Introdução ao VMware Horizon Cloud Service on Microsoft Azure

Introdução ao VMware

Horizon Cloud Service on

Microsoft Azure

Para o nível de serviço a partir de 20 de setembro de

2018

VMware Horizon Cloud Service

Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:

https://docs.vmware.com/br/

O site da VMware também fornece as atualizações mais recentes de produtos. Caso tenha comentários sobre esta documentação, envie seu feedback para:

[email protected] VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware Brasil

Rua Surubim, 504 4º andar CEP 04571-050 Cidade Monções São Paulo SÃO PAULO: 04571-050 Brasil Tel: +55 11 55097200 Fax: + 55. 11. 5509-7224 www.vmware.com/br

Sobre este documento de introdução ao VMware Horizon Cloud Service on Microsoft Azure 5

1

Introdução a um ambiente do

VMware Horizon Cloud Service on Microsoft Azure 7

2

Fluxo de trabalho sugerido para seu primeiro nó do Horizon Cloud no Microsoft Azure 14

3

Preparar para implementar um nó do Horizon Cloud no Microsoft Azure 18

Requisitos de máquina virtual do Microsoft Azure para um nó do Horizon Cloud 21 Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure 25 Configurar a rede virtual necessária no Microsoft Azure 26

Criar opcionalmente as sub-redes necessárias do nó na sua VNet do Microsoft Azure 30 Configurar o servidor DNS da rede virtual 31

Configurações de domínio do Active Directory 33

Requisitos de DNS, portas, protocolos do Horizon Cloud 33

Criar a entidade de serviço exigida ao criar um registro de aplicativo 44 Informações relacionadas à assinatura para o assistente de implantação 52

Converter um arquivo de certificado para o formato PEM necessário para a implantação do nó 53

4

Implementar um nó para o VMware Horizon Cloud Service on Microsoft Azure 57

Pré-requisitos para executar o assistente de implantação de nó 58 Iniciar o assistente de Implantação de Nó 63

Especificar as informações de assinatura do Microsoft Azure para o novo nó 65 Especificar as informações de configuração do nó 70

Especificar a configuração de gateway do nó 76

Especificar a capacidade de autenticação de dois fatores para configurações do Unified Access Gateway do nó 81

Validar e Avançar, e iniciar o processo de implantação do nó 84

5

Agora que seu nó inicial do Horizon Cloud está totalmente implantado 89

6

Solução de problemas na implantação de nós ou no BIND de domínio pela

primeira vez 90

Criar um par de chaves SSH 92

Criar a máquina virtual de teste na sua Assinatura do Microsoft Azure 98 Usar SSH para se conectar à VM de teste 104

Conexão por SSH à VM de teste a partir de um sistema Microsoft Windows 104 Conexão por SSH à VM de teste a partir de um sistema Linux 107

Executar os testes para verificar a rede no seu ambiente do Microsoft Azure 108 Excluir a VM de teste depois de concluir os testes 112

VMware Horizon Cloud Service on

Microsoft Azure

Este documento Como começar do VMware Horizon Cloud Service™ on Microsoft Azure descreve o processo de implantação dos componentes de software necessários no ambiente do Microsoft Azure. Você conecta sua assinatura do Microsoft Azure para utilizar com o VMware Horizon® Cloud Service™ para gerenciar e fornecer aplicativos remotos e servidores virtuais Windows habilitados para RDS e áreas de trabalho VDI.

Antes de iniciar todas as etapas descritas neste documento, consulte também a Lista de verificação de requisitos do VMware Horizon Cloud Service on Microsoft Azure. Esse documento está disponível no formato PDF, e ele descreve vários elementos de pré-requisitos necessários para que a sua primeira implantação seja bem-sucedida.

Para obter informações sobre como usar o ambiente depois de concluir todas as tarefas descritas neste guia, consulte o documento complementar Guia de administração do VMware Horizon Cloud Service on Microsoft Azure começando com os tópicos Introdução ao Horizon Cloud e Nós do Horizon Cloud neste guia.

Histórico de revisão de documento

Neste documento, Introdução ao VMware Horizon Cloud Service on Microsoft Azure, é atualizado a cada nova versão do produto ou quando necessário.

Essa tabela fornece o histórico de atualizações.

Revisão Descrição

20 DE SETEMBRO DE 2018 Versão inicial, quando os recursos descritos foram implantados em tempo real em produção. Versão 965 ou posterior do manifesto do nó do

VMware Horizon Cloud Service on Microsoft Azure.

Público-alvo

As informações nesse documento são destinadas a administradores experientes de centros de dados com conhecimento sobre o Microsoft Azure, tecnologia de virtualização e rede.

Sobre as capturas de tela usadas neste documento

Em geral, as capturas de tela:

n Mostram apenas a parte da tela geral da interface de usuário que corresponde ao texto no ponto em

que a captura de tela aparece e, não necessariamente, a interface de usuário inteira.

n Tem áreas desfocadas, quando apropriado, para manter o anonimato dos dados.

Observação Algumas capturas de tela são feitas com uma resolução mais alta do que outras e podem parecer granuladas quando o PDF é visualizado em 100%. No entanto, se você aumentar o zoom para 200%, estas imagens ficarão claras e legíveis.

Comunidade do Horizon Cloud

Use a comunidade do VMware Horizon Cloud on Microsoft Azure para fazer perguntas, explorar as respostas dadas para perguntas frequentes por outros usuários e acessar links para informações úteis. A comunidade está em https://communities.vmware.com/community/vmtn/horizon-cloud-service/horizon-cloud-on-azure.

Entrando em contato com o Suporte da VMware

Entre em contato com o Suporte da VMware se precisar de ajuda com o ambiente do Horizon Cloud.

n Você pode enviar uma solicitação de suporte online ao Suporte da VMware usando a sua conta

My VMware® ou pelo telefone.

n KB 2144012 As Orientações de Suporte ao Cliente fornece detalhes para obter suporte, dependendo

do problema encontrado.

n

No Console Administrativo, clicando em > Suporte, exibe o link para esse KB 2144012 também.

Glossário de Publicações Técnicas VMware

As Publicações Técnicas VMware fornecem um glossário de termos que talvez você não conheça. Para saber as definições de termos como usados na documentação técnica da VMware, acesse

VMware Horizon Cloud Service

on Microsoft Azure

1

Um ambiente do VMware Horizon Cloud Service on Microsoft Azure combina a simplicidade do

gerenciamento da camada de controle do Horizon Cloud com a economia do Microsoft Azure. Conecte sua assinatura do Microsoft Azure ao Horizon Cloud para gerenciar e fornecer áreas de trabalho VDI do Microsoft Windows 10, servidores virtuais Windows ativados para RDS para áreas de trabalho e

aplicativos remotos baseados em sessão. A configuração do ambiente envolve a implementação do software VMware necessário em sua capacidade do Microsoft Azure. O software implementado da VMware cria uma entidade configurada adequadamente, chamada de um nó do Horizon Cloud, que é combinado com a camada de controle. Depois que o nó tiver sido implantado, use o plano de controle para provisionar áreas de trabalho VDI e servidores ativados para RDS e autorize o acesso a áreas de trabalho e aplicativos remotos para seus usuários finais.

Arquitetura do

VMware Horizon Cloud Service on Microsoft Azure

Horizon Cloud é uma camada de controle que a VMware hospeda na nuvem. Esse serviço de nuvem permite a orquestração e o gerenciamento centrais das áreas de trabalho e aplicativos remotos em sua capacidade do Microsoft Azure.

A VMware é responsável por hospedar o serviço e fornecer atualização e aprimoramento de recursos para uma experiência de software como serviço.

A camada de controle na nuvem também hospeda uma interface de usuário de gerenciamento comum denominada como Console Administrativo do Horizon Cloud ou, resumidamente, como Console

Administrativo. O Console Administrativo é executado em navegadores padrão do setor. Ele fornece aos administradores de TI um local único para tarefas de gerenciamento que envolvem as atribuições de usuários e as áreas de trabalho virtuais, as sessões de área de trabalho remota e os aplicativos. O Console de administração pode ser acessado de qualquer lugar, a qualquer momento, oferecendo o máximo de flexibilidade possível.

