implementación de horizon cloud on ibm cloud 19.3 - vmware ... · conectarse a recursos...

Implementación deHorizon Cloud on IBMCloud 19.3

VMware Horizon Cloud Service on IBM Cloud 19.3VMware Horizon Cloud Service

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.

Implementación de Horizon Cloud on IBM Cloud 19.3

VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Introducción 5

2 Acerca de VMware Horizon Cloud Service on IBM Cloud 6Descripción de la familia VMware Horizon Cloud Service 6

Descripción del servicio 8

Arquitectura del sistema 8

Descripción de las zonas 9

Administrar el entorno de Horizon Cloud Service 10

Administrar imágenes de servidores RDSH y escritorios 10

Conectarse a aplicaciones y escritorios de Horizon Cloud Service 10

Conectarse a recursos corporativos o empresariales 11

3 Elegir opciones de redes estratégicas 13Antes de empezar: decisiones y responsabilidades 13

Decisiones del usuario 14

Responsabilidades del usuario 14

Requisitos previos para el firewall y los puertos 16

Conexiones locales 17

Conexiones remotas 18

Puertos de firewall del sistema operativo de endpoint 19

Consideraciones de ancho de banda 19

VPN y Direct Connect 20

Descripción de las VPN 22

Enviar tráfico a través de una VPN IPsec de sitio a sitio 22

Parámetros de VPN IPsec 23

Opciones de conectividad de VPN 24

Información sobre Direct Connect 31

Áreas de propiedad para las opciones de Direct Connect 31

Enviar tráfico a través de una conexión dedicada o una VPN MPLS Direct Connect 32

Enviar tráfico a través de un intercambio de red 33

Conectar el bastidor existente en el mismo centro de datos 33

Opciones de conectividad de Direct Connect 33

Configuración de Direct Connect 40

Enrutamiento de red 40

DNS dividido 41

Arquitectura de red de arrendatario de ejemplo 41

Consideraciones adicionales 44

Elegir entre un entorno de Active Directory integrado y aislado 44

VMware, Inc. 3

Consideraciones acerca de la subred 44

Elegir las URL del portal de usuario y el portal de la consola administrativa de Horizon Cloud Service46

4 Cumplir los requisitos de Active Directory 48Elegir un entorno de Active Directory aislado o existente 48

Crear cuentas de servicio para Active Directory 49

Crear grupos para Active Directory 49

Crear una unidad organizativa (UO) única de Horizon Cloud Service para Active Directory 50

Configurar los ámbitos de DHCP y el código de opción 74 o configurar de forma manual los DaaSAgents 50

5 Crear imágenes optimizadas 52Optimizar las imágenes de escritorio 52

Decidir cuántas imágenes se necesitan 52

Usar imágenes de clon tradicional o instantáneo 53

Crear imágenes para los servidores RDSH 53

Descripción de los escritorios de sesión, flotantes y dedicados 54

Elegir opciones de gráficos 3D 55

Escalonar las actualizaciones automáticas de antivirus 55

6 Administrar aplicaciones remotas 56

7 Estrategias de administración de imágenes 57Administración de perfiles 57

Decidir qué debe redirigirse 58

Decidir el procedimiento de redireccionamiento 59

Decidir a dónde debe redirigirse 59

Administración de revisiones 59

Desactivar las funciones de actualización automática 60

Probar revisiones y actualizaciones en grupos de subconjuntos 60

Estrategias de copia de seguridad 61


VMware, Inc. 4

Introducción 1VMware Horizon® Cloud Service™ es una familia de servicios de nube de VMware que permite ladistribución de aplicaciones y escritorios virtuales a los usuarios finales en cualquier dispositivocompatible. Horizon Cloud Service está disponible de dos formas: como una infraestructura de IBMCloud alojada en VMware o alojada en su propia infraestructura local. En ambos casos, la administraciónde la infraestructura se realiza mediante la aplicación Horizon Cloud Service.

Acerca de este documentoEste documento se centra en VMware Horizon Cloud Service on IBM Cloud. Describe los problemas máscomunes que pueden surgir durante la implementación e incluye consejos sobre cómo evitar estosproblemas en la implementación del usuario. Aunque cada entorno es único, las consideracionesgenerales que se describen aquí pueden ayudarle a implementar Horizon Cloud Service on IBM Cloudcon mayor eficacia.

Público destinatarioEste documento está dirigido a personas encargadas de tomar decisiones de TI, arquitectos,administradores y otros usuarios que deseen familiarizarse con la implementación de Horizon CloudService on IBM Cloud, o la estén realizando actualmente. Debe estar familiarizado con las tecnologías decentros de datos Windows, como Active Directory, SQL y Microsoft Management Console. También debeestar familiarizado con las redes de computación de nube, las VPN de sitio a sitio (S2S) y las redes deconmutación de etiquetas multiprotocolo (MPLS).

VMware, Inc. 5

Acerca de VMware HorizonCloud Service on IBM Cloud 2En esta sección se ofrece una descripción general de Horizon Cloud Service on IBM Cloud.

Este capítulo incluye los siguientes temas:

n Descripción de la familia VMware Horizon Cloud Service

n Descripción del servicio

n Arquitectura del sistema

Descripción de la familia VMware Horizon Cloud ServiceHorizon Cloud Service ofrece aplicaciones y escritorios virtuales mediante una plataforma de nubeespecífica que es escalable en varias opciones de implementación, incluida la infraestructura local o lainfraestructura completamente administrada de VMware. El servicio admite una arquitectura a escala denube para distribuir aplicaciones y escritorios Windows virtualizados a varios dispositivos, con unaconfiguración y escalabilidad simplificadas.

VMware, Inc. 6

Figura 2-1. Familia VMware Horizon Cloud Service

Horizon Cloud Service on IBM CloudHorizon Cloud Service on IBM Cloud simplifica la distribución de aplicaciones y escritorios Windowscomo servicio de nube, al tiempo que mantiene los requisitos empresariales de seguridad y control. Losusuarios finales se benefician de un área de trabajo completa a la que pueden acceder desde unavariedad de tipos de dispositivos y desde casi cualquier ubicación. Horizon Cloud Service on IBM Cloudtambién ofrece una plataforma de distribución de aplicaciones y escritorios flexible y bajo demanda quepuede crecer o reducirse en función de las necesidades y las exigencias del negocio.


VMware, Inc. 7

Horizon Cloud Service with On-Premises InfrastructureVMware Horizon Cloud Service with On-Premises Infrastructure, que no se incluye en este documento,combina los beneficios económicos de la nube con la simplicidad de una infraestructura de granconvergencia. Con este servicio, tiene una solución central para la distribución y administración deaplicaciones y escritorios virtuales locales desde la nube.

Consola administrativa de Horizon Cloud ServiceLa consola administrativa de Horizon Cloud Service proporciona una administración completa del ciclo devida de los escritorios y del host de sesión de escritorio remoto (RDSH) a través de una sola consolabasada en web, fácil de usar. Las organizaciones pueden aprovisionar y administrar de forma segura losmodelos y las autorizaciones de los escritorios, así como las aplicaciones nativas y remotas, a través dela consola administrativa centralizada de Horizon Cloud Service. La consola administrativa tambiénproporciona informes de uso y actividad para diversas actividades de administración de capacidad,administrativas y de usuario.

Modelos de servicioLos paquetes de Horizon Cloud Service se proporcionan en tamaños estándar que pueden configurarsepara cumplir los requisitos de rendimiento. Puede combinar y hacer coincidir la capacidad de reserva deescritorio según sea necesario, para que se ajuste a su empresa.

Descripción del servicioEl documento Descripción del servicio: VMware Horizon Cloud Service on IBM Cloud detalla loscomponentes, las definiciones y las capacidades de servicio. Incluye información sobre la asignación delicencias, la administración y los portales de usuario, las ofertas de servicio y las funciones incluidas en laplataforma Horizon Cloud Service on IBM Cloud. Revise este documento para obtener información másdetallada sobre Horizon Cloud Service.

Arquitectura del sistemaEn este tema se proporciona una descripción general del sistema Horizon Cloud Service on IBM Cloud.

Horizon Cloud Service on IBM Cloud consta de los siguientes componentes principales:

Componente Descripción

Imagen, también denominada plantilla deimagen

Una imagen de servidor RDSH o de escritorio que se puede utilizar en unainfraestructura de Horizon Cloud Service para crear asignaciones de escritorio oaplicación. Se utiliza como la imagen base desde la que se clonan las máquinasvirtuales (VM).

VMware Horizon Client™ Cliente basado en software instalado en un escritorio, un cliente ligero, undispositivo móvil o una tableta que facilita la conectividad con aplicaciones yescritorios alojados en Horizon Cloud Service.


VMware, Inc. 8

Componente Descripción

Dispositivo arrendatario de Horizon CloudService

Un dispositivo Linux protegido que proporciona intermediación de aplicaciones yde escritorios, aprovisionamiento y autorización. Aloja los portalesadministrativos y de usuario final.

Escritorio virtual alojado en Horizon CloudService

Un escritorio virtualizado y optimizado que se aloja en Horizon Cloud Service.Un escritorio virtual admite una sola conexión, que proporciona un escritoriototalmente funcional al usuario final. Los agentes de Horizon Cloud Service seinstalan en el escritorio virtual para admitir una conexión desde Horizon Client.

RDSH alojado en Horizon Cloud Service Un modelo basado en servidor para la distribución de aplicaciones y escritorioscompletos compartidos en Horizon Cloud Service mediante los servicios deescritorio remoto de Microsoft y la tecnología de VMware Horizon. Encomparación con una sola conexión para cada escritorio virtual, los servidoresRDSH pueden admitir varias sesiones de aplicaciones y escritorios dediferentes usuarios. Los agentes de Horizon Cloud Service se instalan en losservidores RDSH para admitir conexiones desde Horizon Client.

Subredes de servicios y escritorio Subredes IP únicas que se asignan para permitir la conectividad administrativa,de aplicaciones y escritorios. La zona de escritorio utiliza la subred de escritoriopara los escritorios virtuales y los servidores RDSH. La zona de servicios utilizala subred de servicios para los dispositivos de arrendatario y otros servicios deutilidad.

Portal de usuario de Horizon Cloud Service Un portal basado en web que ofrece acceso sin cliente a los usuarios a lasaplicaciones y los escritorios de Horizon Cloud Service mediante HTML5.

Consola administrativa de Horizon CloudService

El portal basado en web que utilizan los administradores de TI para aprovisionary administrar autorizaciones de recursos, imágenes y aplicaciones y escritoriosde Horizon Cloud Service.

Edge Gateway Una puerta de enlace que proporciona servicios de puerta de enlace yseguridad perimetral de red para aislar zonas de seguridad y redes virtualizadasjunto con NAT, DHCP, VPN y un equilibrador de carga.

VMware Unified Access Gateway Un dispositivo Linux protegido que permite el acceso remoto seguro al entornode Horizon Cloud Service y forma parte de la zona de seguridad (para el accesode Horizon Cloud Service externo) y la zona de servicios (para el accesoHorizon Cloud Service de interno).

Para conocer términos y conceptos adicionales, consulte el Glosario de publicaciones técnicas deVMware en línea.

Descripción de las zonasHorizon Cloud Service on IBM Cloud establece zonas que segregan los distintos recursos en función desu función. Horizon Cloud Service tiene tres zonas. Cada zona es única para cada implementación deHorizon Cloud Service y no se comparte.


VMware, Inc. 9

Zona Descripción

Zona de seguridad Una DMZ en la que residen los dispositivos externos de Unified Access Gateway. Facilita el accesoremoto seguro al entorno de arrendatario de Horizon Cloud Service.

Zona de servicios Donde se aloja Horizon Cloud Service, incluidos los dispositivos de arrendatario, los servidores deutilidades y los dispositivos internos de Unified Access Gateway.

Zona de escritorio Zona que aloja los servidores RDSH y los escritorios.

Administrar el entorno de Horizon Cloud ServicePuede realizar diversas tareas administrativas en Horizon Cloud Service.

n Puede aprovisionar escritorios y aplicaciones de escritorio RDSH a través de la consolaadministrativa de Horizon Cloud Service.

n Puede configurar las opciones para la autenticación en dos fases y Active Directory, administrar lasautorizaciones de aplicaciones y escritorios, implementar y actualizar imágenes de clon instantáneasy tradicionales, supervisar y observar el estado del escritorio y del sistema, y obtener informes detareas administrativas y de uso a través de la interfaz web.

Para obtener más información, consulte la Guía de administración de Horizon Cloud Service on IBMCloud.

Administrar imágenes de servidores RDSH y escritoriosPara garantizar la mejor experiencia de usuario posible, debe contar con una imagen RDSH y deescritorio correctamente optimizada y configurada.

Con Horizon Cloud Service, puede utilizar su propia imagen o una imagen proporcionada por el equipode VMware Horizon Cloud Service.

n La imagen se cargará en la plataforma del arrendatario.

n Puede completar la instalación de las aplicaciones, ajustar y optimizar la imagen, realizaractualizaciones, etc.

n Cuando la imagen está lista, se convierte en una plantilla de imagen.

n Puede utilizar esta plantilla de imagen para las asignaciones de escritorios y aplicaciones en HorizonCloud Service.

