Produktdokumentation
Citrix DaaS
PDF anzeigen

AWS-Katalog erstellen

September 15, 2025
Beitrag von: 
C C

Unter Maschinenkataloge erstellen werden die Assistenten zum Erstellen eines Maschinenkatalogs beschrieben. Die folgenden Informationen beziehen sich speziell auf AWS-Virtualisierungsumgebungen.

Hinweis

Bevor Sie einen AWS-Katalog erstellen, müssen Sie eine Verbindung zu AWS hergestellt haben. Siehe Verbindung zu AWS.

Netzwerkeinstellung während der Imagevorbereitung

Während der Imagevorbereitung wird eine virtuelle Vorbereitungsmaschine (Vorbereitungs-VM) basierend auf der ursprünglichen VM erstellt. Diese Vorbereitungs-VM ist vom Netzwerk getrennt. Zum Trennen des Netzwerks von der Vorbereitungs-VM wird eine Netzwerksicherheitsgruppe erstellt, um den gesamten eingehenden und ausgehenden Datenverkehr zu blockieren. Diese Netzwerksicherheitsgruppe bleibt bestehen und wird wiederverwendet. Der Name der Netzwerksicherheitsgruppe lautet Citrix.XenDesktop.IsolationGroup-GUID, wobei die GUID zufällig generiert wird.

AWS-Tenancy

AWS bietet die folgenden Tenancy-Optionen an: Freigegeben (Standardoption) und Dediziert. Bei einer freigegebenen Tenancy können sich die Amazon EC2-Instanzen mehrerer Kunden auf derselben physischen Hardware befinden. Bei der dedizierten Tenancy ist die Hardware zur Ausführung der EC2-Instanzen und anderer, vom Kunden entwickelter Instanzen nur einem Kunden vorbehalten. Sie wird nicht von anderen Kunden verwendet.

Sie können MCS verwenden, um AWS-Dedicated Hosts bereitzustellen, indem Sie Studio oder PowerShell verwenden.

Anforderungen für die Bereitstellung für AWS-Hosts

  • Ein importiertes Bring Your Own License-Image (AMI). Mit dedizierten Hosts können Sie Ihre vorhandenen Lizenzen verwenden und verwalten.
  • Eine Zuordnung dedizierter Hosts mit ausreichender Nutzungskapazität.
  • Aktivierung von Automatische Platzierung.

Dedizierte AWS-Hostmandantschaft mit Studio konfigurieren

Wenn Sie MCS verwenden, um einen Katalog für die Bereitstellung von Maschinen in AWS zu erstellen, bietet die Seite Maschinenkatalogerstellung > Sicherheit die folgenden Optionen:

  • Freigegebene Hardware verwenden: Diese Einstellung ist für die meisten Bereitstellungen geeignet. Mehrere Kunden teilen sich Hardware, ohne jedoch miteinander zu interagieren. Die Verwendung gemeinsam genutzter Hardware ist die kostengünstigste Amazon EC2-Option.

  • Verwenden Sie einen dedizierten Host. Ein dedizierter Amazon EC2-Host ist ein physischer Server mit EC2-Instanzkapazität, der vollständig dediziert ist und die Verwendung vorhandener Socket- oder VM-Softwarelizenzen gestattet. Für dedizierte Hosts gilt eine voreingestellte Nutzung basierend auf dem Instanztyp. Ein einzelner dedizierter Host des Instanztyps C4 Large ist beispielsweise auf die Ausführung von 16 Instanzen beschränkt. Weitere Informationen finden Sie auf der AWS-Website.

    Diese Einstellung eignet sich für Bereitstellungen mit Lizenzbeschränkungen oder Sicherheitsanforderungen, die die Verwendung eines dedizierten Hosts erfordern. Ein dedizierter Host wird ausschließlich für Sie verwendet und nach Stunden in Rechnung gestellt. Bei einem solchen Host können Sie ohne zusätzliche Kosten so viele EC2-Instanzen einrichten, wie der Host zulässt.

  • Dedizierte Instanz verwenden. Diese Einstellung ist für Bereitstellungen geeignet, die bestimmten Sicherheitsanforderungen oder rechtlichen Bestimmungen genügen müssen. Bei einer dedizierten Instanz profitieren Sie von der Trennung des Hosts von dem anderer AWS-Kunden, zahlen aber nicht für den gesamten Host. Sie müssen sich keine Gedanken um die Kapazität des Hosts machen, für die Instanzen wird jedoch eine höhere Gebühr berechnet.

Hinweis

Sie können alle verfügbaren Identitätsdatenträger zur Vorbereitung löschen, wenn keine laufende Aufgabe zur Katalogerstellung oder Image-Aktualisierung läuft.