Importante O Console Administrativo reflete o que está disponível no nível de serviço atual. No entanto, quando você tiver nós que ainda não estão atualizados para o nível lançado atualmente, o Console Administrativo não exibirá os recursos que variam de acordo com o nível de software mais recente do nó. Além disso, em uma versão específica, o Horizon Cloud pode incluir recursos licenciados

Implementação de nó no Microsoft Azure

Um nó do Horizon Cloud, ou nó, abreviadamente, possui um local regional físico em uma nuvem do Microsoft Azure. No assistente de implementação do nó, selecione onde o nó será posicionado, de acordo com as regiões disponíveis para sua assinatura específica do Microsoft Azure. Selecione também uma rede virtual existente (VNet) que o nó utilizará em sua região selecionada.

Observação Você pré-configura seu ambiente do Microsoft Azure com essa VNet e pode criar as redes necessárias pelo nó com antecedência ou pode permitir que o implantador de nós crie as sub-redes durante a implantação. Se você não criar as sub-sub-redes com antecedência, o implantador do nó as criará à medida que implementar o software do nó no seu ambiente. Se você escolher que o

implementador do nó crie as sub-redes necessárias, precisará saber quais espaços de endereço IP você deseja usar para elas antes de iniciar o assistente de implantação.

Você pode implementar mais de um nó e gerenciar todos eles a partir do Console de administração do Horizon Cloud. Os nós que você implanta após o primeiro podem reutilizar a mesma VNet do seu primeiro nó ou usar VNets diferentes. Além disso, cada nó pode estar em uma região diferente do Microsoft Azure e usar uma VNet em cada região.

Importante Um nó não é um locatário. Um nó não adere ao exato mesmo conjunto de características que define um locatário e que seria de esperar de um locatário. Por exemplo, mesmo se um locatário tivesse um mapeamento de um para um para um domínio do Active Directory e fosse isolado dos outros locatários, todos os nós do Horizon Cloud no Microsoft Azure que são implantados usando o mesmo registro de conta de cliente do Horizon Cloud precisará ser capaz de acessar os mesmos servidores do Active Directory e a configuração de DNS precisará resolver todos esses domínios do Active Directory. Para ter vários locatários, você pode configurar diversos registros de conta de cliente do Horizon Cloud. O registro de conta de cliente do Horizon Cloud, que é criado quando você se registra na VMware para usar o Horizon Cloud Service e está associado às suas credenciais do My VMware, é mais semelhante a um locatário. Um registro de conta de cliente do Horizon Cloud é isolado de outros registros de conta de cliente do Horizon Cloud. Um único registro de conta de cliente é mapeado para vários nós, e quando alguém utilizar qualquer uma das credenciais de conta associadas a esse registro de conta de cliente para fazer login no Console Administrativo, o console refletirá todos os nós que são mapeados para esse registro de conta de cliente.

O processo de implementação do nó cria automaticamente um conjunto de grupos de recursos em sua capacidade do Microsoft Azure. Grupos de recursos são utilizados para organizar os ativos que o ambiente precisa e cria, como:

n VMs para a instância do gerenciador do nó

n VMs para o Unified Access Gateway e instâncias do balanceador de carga n VMs para as imagens do servidor mestre ativadas para RDS

n VMs para as imagens (publicadas) atribuíveis que foram criadas com base em imagens mestre n VMs para os farms RDSH que fornecem as áreas de trabalho e os aplicativos RDSH

n VMs para as áreas de trabalho VDI

n Ativos adicionais exigidos pelas VMs e pelo ambiente para operações com suporte, como interfaces

de rede, endereços IP, discos, repositórios de chaves e vários itens semelhantes. O processo de implantação do nó também pode criar as sub-redes virtuais necessárias, usando os valores especificados no assistente de implantação.

Todos os grupos de recursos criados pelo Horizon Cloud em seu ambiente do Microsoft Azure são nomeados utilizando o prefixo vmw-hcs.

O diagrama a seguir ilustra um nó implantado com as instâncias do Unified Access Gateway residentes na rede desmilitarizada (DMZ). Essa configuração também é chamada de configuração externa do Unified Access Gateway. Quando seu nó tiver a configuração externa de Unified Access Gateway, seus usuários finais localizados na Internet, fora de sua rede corporativa, poderão acessar os aplicativos e áreas de trabalho virtuais provisionadas pelo nó deles. RG significa o grupo de recursos.

Figura 1_{‑1. Ilustração da arquitetura de nós do Horizon Cloud usando a configuração externa} do Unified Access Gateway

vmw-hcs-<node-UUID> -base-vms Internet Usuário Admin Plano de Controle do Horizon Cloud VM base Imagem publicada vmw-hcs-<node-UUID>-uag Balanceador de Carga do

Microsoft Azure IP público

VM: Unified Access Gateway 1 NIC/IP NIC/IP NIC/IP VM: Unified Access Gateway 2 NIC/IP NIC/IP NIC/IP vmw-hcs-<node-UUID> VM: Gerenciador de Nó NIC/IP NIC/IP vmw-hcs-<node-UUID> -jumpbox VM: Jumpbox (temporário) NIC/IP Público/IP RG: vmw-hcs-<node-guid>-pool-1001 RG: vmw-hcs-<node-guid>-pool-100n 2 Gateway de VPN com túnel IPsec

Conectado à rede externa

Rede DMZ _{Rede de gerenciamento}

Rede do locatário Rede virtual com 3 sub-redes

Gateway de VPN (opcional)

Gateway de VPN (opcional)

Grupo de recursos fornecidos pelo cliente

Você também pode implantar um nó com uma configuração interna do Unified Access Gateway. Quando o nó tem essa configuração interna do Unified Access Gateway, seus usuários finais localizados em sua intranet, dentro de sua rede corporativa, podem fazer conexões confiáveis com os aplicativos e áreas de trabalho virtuais provisionados pelo nó deles. O diagrama a seguir é uma vista de perto da configuração interna do Unified Access Gateway.

Figura 1_{‑2. Ilustração da configuração interna do Unified Access Gateway}

Usuário interno

Balanceador de carga interno do Microsoft Azure

VM: Unified Access Gateway 1 NIC/IP NIC/IP VM: Unified Access Gateway 2 NIC/IP NIC/IP vmw-hcs-<node-UUID>-uag-internal Rede do locatário VPN de Gateway ou ExpressRoute Rede de gerenciamento

Referências e terminologia do Microsoft Azure

A documentação do produto VMware Horizon Cloud Service on Microsoft Azure usa a terminologia do Microsoft Azure aplicável. conforme apropriado nas descrições e nas etapas de tarefas dos fluxos de trabalho do VMware Horizon Cloud Service on Microsoft Azure. Se você não conhecer a terminologia do Microsoft Azure, use as seguintes referências aplicáveis na documentação do produto Microsoft Azure para saber mais.

Observação Todas as letras maiúsculas e minúsculas e ortografia nas citações abaixo seguem as mesmas letras maiúsculas e minúsculas e ortografia encontradas no artigos vinculados na

Referências úteis do Microsoft Azure Descrição Glossário do Microsoft Azure: um

dicionário de terminologia de nuvem na plataforma do Azure

Use esse glossário para saber o significado dos termos usados no contexto de nuvem do Microsoft Azure, como balanceador de carga, região, grupo de recursos, assinatura, máquina virtual e rede virtual (vnet).

Observação O glossário do Microsoft Azure não inclui o termo entidade de serviço, pois a entidade de serviço é um recurso criado automaticamente no Microsoft Azure quando um registro de aplicativo é criado no Microsoft Azure. O motivo de se criar um registro de aplicativo na sua assinatura do Microsoft Azure é porque essa é a forma de você autorizar Horizon Cloud como um aplicativo usa sua capacidade do Microsoft Azure. O registro do aplicativo e sua entidade de serviço complementar permitem que o Horizon Cloud Cloud Service atue como um aplicativo para acessar os recursos na sua assinatura do Microsoft Azure. Use a próxima referência abaixo para saber mais sobre os aplicativos e as entidades de serviço que podem acessar os recursos no Microsoft Azure.

Usar o portal para criar um aplicativo e uma entidade de serviço do Azure Active Directory que possa acessar recursos

Use este artigo para saber mais sobre o relacionamento entre um aplicativo e uma entidade de serviço em uma nuvem do Microsoft Azure.

Visão geral do Azure Resource Manager

Use este artigo para saber mais sobre os relacionamentos entre recursos, grupos de recursos e o Resource Manager no Microsoft Azure.