Cuando sea necesario actualizar la imagen, puede actualizar una plantilla de imagen existente o cargaruna nueva imagen. Para actualizar los servidores RDSH y los escritorios implementados, asocie unanueva imagen con una asignación de aplicación remota o escritorio. Para obtener más información,consulte Capítulo 7 Estrategias de administración de imágenes.

Conectarse a aplicaciones y escritorios de Horizon Cloud ServiceLos usuarios de Horizon Cloud Service pueden conectarse a escritorios y aplicaciones desde undispositivo móvil, una tableta, un ordenador Mac o PC tradicional o ligero, así como desde un navegadorweb.


VMware, Inc. 10

Los usuarios inician Horizon Client y se conectan de forma segura a la aplicación o el escritorio a travésde Unified Access Gateway. La conexión del usuario a Unified Access Gateway puede realizarse a travésde la conexión corporativa a Horizon Cloud Service o de una conexión a Internet alojada por HorizonCloud Service. Después de completar la autenticación de uno o dos factores, verá una lista deaplicaciones y escritorios autorizados. Haga clic en un recurso y conéctese mediante los protocolos devisualización PCoIP o Blast Extreme.

Para dispositivos sin Horizon Client, o si necesita acceder rápidamente a las aplicaciones y losescritorios, puede conectarse al portal de usuario de Horizon Cloud Service a través del mismo métodode conexión a Internet o interno mediante un navegador web. Después de iniciar sesión de forma segura,tiene la opción de iniciar escritorios y aplicaciones mediante el cliente basado en HTML5 de VMware.

Conectarse a recursos corporativos o empresarialesHorizon Cloud Service on IBM Cloud ofrece varios métodos para conectarse a una red o un centro dedatos existente con datos y aplicaciones empresariales o corporativas.

Durante el proceso de configuración, puede elegir entre diferentes velocidades y tipos de conexión, entrelos que se incluyen VPN, conexión dedicada, MPLS o intercambio de red. También puede aislarcompletamente el entorno de Horizon Cloud Service de la red corporativa. Cuando los usuarios solicitanrecursos corporativos del escritorio virtual o de la aplicación o el escritorio RDSH, el tráfico de redatraviesa la conexión preconfigurada entre el centro de datos de Horizon Cloud Service y el centro dedatos corporativo.

Algunos recursos, como el rol o el perfil de usuario, reciben mejor servicio si se alojan en el arrendatariode Horizon Cloud Service. Un servidor de utilidades, alojado en la zona de servicios, es un servidorbasado en Windows que proporciona recursos para los servicios que admiten la infraestructura deHorizon Cloud Service. Además de los datos de roles y perfiles de usuario, los servidores de utilidadestambién pueden configurarse para distribuir Active Directory, VMware Dynamic Environment Manager™,DHCP, DNS y servicios de archivo. Es posible que algunos servicios requieran la compra dealmacenamiento adicional.

El diagrama siguiente muestra una implementación típica de Horizon Cloud Service on IBM Cloud conlas conexiones de red entre los usuarios finales, el entorno y Horizon Cloud Service. Puede elegir sidesea permitir que los usuarios finales accedan a sus escritorios virtuales alojados en la nube a travésde Internet o solo cuando se encuentren en la red corporativa.


VMware, Inc. 11

Figura 2-2. Modelo típico de implementación de Horizon Cloud Service on IBM Cloud


VMware, Inc. 12

Elegir opciones de redesestratégicas 3Esta sección se centra en las opciones de conectividad de red disponibles para Horizon Cloud Serviceon IBM Cloud y proporciona una descripción general de los requisitos y la arquitectura de redes.Contiene la información necesaria para obtener la aprobación de las partes implicadas en las redes, laseguridad y otras infraestructuras durante una implementación de Horizon Cloud Service on IBM Cloud.

n Los ejemplos utilizan la simulación MYCOMPANY.

n No todas las secciones son necesariamente aplicables a todas las implementaciones. Las seccionesopcionales se marcan claramente. Si tiene alguna pregunta sobre los detalles de su pedido, consulteel formulario web de configuración de Horizon Cloud o póngase en contacto con VMware o con undistribuidor de valor añadido para VMware.


n Antes de empezar: decisiones y responsabilidades

n Requisitos previos para el firewall y los puertos

n Consideraciones de ancho de banda

n VPN y Direct Connect

n Descripción de las VPN

n Información sobre Direct Connect

n DNS dividido

n Arquitectura de red de arrendatario de ejemplo

n Consideraciones adicionales

Antes de empezar: decisiones y responsabilidadesUna implementación correcta y rápida depende de una buena comunicación entre los equipos queparticipan en Horizon Cloud Service, de cara a un buen trabajo conjunto y bien integrado antes, durantey después de la puesta en marcha.

Hay varias consideraciones que se deben tener en cuenta a la hora de decidir cuáles son las mejoresopciones de configuración para la implementación. Colabore con las diversas partes implicadas y con losexpertos en los temas para encontrar la mejor opción.

VMware, Inc. 13

Decisiones del usuarioAl planificar una implementación de Horizon Cloud Service, prepárese para responder a las siguientespreguntas.

n ¿Deseo integrar las aplicaciones alojadas y los escritorios alojados en la nube con mi entorno parautilizar los servicios de impresión, archivos, aplicaciones y directorios existentes?

n En caso afirmativo, ¿cómo quiero dirigir el tráfico de escritorio enlazado a Internet de losusuarios?

• ¿A través del centro de datos de VMware?

• ¿A través de la red de mi organización?

n En caso afirmativo, ¿cuánto tráfico debe atravesar la conexión entre los escritorios virtuales y lasaplicaciones alojadas y la red de mi organización para acceder a esos recursos?

• ¿Es suficiente una VPN IPsec?

• ¿O necesito una conexión dedicada, como MPLS?

• ¿Necesito una conmutación por error manual o automática para mi conexión?

n En caso negativo, ¿qué infraestructura necesito para la compatibilidad con mi caso de uso ydónde la pongo?

• ¿Necesito servicios de aplicación, directorio y archivo?

• ¿Puedo poner todo lo necesario en el arrendatario de Horizon Cloud Service?

• ¿O necesito un arrendatario de IaaS?

n ¿Quiero que los empleados tengan acceso a los escritorios desde fuera de la red de miorganización?

n Si es así, ¿quiero utilizar una URL personalizada o una proporcionada por VMware?

• ¿Quiero usar desktop.mycompany.com?

• ¿O quiero usar mycompany.horizon.vmware.com?

Nota Si tiene preguntas sobre las subredes de escritorio y las direcciones IP, consulte Consideracionesacerca de la subred.

Responsabilidades del usuarioEs importante comprender cuáles son las responsabilidades del usuario y cuáles son las que secomparten entre los equipos del usuario y el equipo de VMware. La implementación de Horizon CloudService on IBM Cloud puede dividirse en varias áreas básicas de responsabilidad, como se muestra enla tabla siguiente.


VMware, Inc. 14

Fase Áreas de responsabilidad

Lanzamiento deproyecto

Expertos en la materia del usuario sobre VMware:

n Se reúnen (el líder del lado del usuario y el de VMware)

n Incluyen expertos en la materia de redes, seguridad, ingeniería de escritorios y administración deescritorios en el equipo

n Revisan y analizan los requisitos de aprovisionamiento

n Recopilan información mediante el formulario web de configuración de Horizon Cloud

n Establecen criterios de idoneidad a través de la plantilla proporcionada por VMware

n Planifican los pasos siguientes

Solicitud de lacapacidad

VMware:

n Solicita la capacidad del arrendatario desde la infraestructura del centro de datos

n Configura la capacidad para Horizon Cloud Service on IBM Cloud

Configuración dered

VMware:

n Establece el acceso y las configuraciones de VPN y Direct Connect

n Configura DHCP, DNS, VPN y Direct Connect

Expertos en la materia del usuario:

n Configuran DHCP, Active Directory y DNS

n Proporcionan los certificados SSL

n Proporcionan información de VPN y Direct Connect

Configuración delarrendatario

VMware:

n Configura Horizon Cloud Service on IBM Cloud

n Configura el almacenamiento

n Configura Unified Access Gateway

n Instala los dispositivos de arrendatario

n Establece la capacidad de escritorio estándar

Interconexión dered

VMware:

n Instala los certificados SSL

Expertos en la materia del usuario sobre VMware:

n Prueban y validan la conectividad

VMware:

n Proporciona la URL de la consola administrativa de Horizon Cloud Service

n Proporciona las plantillas de imagen iniciales


n Realizan el registro de Active Directory

n Realizan la prueba posterior (opcional) e instalan las aplicaciones

Configuración yprueba final


n Instalan aplicaciones en plantillas de imagen iniciales proporcionadas por VMware

VMware:

n Importa y mueve las plantillas de imagen iniciales al arrendatario


VMware, Inc. 15

Fase Áreas de responsabilidad


n Crean imágenes

n Crean asignaciones

n Asignan escritorios de prueba y validan

VMware:

n Realiza la transferencia de conocimientos

n Establece el soporte técnico

Finalización Expertos en la materia del usuario sobre VMware:

n Aceptan que se ha completado la configuración

n VMware proporciona servicios de incorporación avanzados (opcional)

n Comprueban que se cumplen todos los criterios de idoneidad

Responsabilidades del usuarioGarantizar que todos los puertos de tráfico de red internos y externos requeridos para los protocolosestán habilitados (consulte Requisitos previos para el firewall y los puertos). También es responsable dellado de la organización del túnel de VPN IPsec, si elige implementar esa configuración. Si implementauna conexión dedicada, MPLS o intercambio de red, es responsable de trabajar con su operador oproveedor de telecomunicaciones preferido para establecer la conectividad con el centro de datos deVMware.

Responsabilidades de VMwareSegún la opción de conexión de red que seleccione, VMware le proporciona la información que necesitapara todo funcione perfectamente.

n VPN IPsec: VMware proporciona la información necesaria para establecer el túnel IPsec y esresponsable en el lado de VMware de la configuración del túnel VPN IPsec.

n Conexión dedicada, MPLS, intercambio de red o bastidor existente: VMware configura lainterconexión entre el proveedor de servicios de red y el equipo de redes y el arrendatario de HorizonCloud Service en el centro de datos de VMware. Debe adquirir Direct Connect con la opción deconexión cruzada o Direct Connect con la opción de intercambio de red de VMware. Para todos lostipos de conectividad, VMware trabaja con el usuario para realizar las pruebas de red necesarias decara a garantizar una conexión correcta.

n Arrendatario de isla: si implementa un arrendatario de isla sin integración entre VMware y suinfraestructura, VMware proporciona un servidor de utilidades para utilizarlo como servidor de ActiveDirectory, DNS y DHCP. Para que funcione correctamente, los escritorios alojados en la nuberequieren que se implementen un controlador de dominio de Active Directory y servicios de soporteen el arrendatario.

Requisitos previos para el firewall y los puertosEn esta sección se enumeran los puertos que se deben utilizar para conectarse correctamente al entornode Horizon Cloud Service. Los puertos de firewall abiertos incluyen todas las conexiones remotas de


VMware, Inc. 16

entrada o salida del dispositivo de endpoint, el dispositivo de arrendatario y VMware Unified AccessGateway™.

Es posible que necesite puertos adicionales, en función del diseño de Active Directory. Póngase encontacto con su representante de Horizon Cloud Service para comprobar que esta información esadecuada para su entorno.

Conexiones localesPara conectarse correctamente a Horizon Cloud Service, permita los puertos enumerados en la siguientetabla a través de VPN IPsec, conexión dedicada, MPLS, intercambio de red o bastidor existente.

Origen Destino Puertos en uso Descripción

Horizon Cloud Service Su infraestructura de ActiveDirectory

TCP/389

UDP/389

Autentica a los usuarios en elportal de usuario de VMwareHorizon Cloud Service(Horizon Client) y la consolaadministrativa de VMwareHorizon Cloud Servicemediante LDAP o GSSAPI deLDAP SASL para unaautenticación segura. Losgrupos de usuariosconfigurados y sus miembrosse almacenan en caché en lainfraestructura del arrendatariopor motivos de rendimiento.


TCP/3268 Realiza búsquedas en elcatálogo global de ActiveDirectory


TCP/88

UDP/88

Se utiliza para la autenticaciónKerberos

Horizon Cloud Service Su DNS TCP/53

UDP/53

Se utiliza para DNS

Horizon Cloud Service Su DHCP o servidor deretransmisión DHCP

UDP/67

UDP/68

Se utiliza para DHCP y laretransmisión DHCP

Horizon Cloud Service RSA Authentication Manager UDP/5500 Se comunica con RSAAuthentication Managercuando el arrendatario utilizaSecurID. el administrador deautenticación puedeencontrarse en un centro dedatos diferente de losdispositivos de arrendatario.También se puede ubicar deforma remota un administradorde autenticación de altadisponibilidad utilizado para laconmutación por error.


