App Layering

MS Azure Government

Verwenden Sie beim Erstellen von Layern in Azure Government eine MS Azure Government-Connectorkonfiguration Dieser Artikel beschreibt die Felder, die in der Connectorkonfiguration enthalten sind. Weitere Informationen zu App Layering-Connectors finden Sie unterConnectorkonfigurationen.

Eine Connectorkonfiguration enthält die Anmeldeinformationen, die die Appliance verwendet, um auf einen bestimmten Speicherort in Azure Government zuzugreifen. Ihre Organisation verfügt möglicherweise über ein Azure Government-Konto und mehrere Speicherorte. Sie benötigen eine Connectorkonfiguration, damit die Appliance auf jeden Speicherort zugreifen kann.

Bevor Sie eine Azure Government Connectorkonfiguration erstellen

In diesem Abschnitt wird erläutert:

  • Die Azure Government-Kontoinformationen, die zum Erstellen dieser Connectorkonfiguration erforderlich sind.
  • Der Azure Government-Speicher, den Sie für App Layering benötigen.
  • Die Server, mit denen die Appliance kommuniziert.

Erforderliche Azure-Kontoinformationen

Der Azure Government-Connector benötigt dieselben Informationen wie der Azure-Connector.

Konfiguration des Azure Government-Connectors

  • Name - Ein Name, den Sie für eine neue Connectorkonfiguration verwenden.
  • Abonnement-ID - Um virtuelle Azure-Maschinen bereitzustellen, muss Ihre Organisation über eine Abonnement-ID verfügen.
  • Mandanten-ID - Eine Azure Active Directory-Instanz, diese GUID identifiziert die dedizierte Instanz von Azure Active Directory (AD) Ihrer Organisation.
  • Client-ID - Eine Kennung für die App-Registrierung, die Ihre Organisation für App Layering erstellt hat.
  • Client Secret - Das Kennwort für die Client-ID, die Sie verwenden. Wenn Sie den Client Secret vergessen haben, können Sie ein neues erstellen. Hinweis: Clientgeheimnisse sind logisch mit Azure-Mandanten verknüpft. Jedes Mal, wenn Sie ein neues Abonnement und eine neue Mandanten-ID verwenden, müssen Sie einen neuen Client Secret verwenden.
  • Standard Azure-Speicher (erforderlich): Ein Speicherkonto für virtuelle Azure-Computer (VHD-Dateien), die Vorlagendatei, die Sie zum Bereitstellen virtueller Azure-Computer verwenden, und die Startdiagnosedateien für diese Computer. Wenn Sie Premium- Speicher ( optional ) angeben, werden die virtuellen Maschinen dort gespeichert, und die Vorlagen- und Startdiagnosedateien verbleiben im Standardspeicher.

    Das Speicherkonto muss bereits im Azure-Behördenportal erstellt worden sein, und der eingegebene Name muss mit dem Namen im Portal übereinstimmen. Weitere Informationen finden Sie unter Richten Sie die erforderlichen Speicherkonten ein weiter unten.

  • Premium-Speicher (optional): Mehr Speicherplatz für virtuelle Azure-Maschinen (VHD-Dateien). Premium-Speicher unterstützt nur Seitenblobs. Sie können weder den Premiumspeicher zum Speichern der Vorlagendatei für die Bereitstellung virtueller Azure-Computer noch die Startdiagnosedateien für diese virtuellen Maschinen verwenden. Wenn Sie ein Premium-Speicherkonto angeben, sind die verfügbaren Größen der virtuellen Maschine auf diejenigen beschränkt, die Premium-Speicher unterstützen.

    Das Speicherkonto muss bereits im Azure-Behördenportal erstellt worden sein, und der eingegebene Name muss mit dem Namen im Portal übereinstimmen. Weitere Informationen finden Sie unter Richten Sie die erforderlichen Speicherkonten ein in diesem Artikel.

Erforderliches Azure-Speicherkonto für Behörden

Jedes Konto, das Sie für App Layering verwenden, muss die folgenden Anforderungen erfüllen:

  • Es darf kein klassisches Speicherkonto sein.
  • Muss vom Speicherkonto getrennt sein, das für die Appliance verwendet wird.
  • Muss sich am Azure-Regierungsstandort befinden, an dem Sie virtuelle Maschinen bereitstellen möchten.
  • Kann in einer beliebigen Ressourcengruppe gefunden werden, sofern der Speicherort der Ressourcengruppe mit dem Standort des Kontos übereinstimmt.