Rede Virtual do Azure Use este artigo para saber mais sobre o serviço Rede Virtual (VNet) do Azure no Microsoft Azure. Consulte também Perguntas frequentes sobre a rede virtual do Azure (FAQ).

Emparelhamento de rede virtual Use este artigo para saber mais sobre emparelhamento de rede virtual no Microsoft Azure.

Visão geral do Microsoft Azure ExpressRoute

Use este artigo para saber mais sobre o Microsoft Azure ExpressRoute e como você pode usá-lo para estabelecer conexões entre suas redes locais, o Microsoft Azure e seus nós do Horizon Cloud.

Sobre o Gateway de VPN Planejando e projetando para o Gateway de VPN

Criar uma conexão de site a site no portal do Azure

Use os seguintes artigos para saber mais sobre como configurar VPNs no Microsoft Azure.

O que é o Balanceador de Carga do Azure?

Leia este artigo para saber mais sobre os balanceadores de carga do Azure usados quando o nó é implantado com o Unified Access Gateway configurado.

Recursos da VMware adicionais

Os seguintes recursos fornecem detalhes técnicos sobre o serviço.

Recursos técnicos adicionais da VMware Descrição

Lista de verificação de requisitos Use esta lista de verificação para saber mais sobre os recursos necessários a serem obtidos e configurados antes de iniciar o processo de implantação do nó. Considerações de rede e do Active Directory

no Microsoft Azure com o VMware Horizon Cloud

Use este artigo para saber mais sobre as várias opções e práticas

recomendadas para as conexões de rede e o uso do Microsoft Active Directory com os nós do Horizon Cloud no Microsoft Azure.

Recursos técnicos adicionais da VMware Descrição Considerações de segurança do Horizon

Cloud Service on Microsoft Azure

Use este artigo para obter informações sobre os detalhes de segurança de um ambiente e os tipos de dados armazenados.

Horizon Cloud on Microsoft Azure: área de trabalho RDS e dimensionamento de aplicativo (download do artigo técnico)

Use este artigo para obter informações de análises de dimensionamento da área de trabalho RDS e do aplicativo remoto e as densidades ideais de usuários, bem como considerações de custo relacionadas às configurações de gerenciamento de energia e de implantação de farm.

seu primeiro nó do

Horizon Cloud no Microsoft

Azure

2

Você deve primeiro implantar um nó em sua capacidade do Microsoft Azure e concluir algumas etapas no Console Administrativo antes de começar a provisionar áreas de trabalho VDI, áreas de trabalho baseadas em sessão RDSH ou aplicativos remotos baseados em RDSH no Horizon Cloud e disponibilizá-los para seus usuários finais.

1 Satisfaça os pré-requisitos, conforme descrito no documento da lista de verificação de pré-requisitos separada. Você pode abrir esse documento neste link para PDF ou navegar até ele na Horizon Cloud

página inicial de documentação.

2 Execute as tarefas preparatórias fora do Horizon Cloud. Consulte Capítulo 3Preparar para implementar um nó do Horizon Cloud no Microsoft Azure.

3 Implemente o nó. Consulte Capítulo 4Implementar um nó para o VMware Horizon Cloud Service on Microsoft Azure.

4 Registre seu domínio do Active Directory com o nó implantado, o que inclui fornecer o nome de uma conta de ingresso no domínio. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

5 Conceda a função de Superadministradores do Horizon Cloud a um grupo do Active Directory que inclua essa conta de ingresso no domínio como um membro.

Importante Você deve garantir que a conta de ingresso no domínio inserida ao registrar o domínio também esteja em um dos grupos do Active Directory ao qual você atribuiu a função de

Superadministradores do Horizon Cloud. As operações de ingresso no domínio do sistema dependem se a conta de ingresso no domínio tem a função de Superadministradores do

Horizon Cloud. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

6 Carregue os certificados SSL para o nó diretamente, usando a página de resumo do nó no Console Administrativo, se você pretender ter uma ou ambas as seguintes opções:

n VMware Identity Manager™ configurado com seu conector apontando para o endereço IP da VM

do gerenciador de nós.

Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

Observação Não é necessário carregar o certificado SSL para o nó diretamente quando conexões vão às instâncias do Unified Access Gateway no nó através do balanceador de carga conectado a essas instâncias, como nas seguintes configurações:

n As conexões de usuário final vão para um balanceador de carga no nó.

n Seu VMware Identity Manager™ é configurado com seu conector apontando para um

balanceador de carga no nó.

Em geral, o carregamento de um certificado SSL diretamente no nó é uma prática recomendada, pois garante que o Horizon Clients que possa estabelecer conexões diretas com o ambiente do nó tenha conexões confiáveis. Contudo, conexões diretas ao nó usando o HTML Access (Blast) aparecem como conexões não confiáveis no navegador do usuário final. Os navegadores dos usuários finais exibem o erro típico de certificado não confiável ao estabelecerem suas conexões diretamente com o nó. Para que as conexões que usam o HTML Access (Blast) evitem o erro de certificado não confiável exibido, é necessário que essas conexões usem o balanceador de carga e instâncias do Unified Access Gateway da configuração do Unified Access Gateway do nó. Se você não deseja expor seu nome de domínio completo à Internet, pode implantar uma configuração interna do Unified Access Gateway. Essa configuração interna do Unified Access Gateway usa um balanceador de carga interno da Microsoft para o qual os usuários finais que são internos à sua rede corporativa podem apontar suas conexões.

7 Importe uma imagem mestre. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

8 Dependendo se a sua imagem mestre é para provisionamento de áreas de trabalho VDI ou para áreas de trabalho de sessão baseadas em RDSH e aplicativos remotos baseados em RDSH, execute uma ou mais das seguintes etapas conforme apropriado: Para saber quais são as etapas detalhadas, consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

n Em uma imagem mestre para áreas de trabalho VDI, instale os aplicativos de terceiros que você

deseja que os usuários finais utilizem em suas áreas de trabalho de VDI, configure outras personalizações aplicáveis, como a definição de papel de parede da área de trabalho, e assim por diante. Otimize também a imagem das práticas recomendadas do Sysprep da Microsoft, caso isso não seja feito como parte do processo de importação de imagens. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

n Na imagem do servidor ativada para RDS mestre para provisionamento de aplicativos remotos e

áreas de trabalho de sessão baseadas em RDSH, instale os aplicativos de terceiros que você deseja fornecer aos seus usuários finais a partir dessa imagem RDS e configure outras personalizações aplicáveis, como configuração de papel de parede da área de trabalho, instalação dos drivers de GPU NVIDIA (para uma imagem com base na série NV) etc. Otimize também a imagem das práticas recomendadas do Sysprep da Microsoft, caso isso não seja feito como parte do processo de importação de imagens.

Observação Se você criou a imagem mestre manualmente em vez de usar o assistente de Importação de Imagem e deseja usar seu ambiente do User Environment Manager com suas áreas de trabalho, também deve instalar o User Environment Manager Agent. O agente é instalado automaticamente quando a imagem é criada usando o assistente de Importação de Imagem. Importante Como parte do processo de configuração, a VM mestre ingressou em seu domínio. Se a sua organização tiver uma política que impede o uso de contas de administrador local nas VMs que ingressaram em um domínio, você não poderá fazer login na imagem mestre para personalizá-la até que configure o grupo local DaaS Direct Connect Users com as contas de domínio que você deseja usar para personalizar a imagem. Para obter detalhes, consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

9 Converta essa imagem mestre em uma imagem atribuível, também conhecido como selamento ou publicação da imagem. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

10 Para provisionar áreas de trabalho RDSH baseadas em sessão RDSH e aplicativos remotos a partir de uma imagem de servidor mestre publicada:

a Crie um farm RDSH de áreas de trabalho para fornecer áreas de trabalho de sessão e crie atribuições autorizar os usuários finais a usarem essas áreas de trabalho. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

b Crie um farm RDSH de aplicativos para fornecer aplicativos remotos, adicionar os aplicativos ao seu inventário de aplicativos e criar atribuições para autorizar os usuários a usarem esses aplicativos remotos. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

11 Para provisionar as áreas de trabalho VDI a partir de uma imagem da área de trabalho VDI mestre publicada, crie uma atribuição de área de trabalho VDI dedicada ou flutuante. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

12 Quando um nó é implantado com uma configuração do Unified Access Gateway, você deve criar um registro CNAME no servidor DNS que mapeie o nome de domínio completo (FQDN) inserido no assistente de implantação para as informações do balanceador de carga da Microsoft implantado do nó.

