App Layering

MS Azure

Verwenden Sie beim Erstellen von Layern in einer Azure-Umgebung eine MS Azure-Connectorkonfiguration. In diesem Artikel werden die in den Azure-Konnektor-Konfigurationseinstellungen enthaltenen Felder beschrieben. Weitere Informationen zu Konnektorkonfigurationen und zum Hinzufügen neuer Konnektorkonfigurationen finden Sie unter Konnektorkonfigurationen.

Eine Connectorkonfiguration enthält die Anmeldeinformationen, die die Appliance für den Zugriff auf einen bestimmten Standort in Azure verwendet. Ihre Organisation kann über ein Azure-Konto und mehrere Speicherorte verfügen. Sie benötigen eine Connectorkonfiguration, damit die Appliance auf jeden Speicherort zugreifen kann.

Bevor Sie eine Azure-Connectorkonfiguration erstellen

In diesem Abschnitt wird erläutert:

  • Die Azure-Kontoinformationen, die zum Erstellen dieser Connectorkonfiguration erforderlich sind.
  • Der Azure-Speicher, den Sie für App Layering benötigen.
  • Die Server, mit denen die Appliance kommuniziert.

Erforderliche Azure-Kontoinformationen

Für die Azure-Konnektorkonfiguration sind die folgenden Informationen erforderlich.

Azure-Connectorkonfiguration

  • Name - Ein Name, den Sie für eine neue Connectorkonfiguration verwenden.
  • Abonnement-ID - Um virtuelle Azure-Maschinen bereitzustellen, muss Ihre Organisation über eine Abonnement-ID verfügen.
  • Mandanten-ID — Eine Azure Active Directory-Instanz, diese GUID identifiziert die dedizierte Instanz Ihres Unternehmens von Azure Active Directory (AD).
  • Client-ID — Eine Kennung für die App-Registrierung, die Ihre Organisation für App Layering erstellt hat.
  • Client Secret - Das Kennwort für die Client-ID, die Sie verwenden. Wenn Sie den Client Secret vergessen haben, können Sie einen erstellen. Hinweis: Clientgeheimnisse sind logisch mit Azure-Tenants verknüpft. Daher müssen Sie jedes Mal, wenn Sie ein neues Abonnement und eine neue Mandanten-ID verwenden, ein neues Client Secret verwenden.
  • Standard-Azure-Speicher (erforderlich): Ein Speicherkonto für virtuelle Azure-Maschinen (VHD-Dateien), die Vorlagendatei, die Sie zum Bereitstellen virtueller Azure-Maschinen verwenden, und die Startdiagnosedateien für die virtuellen Azure-Maschinen. Wenn Sie Premium-Speicher angeben, der optionalist, werden die virtuellen Maschinen dort gespeichert, und die Vorlagen- und Startdiagnosedateien verbleiben im Standardspeicher.

    Das Speicherkonto muss bereits im Azure-Portal erstellt worden sein, und der eingegebene Name muss mit dem Namen im Portal übereinstimmen. Einzelheiten finden Sie unten unter Einrichten eines oder mehrerer erforderlicher Speicherkonten .

  • Premium-Speicher (optional): Optionaler zusätzlicher Speicher für virtuelle Azure-Maschinen (VHD-Dateien). Premium-Speicher unterstützt nur Seitenblobs und kann nicht zum Speichern der Vorlagendatei für die Bereitstellung virtueller Azure-Maschinen oder der Startdiagnosedateien für diese virtuellen Computer verwendet werden. Wenn Sie ein Premium-Speicherkonto angeben, sind die verfügbaren Größen der virtuellen Maschine auf diejenigen beschränkt, die Premium-Speicher unterstützen.

    Das Speicherkonto muss bereits im Azure-Portal erstellt worden sein, und der eingegebene Name muss mit dem Namen im Portal übereinstimmen. Einzelheiten finden Sie unten unter Einrichten eines oder mehrerer erforderlicher Speicherkonten .