Dedizierte AWS-Hostmandanten mit PowerShell konfigurieren

Alternativ können Sie dedizierte AWS-Hosts über PowerShell bereitstellen. Verwenden Sie das Cmdlet New-ProvScheme, wobei der Parameter TenancyType auf Host gesetzt ist.

AWS-Betriebsressourcen taggen

Ein Amazon Machine Image (AMI) ist eine virtuelle Appliance, die zum Erstellen einer virtuellen Maschine in der Amazon Cloud-Umgebung EC2 verwendet wird. Sie verwenden ein AMI, um Dienste bereitzustellen, die die EC2-Umgebung verwenden. Wenn Sie einen Katalog für die Bereitstellung von Maschinen über MCS für AWS erstellen, wählen Sie ein AMI als Gold-Image des Katalogs.

Wichtig:

Das Erstellen von Katalogen mit einem Maschinenprofil und einer Startvorlage ist für die Verwendung von Betriebsressourcentagging erforderlich.

Um einen AWS-Katalog zu erstellen, müssen Sie zunächst ein AMI für die Instanz erstellen, die als Gold-Image fungieren soll. MCS liest die Tags dieser Instanz und fügt sie in die Startvorlage ein. Die Startvorlagen-Tags werden dann auf alle in der AWS-Umgebung erstellten Citrix Ressourcen angewendet:

  • Virtuelle Maschinen
  • VM-Datenträger
  • VM-Netzwerkschnittstellen
  • S3-Buckets
  • S3-Objekte
  • Startvorlagen
  • AMIs

Betriebsressourcen mit Studio taggen

Wenn Sie einen Katalog für die Bereitstellung von Maschinen in AWS mit MCS erstellen, können Sie steuern, ob Maschinentags auf Betriebsressourcen angewendet werden sollen, indem Sie auf der Seite Maschinenvorlage die Option Maschinentags auf Betriebsressourcen anwenden auswählen.

Diese Option steuert, ob Maschinentags auf jedes in Ihrer AWS-Umgebung erstellte Element angewendet werden, um die Bereitstellung von Maschinen zu erleichtern. Betriebsressourcen werden bei der Katalogerstellung als Nebenprodukte erstellt. Sie umfassen temporäre und persistente Ressourcen, zum Beispiel die Vorbereitungs-VM-Instanz und AMI.

Taggen Sie Betriebsressourcen mit PowerShell

Tagging von Ressourcen mit PowerShell:

  1. Öffnen Sie ein PowerShell-Fenster vom DDC-Host aus.
  2. Führen Sie den Befehl asnp citrix aus, um Citrix-spezifische PowerShell-Module zu laden.

Um eine Ressource für eine bereitgestellte VM zu taggen, verwenden Sie die benutzerdefinierte Eigenschaft AwsOperationalResourcesTagging. Beispiel:

  New-ProvScheme -ProvisioningSchemeName test 
  -CustomProperties “AwsOperationalResourcesTagging,true” 
  -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-01xxxxx).launchtemplate\lt-01xxxxx (1).launchtemplateversion" 
  ...   <Other <standard provscheme parameters>
<!--NeedCopy-->

MCSIO-fähiger Katalog

MCS Storage Optimization (MCSIO) verbessert die Leistung der VM, indem Datenträgervorgänge entweder im Arbeitsspeicher oder auf einem kleinen Hochgeschwindigkeitsdatenträger zwischengespeichert werden. Sie können einen MCSIO-fähigen, nicht persistenten Katalog mitn PowerShell-Befehlen erstellen. Um einen solchen Katalog zu erstellen, müssen Sie den MCSIO-Treiber installieren, während Sie den VDA während der Vorbereitung der AMI-Instanz installieren oder aktualisieren. Standardmäßig wird der Treiber nicht installiert.

Nachdem ein MCSIO-AMI vorbereitet wurde (wählen Sie bei der Installation des VDA die Option, den MCSIO-Treiber in die Installation einzubeziehen), können Sie einen MCSIO-fähigen, nicht persistenten Katalog erstellen.

Hinweis

Die Option, MCSIO mit Studio nur mit Datenträgercache (ohne Speichercache) zu konfigurieren, wurde für alle Hypervisoren und Cloudserviceumgebungen entfernt.

MCSIO-fähigen Katalog erstellen

Die vier Parameter, die dem New-ProvScheme PowerShell-Befehl hinzugefügt wurden, sind:

  • UseWriteBackCache: Aktiviert das Caching (Zurückschreibcache) für das angegebene Bereitstellungsschema
  • WriteBackCacheDiskSize: Gibt die Größe des temporären Datenträgers in GB an, der für das Caching verwendet wird
  • WriteBackCacheMemorySize: Gibt an, wie viel Speicher in MB für das Caching verwendet werden soll. Dieser Parameter ist optional.

