App Layering

MS Azure

Verwenden Sie beim Erstellen von Layern in einer Azure-Umgebung eine MS Azure-Connectorkonfiguration. Dieser Artikel beschreibt die Felder, die in den Konfigurationseinstellungen des Azure-Connectors enthalten sind. Weitere Informationen zu Connectorkonfigurationen und zum Hinzufügen neuer Connectoren finden Sie unter Connectorkonfigurationen.

Eine Connectorkonfiguration enthält die Anmeldeinformationen, die die Appliance für den Zugriff auf einen bestimmten Standort in Azure verwendet. Ihre Organisation kann über ein Azure-Konto und mehrere Speicherorte verfügen. Sie benötigen eine Connectorkonfiguration, damit die Appliance auf jeden Speicherort zugreifen kann.

Bevor Sie eine Azure-Connectorkonfiguration erstellen

In diesem Abschnitt wird erläutert:

  • Die Azure-Kontoinformationen, die zum Erstellen dieser Connectorkonfiguration erforderlich sind.
  • Der Azure-Speicher, den Sie für App Layering benötigen.
  • Die Server, mit denen die Appliance kommuniziert.

Erforderliche Azure-Kontoinformationen

Für die Konfiguration des Azure-Connectors sind die folgenden Informationen erforderlich.

Azure-Connectorkonfiguration

  • Name - Ein Name, den Sie für eine neue Connectorkonfiguration verwenden.
  • Abonnement-ID - Um virtuelle Azure-Maschinen bereitzustellen, muss Ihre Organisation über eine Abonnement-ID verfügen.
  • Mandanten-ID - Eine Azure Active Directory-Instanz, diese GUID identifiziert die dedizierte Instanz von Azure Active Directory (AD) Ihrer Organisation.
  • Client-ID - Eine Kennung für die App-Registrierung, die Ihre Organisation für App Layering erstellt hat.
  • Client Secret - Das Kennwort für die Client-ID, die Sie verwenden. Wenn Sie den Client Secret vergessen haben, können Sie einen erstellen. Hinweis: Clientgeheimnisse sind logisch mit Azure-Mandanten verknüpft. Jedes Mal, wenn Sie ein neues Abonnement und eine neue Mandanten-ID verwenden, müssen Sie einen neuen Client Secret verwenden.
  • Standard-Azure-Speicher (erforderlich): Ein Speicherkonto für virtuelle Azure-Maschinen (VHD-Dateien), die Vorlagendatei, mit der Sie virtuelle Azure-Maschinen bereitstellen, und die Startdiagnosedateien für die virtuellen Azure-Maschinen. Wenn Sie den optionalen Premium-Speicher angeben, der optionalist, werden die virtuellen Maschinen dort gespeichert, und die Vorlagen- und Startdiagnosedateien bleiben im Standardspeicher.

    Das Speicherkonto muss bereits im Azure-Portal erstellt worden sein, und der eingegebene Name muss mit dem Namen im Portal übereinstimmen. Weitere Informationen finden Sie unter Einrichten eines oder mehrerer notwendiger Speicherkonten weiter unten.

  • Premium-Speicher (optional): Optionaler zusätzlicher Speicher für virtuelle Azure-Maschinen (VHD-Dateien). Premium-Speicher unterstützt nur Seitenblobs und kann nicht zum Speichern der Vorlagendatei für die Bereitstellung virtueller Azure-Maschinen oder der Startdiagnosedateien für diese virtuellen Computer verwendet werden. Wenn Sie ein Premium-Speicherkonto angeben, sind die verfügbaren Größen der virtuellen Maschine auf diejenigen beschränkt, die Premium-Speicher unterstützen.

    Das Speicherkonto muss bereits im Azure-Portal erstellt worden sein, und der eingegebene Name muss mit dem Namen im Portal übereinstimmen. Weitere Informationen finden Sie unter Einrichten eines oder mehrerer notwendiger Speicherkonten weiter unten.