Erforderliches Azure-Speicherkonto

Jedes Konto, das Sie für App Layering verwenden, muss die folgenden Anforderungen erfüllen:

  • Darf kein klassisches Speicherkonto sein.
  • Muss vom Speicherkonto getrennt sein, das für die Appliance verwendet wird.
  • Muss sich an dem Azure-Standort befinden, an dem Sie virtuelle Maschinen bereitstellen möchten.
  • Kann in einer beliebigen Ressourcengruppe gefunden werden, sofern der Speicherort der Ressourcengruppe mit dem Standort des Kontos übereinstimmt.

Erforderliches Standardspeicherkonto

Zum Erstellen einer Connectorkonfiguration ist eine der folgenden Typen von Standard-Azure-Speicherkonten erforderlich.

  • Standard lokal redundanter Speicher (LRS)
  • Geo-redundanter Standardspeicher (GRS)
  • Standard-Read-Access-Speicher (RAGRS)

Aktivieren Sie beim Erstellen des erforderlichen Standardspeichers die Option Blob Public Access für dieses Konto. Andernfalls schlagen Versuche, Images zu veröffentlichen, mit folgendem Fehler fehl:

"A failure occurred while creating a storage container in the Azure storage account: Public access is not permitted on this storage account."

Premium-Speicherkonto

Zusätzlich zum erforderlichen Standardkonto können Sie Premium-Speicher verwenden, um die Datenträger Ihrer virtuellen App Layering-Maschine zu speichern. Beim Erstellen des optionalen Premium-Speichers ist Blob Public Access nicht erforderlich.

Server, mit denen die Appliance kommuniziert

Mit diesem Connector kommuniziert die Appliance mit den folgenden Servern:

  • management.azure.com
  • login.windows.net
  • management.core.windows.net
  • portal.azure.com/#create/Microsoft.Template/uri
  • blob.core.windows.net

Die Appliance benötigt Netzwerkverbindungen mit diesen Servern.

Einrichten Ihrer Azure-Abonnements

Verwenden Sie die folgenden Verfahren für jedes Azure-Abonnement, das Sie mit der App Layering Appliance verbinden möchten.

Einrichten und Abrufen Ihrer Azure-Anmeldeinformationen

So rufen Sie Azure-Anmeldeinformationen beim Hinzufügen einer Azure-Connectorkonfiguration ab:

  • Identifizieren Sie Ihre Azure-Abonnement-ID.
  • Erstellen Sie eine App-Registrierung in Azure Active Directory.
  • Rufen Sie die Azure-Mandanten-ID, die Client-ID und den Clientgeheimnis aus der App-Registrierung ab.
  • Erstellen Sie ein Speicherkonto oder verwenden Sie ein vorhandenes, innerhalb des Abonnements.

Identifizieren der richtigen Azure-Abonnement-ID

  1. Gehe zum Azure-Portal.
  2. Klicken Sie auf Abonnements und suchen Sie das benötigte Abonnement in der Liste.
  3. Wählen Sie die Subscription ID aus, kopieren Sie sie und fügen Sie sie in das Feld Subscription ID der Connectorkonfiguration

Erstellen einer App-Registrierung für das Azure-Abonnement

Sie können ein Azure-Abonnement für mehrere Azure-Connectorkonfigurationen verwenden. Jedes Azure-Abonnement, das Sie für Ihre App Layering Connectorkonfigurationen verwenden möchten, erfordert eine App-Registrierung.

So erstellen Sie eine App-Registrierung:

  1. Melde dich beim Azure-Portal an.
  2. Klicken Sie auf Azure Active Directory. Wenn Azure Active Directory nicht aufgeführt ist, klicken Sie auf Weitere Dienste, um weitere Auswahlmöglichkeiten anzuzeigen.
  3. Wählen Sie links unter Verwalten die Option App-Registrierungen aus.
  4. Klicken Sie oben auf der Seite auf Neue Registrierung. Es wird ein Formular angezeigt.
  5. Geben Sie im Feld Name einen beschreibenden Namen ein, z. B. “Zugriff auf Citrix App Layering”.
  6. Wählen Sie für Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Nur Mein Unternehmen - Einzelmandant).
  7. Geben Sie für Umleitungs-URL https://myapp.com/auth ein.
  8. Klicken Sie auf Registrieren.
  9. Klicken Sie in der Liste der App-Registrierungen auf die neue App-Registrierung, die Sie im obigen Verfahren erstellt haben.
  10. In dem neuen Fenster, das angezeigt wird, wird die Anwendungs-ID oben angezeigt. Geben Sie diesen Wert in das Feld Client-ID in der Connectorkonfiguration ein, die Sie erstellen.
  11. Führen Sie einen Bildlauf nach rechts durch, um die Anwendungseigenschaften anzuzeigen, einschließlich Anzeigename, Anwendungs-ID und anderen Werten.
  12. Kopieren Sie den Wert für die Verzeichnis-ID und fügen Sie ihn in das Feld Mandanten-ID der Connectorkonfiguration ein.
  13. Klicken Sie in der linken Spalte unter Verwalten auf Zertifikate und Geheimnisse.
  14. Fügen Sie ein Clientgeheimnis für die App Layering Anwendung mit einer Beschreibung wie “App Layering-Schlüssel 1” hinzu.
  15. Geben Sie den Wert für das neue Client Secret in die Connectorkonfiguration ein.

    Hinweis:

    Dieser Schlüssel wird nicht wieder angezeigt, nachdem Sie dieses Fenster geschlossen haben. Bei diesem Schlüssel handelt es sich um vertrauliche Informationen. Behandeln Sie den Schlüssel wie ein Kennwort, das Administratorzugriff auf Ihr Azure-Abonnement ermöglicht. Öffnen Sie die Einstellungen der App-Registrierung, die Sie in Azure Active Directory > App-Registrierungen > [soeben eingegebener Name] > Einstellungen > Eigenschaften erstellt haben.

  16. Gehen Sie zurück zu Azure Home und klicken Sie auf Abonnements. Wenn Abonnements nicht aufgeführt sind, klicken Sie auf Weitere Dienste, um sie zu suchen.
  17. Klicken Sie auf das Abonnement, das Sie für diesen Connector verwenden.
  18. Klicken Sie im linken Bereich auf Zugriffssteuerung (IAM).
  19. Klicken Sie in der oberen Leiste des Zugriffssteuerungsfelds auf Hinzufügen und wählen Sie Rollenzuweisung hinzufügen aus.
  20. Das Formular “Rollenzuweisung hinzufügen “ wird auf der rechten Seite angezeigt. Klicken Sie auf das Dropdownmenü für Rolle und wählen Sie Mitwirkender aus.
  21. Geben Sie im Feld “Auswählen “ “Citrix App Layering-Zugriff” ein oder verwenden Sie den Namen, den Sie für die Anwendungsregistrierung eingegeben haben.
  22. Klicken Sie unten im Formular auf die Schaltfläche Speichern.

Sie haben jetzt eine Azure-App-Registrierung eingerichtet, die Lese-/Schreibzugriff auf Ihr Azure-Abonnement hat.

Einrichten eines oder mehrerer notwendiger Speicherkonten

Bei den Azure-Speicherkonten werden in der App Layering-Software alle Images gespeichert, die aus Azure importiert und in Azure veröffentlicht wurden (virtuelle Festplatten oder VHDs), zusammen mit der Vorlagendatei, die Sie zum Bereitstellen virtueller Azure-Computer verwenden, und die Startdiagnosedateien für diese Computer.

Sie können ein vorhandenes Speicherkonto verwenden, wenn es die folgenden Anforderungen erfüllt:

  • Es ist kein klassisches Speicherkonto.
  • Es befindet sich in demselben Abonnement, das in der Connectorkonfiguration verwendet wird.

Geben Sie im Konfigurationsassistenten für App Layering Azure-Konnektor den Namen des Speicherkontos in das Feld Standardspeicherkonto ein.

Wenn Sie kein Speicherkonto haben, erstellen Sie ein Standardspeicherkonto . Connectorkonfigurationen erfordern ein Standardkonto. Sie können jedoch auch ein zweites Speicherkonto angeben, das Premium ist.