n Para uma configuração externa do Unified Access Gateway, mapeie o FQDN inserido no

assistente de implantação para o FQDN público gerado automaticamente do balanceador de carga público do Microsoft Azure do nó. Seu registro do servidor DNS mapeia esse FQDN público gerado automaticamente do balanceador de carga com o FQDN que os usuários finais usarão e que é usado no certificado enviado. A linha de código a seguir mostra um exemplo.

ourApps.ourOrg.example.com vwm-hcs-nodeID-uag.region.cloudapp.azure.com

n Para uma configuração interna do Unified Access Gateway, mapeie o FQDN inserido no

assistente de implantação para o endereço IP privado do balanceador de carga interno do Microsoft Azure do nó. Seu registro do servidor DNS mapeia esse endereço IP do balanceador de carga com o FQDN que os usuários finais usarão e que é usado no certificado carregado. A linha de código a seguir mostra um exemplo.

ourApps.ourOrg.example.com internal-load-balancer-private-IP

Para obter detalhes sobre como localizar o FQDN público do balanceador de carga no Console Administrativo, consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

13 Quando um nó é implantado para ter autenticação de dois fatores RADIUS para uma configuração do Unified Access Gateway, você deve configurar seu sistema RADIUS com o endereço IP do balanceador de carga correspondente da configuração do Unified Access Gateway como um cliente com permissão para fazer solicitações desse sistema RADIUS. As instâncias do

Unified Access Gateway do nó autenticam as solicitações do sistema RADIUS por meio desse endereço.

Após a conclusão das etapas do fluxo de trabalho acima, seus usuários finais podem iniciar as áreas de trabalho e os aplicativos remotos aos quais têm direito utilizando seu FQDN no Horizon Client ou por meio do HTML Access.

Você pode encontrar mais detalhes sobre como concluir cada etapa do fluxo de trabalho nos tópicos vinculados de cada etapa acima ou no guia complementar. Consulte o Guia de administração do VMware Horizon Cloud Service on Microsoft Azure.

nó do Horizon Cloud no

Microsoft Azure

3

Antes de efetuar login no Console de administração do Horizon Cloud e executar o assistente de implementação do nó pela primeira vez, é necessário executar estas tarefas preparatórias.

1 Cumpra os pré-requisitos descritos no documento da lista de verificação de pré-requisitos separado, especialmente:

n Certifique-se de que sua conta e assinatura do Microsoft Azure englobe o número e os tamanhos

de máquinas virtuais exigidos pelo nó. Consulte Requisitos de máquina virtual do Microsoft Azure para um nó do Horizon Cloud.

n _{Certifique-se de que haja uma rede virtual (VNet) na região em que o nó será implementado e}

que essa rede virtual atenda aos requisitos para um nó do Horizon Cloud. Se você não tiver uma VNet existente, crie uma que atenda aos requisitos. Consulte Configurar a rede virtual

necessária no Microsoft Azure.

Importante Nem todas as regiões do Microsoft Azure oferecem suporte a máquinas virtuais ativadas para GPU. Se você quiser usar o nó para áreas de trabalho ou aplicativos remotos ativados para GPU, certifique-se de esta região do Microsoft Azure selecionada para o nó forneça para esses tipos de VM da série NV que você deseja usar e que têm suporte nesta versão do Horizon Cloud. Consulte a documentação da Microsoft em

https://azure.microsoft.com/pt-br/regions/services/ para obter detalhes.

n _{Se quiser criar manualmente as sub-redes para o nó na sua VNet antes de implantá-lo,}

certifique-se de que o número necessário de sub-redes seja criado na sua VNet, que seus espaços de endereço atendam aos requisitos do nó e que elas estejam sem recursos. Criar opcionalmente as sub-redes necessárias do nó na sua VNet do Microsoft Azure.

Cuidado Essas sub-redes criadas na sua VNet para a implantação do nó devem estar vazias. Você pode criar as sub-redes antes de implantar o nó, mas não coloque recursos nelas nem use qualquer um dos endereços IP. Se um endereço IP já estiver em uso nas sub-redes, a

implantação do nó poderá falhar.

Se você não quiser criar as sub-redes com antecedência, o processo de implantação do nó as criará usando as informações de CIDR inseridas no assistente na tela.

n Verifique se rede virtual está configurada para apontar para um servidor DNS (Serviços de Nome

de Domínio) válido que esteja resolvendo os nomes externos. Consulte Configurar o servidor DNS da rede virtual.

Importante O processo de implantação do nó requer a resolução de nome interno e externo. Se a VNet apontar para um servidor DNS que não possa resolver nomes externos, o processo de implantação falhará.

n Verifique se você tem uma configuração do Active Directory com suporte ao uso com esta

versão, se a sua rede virtual pode acessá-la e se o servidor DNS pode resolver o seu nome. Consulte Configurações de domínio do Active Directory.

2 Crie uma entidade de serviço e obtenha sua ID de assinatura do Microsoft Azure, ID do aplicativo, chave de autenticação do aplicativo e ID do diretório AD do Microsoft Azure. Esses recursos são usados pelo Horizon Cloud para realizar as operações no seu ambiente do Microsoft Azure. Para ver as etapas detalhadas, consulte Criar a entidade de serviço exigida ao criar um registro de aplicativo. Importante A entidade do serviço deve ter a função de Colaborador e não a função de Proprietário. Embora você possa pensar que ter a função de Proprietário é bom o suficiente para o uso, como um subconjunto dos privilégios da função de Colaborador, o processo de implantação do nó requer especificamente a função de Colaborador. O assistente vai impedir que você continue na próxima etapa se o provedor de serviços tiver qualquer função diferente da Colaborador. O motivo para exigir a função específica de Colaborador é para que você não forneça o nível máximo de permissões do nó em sua assinatura. A ideia é conceder ao nó o acesso suficiente para o seu ambiente do Microsoft Azure, conforme necessário para as operações do Horizon Cloud. O controle de acesso baseado em função do Microsoft Azure (RBAC) concede a função de Colaborador com a finalidade de criar e gerenciar recursos na sua assinatura, que é o nível de permissões que o Horizon Cloud precisa. Para obter detalhes, consulte Funções internas para o controle de acesso baseado em função do Azure na documentação do Microsoft Azure.

3 Se estiver implantando o nó com uma configuração do Unified Access Gateway, obtenha o

certificado de servidor TLS/SSL assinado, que pode permitir que os clientes dos seus usuários finais confiem em conexões com as áreas de trabalho e os aplicativos remotos. Esse certificado deve corresponder ao FQDN que seus usuários finais usarão nos clientes e ser assinado por uma

Autoridade de Certificação (CA) confiável. Além disso, todos os certificados na cadeia de certificados devem ter períodos de tempo válidos, incluindo quaisquer certificados intermediários. Se qualquer certificado da cadeia tiver expirado, falhas inesperadas poderão ocorrer mais tarde no processo de integração de nó.

O Unified Access Gateway apresenta seu certificado assinado pela CA, para que os clientes dos usuários finais possam confiar nas conexões. Para oferecer suporte ao acesso confiável na Internet, use uma configuração externa do Unified Access Gateway implantada como parte do processo de implantação do nó. Para oferecer suporte ao acesso confiável na sua rede corporativa, use uma configuração interna do Unified Access Gateway. Ambos os tipos de configuração podem ser implantados durante o processo inicial de implantação do nó.

Importante Este FQDN não pode conter sublinhados. Nesta versão, as conexões com as instâncias do Unified Access Gateway falharão quando o FQDN contiver sublinhados. 4 Se o certificado de servidor SSL assinado que você usará com a configuração do

Unified Access Gateway não estiver no formato PEM ou não for um único arquivo PEM contendo a cadeia de certificados completa com a chave privada, converta as informações do certificado no formato PEM necessário. Consulte as etapas em Converter um arquivo de certificado para o formato PEM necessário para a implantação do nó.

5 Obtenha uma conta do My VMware e registre-se no Horizon Cloud, se ainda não estiver registrado. Após concluir estas tarefas preparatórias, efetue login no Console de administração do Horizon Cloud em cloud.horizon.vmware.com utilizando a sua conta do My VMware. Após efetuar login, você verá a área Adicionar capacidade de nuvem na tela e poderá clicar em Adicionar para iniciar o assistente de implementação do nó. Conclua o assistente inserindo as informações necessárias em cada tela. Para ver as etapas detalhadas, consulte Capítulo 4Implementar um nó para o VMware Horizon Cloud Service on Microsoft Azure.