VMware, Inc. 17


Horizon Cloud Service Su servidor RADIUS UDP/1812

UDP/1813

Se comunica con laautenticación basada enRADIUS cuando elarrendatario utiliza RADIUS

Su sitio y dispositivo deendpoint

Horizon Cloud Service TCP/8443

UDP/8443

Se utiliza para Blast Extreme



UDP/443

Se utiliza para Blast Extreme



UDP/4172

Se utiliza para PCoIP



TCP/443

Accede al portal de usuario deVMware Horizon Cloud Servicey a la consola administrativa deVMware Horizon CloudService. También lo utiliza lainstancia nativa de HorizonClient para conectarseinicialmente a los recursos deHorizon Cloud Service. Si elacceso remoto está habilitado,el portal del usuario debe estardisponible públicamente. Elpuerto 80 redirige al puerto443.


Horizon Cloud Service TCP/443 Se utiliza para el acceso alportal en la consolaadministrativa

Conexiones remotasPara una conexión correcta con una aplicación o un escritorio virtual desde una ubicación pública(Internet), permita los puertos enumerados en la siguiente tabla.



Horizon Cloud Service TCP/8443 UDP/8443 Se utiliza para Blast Extreme


Horizon Cloud Service TCP/443 UDP/443 Se utiliza para Blast Extreme


Horizon Cloud Service TCP/4172 UDP/4172 Se utiliza para PCoIP


VMware, Inc. 18



Horizon Cloud Service TCP/80, TCP/443 Accede al portal de usuario deVMware Horizon Cloud Servicey a la consola administrativa deVMware Horizon CloudService. También lo utiliza lainstancia nativa de HorizonClient para conectarseinicialmente a los recursos deHorizon Cloud Service. Si elacceso remoto está habilitado,el portal del usuario debe estardisponible públicamente. Elpuerto 80 redirige al puerto443.


Horizon Cloud Service TCP/443 Se utiliza para el acceso alportal en la consolaadministrativa

Puertos de firewall del sistema operativo de endpointSi tiene una solución de firewall basada en endpoints, asegúrese de que los puertos que aparecen en latabla que aparece a continuación estén abiertos en los escritorios virtuales o los servidores de host desesión de escritorio remoto (RDSH), para realizar una conexión correcta.


Horizon Cloud Service Escritorio o servidor RDSH TCP/22443 UDP/22443 Se utiliza para Blast Extreme

Horizon Cloud Service Escritorio o servidor RDSH TCP/32111 Se utiliza para USB

Horizon Cloud Service Escritorio o servidor RDSH TCP/9427 Se utiliza para elredireccionamiento deunidades cliente (CDR) y elredireccionamiento multimedia(MMR)

Horizon Cloud Service Escritorio o servidor RDSH TCP/4172 UDP/4172 Se utiliza para PCoIP

Consideraciones de ancho de bandaEntre los desafíos que supone proporcionar una buena experiencia de usuario se incluyen la latencia, laelección del protocolo, la distancia, el ancho de banda y las interrupciones de la conexión.

Tenga en cuenta los siguientes elementos al elegir la solución de red.


VMware, Inc. 19

Elemento Descripción

Requisitos de la organización Las necesidades de cada organización son diferentes. Evalúe sus necesidades,como el tipo de tareas informáticas y las cargas de trabajo esperadas, la intensidadde los gráficos, la ubicación del usuario, los periféricos utilizados y el uso de anchode banda promedio de cada tipo de usuario.

Consumo de ancho de banda Son muchos los elementos que pueden afectar al ancho de banda, tales como elprotocolo elegido, la resolución y configuración del monitor y la cantidad decontenido multimedia de la carga de trabajo. El lanzamiento simultáneo deaplicaciones de streaming también puede ocasionar picos de uso. Como los efectospueden variar mucho, numerosas organizaciones supervisan el consumo de anchode banda como parte de un proyecto piloto.

Tráfico que atraviesa la conexión Tenga en cuenta la cantidad de tráfico necesario para acceder a los servidores dearchivos, la autenticación y las aplicaciones de su organización.

Saturación de CPU y RAM Examine el dispositivo de red física utilizado para la conexión a Horizon CloudService para saber el nivel de saturación actual de la CPU y la RAM y la capacidadde proceso disponible. Es posible que los dispositivos antiguos no puedanmantener de manera simultánea altas velocidades, cifrado y varios túneles.

Ancho de banda Cuando se implementa Horizon Cloud Service y se aprovecha la conectividad aInternet proporcionada por Horizon Cloud Service, se garantiza una cantidadespecífica de ancho de banda de red, denominada ancho de banda máximo, que sebasa en la cantidad y el modelo de escritorios implementados. Este es el ancho debanda que se asigna como parte de la conexión a Internet desde Horizon CloudService. Para obtener más información, consulte la Descripción del servicio:VMware Horizon Cloud Service on IBM Cloud.

Evaluación de redes y aplicaciones Para garantizar una implementación correcta de Horizon Cloud Service, realice unaevaluación completa de la red y de la aplicación para determinar la configuracióncorrecta para admitir el ancho de banda necesario mientras se cumplen losrequisitos de latencia y pérdida de paquetes. Incluya todo el tráfico de aplicacionesactivas en la red de extremo a extremo para garantizar que tiene el ancho de bandamínimo disponible, incluso con congestión de la red.

Controles de optimización disponibles conPCoIP y Blast Extreme

Si se utiliza el protocolo de visualización PCoIP o Blast Extreme de VMware, sepueden ajustar varios elementos que afectan al uso de ancho de banda. Paraobtener más información, consulte las secciones Configuración general de PCoIP yConfiguración de directivas de VMware Blast en la documentación de VMwareHorizon.

VPN y Direct ConnectAntes de implementar Horizon Cloud Service, determine el tipo de conexión de red que se va aimplementar.

La conexión de red proporciona al servidor RDSH y los escritorios de Horizon Cloud Service acceso a lasaplicaciones y los datos del centro de datos y de la red. También proporciona una ruta para que losusuarios, tanto del interior como del exterior de la red, se conecten a recursos de aplicaciones yescritorios de Horizon Cloud Service. Es importante contar con el personal de administración y de redesnecesario, con todo el conjunto de habilidades adecuado, para abordar las siguientes consideraciones yfacilitar de manera eficiente la integración de Horizon Cloud Service con su entorno.


VMware, Inc. 20

En la siguiente figura se muestran las opciones de acceso a la red mediante VPN IPsec y DirectConnect, es decir mediante una conexión dedicada, MPLS, intercambio de red o bastidor.

Figura 3-1. Estrategias de acceso para una implementación de Horizon Cloud Service on IBMCloud

Acceder a Horizon Cloud Service desde InternetHorizon Cloud Service admite el acceso directo a Internet para aplicaciones RDSH y escritorios deHorizon Cloud Service on IBM Cloud sin pasar primero por la infraestructura de su organización. Estetipo de conexión es especialmente útil para los usuarios que trabajan desde casa o desde otrasubicaciones remotas. La conexión se puede proteger con RSA SecurID o con soluciones deautenticación en dos fases compatibles con RADIUS. Las conexiones basadas en Internet forman partede la oferta de Horizon Cloud Service estándar.

Elegir el tipo ideal de conexión de redConsulte al equipo de Horizon Cloud Service a la hora de elegir entre las dos opciones de conectividadprincipales. La elección depende de una serie de variables dentro de su entorno, con la inclusión delnúmero de escritorios y servidores RDSH y el tipo de tráfico que se produce a través de la conexión dered, de la siguiente manera:

n VPN IPsec: una VPN IPsec se puede utilizar para diversas situaciones, aunque con un ancho debanda máximo de 1 GB, la VPN tiende a utilizarse en implementaciones más pequeñas.


VMware, Inc. 21

n Conexión dedicada, MPLS o intercambio de red: generalmente se recomienda una conexióndedicada, MPLS Direct Connect o intercambio de red para grandes cantidades de escritorios yservidores RDSH, y para un uso intensivo, como varios usuarios que aceden a la plataformasimultáneamente, que acceden a varias aplicaciones o que realizan transferencias de archivos degran tamaño.

Nota La facilidad de la solución de problemas difiere entre estas dos opciones. La solución deproblemas de una VPN IPsec puede resultar compleja, ya que una VPN IPsec se ejecuta a través de lared Internet pública. Cuando se solucionan problemas en una conexión dedicada, MPLS Direct Connecto intercambio de red, el usuario controla completamente el circuito, y se puede llamar al proveedor parala resolución de los problemas.

Descripción de las VPNTenga en cuenta las VPN, el hardware del enrutador y la configuración de IPsec al configurar laconectividad de red en Horizon Cloud Service.

Enviar tráfico a través de una VPN IPsec de sitio a sitioLas VPN IPsec de sitio a sitio conectan redes separadas entre sí a través de la red Internet pública. Porejemplo, la red de una sucursal de oficina se puede conectar mediante una VPN de sitio a sitio a la redde las oficinas centrales. Cada sitio de la red está equipado con una puerta de enlace de VPN, como unenrutador, un firewall, un concentrador de VPN o un dispositivo de seguridad.

La configuración de una conexión VPN IPsec desde una red remota a Horizon Cloud Service es elescenario más común, por la simplicidad relativa y la breve cantidad de tiempo que se necesita paraestablecer el túnel de VPN IPsec. Cuando se utiliza la VPN IPsec, el ancho de banda máximo es deaproximadamente 1 Gbps, debido a la limitación de Edge Gateway.

El túnel de VPN IPsec de sitio a sitio incluye conexiones de punto a punto lógicas y cifradas entreinstancias de Horizon Cloud Service y el sitio de la organización. Estas conexiones proporcionan accesoseguro a los servicios del centro de datos de la organización, como aplicaciones empresariales, ActiveDirectory, DNS y servidores DHCP. También proporcionan acceso seguro para el tráfico de protocolo quese origina en las redes de la organización.

Cuando configure una conexión VPN IPsec desde una red remota a Horizon Cloud Service, tenga encuenta lo siguiente:


VMware, Inc. 22

Elemento Descripción

Picos de latencia El túnel de VPN IPsec se crea a través de la red Internet pública y está sujeto acongestiones u otros problemas relacionados con la red, frecuentes en las conexionespúblicas de Internet, que pueden aumentar la latencia. Los picos de latencia causados porla red Internet pública están fuera del control de la empresa y de VMware.

Configuración Al configurar las VPN IPsec, se recomienda que las VPN se administren mediante hardwarede enrutador, por motivos de rendimiento. No se recomienda configurar las VPN medianteun servidor Windows. Se admiten varias conexiones VPN, aunque no deben tener lasmismas listas de origen y destino, ya que Edge Gateway no puede determinar a qué túnelde IPsec se enrutará el tráfico.

Redundancia La incorporación de dos VPN IPsec para la redundancia es una opción, pero no se admiteel enlace de las VPN. La primera VPN se establece como activa y la VPN secundaria estádeshabilitada. Horizon Cloud Service no proporciona conmutación por error automatizadapara las VPN. Si se produce un error, la VPN debe realizar una conmutación por errormanual.

Formulario web de configuración deHorizon Cloud

Durante la configuración de la VPN, proporcione información en el formulario web deconfiguración de Horizon Cloud, incluido el proveedor del enrutador, el modelo de enrutadory la dirección IP del endpoint. VMware proporciona la dirección IP del endpoint delarrendatario de Horizon Cloud Service, que se utiliza para establecer el túnel de VPN IPsec.Esta dirección IP se proporciona durante la implementación de Horizon Cloud Service.

Subredes Debe proporcionar las subredes que se permiten a través de la conexión VPN, en lo que seconoce comúnmente como lista de redes protegidas o listas de origen y de destino. La listadefine las redes internas que pueden atravesar la VPN para acceder a los escritoriosvirtuales y las aplicaciones alojadas en RDSH desde la red, junto con lo que los escritoriosvirtuales y las aplicaciones alojadas en RDSH pueden acceder a través de la VPN paradiferentes servicios dentro de la red.

Enrutamiento de red Para las conexiones basadas en VPN a Horizon Cloud Service, el enrutamiento estático seconfigura durante el proceso de emparejamiento de VPN. Si surgen otros requisitos deenrutamiento de red, abra un ticket de soporte técnico de VMware para que se agreguenlas redes.

Parámetros de VPN IPsecEl formulario web de configuración de Horizon Cloud muestra los parámetros y los protocolos de VPNIPsec obligatorios y opcionales si elige configurar una VPN de sitio a sitio entre la red y el centro dedatos de VMware.

Para las VPN IPsec, Horizon Cloud Service utiliza Edge Gateway, un dispositivo virtual que proporcionafunciones y opciones de seguridad adicionales. Edge Gateway tiene soporte para el modo principal parala fase 1 y para el modo rápido para la fase 2. Para obtener una explicación de estos términos, consultea su ingeniero de redes o consulte la Guía de administración de VMware NSX.