Erforderliches Standardspeicherkonto

Zum Erstellen einer Connectorkonfiguration ist einer der folgenden Arten von Standard-Azure Government) -Speicherkonten erforderlich.

  • Standard lokal redundanter Speicher (LRS)
  • Standard-Georedundanter Speicher (GRS)
  • Standard-Read-Access-Speicher (RAGRS)

Wenn Sie den erforderlichen Standardspeichererstellen, aktivieren Sie Blob Public Access für dieses Konto. Andernfalls schlagen Versuche, Images zu veröffentlichen, mit folgendem Fehler fehl:

"Beim Erstellen eines Speichercontainers im Azure-Speicherkonto ist ein Fehler aufgetreten: Der öffentliche Zugriff ist auf diesem Speicherkonto nicht zulässig."

Premium-Speicherkonto

Zusätzlich zu dem erforderlichen Standardkonto können Sie Premium-Speicher verwenden, um Ihre App Layering-VM-Datenträger zu speichern.

Server, mit denen die Appliance kommuniziert

Mit diesem Connector kommuniziert die Appliance mit den folgenden Servern:

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/#create/Microsoft.Template/uri/
  • blob.core.usgovcloudapi.net

Die Appliance benötigt Netzwerkverbindungen mit diesen Servern.

Richten Sie Ihr Azure Government-

Verwenden Sie die folgenden Verfahren für jedes Azure Government-Abonnement, das Sie mit der App Layering Appliance verbinden möchten.

Einrichten und Abrufen Ihrer Azure Government-Anmeldeinformationen

Rufen Sie beim Hinzufügen einer neuen MS Azure Government-Connectorkonfiguration Ihre Azure Government-Anmeldeinformationen wie folgt ab:

  • Identifizieren Sie Ihre Azure Government Abonnementnummer.
  • Erstellen Sie eine App-Registrierung in Azure Government Active Directory.
  • Rufen Sie die Azure Government-Mandanten-ID, die Client-ID und den Clientgeheimnis aus der App-Registrierung ab.
  • Erstellen Sie ein neues Speicherkonto oder verwenden Sie ein vorhandenes Konto innerhalb des Abonnements.

Identifizieren der richtigen Azure Government Abonnementnummer

  1. Rufen Sie das Azure Government-Portal auf.
  2. Klicken Sie auf Abonnements und suchen Sie das benötigte Abonnement in der Liste.
  3. Wählen und kopieren Sie die Abonnement-ID und fügen Sie sie in das Feld Abonnement-ID der Connectorkonfiguration ein.

Erstellen einer App-Registrierung für jedes Azure Government-Abonnement

Sie können ein Azure Government-Abonnement für mehrere Azure-Connectorkonfigurationen verwenden. Jedes Abonnement, das Sie für Ihre App Layering Connectorkonfigurationen verwenden möchten, erfordert eine App-Registrierung.

So erstellen Sie eine App-Registrierung:

  1. Melden Sie sich bei der anAzure Government-Portal.
  2. Klicken Sie auf Azure Active Directory. Wenn Azure Active Directory nicht aufgeführt wird, klicken Sie auf Weitere Dienste und suchen Sie nach Azure Government Active Directory.
  3. Wählen Sie links unter VerwaltenApp-Registrierungenaus.
  4. Klicken Sie oben auf der Seite auf Neue Registrierung. Es wird ein Formular angezeigt.
  5. Geben Sie im Feld Name einen beschreibenden Namen ein, z. B. “Zugriff auf Citrix App Layering”.
  6. Wählen Sie für Unterstützte Kontotypennur Konten in diesem Organisationsverzeichnis aus (nurmein Unternehmen - Einzelner Mandant).
  7. Geben Sie für Weiterleitungs-URLein https://myapp.com/auth.
  8. Klicken Sie auf Registrieren.
  9. Klicken Sie in der Liste der App-Registrierungen auf die neue App-Registrierung, die Sie im obigen Verfahren erstellt haben.
  10. In dem neuen Fenster, das angezeigt wird, wird die Anwendungs-ID oben angezeigt. Geben Sie diesen Wert in das Feld Client-ID in der Connectorkonfiguration ein, die Sie erstellen.
  11. Führen Sie einen Bildlauf nach rechts durch, um die Anwendungseigenschaften anzuzeigen, einschließlich Anzeigename, Anwendungs-ID und anderen Werten.
  12. Kopieren Sie den Wert für die Verzeichnis-ID und fügen Sie ihn in das Feld Mandanten-ID der Connectorkonfiguration ein.
  13. Klicken Sie in der linken Spalte unter Verwalten auf Zertifikate und Geheimnisse.
  14. Fügen Sie ein neues Clientgeheimnis für die App Layering Anwendung hinzu, mit einer Beschreibung wie “App Layering-Schlüssel 1”.
  15. Geben Sie den Wert für das neue Client Secret in die Connectorkonfiguration ein.

    Hinweis:

    Dieser Schlüssel wird nicht mehr angezeigt, nachdem Sie dieses Fenster geschlossen haben. Bei diesem Schlüssel handelt es sich um vertrauliche Informationen. Behandeln Sie den Schlüssel wie ein Kennwort, das Administratorzugriff auf Ihr Azure Government-Abonnement ermöglicht. Öffnen Sie die Einstellungen der App-Registrierung, die Sie gerade in Azure Government Active Directory > App-Registrierungen > [Name, den Sie gerade eingegeben] haben > Einstellungen > Eigenschaften.

  16. Gehen Sie zurück zu Azure Home und klicken Sie auf Abonnements. Wenn Abonnements nicht aufgeführt sind, klicken Sie auf Weitere Dienste, um sie zu finden.
  17. Klicken Sie auf das Abonnement, das Sie für diesen Connector verwenden.
  18. Klicken Sie im linken Bereich auf Access Control (IAM).
  19. Klicken Sie in der oberen Leiste des Access-Kontrollfelds auf Hinzufügen und wählen Sie Rollenzuweisung hinzufügenaus.
  20. Das Formular “Rollenzuweisung hinzufügen “ wird auf der rechten Seite angezeigt. Klicken Sie auf das Drop-down-Menü für Rolle und wählen Sie Contributoraus.
  21. Geben Sie im Feld “Auswählen “ “Citrix App Layering-Zugriff” ein oder verwenden Sie den Namen, den Sie für die Anwendungsregistrierung eingegeben haben.
  22. Klicken Sie am Ende des Formulars auf die Schaltfläche Speichern.

Sie haben jetzt eine Azure Government-App-Registrierung eingerichtet, die Lese-/Schreibzugriff auf Ihr Azure Government-Abonnement hat.

Richten Sie die erforderlichen Speicherkonten ein

Bei den Speicherkonten von Azure Government speichert die App Layering-Software alle Images, die von Azure Government importiert und in Azure veröffentlicht wurden (virtuelle Festplatten oder virtuelle Festplatten), zusammen mit der Vorlagendatei, die Sie zum Bereitstellen virtueller Azure Government-Computer verwenden, und den Startdiagnosedateien für diese Computer.

Sie können ein vorhandenes Speicherkonto verwenden. Es muss diese Anforderungen erfüllen:

  • Es ist kein klassisches Speicherkonto.
  • Es befindet sich in demselben Abonnement, das in der Connectorkonfiguration verwendet wird.

Geben Sie im Konfigurationsassistenten für App Layering Azure Connector den Namen des Speicherkontos im Feld Standardspeicherkonto ein.

Wenn Sie kein Speicherkonto haben, erstellen Sie ein Standardspeicherkonto. Connectorkonfigurationen erfordern ein Standardkonto. Sie können jedoch auch ein zweites Speicherkonto angeben, das Premium ist.

