminar el nodo mediante la consola administrativa de una versión posterior. De forma predeterminada,cuando se utiliza la acción Eliminar para eliminar un nodo, Horizon Cloud elimina los grupos de recursosy las subredes que ha creado para el nodo. Microsoft Azure impedirá la eliminación de subredes que aúnestán en uso. Si los artefactos de la máquina virtual de prueba están conectados a las subredes delnodo, no se puede eliminar esas subredes, y la eliminación del nodo quedará incompleta. Para evitaresta situación, asegúrese de que se eliminen todos los artefactos de la máquina virtual de pruebadespués de que el nodo se implemente correctamente.

Eliminar la máquina virtual de prueba después decompletar las pruebasCuando haya terminado las pruebas para comprobar la configuración de red de Microsoft Azure y ya nonecesite la máquina virtual de prueba, debe eliminarla del entorno de Microsoft Azure, como también,debe eliminar todos los artefactos relacionados.

IMPORTANTE: Si no elimina todos los artefactos de la máquina virtual de prueba del entorno deMicrosoft Azure y conecta la máquina virtual a una de las subredes del nodo, es posible que, debido aesos artefactos conectados, el sistema no pueda eliminar completamente el nodo restante si intentaeliminar el nodo mediante la consola administrativa de una versión posterior. De forma predeterminada,cuando se utiliza la acción Eliminar para eliminar un nodo, Horizon Cloud elimina los grupos de recursosy las subredes que ha creado para el nodo. Microsoft Azure impedirá la eliminación de subredes que aúnestán en uso. Si los artefactos de la máquina virtual de prueba están conectados a las subredes delnodo, no se puede eliminar esas subredes, y la eliminación del nodo quedará incompleta. Para evitaresta situación, asegúrese de que se eliminen todos los artefactos de la máquina virtual de pruebadespués de que el nodo se implemente correctamente.

Procedimiento



VMware, Inc. 97

2 Utilice uno de los siguientes métodos para eliminar la máquina virtual de prueba, en función de cómose haya implementado.

n Si implementó la máquina virtual de prueba en su propio grupo de recursos y dicho grupo no seusa con ningún otro fin, puede eliminar el grupo de recursos completo.

ADVERTENCIA: Para evitar eliminar accidentalmente otros elementos, asegúrese de que elgrupo de recursos contenga solo la máquina virtual de prueba y sus objetos asociados, como losadaptadores de red y el disco, antes de eliminar el grupo de recursos.

a En el panel de navegación izquierdo del portal, haga clic en Grupos de recursos y busqueel grupo de recursos de la máquina virtual de prueba.

b Haga clic en el nombre del grupo de recursos para ver los elementos de ese grupo de

recursos.


VMware, Inc. 98

c Haga clic en Eliminar grupo de recursos. En el mensaje de confirmación, escriba elnombre del grupo de recursos y, a continuación, haga clic en Eliminar.

n Si necesita eliminar la máquina virtual de prueba sin eliminar un grupo de recursos completo,puede utilizar el cuadro de búsqueda del portal para buscar el nombre de la máquina virtual deprueba. Los resultados de esta búsqueda mostrarán la máquina virtual y todos sus objetosasociados (disco, interfaces de red, dirección IP pública, etc.). A continuación, elimine cadaobjeto de forma individual.


VMware, Inc. 99

Documents

Horizon Cloud Service on Introducción a VMware … · Conexión de SSH con la máquina virtual de prueba desde un sistema Linux 92 Ejecutar las pruebas para comprobar las redes en