En la siguiente tabla se enumeran los protocolos y los parámetros que se utilizarán en cada fase. Debeestablecer para cada fase de la red los mismos protocolos y parámetros que en Horizon Cloud Service.Por ejemplo, los parámetros ISAKMP se utilizan para la fase 1, los parámetros IKE se utilizan para lafase 2 y los protocolos Oakley se utilizan para la autenticación, así como el grupo MODP 2. Todos losparámetros son obligatorios. En la actualización a Edge Gateway, la confidencialidad directa total (PFS)de fase 2 para volver a establecer las claves es opcional.


VMware, Inc. 23

Protocolos y parámetros Fase 1 Fase 2

Hash (SHA o MD5) SHA1 SHA1

Modo de autenticación Principal Rápida

Cifrado AES, AES256, Triple DES, AES-GCM AES, AES256, Triple DES, AES-GCM

Grupo Diffie-Hellman (2, 5, 14, 15 o 16) 2 2

Encapsulación (AH o ESP) N/D ESP

Duración 28800 3600

Confidencialidad directa total N/D Verdadero. Requisitos del secretocompartido: puede proporcionar su propiosecreto compartido o bien Horizon CloudService puede generar un secretocompartido aleatorio para usarlo enambos lados.

n Entre 32 y 128 caracteres

n Al menos 1 letra en mayúscula

n Al menos 1 letra en minúscula

n Al menos 1 número

n No hay caracteres especiales

Nota Algunos parámetros de VPN IPsec, como los temporizadores de duración de SA (Asociación deseguridad), que definen la duración que un túnel determinado utiliza para cifrar los datos, no puedencambiarse en Edge Gateway. Estos parámetros se deben cambiar en el equipo del arrendatario para quecoincidan con los de Edge Gateway. El proceso de implementación incluye dos fases, y tanto la fase 1como la fase 2 incluyen temporizadores de duración de SA. Cuando el temporizador de SA caduca,vuelve a negociar la autenticación para ambos lados. Sin embargo, Edge Gateway no vuelve aautenticarse en el tráfico, sino que vuelve a autenticarse solo en el temporizador de duración. Por lotanto, si no se establecen los temporizadores en el lado del arrendatario para que coincidan con los dellado de Horizon Cloud Service, pueden causar problemas en el túnel de VPN.

Opciones de conectividad de VPNTiene varias opciones de conectividad para elegir al utilizar una VPN para conectarse desde su empresaa Horizon Cloud Service.

Una opción, conocida como arrendatario de isla, no utiliza una VPN dedicada o una conexiónpermanente con su empresa. Las otras dos opciones destacan las diferentes configuraciones deenrutamiento disponibles para el flujo de tráfico de usuario y de Internet en el invitado en función decómo prefiera aprovechar la conexión VPN. Una consideración clave es elegir cómo se enruta el tráficode Internet desde las aplicaciones y los escritorios de Horizon Cloud Service: mediante una conexión aInternet proporcionada por Horizon Cloud Service o a través de su propia red.

Opción de conectividad 1: arrendatario de isla (sin VPN)La opción más rápida y más sencilla para implementar Horizon Cloud Service es configurar unarrendatario de isla.


VMware, Inc. 24

Como se muestra en el siguiente diagrama, todo el tráfico de protocolo y en el invitado atraviesa lapuerta de enlace de Horizon Cloud Service hacia el arrendatario de Horizon Cloud Service. No hayconexión entre la red del cliente y el arrendatario de Horizon Cloud Service. Todos los usuarios deescritorios, aplicaciones publicadas y servidores RDSH se conectan a través de Internet. Para obtenermás información sobre los posibles casos de uso de arrendatarios de isla, consulte Elegir entre unentorno de Active Directory integrado y aislado.


VMware, Inc. 25

Figura 3-2. Modelo de implementación de arrendatario de isla aislado


VMware, Inc. 26

Opción de conectividad 2: VPN con la conexión a Internet de Horizon CloudServiceEl método más común de conectividad para las implementaciones de Horizon Cloud Service esconfigurar una VPN entre la red de la organización y el arrendatario de Horizon Cloud Service. Estemétodo es el que mejor reproduce el entorno de una sucursal de oficina.

Esta opción enruta el tráfico de escritorio enlazado a Internet de los usuarios a través de la puerta deenlace de Horizon Cloud Service, mientras que todo el tráfico en el invitado, como las aplicaciones deescritorio, la autenticación, DHCP y DNS, atraviesa la VPN hacia la red de la organización. También tienela opción de permitir que todos los usuarios se conecten a través de Internet o que solo los usuarioslocales se conecten a través de la VPN, mientras que los usuarios externos se conectan a través deInternet a los servidores RDSH y los escritorios de Horizon Cloud Service.

Como se muestra en el diagrama siguiente, el tráfico de protocolo para usuarios externos que seconectan a los escritorios y los servidores RDSH también pasa por la puerta de enlace de Horizon CloudService hacia Unified Access Gateway. Unified Access Gateway actúa como un proxy seguro para laconexión al entorno de Horizon Cloud Service y gestiona como proxy el tráfico de Horizon Cloud Servicehacia la zona de seguridad y desde ella. El tráfico de protocolo para los usuarios que se conectan desdela red de su organización puede configurarse para conectarse a través de Internet o para atravesar laVPN para llegar a los servidores RDSH y los escritorios. Los usuarios internos también se conectan através de las instancias de Unified Access Gateway que se encuentran en zonas de confianza internas.


VMware, Inc. 27

Figura 3-3. VPN con tráfico de Internet


VMware, Inc. 28

Opción de conectividad 3: VPN con tráfico enlazado a Internet a través de lapuerta de enlace de la organizaciónEsta opción enruta todo el tráfico enlazado a Internet y en el invitado del usuario a través de la VPNhacia la red de su organización. Se mantiene la capacidad de permitir que todos los usuarios seconecten a Horizon Cloud Service a través de Internet, a través de la VPN o una combinación de ambossistemas.

Todo el tráfico en el invitado, como las aplicaciones de escritorio, la autenticación, DHCP y DNS, asícomo el tráfico de escritorio enlazado a Internet, atraviesa la VPN y pasa por la puerta de enlace de laorganización. A continuación, el tráfico enlazado a Internet puede someterse a cualquier filtro web quetenga instalado. El tráfico de protocolo para usuarios externos que se conectan a servidores RDSH yescritorios pasa a través de la puerta de enlace de Horizon Cloud Service, que proporciona acceso através de Internet.

Como se muestra en la figura a continuación, esta opción aumenta el tráfico a través de la VPN, peroproporciona la ventaja empresarial de permitir un control y una visibilidad completos sobre la actividad delos usuarios y los escritorios. Esta configuración proporciona opciones adicionales para garantizar losniveles más altos de cumplimiento normativo y de seguridad.

Nota Esta opción no funciona directamente al pasar a una configuración de Direct Connect. Si prevéescalar más allá del ancho de banda de VPN disponible, consulte a su representante de Horizon CloudService para conocer mejor los posibles aspectos a tener en cuenta.


VMware, Inc. 29

Figura 3-4. VPN con Internet de escritorio a través de la puerta de enlace de su organización


VMware, Inc. 30

Información sobre Direct ConnectDirect Connect permite configurar una conexión privada de extremo a extremo con el arrendatario deHorizon Cloud Service a través de una conexión dedicada, MPLS, un intercambio de red o sus propiosequipos de redes ubicados en el mismo centro de datos.

Horizon Cloud Service ofrece un puerto de 1 GB o 10 GB al ampliar el centro de datos y los servicios,como aplicaciones empresariales, Active Directory, DNS y servidores DHCP, en Horizon Cloud Service.Direct Connect ofrece un control total de la conexión desde el centro de datos del usuario hasta el centrode datos de VMware mediante el contrato a través del proveedor de servicios de red. Las opciones deDirect Connect admitidas se muestran en la siguiente tabla.

Opción Descripción

Direct Connect con conexión cruzada: 1 GB o 10 GB Direct Connect con conexión cruzada se usa con una conexión dedicada,MPLS o su propio equipo de redes ubicado en el mismo centro de datos.

Direct Connect con intercambio de red: 1 GB o 10 GB Direct Connect con intercambio de red se utiliza al conectarse a una red oa una solución de intercambio de nube, como Equinix Cloud Exchange.

Áreas de propiedad para las opciones de Direct ConnectComo se muestra en el siguiente diagrama, las áreas de propiedad se dividen en una implementacióntípica de Horizon Cloud Service on IBM Cloud para las opciones de Direct Connect.

La "Meet me Room" representa el punto de demarcación en el que las conexiones externas entran en elcentro de datos, como una conexión dedicada externa, una línea MPLS o un intercambio de red que seconecta con la red de Horizon Cloud Service.


VMware, Inc. 31

Figura 3-5. Áreas de propiedad

Enviar tráfico a través de una conexión dedicada o una VPN MPLSDirect ConnectUna conexión dedicada o MPLS enruta el tráfico dentro de una red de telecomunicaciones a medida quelos datos viajan de un nodo de red al siguiente. La creación de un túnel de VPN MPLS Direct Connecttiene un coste mayor que la creación de una conexión VPN IPsec de sitio a sitio, pero ofrece algunasventajas.

Los circuitos MPLS Direct Connect no se comparten con otras personas, como se hace con lasconexiones enrutadas a través de Internet, por lo que están libres de las interrupciones que se puedenproducir en la red Internet pública. Los proveedores de Direct Connect ofrecen acuerdos de nivel deservicio y ancho de banda contratado. El coste del servicio depende de las opciones elegidas y de lacantidad de ancho de banda dedicado que se necesite.


VMware, Inc. 32

Enviar tráfico a través de un intercambio de redUn intercambio de red, también conocido como intercambio en la nube, es un servicio que conecta la redprivada mediante el proveedor de servicios de red que prefiera con los proveedores de servicios denube, como Horizon Cloud Service, con conexiones seguras, de alto rendimiento y de baja latencia.

Un intercambio de red generalmente tiene un coste menor que la creación de un túnel de VPN MPLSDirect Connect y, en la mayoría de los casos, se puede activar en horas, lo cual reduce el tiempo totalnecesario para conectar Horizon Cloud Service al sitio de la organización. Horizon Cloud Service ofreceEquinix Cloud Exchange como opción de intercambio de red.

Conectar el bastidor existente en el mismo centro de datosSi ya tiene recursos y servicios de TI colocados en el mismo centro de datos que Horizon Cloud Service,puede conectar el entorno existente a su arrendatario de Horizon Cloud Service.

Opciones de conectividad de Direct ConnectPuede elegir entre varias opciones de conectividad de Direct Connect, que proporcionan ancho de banday control adicionales de los flujos de datos corporativos y de usuario de su organización en función de laconfiguración.

Además de los requisitos de ancho de banda, una consideración clave es elegir cómo se enruta el tráficode Internet desde las aplicaciones y los escritorios de Horizon Cloud Service: mediante una conexión aInternet proporcionada por Horizon Cloud Service o a través de Direct Connect a su propia red. Trabajecon su equipo de Horizon Cloud Service para elegir la opción de Direct Connect que mejor se ajuste alas necesidades de su organización.

Opción de Direct Connect 1: Direct Connect con la conexión a Internet deHorizon Cloud ServiceAl igual que la opción de VPN 2, esta opción enruta el tráfico de escritorio enlazado a Internet parautilizar la puerta de enlace de Horizon Cloud Service y el tráfico en el invitado con Direct Connect. Estaes una buena opción si tiene una cantidad significativa de tráfico de aplicaciones en el invitado con DirectConnect y desea aprovechar el ancho de banda de Internet de VMware que se proporciona con elarrendatario.

Como se muestra en la figura 7, todo el tráfico en el invitado, como las aplicaciones de escritorio, laautenticación, DHCP y DNS, atraviesa Direct Connect hacia la red de su organización. El tráfico delservidor RDSH y de escritorio destinado a Internet se dirige a la puerta de enlace de Horizon CloudService.

El tráfico de protocolo para usuarios externos que se conectan a los escritorios y los servidores RDSHtambién pasa por la puerta de enlace de Horizon Cloud Service hacia Unified Access Gateway. UnifiedAccess Gateway actúa como un proxy seguro para la conexión al entorno de Horizon Cloud Service ygestiona como proxy el tráfico de Horizon Cloud Service hacia la zona de seguridad y desde ella. El


VMware, Inc. 33

tráfico de protocolo para los usuarios que se conectan desde la red de su organización puedeconfigurarse para conectarse a través de Internet o para atravesar Direct Connect para llegar a losservidores RDSH y los escritorios. Los usuarios internos también se conectan a través de las instanciasde Unified Access Gateway que se encuentran en zonas de confianza internas.


VMware, Inc. 34

Figura 3-6. Conectividad mediante la conexión a Internet de Horizon Cloud Service


VMware, Inc. 35

Opción de Direct Connect 2: Direct Connect con Internet a través de lapuerta de enlace de Internet propiedad de la empresaEsta configuración de enrutamiento de Direct Connect es una buena opción cuando se requiere que todoel tráfico de escritorio enlazado a Internet y en el invitado atraviese Direct Connect a través de la puertade enlace de Internet propiedad de la empresa, pero también requiere que los usuarios puedanconectarse a través de Internet. El tráfico de escritorio destinado a Internet debe administrarse medianteel agente de proxy proporcionado o mediante una configuración de directiva de grupo, ya que ningúntráfico de escritorio atraviesa la puerta de enlace de VMware.