Observação A autenticação de logon no Console Administrativo do Horizon Cloud baseia-se nas credenciais de conta do My VMware. Se o sistema de conta do My VMware estiver passando por uma falha do sistema e não puder obter as solicitações de autenticação, você não poderá fazer logon no Console Administrativo durante esse período de tempo. Se você encontrar problemas para fazer logon na primeira página de logon do Console Administrativo, consulte a página de Status do Sistema do Horizon Cloud em https://status.horizon.vmware.com para ver o status mais recente do sistema. Nessa página, você também pode assinar para receber atualizações.

Este capítulo inclui os seguintes tópicos:

n Requisitos de máquina virtual do Microsoft Azure para um nó do Horizon Cloud n Limites de serviço do VMware Horizon Cloud Service on Microsoft Azure n Configurar a rede virtual necessária no Microsoft Azure

n Criar opcionalmente as sub-redes necessárias do nó na sua VNet do Microsoft Azure n Configurar o servidor DNS da rede virtual

n Configurações de domínio do Active Directory

n Requisitos de DNS, portas, protocolos do Horizon Cloud

n Informações relacionadas à assinatura para o assistente de implantação

n Converter um arquivo de certificado para o formato PEM necessário para a implantação do nó

Requisitos de máquina virtual do Microsoft Azure para um

nó do Horizon Cloud

A implementação e operações padrão de nó exigem tipos e tamanhos específicos de máquinas virtuais (VMs) em sua capacidade de nuvem do Microsoft Azure. Sua assinatura precisa ter as cotas e a configuração apropriadas para ter compatibilidade com essas VMs.

Importante O assistente de implantação de nó valida se o seu ambiente do Microsoft Azure tem a quota suficiente de núcleos para construir o nó. Se o assistente determinar que a sua assinatura não tem cota suficiente, uma mensagem aparecerá na tela e o assistente não prosseguirá para a próxima etapa. Observação VMs habilitadas por GPU estão disponíveis somente em algumas regiões do Microsoft Azure. Para obter mais detalhes, consulte Produtos do Microsoft Azure por região.

Nas tabelas abaixo, a coluna de especificação de VM fornece:

n Os nomes de série que são usados na documentação do Microsoft Azure

n Os nomes da família de vCPUs que são usadas nas cotas exibidas no portal do Microsoft Azure n O nome específico do tipo de VM dessa família

Para ver as cotas atuais da sua assinatura no portal do Microsoft Azure, vá para Todos os serviços > Assinaturas, clique em sua assinatura e em Uso + Cotas. Para obter mais informações sobre os tamanhos das máquinas virtuais do Microsoft Windows no Microsoft Azure, consulte este tópico e seus subtópicos na documentação do Microsoft Azure:

https://docs.microsoft.com/pt-br/azure/virtual-machines/windows/sizes.

Tabela 3‑1. Requisitos da VM jumpbox

VM Especificação de VM do Microsoft Azure

Quantida de

Descrição

Jumpbox Série-F do Linux:

F2 padrão (2 núcleos, 4 GB de memória)

Disco de SO: padrão HDD 30 GiB

1 por nó Uma VM criada no ambiente do Microsoft Azure e utilizada durante a criação do nó inicial e durante as atualizações de software subsequentes no ambiente. Uma VM jumpbox para cada nó implantado. Essa VM jumpbox é excluída automaticamente quando o processo de criação ou atualização do nó é concluído e a VM não é mais necessário.

Tabela 3‑2. Gerenciamento de nós e requisitos de VM do Unified Access Gateway VM Especificação de VM do Microsoft Azure Quantidade Descrição Instância s do nó de gerencia mento Linux Dv2 padrão: D3 v2 padrão (4 núcleos, 14 GB de memória)

Disco de SO: padrão HDD 30 GiB

1 por nó durante as operações em estado estável

2 por nó durante uma atualização de software

O tamanho do seu ambiente deve acomodar essas duas instâncias em execução durante um processo de atualização.

Durante as operações em estado estável, há uma VM que está ligada e executa o nó. Quando uma atualização está sendo executada no nó, uma segunda instância é criada e ligada para executar as atualizações de software no ambiente. Após a conclusão da atualização, o nó migra para o uso de uma VM recém-criada para as operações em estado estável e a anterior é excluída. Instância

s do Unified Access Gateway

Linux Av2 padrão:

A4 v2 padrão (4 núcleos, 8 GB de memória)

Disco de SO: padrão HDD 20 GiB

Varia com base no fato de você optar por ter uma configuração de

Unified Access Gateway interna ou uma externa no nó, ou ambos os tipos. Para uma configuração somente externa ou somente interna:

n 2 por nó durante as operações em estado estável

n 4 por nó enquanto estiver sendo realizada uma atualização de software

Para um nó com tanto uma configuração interna quanto uma externa do Unified Access Gateway, n 4 por nó durante as operações em

estado estável

n 8 por nó enquanto estiver sendo realizada uma atualização de software

O Unified Access Gateway é um recurso opcional implementado no nó quando você define as configurações de gateway no assistente de implantação. Se você optar por ter o

Unified Access Gateway para o nó, seu ambiente deverá acomodar essas instâncias em execução durante um processo de upgrade. O número de instâncias de estado estável depende de você optar por ter ambas as configurações externa e interna do Unified Access Gateway

Quando você tem apenas uma configuração externa ou apenas uma configuração interna do Unified Access Gateway, durante operações de estado estável, existem duas instâncias ligadas que fornecem os recursos do

Unified Access Gateway. Durante um processo de atualização, duas instâncias adicionais são criadas e ligadas para executar as atualizações de software no Unified Access Gateway. Após a conclusão da atualização, o nó migra para o uso das instâncias recém-criadas e as anteriores são excluídas.

Quando você tem ambas as configurações interna e externa do Unified Access Gateway, durante operações de estado estável, existem quatro instâncias ligadas que fornecem os recursos do Unified Access Gateway. Duas instâncias fornecem os recursos da configuração externa e duas fornecem os recursos da configuração interna. Durante um processo de upgrade, duas instâncias adicionais por configuração são criadas e ligadas para executar as atualizações de software no Unified Access Gateway. Após a conclusão da atualização, o nó migra para o uso das instâncias recém-criadas e as anteriores são excluídas.

Tabela 3‑3. Requisitos da VM de imagem VM Especificação de VM do Microsoft Azure Quantidad e Descrição Imagens mestres As imagens mestres são ativadas para GPU ou não, dependen do da sua seleção quando você as cria. Observa ção Esta versão oferece suporte para GPU somente para imagens com sistemas operacion ais Microsoft Windows Server.

Para imagens do servidor mestre habilitadas por GPU, o sistema usa o seguinte:

n A NV6 Padrão série NV (das vCPUs da Família NV Padrão) n Disco de SO: HDD padrão de

127 GiB Variado, com base em suas necessida des.

Uma imagem mestre é uma VM do sistema operacional Microsoft Windows que está configurada para que o Horizon Cloud pode convertê-la em uma imagem publicada. Uma VM de sistema operacional Windows Server habilitada para RDS fornece a base usada para criar os farms RDSH que fornecem áreas de trabalho e aplicativos remotos com base em sessão para os seus usuários finais. Uma VM de sistema operacional Windows Client fornece a base usada para criar as áreas de trabalho VDI. Cada imagem mestre é uma combinação de sistema operacional Microsoft Windows e se ela está ativada para GPU ou não. Portanto, se você desejar que o seu nó forneça:

n Áreas de trabalho RDSH usando o Microsoft Windows 2016 Datacenter, sem GPU

n Áreas de trabalho RDSH usando o Microsoft Windows 2016 Datacenter, com GPU

Você precisará de pelo menos 2 VMs de imagem mestre.

O processo de conversão de uma imagem mestre em uma imagem publicada é, às vezes, chamado de publicação da imagem, ou também chamado de selamento da imagem. A imagem publicada resultante é às vezes chamada de imagem selada ou imagem atribuível, pois está em um estado finalizado para uso em atribuições.

O sistema desliga automaticamente a imagem mestre quando ela é publicada (quando você executa a ação Converter em Imagem na imagem mestre do Console Administrativo). Quando você atualiza uma imagem publicada, o sistema liga a VM novamente.