  1. Klicken Sie auf der Azure-Homepage auf Speicherkonten.
  2. Klicken Sie im Fenster “ Speicherkonten “ auf Hinzufügen.
  3. Wählen Sie im Feld Abonnement das Abonnement aus, das Sie verwenden.
  4. Wählen Sie im Feld Ressourcengruppe die Option Neu erstellen aus und geben Sie einen Namen ein, der dem Namen des Speicherkontos ähnelt.
  5. Geben Sie im Feld Name des Speicherkontos einen einprägsamen Namen ein.
  6. Wählen Sie den Standortaus.
  7. Wenn der von Ihnen gewählte Standort im Feld Leistung der einzige für diese Connectorkonfiguration ist, wählen Sie Standardaus. Andernfalls wählen Sie den für Ihre Bedürfnisse am besten geeigneten Typ aus.
  8. Wählen Sie im Feld Kontoart die Option Allzweck v2 oder Allzweck v1 aus.
  9. Wählen Sie im Feld Replikation den Typ aus, den Sie benötigen.
  10. Wählen Sie für die Zugriffsstufe (Standard) die Option Heiß oder Kalt aus.
  11. Klicken Sie auf Weiter: Netzwerk, und wählen Sie die Konnektivitätsmethode aus.
  12. Füllen Sie die restlichen Optionen unter Netzwerk, Erweitert und Tags aus.
  13. Wähle Rezension + Erstellen.
  14. Geben Sie schließlich den neuen Storage-Kontonamen in der Connectorkonfiguration ein, die Sie erstellen.

Was ist zu tun, wenn Ihr Azure Client Secret verloren geht?

Mit den Zertifikaten und Secrets können Sie ein neues Azure Client Secret generieren. Einzelheiten finden Sie in den Schritten im Abschnitt Erstellen einer App-Registrierung für jedes Azure-Abonnement weiter unten in diesem Artikel.

Hinzufügen einer Connectorkonfiguration

Wenn die Anforderungen erfüllt sind, erstellen Sie eine Azure-Connectorkonfiguration:

  1. Klicken Sie im Assistenten zum Erstellen einer Layer oder zum Hinzufügen einer neuen Version zu einer vorhandenen Layer auf die Registerkarte Konnektor.
  2. Klicken Sie unter der Liste der Connectorkonfigurationen auf Neu.
  3. Wählen Sie im sich öffnenden Dialogfeld den Connectortyp für die Plattform und den Speicherort aus, an dem Sie den Layer erstellen oder das Layerimage veröffentlichen. Klicken Sie dann auf Neu, um die Seite Connector-Konfiguration zu öffnen.
  4. Füllen Sie die Felder auf der Seite Konnektorkonfiguration aus. Weitere Hinweise finden Sie in den Felddefinitionen.
  5. Klicken Sie auf die Schaltfläche TEST, um zu überprüfen, ob die Appliance mit den angegebenen Anmeldeinformationen auf den angegebenen Speicherort zugreifen kann.
  6. Klicken Sie auf Speichern. Die neue Connectorkonfiguration wird auf der Registerkarte “Connector” angezeigt.

Azure-Datenstruktur (Referenz)

Die Azure-Datenstruktur lautet wie folgt:

Mandant

  • Mandanten-ID
  • App-Registrierung
    • Client-ID
    • Client Secret
  • Abonnement
  • Abonnement-ID
    • Speicherkonto
      • Name des Speicherkontos

Wobei:

  • Mandant ist Ihre Azure Active Directory-Instanz, mit der Benutzer und Anwendungen auf Azure zugreifen können. Die Mandanten-ID identifiziert jeden Mandanten. Ein Mandant kann Zugriff auf ein oder mehrere Azure-Abonnements haben.
  • Der Azure Active Directory-Mandant enthält zwei Arten von Konten.
    • Ein Benutzerkonto für die Anmeldung beim Azure-Portal (portal.azure.com).
    • Eine App-Registrierung für den Zugriff auf das Abonnement hat eine Client-ID.
      • Die Client-ID hat ein Client Secret anstelle eines Kennworts.
      • Benutzer können den Client Secret generieren und löschen.
  • Ein Azure-Abonnement enthält alles, was in Azure erstellt werden kann, mit Ausnahme von Benutzerkonten.
  • Ein Abonnement enthält Speicherkonten. In einem Speicherkonto werden App Layering VHDs gespeichert. Der Name des Speicherkontos gibt den Speicherort an.
MS Azure