Como se muestra en el siguiente diagrama, el tráfico del protocolo de usuario externo fluye a través de lapuerta de enlace de Horizon Cloud Service para proporcionar acceso a los escritorios y las aplicaciones,pero el tráfico en el invitado y el tráfico de escritorio enlazado a Internet atraviesan Direct Connect através del centro de datos de la organización del cliente. Esta opción ofrece la ventaja de permitir uncontrol y una visibilidad completos sobre la actividad del usuario y del escritorio. Sin embargo, puedecomportar retos importantes con el enrutamiento del tráfico de protocolo que proviene de Internet,evitando que los usuarios se conecten de forma remota al entorno. Si está considerando esta opción,consulte a su representante de Horizon Cloud Service para conocer mejor los posibles aspectos a teneren cuenta.


VMware, Inc. 36

Figura 3-7. Conectividad a través de la puerta de enlace de Internet de la organización


VMware, Inc. 37

Opción de Direct Connect 3: sin conectividad a Internet a través de la puertade enlace de Horizon Cloud ServiceEn esta opción, el enrutamiento se configura de manera que toda la conectividad a los escritorios deHorizon Cloud Service se realiza a través de Direct Connect y no se realiza ninguna conexión a Interneta través de la puerta de enlace de Horizon Cloud Service. Esta opción ofrece la ventaja de habilitar lavisibilidad completa y el control sobre todas las actividades de protocolo, usuario y escritorio paragarantizar los niveles más altos de cumplimiento de normas y seguridad. Esta opción es adecuadacuando se requiere que todos los usuarios se conecten a Horizon Cloud Service a través de la red de suorganización.

Como se muestra en el siguiente diagrama, esta opción deshabilita la puerta de enlace de Horizon CloudService, lo que hace que sea técnicamente imposible que los usuarios se conecten externamente aHorizon Cloud Service a través de Internet. Todo el tráfico de escritorio de protocolo, en el invitado yenlazado a Internet atraviesa Direct Connect a través de la puerta de enlace de Internet de la empresa.Los usuarios deben estar en la red de su organización o conectados de forma remota a través de la VPNde su organización para conectarse a Horizon Cloud Service. Los usuarios finales que están conectadosa través de la VPN de su organización requieren que los puertos del diagrama siguiente estén abiertosen la VPN de la organización. Estos puertos se consideran conexiones internas a Horizon Cloud Service.


VMware, Inc. 38

Figura 3-8. No hay conectividad a Internet a través de Horizon Cloud Service


VMware, Inc. 39

Configuración de Direct ConnectEn este tema se describe el proceso de configuración de Direct Connect.

Cuando configure Direct Connect, trabaje con su proveedor de telecomunicaciones para establecer unaconexión con el centro de datos de Horizon Cloud Service y, a continuación, conéctese al arrendatario deHorizon Cloud Service estableciendo la conectividad entre el enrutador NSP y Edge Gateway. El equipode Horizon Cloud Service trabaja con el usuario para establecer esta conexión. Debe completar elformulario de recopilación de información de VMware Direct Connect para establecer la conectividad.Este formulario solicita información básica, como un contacto de administrador de red, el proveedor detelecomunicaciones, el tipo de conectividad y el ID de circuito.

Cuando se utiliza Direct Connect, se debe proporcionar una subred con un mínimo de dos direcciones(/30) para utilizar entre la terminación del operador y Horizon Cloud Service y establecer conectividadcon Edge Gateway.

También se debe proporcionar una carta de autorización de solicitud de instalación del cliente (LOA-CFA), que suele ser de su proveedor de telecomunicaciones a VMware, para facilitar la conexión de laconexión cruzada o el intercambio de red entre el enrutador NSP y el entorno de Horizon Cloud Service.Por lo general, la LOA-CFA proporciona el contenedor, el panel de revisiones y un número de puerto.

Horizon Cloud Service admite varias conexiones directas, aunque no se admite el equilibrio de carga delas conexiones. Para implementar conexiones redundantes con conexiones directas y conmutación porerror automática, se requiere la implementación del enrutamiento de red adecuado. Para obtener másinformación, consulte Enrutamiento de red.

Enrutamiento de redHorizon Cloud Service admite el enrutamiento estático y el enrutamiento dinámico, para permitir que eltráfico pase entre Horizon Cloud Service y los segmentos de la red interna.

Las capacidades de enrutamiento dinámico para conexiones dedicadas, MPLS o conexiones basadas enintercambio de red se ofrecen mediante el protocolo de puerta de enlace perimetral (BGP), un protocoloexterior estandarizado para intercambiar información de enrutamiento entre sistemas por Internet. Elenrutamiento dinámico a través de BGP externo (eBGP), una extensión de BGP que se utiliza para lacomunicación entre sistemas autónomos, permite que los cambios de enrutamiento se propaguenautomáticamente a Horizon Cloud Service. Cuando se utiliza eBGP con los atributos de ruta de accesoadecuados, como la manipulación de rutas de acceso locales con ponderación o preferencia local, y unamanipulación de rutas de acceso remotas, como MED (Multi-Exit-Discriminator), puede seleccionar elvínculo redundante activo. El protocolo también garantiza el soporte para la conmutación por errorautomática entre varias conexiones dedicadas, MPLS o conexiones de intercambio de red. El usuario esresponsable de asignar el número de sistema autónomo de BGP al enrutador de Horizon Cloud Service,que suele ser un número privado en el rango de 65xxx. Si no es posible dar soporte al enrutamientoBGP, está disponible el enrutamiento estático.


VMware, Inc. 40

DNS divididoEl DNS dividido es el método preferido para acceder al entorno de Horizon Cloud Service cuando losusuarios se conectan desde dentro y fuera de la red. El DNS dividido permite que los usuarios de la redlocal se conecten a través de la red interna a una dirección IP privada, mientras que los usuariosexternos pueden conectarse a una dirección IP pública utilizando la misma URL. Este método simplificael acceso de los usuarios finales, ya que no es necesario usar dos URL, una para la instancia interna yotra para la externa.

Al configurar el DNS dividido, cree un nuevo host (un registro) que apunte a la IP virtual de las instanciasinternas de Unified Access Gateway en una zona de búsqueda directa de DNS específica en losservidores DNS internos. La zona de búsqueda directa de DNS se basa en la configuración de DNSactual. Si tiene el mismo nombre de DNS interno que en la instancia externa, cree el registro A en lazona de búsqueda directa. Si no tiene el mismo nombre de DNS interno que en la instancia externa, o siutiliza la URL de Horizon Cloud Service, cree una zona de código auxiliar de DNS con una búsquedadirecta que coincida con el nombre de dominio completo externo. A continuación, cree el registro A en lazona de búsqueda directa.

Arquitectura de red de arrendatario de ejemploLa figura a continuación muestra dos opciones para la conectividad de red a Horizon Cloud Service: unarrendatario de isla sin conectividad de VPN y un arrendatario con conectividad de VPN que se conectaal centro de datos local.

El siguiente diagrama también presenta los dispositivos de arrendatario de Horizon Cloud Service yUnified Access Gateway, junto con los servidores de utilidades.


VMware, Inc. 41

Figura 3-9. Ejemplo de arquitectura de red de arrendatario

Descripción de las zonasHorizon Cloud Service on IBM Cloud establece zonas que segregan los distintos recursos en función desu función. Horizon Cloud Service tiene tres zonas. Cada zona es única para cada implementación deHorizon Cloud Service y no se comparte.

Zona Descripción

Zona de seguridad Una zona de seguridad desmilitarizada (DMZ) en la que residen los dispositivos externos deUnified Access Gateway. Facilita el acceso remoto seguro al entorno de arrendatario deHorizon Cloud Service.

Zona de servicios Donde se aloja Horizon Cloud Service, incluidos los dispositivos de arrendatario, losservidores de utilidades y los dispositivos internos de Unified Access Gateway

Zona de escritorio Aloja los escritorios y los servidores RDSH


VMware, Inc. 42

Dispositivos de Horizon Cloud ServiceEl dispositivo de arrendatario contiene la consola administrativa de Horizon Cloud Service, el portal deusuario de Horizon Cloud Service, las asignaciones de escritorio y la base de datos de configuración dela cuenta, y la información de unión al dominio. El dispositivo Unified Access Gateway permite el accesoseguro para conexiones internas y externas a aplicaciones alojadas en RDSH y escritorios virtuales deHorizon Cloud Service. Para obtener redundancia y alta disponibilidad, se implementan dos dispositivosde cada.

Dispositivo Descripción

Dispositivo de arrendatario Un dispositivo Linux protegido que proporciona intermediación de aplicaciones y deescritorios, aprovisionamiento y autorización. Aloja los portales de usuario final yadministrativo, que forman parte de la zona de servicios, y comunica la información de estadoal proveedor de servicios.

Unified Access Gateway Un dispositivo Linux protegido que proporciona acceso remoto seguro en el entorno deHorizon Cloud Service. Forma parte de la zona de seguridad (para el acceso externo deHorizon Cloud Service) y de la zona de servicios (para el acceso interno de Horizon CloudService).

Servidores de utilidades De forma predeterminada, se proporciona un servidor de utilidades de forma gratuita y esopcional, a menos que se indique en la descripción del servicio. Los servidores de utilidadespueden ser Active Directory, DNS, DHCP, UEM o servidores de archivos para colocarservicios en el arrendatario de Horizon Cloud Service y están conectados a la red (zona deservicios).

Dispositivo Edge Gateway Una puerta de enlace que proporciona servicios de puerta de enlace y seguridad perimetral dered para aislar zonas de seguridad y redes virtualizadas junto con NAT, DHCP, VPN y unequilibrador de carga.

Seguridad de redHorizon Cloud Service utiliza un dispositivo Edge Gateway para administrar la conectividad de VPN yDirect Connect, así como cualquier tráfico de administración, de entrada y salida del arrendatario deHorizon Cloud Service donde residen los escritorios, los servidores RDSH y los dispositivos deadministración.

Si desea realizar un almacenamiento en búfer adicional entre los dispositivos de administración y elentorno de red de la organización, considere la posibilidad de implementar una directiva de firewalladministrada por la empresa siempre y cuando estén habilitados todos los puertos necesarios para losusuarios internos y remotos y cualquier aplicación o servicio que necesiten esos usuarios.

Descripción de Unified Access GatewayVMware Unified Access Gateway (anteriormente denominado VMware Access Point) es un dispositivovirtual Linux protegido que permite el acceso remoto seguro al entorno de Horizon Cloud Service. Si losusuarios utilizan una conexión externa a través de la red Internet pública, independientemente de si eltráfico está basado en el protocolo o basado en web, el tráfico se envía a la instancia de Unified AccessGateway externa. Unified Access Gateway actúa como un proxy seguro para la conexión en el entornode Horizon Cloud Service. La instancia Unified Access Gateway externa gestiona como proxy el tráficode Horizon Cloud Service hacia y desde la zona de seguridad. La zona de seguridad es una construcción


VMware, Inc. 43

de seguridad de redes DMZ que proporciona a un segmento de la red de la organización acceso alexterior, pero con reglas estrictas que regulan el acceso a lo que se encuentra dentro de la red. Para losusuarios internos que se conectan al entorno de Horizon Cloud Service, el tráfico se envía a losdispositivos Unified Access Gateway internos que se encuentran en la zona de servicios.

Consideraciones adicionalesLos temas que se muestran a continuación ofrecen información sobre algunos problemas adicionales alos que puede enfrentarse al configurar el entorno de red.

Elegir entre un entorno de Active Directory integrado y aisladoA pesar de que la plataforma de Horizon Cloud Service se basa en Active Directory, no es necesariointegrar Horizon Cloud Service con el entorno de Active Directory existente. Puede elegir integrar ActiveDirectory en Horizon Cloud Service en cualquier momento. Tiene la opción de utilizar un dominio deActive Directory aislado e independiente que sea local para las aplicaciones y los escritorios de HorizonCloud Service.

Elegir un dominio aislado es ventajoso para los siguientes casos de uso:

Caso de uso Descripción

Prueba tecnológica de concepto Para que una organización participe en una prueba tecnológica de concepto sinintegrar directamente la infraestructura de su organización. En un dominio piloto, puedeconfigurar todo lo necesario para probar y validar los casos de uso dentro de unentorno completamente aislado.

Organizaciones con usuariosexternalizados

Para una organización grande que externaliza el trabajo de desarrollo a otros países ynecesita proporcionar a los empleados escritorios sin conectarse directamente a lainfraestructura de su organización. En un dominio piloto, puede configurar todo lo quenecesitan estos empleados en un entorno totalmente aislado.