Observação Ao duplicar uma imagem usando o Console Administrativo, o sistema liga temporariamente a VM da imagem mestre para obter sua configuração para a duplicata e, em seguida, a desliga novamente. Para obter informações sobre como criar uma imagem mestre, consulte o tópico Criando imagens de área de trabalho para um nó do Horizon Cloud no Microsoft Azure no Guia de administração.

Para imagens mestre não habilitadas para GPU e sistemas operacionais Microsoft Windows Client, o sistema usa o seguinte: n A D4 v3 Padrão (das vCPUs

da Família Dv3 Padrão) n Disco de SO: HDD padrão de

127 GiB

Se a Microsoft não fornecer a família Dv3 Padrão na região do Microsoft Azure em que você implantou o nó, o sistema usará a D3 v2 Padrão.

Para imagens mestre não habilitadas para GPU e sistemas operacionais Microsoft Windows Server, o sistema usa o seguinte: n A D2 v3 Padrão (das vCPUs

da Família Dv3 Padrão) n Disco de SO: HDD padrão de

127 GiB

Se a Microsoft não fornecer a família Dv3 Padrão na região do Microsoft Azure em que você implantou o nó, o sistema usará a D2 v2 Padrão.

Tabela 3‑4. Requisitos da VM de farm VM Especificação de VM do Microsoft Azure Quantidad e Descrição Farm RDSH

Ao criar um farm usando o Console Administrativo, você seleciona em uma lista de tamanhos de VMs do Microsoft Azure disponíveis para os quais o seu ambiente

Horizon Cloud oferece suporte. As VMs Windows disponíveis no Microsoft Azure estão descritas na documentação da Microsoft, em https://docs.microsoft.com/en-

us/azure/virtual-machines/windows/sizes.. Nesta versão, você pode selecionar estes tamanhos de VM nas seguintes famílias:

n Série Dv2 Padrão: D2, D3, D4 n Série Dv3 Padrão: D2, D4, D8 n Série Ev3 Padrão: E2, E4, E8 n Série NV habilitada para GPU

(quando a VM mestre está habilitada para GPU): NV6, NV12, NV24

Nesta versão, o tamanho do disco do SO das instâncias de servidor do farm é igual ao tamanho do disco do SO da imagem mestre na qual o farm se baseia (Padrão HDD 127 GiB).

Para obter detalhes específicos sobre esses tamanhos de VM Windows, consulte a documentação da Microsoft em https://docs.microsoft.com/en- us/azure/virtual-machines/windows/sizes. Variado, com base em suas necessida des.

VMs do farm RDSH são instâncias de servidor que fornecem áreas de trabalho e aplicativos remotos baseados em sessão para os usuários finais. Você precisa de pelo menos um farm RDSH para fornecer áreas de trabalho de sessão e um farm RDSH para fornecer aplicativos remotos. Para atender às necessidades do administrador ou dos usuários finais, você pode decidir implantar farms adicionais.

O estado de energia dessas VMs varia dependendo das definições de configuração do farm e da demanda de usuários finais.

Observação Nesta versão, você não poderá oferecer áreas de trabalho baseadas em sessão e aplicativos remotos do mesmo farm.

Tabela 3‑5. Requisitos de VMs de área de trabalho VDI VM Especificação de VM do Microsoft Azure Quantidad e Descrição Áreas de trabalho VDI

Ao criar uma atribuição de área de trabalho VDI usando o Console Administrativo, você seleciona na lista de tamanhos de VMs do Microsoft Azure disponíveis para os quais o seu ambiente

Horizon Cloud oferece suporte. As VMs do Windows disponíveis no Microsoft Azure estão descritas na documentação da Microsoft, em https://docs.microsoft.com/en-

us/azure/virtual-machines/windows/sizes. Nesta versão, você pode selecionar estes tamanhos de VM nas seguintes famílias:

n Série Av2 Padrão: A1, A2, A4, A8

n Série Dv3 Padrão: D2, D4, D8 n Série Ev3 Padrão: E2, E4, E8 n Série F Padrão: F1, F2, F4, F8 Nesta versão, o tamanho do disco do SO das instâncias de área de trabalho VDI é igual ao tamanho do disco do SO da imagem mestre na qual a atribuição se baseia (Padrão HDD 127 GiB).

Para obter detalhes específicos sobre esses tamanhos de VM do Windows, consulte a documentação da Microsoft em https://docs.microsoft.com/en- us/azure/virtual-machines/windows/sizes. Variado, com base em suas necessida des.

As VMs de área de trabalho VDI são as instâncias que fornecem áreas de trabalho VDI aos seus usuários finais.

O estado de energia dessas VMs varia dependendo das configurações de atribuição de área de trabalho VDI e da demanda de usuários finais.

Limites de serviço do

VMware Horizon Cloud Service on Microsoft Azure

Este tópico descreve alguns dos limites comuns do VMware Horizon Cloud Service on Microsoft Azure que também são chamados de máximos suportados. Este tópico descreve atualmente os máximos suportados no número de VMs de área de trabalho e de servidor de farm que você pode implantar em uma única assinatura e no número total de sessões simultâneas conectadas que você pode ter por nó. Ao longo do tempo, este tópico será atualizado para listar mais limites conhecidos.

O serviço é testado até certo número de VMs implantadas em uma única assinatura e o número de conexões simultâneas que um nó pode acomodar.

Máximo de 2.000 VMs de área de trabalho e VMs de servidor de farm por assinatura

Esse limite é baseado nos limites de API do Microsoft Azure dados em uma única assinatura. Para funcionar bem dentro desses limites da API durante as operações normais, o Horizon Cloud suporta um máximo de 2.000 VMs de área de trabalho e VMs de servidor de farm por assinatura. O número de 2.000 por assinatura inclui VMs de área de trabalho VDI e VMs de servidor de farm e aplica-se a todos os nós na assinatura única. Por exemplo, se você tiver um nó na sua assinatura, poderá ter até 2.000 áreas de trabalho VDI nesse nó ou 1.950 áreas de trabalho VDI e mais 50 servidores de farm. Se você tiver mais de um nó em sua assinatura, o número de servidores de áreas de trabalho VDI e servidores de farms em todos os nós não deve ser maior que o total de 2.000.

Máximo de 2.000 sessões por nó

O Horizon Cloud suporta até 2.000 sessões simultâneas conectadas por nó. Esse número de 2.000 inclui conexões a áreas de trabalho VDI, áreas de trabalho RDS e aplicativos de RDS servidos pelo nó. Os recursos de manipulação de sessão do nó determinam esse máximo.

Configurar a rede virtual necessária no Microsoft Azure

Seu ambiente do Microsoft Azure deve ter uma rede virtual existente antes de você poder implantar o nó do Horizon Cloud no ambiente. Se você não tiver uma rede virtual (VNet) na região na qual você está implantando, deverá criar a rede virtual.

Nas telas do assistente de implantação de nó, você selecionará a VNet e:

n Especificará os espaços de endereço das sub-redes que o implantador do nó criará na VNet. n Especificará as sub-redes que foram criadas com antecedência para uso por esse nó.

Cuidado As sub-redes criadas manualmente na sua VNet com antecedência para a implantação do nó devem permanecer vazias. Não coloque recursos nessas sub-redes nem use qualquer um dos

endereços IP. Se um endereço IP já estiver em uso nas sub-redes, a implantação do nó poderá falhar. Se você não quiser criar as sub-redes com antecedência, o implantador do nó criará automaticamente as seguintes sub-redes na sua VNet:

n Sub-rede de gerenciamento para endereços IP usados pelas VMs envolvidas em atividades de

n Sub-rede de área de trabalho, para endereços IP usados para as VMs do servidor RDSH e as VMs

de área de trabalho VDI nessa sub-rede. Quando a configuração interna do Unified Access Gateway é especificada no assistente de implantação, as VMs do Unified Access Gateway também usam endereços IP dessa sub-rede.

Importante As VMs para suas áreas de trabalho VDI, as imagens RDS e todos os servidores nos farms RDS do nó consomem esses endereços IP. Como essa sub-rede da área de trabalho não pode ser estendida depois que o nó é implantado, verifique se você definiu esse intervalo como grande o suficiente para acomodar o número de áreas de trabalho que você espera que este nó forneça. Por exemplo, se você esperar que esse nó deva fornecer mais de 1000 áreas de trabalho no futuro, verifique se esse intervalo fornece mais que essa quantidade de endereços IP.

n Sub-rede DMZ, para endereços IP usados pela configuração externa opcional do

Unified Access Gateway.