Erforderliches Azure-Speicherkonto

Jedes Konto, das Sie für App Layering verwenden, muss die folgenden Anforderungen erfüllen:

  • Es darf kein klassisches Speicherkonto sein.
  • Muss vom Speicherkonto getrennt sein, das für die Appliance verwendet wird.
  • Muss sich an dem Azure-Speicherort befinden, an dem Sie virtuelle Maschinen bereitstellen möchten.
  • Kann in einer beliebigen Ressourcengruppe gefunden werden, sofern der Speicherort der Ressourcengruppe mit dem Standort des Kontos übereinstimmt.

Erforderliches Standardspeicherkonto

Zum Erstellen einer Connectorkonfiguration ist eine der folgenden Typen von Standard-Azure-Speicherkonten erforderlich.

  • Standard lokal redundanter Speicher (LRS)
  • Standard-Georedundanter Speicher (GRS)
  • Standard-Read-Access-Speicher (RAGRS)

Wenn Sie den erforderlichen Standardspeicher erstellen, aktivieren Sie Blob Public Access für dieses Konto. Andernfalls schlagen Versuche, Images zu veröffentlichen, mit folgendem Fehler fehl:

"Beim Erstellen eines Speichercontainers im Azure-Speicherkonto ist ein Fehler aufgetreten: Der öffentliche Zugriff ist auf diesem Speicherkonto nicht zulässig."

Premium-Speicherkonto

Zusätzlich zu dem erforderlichen Standardkonto können Sie Premium-Speicher verwenden, um Ihre App Layering-VM-Datenträger zu speichern.

Server, mit denen die Appliance kommuniziert

Mit diesem Connector kommuniziert die Appliance mit den folgenden Servern:

  • management.azure.com
  • login.windows.net
  • management.core.windows.net
  • portal.azure.com/ #create /microsoft.template/URI
  • blob.core.windows.net

Die Appliance benötigt Netzwerkverbindungen mit diesen Servern.

Einrichten Ihrer Azure-Abonnements

Verwenden Sie die folgenden Verfahren für jedes Azure-Abonnement, das Sie mit der App Layering Appliance verbinden möchten.

Einrichten und Abrufen Ihrer Azure-Anmeldeinformationen

So rufen Sie Azure-Anmeldeinformationen beim Hinzufügen einer Azure-Connectorkonfiguration ab:

  • Identifizieren Sie Ihre Azure-Abonnement-ID.
  • Erstellen Sie eine App-Registrierung in Azure Active Directory.
  • Rufen Sie die Azure-Mandanten-ID, die Client-ID und den Clientgeheimnis aus der App-Registrierung ab.
  • Erstellen Sie ein Speicherkonto oder verwenden Sie ein vorhandenes, innerhalb des Abonnements.

Identifizieren der richtigen Azure-Abonnement-ID

  1. Rufen Sie das Azure-Portal auf.
  2. Klicken Sie auf Abonnements und suchen Sie das benötigte Abonnement in der Liste.
  3. Wählen Sie die Subscription ID aus, kopieren Sie sie und fügen Sie sie in das Feld Subscription ID der Connectorkonfiguration

Erstellen einer App-Registrierung für das Azure-Abonnement

Sie können ein Azure-Abonnement für mehrere Azure-Connectorkonfigurationen verwenden. Jedes Azure-Abonnement, das Sie für Ihre App Layering Connectorkonfigurationen verwenden möchten, erfordert eine App-Registrierung.

So erstellen Sie eine App-Registrierung:

  1. Melden Sie sich bei der anAzure-Portal.
  2. Klicken Sie auf Azure Active Directory. Wenn Azure Active Directory nicht aufgeführt wird, klicken Sie auf Weitere Dienste, um weitere Optionen anzuzeigen.
  3. Wählen Sie links unter VerwaltenApp-Registrierungenaus.
  4. Klicken Sie oben auf der Seite auf Neue Registrierung. Es wird ein Formular angezeigt.
  5. Geben Sie im Feld Name einen beschreibenden Namen ein, z. B. “Zugriff auf Citrix App Layering”.
  6. Wählen Sie für Unterstützte Kontotypennur Konten in diesem Organisationsverzeichnis aus (nurmein Unternehmen - Einzelner Mandant).
  7. Geben Sie für Weiterleitungs-URLein https://myapp.com/auth.
  8. Klicken Sie auf Registrieren.
  9. Klicken Sie in der Liste der App-Registrierungen auf die neue App-Registrierung, die Sie im obigen Verfahren erstellt haben.
  10. In dem neuen Fenster, das angezeigt wird, wird die Anwendungs-ID oben angezeigt. Geben Sie diesen Wert in das Feld Client-ID in der Connectorkonfiguration ein, die Sie erstellen.
  11. Führen Sie einen Bildlauf nach rechts durch, um die Anwendungseigenschaften anzuzeigen, einschließlich Anzeigename, Anwendungs-ID und anderen Werten.
  12. Kopieren Sie den Wert für die Verzeichnis-ID und fügen Sie ihn in das Feld Mandanten-ID der Connectorkonfiguration ein.
  13. Klicken Sie in der linken Spalte unter Verwalten auf Zertifikate und Geheimnisse.
  14. Fügen Sie ein Clientgeheimnis für die App Layering Anwendung mit einer Beschreibung wie “App Layering-Schlüssel 1” hinzu.
  15. Geben Sie den Wert für das neue Client Secret in die Connectorkonfiguration ein.

    Hinweis:

    Dieser Schlüssel wird nicht mehr angezeigt, nachdem Sie dieses Fenster geschlossen haben. Bei diesem Schlüssel handelt es sich um vertrauliche Informationen. Behandeln Sie den Schlüssel wie ein Kennwort, das Administratorzugriff auf Ihr Azure-Abonnement ermöglicht. Öffnen Sie die Einstellungen der App-Registrierung, die Sie in Azure Active Directory > App-Registrierungen > [Name erstellt haben, den Sie gerade eingegeben] haben > Einstellungen > Eigenschaften.

  16. Gehen Sie zurück zu Azure Home und klicken Sie auf Abonnements. Wenn Abonnements nicht aufgeführt sind, klicken Sie auf Weitere Dienste, um sie zu finden.
  17. Klicken Sie auf das Abonnement, das Sie für diesen Connector verwenden.
  18. Klicken Sie im linken Bereich auf Access Control (IAM).
  19. Klicken Sie in der oberen Leiste des Access-Kontrollfelds auf Hinzufügen und wählen Sie Rollenzuweisung hinzufügenaus.
  20. Das Formular “Rollenzuweisung hinzufügen “ wird auf der rechten Seite angezeigt. Klicken Sie auf das Drop-down-Menü für Rolle und wählen Sie Contributoraus.
  21. Geben Sie im Feld “Auswählen “ “Citrix App Layering-Zugriff” ein oder verwenden Sie den Namen, den Sie für die Anwendungsregistrierung eingegeben haben.
  22. Klicken Sie am Ende des Formulars auf die Schaltfläche Speichern.

Sie haben jetzt eine Azure-App-Registrierung eingerichtet, die Lese-/Schreibzugriff auf Ihr Azure-Abonnement hat.

Einrichten eines oder mehrerer notwendiger Speicherkonten

Bei den Azure-Speicherkonten werden in der App Layering-Software alle Images gespeichert, die aus Azure importiert und in Azure veröffentlicht wurden (virtuelle Festplatten oder VHDs), zusammen mit der Vorlagendatei, die Sie zum Bereitstellen virtueller Azure-Computer verwenden, und die Startdiagnosedateien für diese Computer.

Sie können ein vorhandenes Speicherkonto verwenden, wenn es die folgenden Anforderungen erfüllt:

  • Es ist kein klassisches Speicherkonto.
  • Es befindet sich in demselben Abonnement, das in der Connectorkonfiguration verwendet wird.

Geben Sie im Konfigurationsassistenten für App Layering Azure Connector den Namen des Speicherkontos im Feld Standardspeicherkonto ein.

Wenn Sie kein Speicherkonto haben, erstellen Sie ein Standardspeicherkonto. Connectorkonfigurationen erfordern ein Standardkonto. Sie können jedoch auch ein zweites Speicherkonto angeben, das Premium ist.