Organizaciones con usuarios temporales Para una organización que crece dos o tres veces al año durante un periododeterminado, sin agregar una gran cantidad de escritorios en la estructura de ActiveDirectory de su organización. Puede utilizar un dominio piloto independiente cuando lonecesite y descartarlo cuando la temporada haya terminado.

Organizaciones con recursos limitados Para una organización más pequeña con una infraestructura limitada, puede utilizar undominio aislado independiente para ahorrar el coste de creación de una infraestructurade servicios de directorio principal.

Consulte las consideraciones sobre la licencia en el acuerdo de nivel de servicio de Horizon CloudService cuando se implementa una cuenta isla.

Consideraciones acerca de la subredEl arrendatario de Horizon Cloud Service contiene varias zonas. Para la zona de servicios y la zona deescritorio, debe asignar las redes que se van a utilizar. Si está realizando la integración con su entornoexistente, estas redes no pueden estar en uso.


VMware, Inc. 44

La zona de servicios aloja Horizon Cloud Service, incluidos los dispositivos de arrendatario, losservidores de utilidades y los dispositivos de Unified Access Gateway internos. Se recomienda utilizaruna subred que proporcione aproximadamente 30 direcciones IP (/27), aunque se determine si ese es elnúmero apropiado en función de los requisitos. Esta subred no puede superponer redes existentes en lainfraestructura de red.

La zona de escritorio es donde se encuentran todos los servidores RDSH y los escritorios. Defina yasigne una red para que admita el número total de escritorios y servidores RDSH que necesita. Serecomienda mantener una capacidad de direcciones adicional en la subred para la actualización y elmantenimiento de escritorios. La subred no puede superponerse a lo que ya está en uso en lainfraestructura de red.

Cuando se utilizan opciones de Direct Connect, se debe proporcionar una red con un mínimo de dosdirecciones (/30) para utilizar entre la terminación del operador y VMware. Para obtener más información,consulte Información sobre Direct Connect.

Tráfico de protocolo, en el invitado y enlazado a InternetLa comprensión de los flujos de tráfico asociados con Horizon Cloud Service es clave a la hora deseleccionar el tipo de red que se va a implementar y es un paso importante antes de implementarHorizon Cloud Service. Tenga en cuenta el tráfico de protocolo generado por instancias de Horizon Clienty el tráfico de red generado por aplicaciones y otros servicios en escritorios y servidores RDSH deHorizon Cloud Service.

Nota Como mínimo, se necesita una VPN de sitio a sitio, una conexión dedicada, MPLS o intercambiode red para Active Directory, DNS, DHCP y NTP, excepto en el caso de las cuentas isla. Una cuenta islano tiene conectividad con el sitio del arrendatario, por lo que todo el acceso al sistema procede de la redInternet pública. Una cuenta isla es una implementación en la que Horizon Cloud Service aloja ActiveDirectory, DNS, DHCP y NTP básicos. Al implementar una cuenta isla, consulte las consideraciones delicencia en los documentos de condiciones de servicio de los acuerdo de nivel de servicio de HorizonCloud Service.

Tráfico de protocolo

El tráfico de protocolo es el intercambio de tráfico de red entre el escritorio virtual y el endpoint mediantelos protocolos de acceso PCoIP, Blast Extreme, o Blast HTML5. Las imágenes en pantalla, losmovimientos de teclado y de ratón, y el tráfico de USB y otros dispositivos se desplazan entre el endpointy el escritorio virtual con el protocolo de Horizon que desee. Es importante tener en cuenta el tráfico deprotocolo para dimensionar adecuadamente la conexión de red con Horizon Cloud Service. El tráfico delprotocolo puede estar utilizando la misma conexión de red para otro tráfico en el invitado, lo cual podríaafectar a la experiencia del usuario final.

Tráfico en el invitado

El tráfico en el invitado se crea cuando una aplicación realiza una llamada de red a otra aplicación oservicio de TI desde el escritorio virtual o la sesión de RDSH. Un ejemplo es cuando el navegador seinicia desde el escritorio y accede a un sitio web corporativo alojado internamente. El tráfico en elinvitado enlazado para recursos de TI internos se enruta a la conexión de red de vuelta al centro de


VMware, Inc. 45

datos o a la red del cliente. Es importante realizar una planificación adecuada para la conexión de redhacia el centro de datos del cliente. Además de garantizar un ancho de banda amplio, puede especificarrutas y conexiones alternativas de vuelta a los recursos del centro de datos, para separar el tráfico deprotocolo y el tráfico en el invitado.

Tráfico enlazado a Internet

Un paso clave en el proceso es elegir cómo se enruta el tráfico de Internet desde aplicaciones yescritorios de Horizon Cloud Service. Puede aprovechar la conexión a Internet que proporciona HorizonCloud Service o enrutar todo el tráfico enlazado a Internet a través de la red de su propia organización.La determinación de la ruta del tráfico enlazado a Internet dentro del centro de datos de VMwaredepende de la opción de enrutamiento elegida para la ruta predeterminada (0.0.0.0/0).

DHCPAsegúrese de que la subred de escritorio incluya direcciones IP suficientes para cubrir el número deescritorios y servidores RDSH aprovisionados, junto con un búfer adicional para la posible superposición.

Por ejemplo, si proporciona /24 en formato CIDR para la subred, obtendrá exactamente 252 direcciones.Agregar subredes adicionales de forma anticipada permite expandir fácilmente la capacidad cuando seanecesario.

Elegir las URL del portal de usuario y el portal de la consolaadministrativa de Horizon Cloud ServiceLos usuarios y los administradores acceden a los escritorios, los servidores RDSH y las funciones deadministración a través de portales seguros basados en web. Ambos portales utilizan la misma URL,seguida de /horizonadmin, como se muestra en el siguiente ejemplo.

Portal Descripción URL de muestra

Portal de usuario deHorizon CloudService

Un portal basado en web que ofrece a losusuarios finales acceso sin cliente a lasaplicaciones y los escritorios de HorizonCloud Service mediante HTML5

https://desktop.virtualdesktopaccess.com

Consolaadministrativa deHorizon CloudService

El portal basado en web que utilizan losadministradores de TI para aprovisionar yadministrar autorizaciones de recursos,imágenes y aplicaciones y escritorios deHorizon Cloud Service

https://desktop.virtualdesktopaccess.com/horizonadmin

Puede definir la convención de nomenclatura utilizada para estos portales.

Opción de URL del portal 1Esta opción es la más común para las pruebas piloto debido a su simplicidad y facilidad de uso. Eldominio de DNS es propiedad de VMware, que es quien lo proporciona. También puede configurar elDNS dividido para acceso interno.

n https://companyname.horizon.vmware.com

n Utiliza el certificado *.horizon.vmwware.com de VMware


VMware, Inc. 46

Opción de URL del portal 2La opción 2 incluye dos opciones. Requiere que el propietario de virtualdesktopaccess.com proporcioneun certificado SSL en formato Apache2 y que configure registros de DNS internos y públicos (si esnecesario) mediante el DNS dividido.

n https://desktop.virtualdesktopaccess.com

n https://www.virtualdesktopaccess.com

Opción 1: si tiene una VPN de sitio a sitio o Direct Connect, puede elegir si desea que la consolaadministrativa de Horizon Cloud Service sea accesible desde la red Internet pública.

Opción 2: si tiene un arrendatario de isla sin una VPN de sitio a sitio o Direct Connect, el portal deusuario de Horizon Cloud Service y la consola administrativa deben ser accesibles desde la red Internetpública a través de Unified Access Gateway.


VMware, Inc. 47

Cumplir los requisitos de ActiveDirectory 4Es importante que configure AD antes de implementar Horizon Cloud Service.

Consulte a su equipo de AD de forma anticipada y frecuente durante el proceso de implementación.Incluya representantes del equipo de Active Directory con permisos de administrador de dominioadecuados en el proceso de toma de decisiones y de implementación, desde el inicio. Esto permite quetodos puedan realizar preguntas, expresar preocupaciones y corregir posibles problemas en una fasetemprana de la implementación. Los temas que se deben tener en cuenta se indican a continuación.


n Elegir un entorno de Active Directory aislado o existente

n Crear cuentas de servicio para Active Directory

n Crear grupos para Active Directory

n Crear una unidad organizativa (UO) única de Horizon Cloud Service para Active Directory

n Configurar los ámbitos de DHCP y el código de opción 74 o configurar de forma manual los DaaSAgents

Elegir un entorno de Active Directory aislado o existenteA pesar de que la plataforma Horizon Cloud Service se basa en AD, no es necesario integrar HorizonCloud Service con un entorno de AD existente. Se puede utilizar un dominio de AD aislado eindependiente que sea local para el servicio de aplicaciones y escritorios de Horizon Cloud Service.Puede solicitar un dominio aislado al equipo de Horizon Cloud Service.

Elegir un dominio piloto es ventajoso para los siguientes casos de uso:

VMware, Inc. 48

Caso de uso Descripción

Empresas con usuarios externalizados Si su empresa externaliza el trabajo de desarrollo a otros países, debeproporcionar escritorios a los empleados, pero es posible que no quiera que seconecten directamente a su propia infraestructura. En un dominio piloto, puedeconfigurar todo lo que necesitan los empleados en un entorno aislado.

Empresas con usuarios temporales Si su empresa tiene trabajo temporal que crece dos o tres veces al año duranteun par de meses, es posible que no desee agregar una gran cantidad deescritorios a la estructura de AD corporativa. Puede utilizar un dominio pilotoindependiente cuando lo necesite y descartarlo cuando la temporada hayaterminado.

Empresas con recursos limitados Si su empresa tiene una infraestructura limitada, puede utilizar un dominioaislado independiente para ahorrar el coste de creación de una infraestructura deservicios de directorio principal.

Crear cuentas de servicio para Active DirectorySi elige integrar el entorno de Horizon Cloud Service con un Active Directory existente, se requieren dostipos de cuentas de servicio: enlace de dominio y unión a dominio.

n La cuenta de enlace de dominio realiza un análisis a través de la estructura de AD y extrae todos losusuarios designados para Horizon Cloud Service.

n La cuenta de unión a dominio une los escritorios virtuales y los servidores RDSH al dominio de AD.Si desea obtener más información, consulte la Guía de administración.

Consulte el formulario web de configuración de Horizon Cloud para obtener ejemplos.

Crear grupos para Active DirectoryPara asignar usuarios de forma efectiva a escritorios, aplicaciones y funciones de administración dearrendatarios dentro de la plataforma Horizon Cloud Service, resulta prudente crear grupos en AD paracada tipo de rol, función y acceso.

Tenga en cuenta los siguientes puntos para mantener la compatibilidad con la plataforma Horizon CloudService:

n Evitar el anidamiento: no cree grupos anidados, para garantizar búsquedas eficientes de objetos deAD. Los objetos de usuario son los únicos miembros de un grupo.

n Evitar la mezcla: no mezcle miembros de varios dominios (secundarios o de confianza) en el mismogrupo.

n Crear grupos: cree grupos independientes para la administración de arrendatarios, el soportetécnico, los usuarios de validación/pruebas y los usuarios de producción. Si se configuran variosdominios para un arrendatario de Horizon Cloud Service, los administradores de TI deben creargrupos similares para la administración de arrendatarios, el soporte técnico, los usuarios de


VMware, Inc. 49

validación/pruebas y los usuarios de producción para cada dominio individual. Los administradoresde arrendatarios tienen acceso a la consola administrativa de Horizon Cloud Service. Los grupos deusuarios de prueba, validación y producción se utilizan para aprovisionar el acceso a las aplicacionesy los escritorios Horizon Cloud Service.

Crear una unidad organizativa (UO) única de HorizonCloud Service para Active DirectoryPuede implementar una unidad organizativa (UO) única para las cuentas informáticas creadas por laplataforma Horizon Cloud Service.

Una gran empresa con miles de UO y grupos puede tener fácilmente cientos de miles de objetos en suAD. La empresa podría ahorrar tiempo de implementación mediante una UO única para las cuentasinformáticas creadas por la plataforma Horizon Cloud Service. La UO única evita la necesidad de queHorizon Cloud Service analice en todo el entorno de AD los objetos informáticos de servidor RDSH yescritorio virtual.

Consulte el formulario web de configuración de Horizon Cloud para obtener una lista de los usuarios, lascuentas y los permisos necesarios.

Configurar los ámbitos de DHCP y el código de opción 74o configurar de forma manual los DaaS AgentsDebe proporcionar al equipo de VMware Horizon Cloud Service una subred de servicios y una subred deescritorio que no se utilicen dentro de la infraestructura, y esas subredes deben incluir direcciones IPsuficientes para cubrir el número de escritorios o servidores RDSH que están aprovisionados.

Al establecer el código de opción 74 en el ámbito DHCP de la subred de escritorio, los servidores RDSHy los escritorios son dirigidos a los dispositivos de arrendatario. El equipo de VMware Horizon CloudService proporciona las dos direcciones IP de los dispositivos de arrendatario durante el proceso deimplementación.