Quando o implantador cria as sub-redes automaticamente, a criação sempre ocorre na VNet. Em termos de espaço de endereço da VNet, o implantador lida com os espaços de endereço de sub-rede inseridos no assistente da seguinte maneira:

n Se você especificar espaços de endereço no assistente que já não estejam no espaço de endereço

da VNet, o implantador atualizará automaticamente a configuração da VNet para adicionar esses espaços de endereço. Em seguida, ele cria novas sub-redes na VNet.

n Se os espaços de endereço especificados no assistente já estiverem contidos no espaço de

endereço existente da VNet, o implantador simplesmente criará novas sub-redes na VNet usando os espaços de endereço especificados.

Importante Se sua VNet existente for emparelhada, o implantador não poderá atualizar

automaticamente seu espaço de endereço. Se a VNet for emparelhada, a prática recomendada será criar as sub-redes com antecedência, conforme descrito em Criar opcionalmente as sub-redes necessárias do nó na sua VNet do Microsoft Azure. Se você não quiser criar as sub-redes com

antecedência e digitar CIDRs de sub-rede no assistente de implementação que não estão no espaço de endereço existente da VNet, o assistente exibirá uma mensagem de erro, e você precisará especificar espaços de endereço de sub-rede válidos para continuar ou usar uma rede virtual não emparelhada. Você executa estas etapas usando o portal do Microsoft Azure apropriado para sua conta registrada. Por exemplo, há endpoints de portal específicos para essas nuvens do Microsoft Azure.

n Microsoft Azure (global padrão) n Microsoft Azure na Alemanha n Microsoft Azure na China

n Microsoft Azure Governo dos EUA

Procedimentos

1 _{Na barra de navegação à esquerda do portal do Microsoft Azure, clique no (Redes}

virtuais) e clique em Adicionar. É exibida a tela Criar rede virtual.

2 Forneça as informações para os campos obrigatórios.

Opção Descrição

Nome Especifique um nome para a VNet.

Espaço de endereço Especifique o espaço de endereço da VNet.

Assinatura Selecione a mesma assinatura que você planeja usar quando você implantar o node.

Grupo de Recursos Você pode escolher um grupo de recursos existente ou criar um novo quando a rede virtual é criada.

Local Selecione a mesma região na qual você planeja implantar o nó.

Intervalo de Sub-Redes e Endereços O Microsoft Azure requer a criação de uma sub-rede ao criar uma VNet. Você pode manter os valores padrão ou personalizar o nome e o intervalo. Se quiser usar essa sub-rede para uma das sub-redes necessárias do nó, especifique o intervalo de endereços apropriado de acordo com os requisitos do implantador do nó. Por exemplo, se quiser usar essa sub-rede para a sub-rede de locatário do nó, verifique se ela tem um intervalo de endereços IP que corresponda ao mínimo de /27 exigido pelo assistente de implantação. Consulte Criar

opcionalmente as sub-redes necessárias do nó na sua VNet do Microsoft Azure.

Importante Se você usar essa sub-rede para uma das sub-redes necessárias do nó, não poderá usá-la também para outros recursos.

3 Clique em Criar.

A rede virtual (VNet) é criada na sua conta do Microsoft Azure.

Próximo passo

Se quiser criar manualmente as sub-redes necessárias em vez de fazer com que elas sejam criadas pelo processo de implantação do nó, configure a VNet recém-criada com as sub-redes que você usará para o nó. Consulte as etapas em Criar opcionalmente as sub-redes necessárias do nó na sua VNet do

Microsoft Azure.

Configure a VNet recém-criada com um serviço DNS em funcionamento e a conectividade ao serviço do Active Directory que você usará com o nó. Consulte as etapas em Configurar o servidor DNS da rede virtual.

Certifique-se de que a sua configuração de VNet, em termos de firewalls e outros comportamentos de rede, atenda aos requisitos de DNS, portas e protocolos para implantação de nós descritos em

Requisitos de DNS, portas, protocolos do Horizon Cloud.

Importante A VM jumpbox temporária do nó e a VM do gerenciador de nós exigem acesso de saída à Internet na sua VNet do Microsoft Azure. Se você tiver exigido acesso de saída à Internet com base em proxy, deverá especificar as informações do servidor proxy enquanto preenche os campos no assistente de implantação de nó.

Criar opcionalmente as sub-redes necessárias do nó na

sua VNet do Microsoft Azure

Em vez de fazer com que o processo de implantação do nó crie as sub-redes necessárias, você pode criá-las com antecedência na sua VNet.

Ao criar as sub-redes com antecedência, você deve garantir que os seus intervalos de endereços, na notação CIDR (roteamento entre domínios sem classes), estejam de acordo com os requisitos mínimos do assistente de implantação de nó:

n Para a sub-rede de gerenciamento, é necessário um CIDR de pelo menos /28. Essa sub-rede é para

endereços IP usados pelas VMs envolvidas em atividades de gerenciamento do nó propriamente dito.

n Para a sub-rede de tenant da área de trabalho, é necessário um CIDR de pelo menos /27. Para

ambientes de produção, um CIDR de /24 a /21 é recomendado (256 endereços para 2048

endereços). Essa sub-rede é para endereços IP usados para as VMs do servidor RDSH e as VMs de área de trabalho VDI nessa rede. A VM de gerenciador de nó usa um endereço IP dessa sub-rede. Se o nó tiver uma ou mais configurações do Unified Access Gateway, as VMs do

Unified Access Gateway também usarão endereços IP a partir dessa sub-rede.

Importante As VMs para suas áreas de trabalho VDI, as imagens RDS e todos os servidores nos farms RDS do nó consomem esses endereços IP. Como essa sub-rede da área de trabalho não pode ser estendida depois que o nó é implantado, verifique se você definiu esse intervalo como grande o suficiente para acomodar o número de áreas de trabalho que você espera que este nó forneça. Por exemplo, se você esperar que esse nó deva fornecer mais de 1000 áreas de trabalho no futuro, verifique se esse intervalo fornece mais que essa quantidade de endereços IP.

n Se você pretende ter uma configuração externa do Unified Access Gateway, precisará de uma

sub-rede DMZ, com um CIDR de pelo menos /28. Essa sub-sub-rede é para endereços IP usados pelas NICs das VMs do Unified Access Gateway quando a configuração externa do Unified Access Gateway é especificada no assistente de implantação. Se você quiser manter os intervalos de sub-rede de gerenciamento e de DMZ posicionados, poderá especificar o mesmo intervalo de sub-redes DMZ à sub-rede de gerenciamento com um IP especificado. Por exemplo, se a sub-rede de gerenciamento for 192.168.8.0/28, a sub-rede DMZ seria 192.168.8.32/28.

Importante Para cada CIDR, certifique-se de que cada combinação de prefixo e máscara de bits resulte em um intervalo de endereços IP que tenha o prefixo especificado como o endereço IP inicial. O Microsoft Azure exige que o prefixo CIDR seja o início do intervalo. Por exemplo, um CIDR correto de 192.168.182.48/28 resultaria em um intervalo de IP de 192.168.182.48 a 192.168.182.63, e o prefixo seria o mesmo que o endereço IP inicial (192.168.182.48). No entanto, um CIDR incorreto de 192.168.182.60/28 resultaria em um intervalo de IP de 192.168.182.48 a 192.168.182.63, no qual o endereço IP inicial não é o mesmo que o prefixo de 192.168.182.60. Verifique se os CIDRs resultam em intervalos de endereços IP em que o endereço IP inicial corresponda ao prefixo do CIDR.

Pré-requisitos

Verifique se a sua região da Microsoft tem a VNet que você pretende usar para o seu nó. Consulte

Configurar a rede virtual necessária no Microsoft Azure.

Certifique-se de que os intervalos de endereços que você planeja usar para as sub-redes não estejam sobrepostos. O assistente de implantação de nó exibirá um erro se os intervalos de sub-redes estiverem sobrepostos.

Procedimentos

1 No portal do Microsoft Azure, navegue até a VNet que você está usando para sua implantação de nó.

2 Clique em Sub-redes.

3 Clique em + Sub-rede.

A tela Adicionar sub-rede é exibida.