  1. Klicken Sie auf der Azure-Homepage auf Speicherkonten.
  2. Klicken Sie im Fenster “ Speicherkonten “ auf Hinzufügen.
  3. Wählen Sie im Feld Abonnement das von Ihnen verwendete Abonnement aus.
  4. Wählen Sie im Feld Ressourcengruppe die Option Neu erstellen aus und geben Sie einen Namen ein, der dem Namen des Speicherkontos entspricht.
  5. Geben Sie im Feld Name des Speicherkontos einen Namen ein, an den Sie sich erinnern werden.
  6. Wählen Sie den Standortaus.
  7. Wenn dies im Feld Performance der einzige Speicherort für diese Connectorkonfiguration ist, wählen Sie Standardaus. Andernfalls wählen Sie den für Ihre Bedürfnisse am besten geeigneten Typ aus.
  8. Wählen Sie im Feld KontoartAllzweck v2oderAllzweck v1aus.
  9. Wählen Sie im Feld Replikation den Typ aus, den Sie benötigen.
  10. Wählen Sie für die Zugriffsstufe (Standard)HotoderColdaus.
  11. Klicken Sie auf Weiter: Netzwerkund wählen Sie die Konnektivitätsmethode aus.
  12. Füllen Sie die restlichen Optionen unter Netzwerk, Erweitert und Tags aus.
  13. Wählen Sie Review + Erstellenaus.
  14. Geben Sie schließlich den neuen Storage-Kontonamen in der Connectorkonfiguration ein, die Sie erstellen.

Was ist zu tun, wenn Ihr Azure Government Client Secret verloren geht?

Sie können mit den Zertifikaten und Secrets ein neues Azure Client Secretgenerieren. Weitere Informationen finden Sie in den Schritten im Abschnitt Erstellen einer App-Registrierung für jedes Azure-Abonnement weiter oben in diesem Artikel.

Hinzufügen einer Connectorkonfiguration

Wenn alle Anforderungen erfüllt sind, erstellen Sie eine Azure Government-Connectorkonfiguration:

  1. Klicken Sie im Assistenten zum Erstellen einer Ebene oder zum Hinzufügen einer Layerversion auf die Registerkarte Connector.
  2. Klicken Sie unter der Liste der Connectorkonfigurationen auf Neu, um ein Dialogfeld zu öffnen.
  3. Wählen Sie den Connectortyp für die Plattform und den Speicherort aus, an dem Sie den Layer erstellen oder das Image veröffentlichen. Klicken Sie dann auf New, um die Seite Connectorkonfiguration zu öffnen.
  4. Füllen Sie die Felder auf der Seite Connectorkonfiguration aus. Anleitungen finden Sie in den Felddefinitionen.
  5. Klicken Sie auf die Schaltfläche TEST, um sicherzustellen, dass die Appliance mit den bereitgestellten Anmeldeinformationen auf den angegebenen Speicherort zugreifen kann.
  6. Klicken Sie auf Save. Die neue Connectorkonfiguration wird auf der Registerkarte “Connector” angezeigt.

Azure Government-Datenstruktur (Referenz)

Die Azure Government-Datenstruktur ist wie folgt:

Mandant

  • Mandanten-ID
  • App-Registrierung
    • Client-ID
    • Geheimer Clientschlüssel
  • Abonnement
  • Abonnement-ID
    • Speicherkonto
      • Name des Speicherkontos

Wobei:

  • Mandant ist Ihre Azure Government Active Directory-Instanz, die Benutzer und Anwendungen für den Zugriff auf Azure Government verwenden können. Der Mandant wird durch Ihre Mandanten-ID identifiziert. Ein Mandant kann Zugriff auf ein oder mehrere Azure Government Abonnements haben.
  • Der Azure Government Active Directory-Mandant enthält zwei Arten von Konten.
    • Ein Benutzerkonto für die Anmeldung beim Azure-Government-Portal (portal.azure.us).
    • Eine App-Registrierung für den Zugriff auf das Abonnement verfügt über eine Client-ID.
      • Die Client-ID hat einen Client Secret anstelle eines Kennworts.
      • Benutzer können den Client Secret generieren und löschen.
  • Ein Azure Government-Abonnement enthält alles, was in Azure Government erstellt werden kann, außer bei Benutzerkonten.
  • Ein Abonnement enthält Speicherkonten. Hier werden App Layering-VHDs gespeichert. Es wird durch einen Speicherkontonamen identifiziert.
MS Azure Government