Tenga en cuenta los siguientes problemas:

n Error al establecer el código de opción 74 correctamente: si esta acción no se realiza correctamente,los escritorios y los servidores RDSH no pueden localizarse ni registrarse en los dispositivos dearrendatario. Los usuarios finales no pueden acceder a los recursos de aplicaciones y escritoriospublicados.

n Error al proporcionar una subred de escritorio y servicios única: piense en la subred de escritorio yservicios como una extensión de su infraestructura local, aunque se encuentre en la nube. Siproporciona una subred que ya está en uso, pueden producirse conflictos y el tráfico de red podríano fluir correctamente entre Horizon Cloud Service y la red.


VMware, Inc. 50

n Error de dimensionamiento: si no se proporciona una subred de escritorio con suficientes direccionesIP para cubrir el número de escritorios y servidores RDSH de destino, debe configurarse otra subredpara que admita la capacidad en exceso. Por ejemplo, si proporciona /24 en formato CIDR para lasubred, obtendrá exactamente 252 direcciones. Agregar subredes adicionales de forma anticipadapermite expandir fácilmente la capacidad cuando sea necesario.

Si no puede configurar la opción 74 de DHCP debido a restricciones de red o por otros motivos, puedeconfigurar de forma manual el DaaS Agent para que se comunique con los dispositivos de arrendatario.El equipo de VMware Horizon Cloud Service proporciona las dos direcciones IP de los dispositivos dearrendatario y configura de forma manual el DaaS Agent mediante el archivo monitor.ini.


VMware, Inc. 51

Crear imágenes optimizadas 5La optimización de imágenes garantiza que el servidor RDSH o el escritorio virtual esté configuradocorrectamente para proporcionar una experiencia de usuario final óptima.

Puede ajustar la configuración de optimización de forma estática o dinámica según sus necesidades ylos requisitos y condiciones de red. Una imagen no optimizada puede consumir recursos informáticos, dered y de almacenamiento innecesarios, lo cual puede contribuir a una experiencia de usuario final pordebajo de los estándares.

Es importante crear imágenes optimizadas antes de implementar Horizon Cloud Service y consultar alequipo de administración de imágenes de escritorio, anticipadamente y a menudo, en relación con losproblemas vinculados a continuación.


n Optimizar las imágenes de escritorio

n Decidir cuántas imágenes se necesitan

n Usar imágenes de clon tradicional o instantáneo

n Crear imágenes para los servidores RDSH

n Descripción de los escritorios de sesión, flotantes y dedicados

n Elegir opciones de gráficos 3D

n Escalonar las actualizaciones automáticas de antivirus

Optimizar las imágenes de escritorioUna plantilla de imagen, a veces denominada imagen principal o un patrón dorado, es la imagen deservidor RDSH o de escritorio base estándar proporcionada por Horizon Cloud Service.

Una plantilla de imagen está totalmente optimizada con todas las VMware Tools y los agentes de serviciode escritorio de Horizon Cloud Service que son necesarios para la plataforma. Se recomienda instalar lospaquetes de software en las plantillas de imagen optimizadas para aprovechar las herramientas y losagentes de servicio que están preinstalados y configurados de acuerdo con las prácticas recomendadasde VMware.

Decidir cuántas imágenes se necesitanEste tema proporciona instrucciones para determinar el número de imágenes que necesita para suentorno.

VMware, Inc. 52

Es mejor mantener el número mínimo de imágenes base posible, para limitar la complejidad delmantenimiento. Cada imagen se debe revisar, actualizar y mantener. La planificación le permite elegir elnúmero óptimo de imágenes base para su entorno. Su representante de VMware Horizon Cloud Servicepuede ayudarle a determinar lo que sus unidades de negocio, como contabilidad, TI, ventas ydepartamentos legales, tienen en común y qué unidades de negocio deben estar aisladas. Horizon CloudService incluye hasta 10 plantillas de imagen con cada suscripción y puede convertir imágenesadicionales a partir de la capacidad de escritorio estándar. Consulte la Descripción del servicio: VMwareHorizon Cloud Service on IBM Cloud.

Tenga en cuenta también métodos alternativos para reducir la proliferación de imágenes, como lavirtualización de aplicaciones y las tecnologías de capas de aplicaciones, que le permiten abstraer laaplicación desde el escritorio, proporcionando un mecanismo para distribuir de forma dinámica yinmediata la aplicación al escritorio sin instalar ni actualizar la aplicación directamente en la imagen. Elpaquete de la aplicación se actualiza en lugar de la imagen del escritorio, lo que da como resultadomenos imágenes para administrar.

Usar imágenes de clon tradicional o instantáneoPuede implementar imágenes de escritorios virtuales en Horizon Cloud Service mediante clonestradicionales o instantáneos.

n Clones tradicionales: también denominados clones completos, los clones tradicionales son copiasindependientes de una máquina virtual que no comparten nada con la máquina virtual principaldespués de la operación de clonación. La administración y el funcionamiento continuados de un clontradicional suelen ser independientes de la máquina virtual principal.

n Escritorios de clon instantáneo: escritorios que se pueden ensamblar rápidamente a pedido mediantela tecnología VMware Instant Clone. La tecnología de clon instantáneo permite la creación rápida declones de máquinas virtuales idénticas. Esta función crea una máquina virtual nueva mediante laclonación de una máquina virtual principal existente parcialmente iniciada, lo cual reduce de manerasignificativa los requisitos de disco y memoria, así como el coste de E/S del aprovisionamiento. Elproceso de clon instantáneo es más rápido que la tecnología de clonación de escritorios anterior.

En la mayoría de los casos de uso, se deben aprovechar los clones instantáneos. Los clonesinstantáneos proporcionan la capacidad de administrar un grupo de escritorios con una sola imagenprincipal.

Los clones tradicionales siguen siendo el método preferido para algunos casos de uso, especialmentepara los que requieren gráficos 3D. Además, debe usar un clon tradicional con todas las imágenesRDSH.

Crear imágenes para los servidores RDSHComo parte de la oferta de Horizon Cloud Service, VMware proporciona un servidor RDSH y orienta alusuario a través del ciclo de vida de la imagen básica de un servidor RDSH.

n El ciclo de vida incluye métodos para poner el servidor RDSH en modo de instalación, instalarleaplicaciones y hacerlo evolucionar hasta el modo de publicación.


VMware, Inc. 53

n Después de moverlo al modo de publicación, puede convertir el servidor RDSH en una imagendesde la que se pueden implementar las aplicaciones remotas que acaba de instalar.

n También puede usar imágenes RDSH para proporcionar escritorios de sesión RDS. Los paquetes deincorporación avanzada de Horizon Cloud pueden ayudarle a completar este proceso para dos o tresaplicaciones, de cara a ir aprendiendo a hacerlo por su propia cuenta.

Para obtener más información, consulte la hoja de datos previa a la incorporación proporcionada por elequipo de incorporación.

Si algunas unidades de negocio deben tener acceso exclusivo a aplicaciones específicas, como losdepartamentos de Recursos Humanos o Finanzas, o a aplicaciones que requieran segregación aislada,como SAP, se recomienda que configure imágenes RDSH independientes para cada departamento oaplicación, para mantener el aislamiento necesario.

Descripción de los escritorios de sesión, flotantes ydedicadosHorizon Cloud Service admite escritorios de sesión, flotantes y dedicados. Los escritorios flotantes (nopersistentes) se recomiendan en una implementación de Horizon Cloud Service, porque requierenmenos tiempo, mantenimiento y gasto que las demás opciones.

n Escritorios dedicados (persistentes): un escritorio virtual se asigna a los usuarios la primera vez queinician sesión, y los usuarios utilizan el mismo escritorio virtual para los inicios de sesión posteriores.Al igual que un equipo físico, los cambios realizados en un escritorio persistente se mantienen enese escritorio. Puede elegir proporcionar escritorios persistentes a los desarrolladores que necesiteninstalar su propio software en sus máquinas virtuales. Sin embargo, en la mayoría de los casos deuso, los escritorios persistentes requieren más tiempo de creación, más esfuerzo de administración yson más caros.

n Escritorios flotantes (no persistentes): un escritorio virtual se asigna a los usuarios cada vez queinician sesión, por lo que los usuarios no utilizan el mismo escritorio virtual para los inicios de sesiónposteriores. Cuando un usuario cierra sesión, el escritorio no persistente se restablece a un estadooriginal y se pierden los cambios en el escritorio. Sin embargo, se pueden conservar los cambiosmediante la administración de perfiles y el redireccionamiento de carpetas. Para actualizar y aplicarrevisiones, actualice la imagen e inserte la actualización en la asignación de escritorio. En la mayoríade los casos de uso, los escritorios no persistentes son la solución más adecuada.

n Escritorios de sesión (compartidos): un escritorio RDSH publicado que se comparte entre variosusuarios. También se conoce comúnmente como un escritorio basado en sesiones. Los escritorioscompartidos deben estar bloqueados y los usuarios no deben tener permiso para realizar cambios enel sistema ni instalar aplicaciones. Para los cambios basados en usuarios, puede utilizar DynamicEnvironment Manager y el redireccionamiento de carpetas para conservar la configuración. Para lasactualizaciones de imágenes y la administración de revisiones, puede actualizar la imagen e insertarla actualización en la asignación del escritorio RDSH publicado.


VMware, Inc. 54

Elegir opciones de gráficos 3DPuede aprovechar la potencia de la aceleración de GPU de cualquier aplicación en cualquier dispositivoque use la aceleración de gráficos 3D Soft3D o estaciones de trabajo de gráficos

n Soft3D: disponible en los modelos de escritorio Professional, Premium y Performance, junto conservidores de aplicaciones alojadas compartidos en Horizon Cloud Service. Soft3D proporcionagráficos acelerados por software y permite ejecutar aplicaciones DirectX 9 y OpenGL 2.1 sin unaGPU física. Esta función se utiliza para aplicaciones 3D menos exigentes, como los temas Aero deWindows, Microsoft Office 2010 y Google Earth.

n Estaciones de trabajo de gráficos: para necesidades de 3D de gama alta, incluidas las aplicacionesavanzadas y ricas en gráficos, Horizon Cloud Service ofrece estaciones de trabajo de gráficos con elrespaldo de NVIDIA GRID vGPU. Horizon Cloud Service ofrece a usuarios remotos y móviles elrendimiento propio de las estaciones de trabajo, incluso en redes de alta latencia, similar al decualquier otro escritorio. Tenga en cuenta que las aplicaciones de gráficos 3D suelen tener requisitosde ancho de banda diferentes a los de las aplicaciones de usuario de oficina tradicionales. Trabajecon el equipo de VMware Horizon Cloud Service para definir los requisitos de ancho de bandaespecíficos.

Todas las licencias de NVIDIA y el hardware necesario se incluyen en el precio de la estación de trabajode gráficos. Para obtener más información, consulte la Descripción del servicio: VMware Horizon CloudService on IBM Cloud. Para obtener más información sobre NVDIA GRID con Horizon 7, consulte ladocumentación para Horizon 7 con Blast 3D.

Escalonar las actualizaciones automáticas de antivirusHorizon Cloud Service no incluye una solución antivirus. Puede utilizar la solución que ya tieneobteniendo licencias adicionales para el entorno de Horizon Cloud Service. Sin embargo, no se trata deun requisito de Horizon Cloud Service.

Si decide utilizar una solución antivirus en los servidores RDSH o los escritorios de Horizon CloudService que actualizan los archivos DAT, la mejor opción es escalonar las actualizaciones en todo elentorno. Si lo hace, evitará usar todos los recursos de su entorno para actualizar todas las máquinasvirtuales al mismo tiempo, lo que podría provocar un rendimiento más lento.

Además de escalonar las actualizaciones de antivirus, es mejor utilizar una programación fija que evitelas grandes actualizaciones simultáneas, como la actualización fuera de las horas normales de trabajo ola creación de una ventana de mantenimiento. Si se evitan las actualizaciones simultáneas grandes,también se evita el uso de todos los recursos al mismo tiempo, que puede ralentizar el rendimiento.


VMware, Inc. 55

Administrar aplicacionesremotas 6Las aplicaciones remotas se instalan en los servidores RDSH y se distribuyen de forma directa a travésdel portal de usuario de Horizon Client o de Horizon Cloud Service. Los usuarios ven una aplicación queparece estar integrada de forma nativa con su escritorio local, pero que en realidad se distribuye desde lanube. Las aplicaciones Windows alojadas en los servidores RDSH pueden distribuirse a plataformas queno son Windows, como Android e iOS.

La asignación de aplicaciones remotas permite publicar aplicaciones mediante servidores RDSHbasados en una imagen RDSH, y se las denomina aplicaciones publicadas o aplicaciones alojadas enRDSH. Para crear una asignación de aplicaciones remotas, seleccione la cantidad de servidores RDSHque se deben aprovisionar y el número de usuarios por servidor. A medida que seleccione lasaplicaciones que desea asignar a los usuarios, podrá ver todas las aplicaciones instaladas en la imagenRDSH seleccionada. Además de seleccionar las aplicaciones detectadas automáticamente, tambiénpuede definir y asociar aplicaciones remotas personalizadas con una imagen RDSH en el inventario deaplicaciones.