  1. Klicken Sie auf der Azure-Homepage auf Speicherkonten.
  2. Klicken Sie im Fenster “ Speicherkonten “ auf Hinzufügen.
  3. Wählen Sie im Feld Abonnement das von Ihnen verwendete Abonnement aus.
  4. Wählen Sie im Feld Ressourcengruppe die Option Neu erstellen aus und geben Sie einen Namen ein, der dem Namen des Speicherkontos entspricht.
  5. Geben Sie im Feld Name des Speicherkontos einen einprägsamen Namen ein.
  6. Wählen Sie den Standortaus.
  7. Wenn der von Ihnen gewählte Standort im Feld Leistung der einzige für diese Connectorkonfiguration ist, wählen Sie Standardaus. Andernfalls wählen Sie den für Ihre Bedürfnisse am besten geeigneten Typ aus.
  8. Wählen Sie im Feld KontoartAllzweck v2oderAllzweck v1aus.
  9. Wählen Sie im Feld Replikation den Typ aus, den Sie benötigen.
  10. Wählen Sie für die Zugriffsstufe (Standard)HotoderColdaus.
  11. Klicken Sie auf Weiter: Netzwerkund wählen Sie die Konnektivitätsmethode aus.
  12. Füllen Sie die restlichen Optionen unter Netzwerk, Erweitert und Tags aus.
  13. Wählen Sie Review + Erstellenaus.
  14. Geben Sie schließlich den neuen Storage-Kontonamen in der Connectorkonfiguration ein, die Sie erstellen.

Was ist zu tun, wenn Ihr Azure Client Secret verloren geht?

Sie können mit den Zertifikaten und Secrets ein neues Azure Client Secretgenerieren. Weitere Informationen finden Sie in den Schritten im Abschnitt Erstellen einer App-Registrierung für jedes Azure-Abonnement weiter oben in diesem Artikel.

Hinzufügen einer Connectorkonfiguration

Wenn die Anforderungen erfüllt sind, erstellen Sie eine Azure-Connectorkonfiguration:

  1. Klicken Sie im Assistenten zum Erstellen eines Layers oder zum Hinzufügen einer neuen Version zu einem vorhandenen Layer auf die Registerkarte Connector.
  2. Klicken Sie unter der Liste der Connectorkonfigurationen auf Neu.
  3. Wählen Sie im sich öffnenden Dialogfeld den Connectortyp für die Plattform und den Speicherort aus, an dem Sie den Layer erstellen oder das Layerimage veröffentlichen. Klicken Sie dann auf New, um die Seite Connectorkonfiguration zu öffnen.
  4. Füllen Sie die Felder auf der Seite Connectorkonfiguration aus. Anleitungen finden Sie in den Felddefinitionen.
  5. Klicken Sie auf die Schaltfläche TEST, um sicherzustellen, dass die Appliance mit den bereitgestellten Anmeldeinformationen auf den angegebenen Speicherort zugreifen kann.
  6. Klicken Sie auf Save. Die neue Connectorkonfiguration wird auf der Registerkarte “Connector” angezeigt.

Azure-Datenstruktur (Referenz)

Die Azure-Datenstruktur ist wie folgt:

Mandant

  • Mandanten-ID
  • App-Registrierung
    • Client-ID
    • Geheimer Clientschlüssel
  • Abonnement
  • Abonnement-ID
    • Speicherkonto
      • Name des Speicherkontos

Wobei:

  • Mandant ist Ihre Azure Active Directory-Instanz, die Benutzer und Anwendungen für den Zugriff auf Azure verwenden können. Die Mandanten-ID identifiziert jeden Mandanten. Ein Mandant kann Zugriff auf ein oder mehrere Azure-Abonnements haben.
  • Der Azure Active Directory-Mandant enthält zwei Arten von Konten.
    • Ein Benutzerkonto für die Anmeldung am Azure-Portal (portal.azure.com).
    • Eine App-Registrierung für den Zugriff auf das Abonnement verfügt über eine Client-ID.
      • Die Client-ID hat einen Client Secret anstelle eines Kennworts.
      • Benutzer können den Client Secret generieren und löschen.
  • Ein Azure-Abonnement enthält alles, was in Azure erstellt werden kann, mit Ausnahme von Benutzerkonten.
  • Ein Abonnement enthält Speicherkonten. In einem Speicherkonto werden App Layering VHDs gespeichert. Der Name des Speicherkontos gibt den Speicherort an.
MS Azure