4 Forneça as informações para os campos obrigatórios.

Opção Descrição

Nome Especifique um nome para a sub-rede.

Intervalo de endereços (bloco CIDR) Digite um CIDR para a sub-rede.

5 Clique em OK.

A sub-rede é adicionada à VNet.

6 Repita as etapas de 3 a 5 para adicionar as sub-redes necessárias restantes. A VNet tem as sub-redes necessárias.

Cuidado As sub-redes criadas manualmente na sua VNet com antecedência para a implantação do nó devem permanecer vazias. Não coloque recursos nessas sub-redes nem use qualquer um dos

endereços IP. Se um endereço IP já estiver em uso nas sub-redes, a implantação do nó poderá falhar.

Configurar o servidor DNS da rede virtual

A rede virtual que você usa para o nó do Horizon Cloud deve ter a capacidade de resolver nomes de máquina internos e nomes externos. Durante o processo de implantação do nó, o implantador baixa com segurança o software do nó para o seu ambiente do Microsoft Azure a partir de endereços externos na camada de controle do Horizon Cloud. A capacidade de resolver os nomes de máquina virtual (VM) internos é necessária para operações de ingresso no domínio do Active Directory no Horizon Cloud do nó com as VMs que são implantadas em seu ambiente do Microsoft Azure.

Em uma assinatura do Microsoft Azure, a conectividade da rede interna não está configurada por padrão. Em ambientes de produção, você normalmente definiria as configurações de DNS da rede virtual para apontar para um servidor DNS válido que possa resolver nomes externos, bem como funcionar no Microsoft Azure para suas máquinas corporativas. Por exemplo, você pode desejar implantar uma máquina virtual do Microsoft Windows Server 2016 nessa rede virtual para agir como o servidor DNS e definir a configuração de DNS da rede virtual para apontar para o endereço IP do servidor DNS implantado.

Para ambientes de prova de conceito, se as políticas de segurança e privacidade da sua organização permitirem, você poderá configurar um DNS interno para delegar para um DNS público externo a resolução de nomes externos. Algumas organizações e ISPs fornecem servidores de nome públicos e recursivos para serem usados para esses fins, como OpenDNS em 208.67.222.222 ou Google Public DNS em 8.8.8.8. Para obter uma lista de amostra de servidores de nome públicos e recursivos, consulte o artigo na Wikipédia Servidor de nome recursivo público.

Pré-requisitos

Verifique se a sua região do Microsoft Azure tem a rede virtual que você pretende usar para o nó. Consulte Configurar a rede virtual necessária no Microsoft Azure.

Certifique-se de que o servidor DNS que você especificar nessas etapas possa alcançar e resolver os nomes externos específicos necessários para uma implantação bem-sucedida do nó. Para obter detalhes, consulte Requisitos de DNS, portas, protocolos do Horizon Cloud.

Procedimentos

1 _{Na barra de navegação à esquerda do portal do Microsoft Azure, clique no (Redes}

virtuais) e clique na rede virtual que você pretende usar para o nó.

2 Exiba as configurações do servidor DNS da rede virtual clicando em Servidores DNS.

3 Usando a opção Personalizado, adicione o endereço do servidor DNS que você deseja utilizar para a resolução de nomes e clique em Salvar.

Próximo passo

Certifique-se de os requisitos de acesso do implantador do nó para DNS, portas e protocolos sejam cumpridos. Consulte Requisitos de DNS, portas, protocolos do Horizon Cloud.

Configurações de domínio do Active Directory

Um ambiente do Horizon Cloud requer o registro de pelo menos um domínio do Active Directory (AD) com o nó do Horizon Cloud. Este tópico descreve as configurações permitidas para utilização com seus nós do Horizon Cloud no Microsoft Azure.

As configurações permitidas são:

n O servidor AD local e conectar este AD local com seu ambiente do Microsoft Azure usando o

VPN/MPLS ou o Microsoft Azure Express Route.

n Servidor do AD em execução no seu ambiente do Microsoft Azure.

n Usando o Microsoft Azure Active Directory Domain Services. Para obter uma visão geral destes

serviços que o Microsoft Azure oferece, consulte este artigo do Azure AD Domain Services na documentação da Microsoft.

Para obter uma descrição técnica detalhada de cada configuração com suporte, algumas opções para cada e as vantagens e desvantagens de cada uma delas, consulte o white paper da VMware Networking and Active Directory Considerations on Microsoft Azure with VMware Horizon Cloud.

Requisitos de DNS, portas, protocolos do Horizon Cloud

Para o processo de implantação do nó implantar o nó com sucesso, você deve configurar seus firewalls para permitir que o Horizon Cloud acesse os endereços do Serviço de Nomes de Domínio (DNS), que ele precisa. Além disso, o DNS deve resolver nomes específicos, conforme descrito neste tópico. Em seguida, depois que o nó é implantado com êxito, portas e protocolos específicos são necessários para operações contínuas do Horizon Cloud.

Requisitos do DNS para o processo de implantação de nó e

operações em andamento

Você deve garantir que os seguintes nomes DNS sejam resolvidos e acessíveis pela sub-redes do locatário e de gerenciamento do nó usando as portas e os protocolos específicos, conforme listado na tabela a seguir. O Horizon Cloud usa as portas de saída específicas para baixar com segurança o software do nó para o seu ambiente do Microsoft Azure e para que o nó possa se conectar de volta à camada de controle do Horizon Cloud. Você deve configurar seu firewall de rede, de tal forma que o Horizon Cloud tenha a capacidade de entrar em contato com os endereços DNS nas portas que ele exige. Caso contrário, o processo de implantação do nó falhará.

Tabela 3‑6. Requisitos de DNS de operações e de implantação do nó

Sub-rede de Nó de Origem

Destino (nome DNS) Porta Protocolo Finalidade

Gerenciamento Um dos seguintes, dependendo de qual camada de controle do Horizon Cloud está especificada na sua conta do Horizon Cloud:

cloud.horizon.vmware.com cloud-eu-central-1.horizon.vmware.com cloud-ap-southeast-2.horizon.vmware.com 443 TCP Camada de controle do Horizon Cloud. cloud.horizon.vm ware.com está nos Estados Unidos cloud-eu-central-1.horizon. vmware.com está na Europa cloud-ap-southeast-2.horiz on.vmware.com está na Austrália

Gerenciamento softwareupdate.vmware.com 443 TCP Servidor de

pacote de software da VMware. Usado para baixar atualizações do software relacionadas ao agente usado em operações relacionadas à imagem do sistema.

Gerenciamento d1mes20qfad06k.cloudfront.net 443 TCP Servidor de

distribuição de conteúdo do Horizon Cloud. Na sub-rede gerenciamento, este site é usado para baixar os VHDs (discos virtuais) para as VMs do gerenciador de nó e do Unified Access Gateway.

Tabela 3‑6. Requisitos de DNS de operações e de implantação do nó (Continuação)

Sub-rede de Nó de Origem

Destino (nome DNS) Porta Protocolo Finalidade

Gerenciamento packages.microsoft.com 443 e 11371 TCP Servidor de

pacote de software da Microsoft. Usado para baixar com segurança o software Interface de Linha de Comando (CLI) do Microsoft Azure.

Gerenciamento azure.archive.ubuntu.com 80 TCP Servidor de

pacote de software do Ubuntu. Usado por VMs baseadas no Linux para atualizações do sistema operacional Ubuntu.

Gerenciamento api.snapcraft.io 443 TCP Servidor de

pacote de software do Ubuntu. Usado por VMs baseadas no Linux para atualizações do sistema operacional Ubuntu.

Gerenciamento archive.ubuntu.com 80 TCP Servidor de

pacote de software do Ubuntu. Usado por VMs baseadas no Linux para atualizações do sistema operacional Ubuntu.

Tabela 3‑6. Requisitos de DNS de operações e de implantação do nó (Continuação)

Sub-rede de Nó de Origem

Destino (nome DNS) Porta Protocolo Finalidade

Gerenciamento changelogs.ubuntu.com 80 TCP Servidor de

pacote de software do Ubuntu. Usado por VMs baseadas no Linux para rastreamento das atualizações do sistema operacional Ubuntu.

Gerenciamento security.ubuntu.com 80 TCP Servidor de

pacote de software do Ubuntu. Usado por VMs baseadas no Linux para rastreamento das atualizações do sistema operacional Ubuntu relacionadas à segurança.