VMware, Inc. 56

Estrategias de administraciónde imágenes 7Póngase en contacto con el equipo de administración de imágenes para obtener información sobre eldesarrollo de prácticas adecuadas de administración de perfiles, revisiones y copias de seguridad. Laimplicación de representantes de su equipo de administración de imágenes en la toma de decisiones y laimplementación les permite realizar preguntas, expresar preocupaciones y corregir desviaciones, yayuda a evitar problemas inesperados.


n Administración de perfiles

n Administración de revisiones

n Estrategias de copia de seguridad

Administración de perfilesLos perfiles de usuario son una parte importante de las imágenes de escritorio. Un perfil de usuarioconsta de carpetas, archivos y opciones de configuración que son exclusivos para un usuario específico.La configuración de los perfiles de usuario, la selección de si desea asignar usuarios a servidores RDSHo escritorios persistentes o no persistentes y la decisión sobre cuándo utilizar el redireccionamiento sonparte de la administración de imágenes.

En un entorno virtual, los perfiles de usuario se suelen almacenar en un servidor, en lugar de en unescritorio físico. De este modo, los datos del perfil de usuario siguen al usuario entre los distintosescritorios. Al pensar en la administración de perfiles en un entorno virtual, tiene sentido comenzar conlas asignaciones. Horizon Cloud Service tiene asignaciones de escritorio para escritorios dedicados,flotantes y basados en sesiones, junto con aplicaciones remotas.

VMware, Inc. 57

Tipo de asignación Consideraciones de la administración de perfiles

Escritorios de clon tradicional, dedicados(persistentes)

Un escritorio virtual se asigna al usuario la primera vez que el usuario iniciasesión, y el usuario utiliza el mismo escritorio virtual para los inicios de sesiónposteriores. Los usuarios pueden personalizar el escritorio virtual y utilizarlopara acceder a sus documentos y aplicaciones. Para los usuarios con un soloescritorio persistente, el perfil de usuario se puede almacenar directamente ensu escritorio. Los cambios que realiza el usuario se mantienen en el mismoescritorio virtual. Sin embargo, tenga presente la posibilidad de almacenarperfiles de usuario en un servidor para conservar los cambios en caso de queel escritorio virtual se dañe o que el usuario también acceda a aplicacionesremotas.

Escritorios de clon instantáneo, dedicados(persistentes)

Esta asignación es similar a un clon tradicional persistente en que el usuarioutiliza el mismo nombre de equipo de escritorio virtual para todos los inicios desesión. La diferencia es que el escritorio virtual se actualiza a un estadooriginal cuando el usuario cierra sesión, y se pierden todos los cambios. Paraproporcionar una experiencia de tipo persistente, el perfil de usuario debeestar almacenado en un servidor.

Escritorios de clon tradicional y clon instantáneo,flotantes (no persistentes)

Un nuevo escritorio virtual se asigna a los usuarios cada vez que iniciansesión, por lo que los usuarios no utilizan necesariamente el mismo escritoriovirtual para los inicios de sesión posteriores. Un usuario no puede personalizarun escritorio específico ni agregarle documentos o aplicaciones, ya que eldisco se actualiza a un estado original cuando el usuario cierra sesión, y sepierden todos los cambios. Sin embargo, los cambios pueden conservarsemediante el almacenamiento del perfil de usuario en un servidor. Para losusuarios con varios escritorios o que acceden a aplicaciones remotas, el perfilde usuario sigue al usuario y está disponible en cada acceso de aplicaciónremota o escritorio, para que la experiencia del usuario siga siendo coherente.

Escritorios de clon tradicional, de sesión(compartida) y aplicaciones remotas

Los usuarios se conectan al servidor RDSH con la menor cantidad deconexiones, por lo que no tienen que usar el mismo servidor para los inicios desesión posteriores. El servidor RDSH debe estar bloqueado y los usuarios nodeben tener permiso para realizar cambios en el sistema ni instalaraplicaciones. Para conservar los cambios y proporcionar una experiencia deusuario coherente, almacene el perfil de usuario en un servidor.

Decidir qué debe redirigirsePuede proporcionar una experiencia de usuario de tipo persistente en escritorios no persistentesmediante el redireccionamiento con perfiles de usuario. Los usuarios obtienen los mismos archivos yconfiguraciones de las aplicaciones cuando inician sesión, sin importar el escritorio no persistente queusen. Con el redireccionamiento, los usuarios disfrutan de las ventajas de los escritorios persistentes conel coste de los escritorios no persistentes.

Para usar el redireccionamiento, identifique los recursos que necesitan los usuarios para realizar sutrabajo, determine dónde guardan su trabajo y decida la cantidad de trabajo que desea redireccionar. Porejemplo, puede seleccionar redirigir todo lo que los usuarios guardan en los escritorios o en la carpetaMis documentos a un recurso compartido de archivos. Proporcionar a los usuarios acceso al recursocompartido de archivos hace que su trabajo esté siempre disponible para ellos, sin importar la aplicación


VMware, Inc. 58

remota o la asignación de escritorio que usen. También puede redireccionar fondos, protectores depantalla, configuraciones para Outlook, etc. Otra opción es formar a los usuarios para que guarden ellosmismos todo su trabajo en un solo recurso compartido de archivos y, por lo tanto, realicen el trabajo deredireccionamiento.

Decidir el procedimiento de redireccionamientoVMware Dynamic Environment Manager es una buena manera de administrar el redireccionamiento.

n Dynamic Environment Manager es el componente crítico de JMP compatible con la informáticacentrada en el usuario que soluciona la administración de aplicaciones y usuarios de extremo aextremo.

n Puede configurar Dynamic Environment Manager para que funcione con Horizon Cloud Service y leayude a administrar roles de usuario en dispositivos y ubicaciones.

n En lugar de centrarse en el dispositivo del usuario, Dynamic Environment Manager se centra en elcontexto del usuario, como el perfil de usuario, la configuración de personalización, la configuraciónde la aplicación, la configuración de la directiva contextual, los derechos de usuario, la concesión delicencias y la configuración de informes.

Decidir a dónde debe redirigirseCuando se utiliza el redireccionamiento para almacenar perfiles de usuario, el perfil de usuario seredirecciona a una nueva ubicación permanente.

Existen tres posibles ubicaciones para redirigir la información del perfil de usuario:

Opción Descripción

Redireccionar a la misma ubicación que los servidoresRDSH y los escritorios virtuales (recomendado)

Puede redireccionar el perfil de usuario a un servidor de archivos en lamisma ubicación que los servidores RDSH y los escritorios virtualesmediante un servidor de utilidades. Los datos del perfil nunca salen delarrendatario de Horizon Cloud Service. Por motivos de rendimiento yseguridad, esta opción es la mejor. Cuando se utiliza DynamicEnvironment Manager con Horizon Cloud Service, se requiere unservidor de utilidades para almacenar el perfil de usuario.

Redireccionamiento a una instancia de infraestructuracomo servicio (IaaS)

Puede redirigir los perfiles de usuario a un servidor de archivos en elmismo centro de datos físico que los servidores RDSH y los escritoriosvirtuales. Estos recursos pueden encontrarse en un centro de datosvirtual independiente con el uso de IaaS proporcionado por elproveedor de Horizon Cloud Service. Se puede utilizar un túnel IPsecpara conectar los dos centros de datos virtuales.

Redireccionamiento a través de la VPN Puede redireccionar el perfil de usuario a través de la VPN a unservidor de archivos en el centro de datos principal. La latencia y elancho de banda son factores clave para redireccionar correctamentede nuevo al centro de datos.

Administración de revisionesEs importante establecer prácticas recomendadas de administración de revisiones.


VMware, Inc. 59

Es posible que deba alterar el proceso de administración de revisiones existente, en función del tipo deasignación que utilice:

Tipo de asignación Proceso de administración de revisiones

Escritorios de clon tradicional, dedicados(persistentes)

Debe insertar actualizaciones de aplicaciones en cada máquina virtual, tal ycomo lo haría con un escritorio físico, o utilizar una utilidad de terceros y aplicartambién la revisión a la propia imagen.

Escritorios de clon instantáneo, dedicados(persistentes)

Dado que estas asignaciones no conservan los cambios entre sesiones, lasrevisiones de imágenes y las actualizaciones de aplicaciones son sencillas.Revise la imagen y, a continuación, actualice la asignación insertando oreasignando la imagen. Para actualizar una aplicación instalada en la imagen oaplicarle revisiones, actualice la aplicación dentro de la imagen y, a continuación,haga una inserción o una asignación de la imagen.

Escritorios de clon tradicional y cloninstantáneo, flotantes (no persistentes)

Estos escritorios no conservan los cambios entre sesiones, por lo que lasrevisiones de imágenes y las actualizaciones de aplicaciones son sencillas.Revise la imagen y, a continuación, actualice la asignación insertando oreasignando la imagen. Para actualizar una aplicación instalada en la imagen oaplicarle revisiones, actualice la aplicación dentro de la imagen y, a continuación,haga una inserción o una asignación de la imagen.

Escritorios de clon tradicional, de sesión(compartidos) y aplicaciones remotas

Actualice mediante la revisión de la imagen y, a continuación, actualice laasignación insertando la imagen. Para actualizar una aplicación instalada en laimagen o aplicarle revisiones, actualice la aplicación dentro de la imagen y, acontinuación, haga una inserción de la imagen.

Desactivar las funciones de actualización automáticaMuchas aplicaciones tienen una función de actualización automática que actualiza periódicamente laaplicación.

Estas actualizaciones automáticas se pierden cuando un usuario cierra sesión en un escritorio nopersistente de clon tradicional o instantáneo o un escritorio persistente de clon instantáneo. Serecomienda desactivar esta función para estos tipos de asignaciones de escritorio.

Probar revisiones y actualizaciones en grupos de subconjuntosAl introducir un cambio importante, como actualizaciones grandes, instalaciones, nuevas aplicaciones,actualizaciones de aplicaciones o Service Packs, se recomienda probar primero el cambio en unaasignación de aplicaciones o un escritorio de subconjunto. Cree una copia de la imagen para que, si loscambios causan problemas, pueda volver al entorno original.

Duplique una imagen en la consola administrativa de Horizon Cloud Service. A continuación, aplique elService Pack, la actualización o cualquier cambio importante a la copia. Si se producen problemas,puede volver a duplicar la imagen original. Si el cambio se realiza correctamente, puede aplicar loscambios a las asignaciones de producción principales.


VMware, Inc. 60

Estrategias de copia de seguridadEs importante establecer prácticas correctas de copia de seguridad. Incluya representantes de susequipos de copia de seguridad y de escritorio en la toma de decisiones y en la implementación desde elinicio para abordar las preguntas, las preocupaciones y los problemas de forma anticipada.

Soporte para muchas copias de seguridad de imágenesHorizon Cloud Service on IBM Cloud permite mantener dos copias de seguridad de cualquier imagendeterminada. Si desea más de dos copias de seguridad, debe administrar las copias de seguridadposteriores de forma manual. Se recomienda crear un grupo de administración con varias máquinasvirtuales para copiar, realizar copias de seguridad, probar y verificar el buen resultado cuando se realicencambios en la imagen.

Copia de seguridad antes de los cambiosAntes de realizar cambios en una imagen, se recomienda crear una copia de seguridad para que, si algofalla al realizar cambios, se pueda revertir a la imagen anterior. Cree una imagen básica, cópiela variasveces y modifique una copia de cada unidad de negocio, como una para el departamento financiero, otrapara el departamento de operaciones, etc. A continuación, haga una copia de seguridad de todas lasimágenes antes del cambio, para que pueda revertirse si es necesario.

Prueba permanente de los cambiosLos cambios que se realicen en la infraestructura, ya sean revisiones, actualizaciones, adiciones osustracciones, tienen un efecto en ella, en ocasiones de manera imprevista. Las adiciones puedenprovocar errores en el sistema y dañar la imagen, y las nuevas revisiones pueden entrar en conflicto conlas aplicaciones existentes en los escritorios. Por lo tanto, es importante realizar una prueba cada vezque se realiza un cambio. Para comprobar que los cambios no han tenido un efecto adverso, cambie ypruebe un subconjunto pequeño de escritorios antes de aplicar el cambio a todas las asignaciones deproducción. Las pruebas de aceptación de los usuarios pueden incluirse como uno de los pasos delproceso de pruebas.

Copia de seguridad tras los cambios correctosHaga una copia de seguridad de nuevo después de realizar los cambios correctos en una imagen paraque, si algo falla tras un cambio posterior, la imagen se pueda restablecer en el futuro.

Para hacer copias de seguridad de imágenes, puede configurar una asignación de administraciónespecíficamente para copias de seguridad y copias de imágenes y agregar máquinas virtuales al grupopara usarlas con fines de prueba y copia de seguridad. La restauración es entonces una cuestión derevertir a otra máquina virtual en la asignación de administración, que se base en una imagen correctaanterior.


VMware, Inc. 61

implementación de horizon cloud on ibm cloud 19.3 - vmware ... · conectarse a recursos...

Documents