Hinweis

  • Der Wert von WriteBackCacheDiskSize muss größer als Null sein, da mindestens 1 GB Cache-Datenträgerspeicher erforderlich ist. Die Cachedatenträgergröße darf nicht größer als die DAtenträgergröße des Betriebssystems sein.
  • Der Wert von WriteBackCacheMemorySize muss ungleich Null und kleiner als die Speichergröße des Maschinenkatalogs sein.

Die benutzerdefinierten Eigenschaften, die sich auf MCSIO auswirken, sind:

  • WBCDiskStorageType: Definiert den Volumetyp, der für den temporären Datenträger in AWS verwendet wird. Dieser Parameter akzeptiert ein String-Argument im Format volume-type\[:iops\]\[:throughput\]. Im Folgenden sind die Volumetypen aufgeführt:

    • gp2: Benutzen Sie keine IOPS- und Durchsatzparameter für diesen Volumetyp
    • gp3: Benutzen Sie IOPS- und Durchsatzparameter für diesen Volumetyp
    • io1: Verwenden Sie nur den IOPS-Parameter für diesen Volumetyp
    • io2: Verwenden Sie nur den IOPS-Parameter für diesen Volumetyp

    Der Standardvolumetyp ist gp2.

  • PersistWBC: Steuert, ob der Cachedatenträger beibehalten oder verworfen werden soll, wenn die AWS-Instanz ausgeschaltet wird. Wenn auf truegesetzt, bleibt der Cachedatenträger erhalten. Wenn der Wert auf false (Standardeinstellung) gesetzt ist, wird der Cachedatenträger nur erstellt und aufbewahrt, während die AMI-Instance eingeschaltet ist.
  • PersistosDisk: Steuert, ob der Betriebssystemdatenträger beibehalten oder gelöscht werden soll, wenn die AWS-Instanz ausgeschaltet wird. Wenn auf truegesetzt, bleibt der Betriebssystemdatenträger erhalten. Wenn false (die Standardeinstellung) festgelegt ist, wird der Betriebssystemdatenträger nur erstellt und aufbewahrt, während die AMI-Instanz eingeschaltet ist.

Führen Sie im PowerShell-Fenster die folgenden Schritte aus, um einen MCSIO-fähigen, nicht persistenten Katalog zu erstellen:

  1. Öffnen Sie das PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
  3. Erstellen Sie einen Brokerkatalog und einen Identitätspool.

  4. Erstellen Sie das Provisioningschema. Beispiel:

      $HostingUnitUid = '0xxxx1d9-bbfc-xxxf-bxxb-exxxxxe008b2'
  $MasterImageVM = 'XDHyp:\HostingUnits\ctx-test\aws-apollo-non-persistent-multi-mcsio-vda-win2022 (ami-0bf1810488acbxxxb).template'
  $NetworkMap = @{ 'NetworkPath' = 'XDHyp:\HostingUnits\ctx-test\us-east-1a.availabilityzone\10.0.128.0`/17 (vpc-0fa6e41d72507fxxx).network' }
  $SecurityGroup = $( 'XDHyp:\HostingUnits\ctx-test\us-east-1a.availabilityzone\private.securitygroup' )
  $ServiceOffering = 'XDHyp:\HostingUnits\ctx-test\T3 Medium Instance.serviceoffering'
  $CustomProperties = 'WBCDiskStorageType,gp3:6000:250;PersistWBC,false'


  $provScheme = New-ProvScheme -ProvisioningSchemeName $CatalogName -HostingUnitUid $HostingUnitUid `
  -IdentityPoolUid $acctPool.IdentityPoolUid -CleanOnBoot `
  -  MasterImageVM $MasterImageVM `
  -NetworkMap $NetworkMap `
  -ServiceOffering $ServiceOffering `
  -SecurityGroup $SecurityGroup `
  -CustomProperties $CustomProperties `
  -UseWriteBackCache -WriteBackCacheDiskSize 16 -WriteBackCacheMemorySize 256
<!--NeedCopy-->
  5. Fügen Sie die VMs zum Katalog hinzu.

Startleistung mit MCSIO verbessern

Sie können die Startleistung von VMs verbessern, wenn Sie MCSIO aktivieren und die benutzerdefinierten Eigenschaften PersistWBC und PersistOSDisk auf true setzen. Mit einer solchen Einstellung können virtuelle Maschinen schneller booten, da sie keinen neuen Cachedatenträger initialisieren oder einen Rootdatenträger aus ihrer Vorlage neu erstellen müssen.

Erstellen Sie einen auf Maschinenprofilen basierenden Maschinenkatalog mit PowerShell

Sie können ein Maschinenprofil verwenden, um die Hardwareeigenschaften einer EC2-Instanz (VM) oder einer Startvorlagenversion zu erfassen und auf die bereitgestellten Maschinen anzuwenden. Erfasst werden können beispielsweise EBS-Volumeeigenschaften, Instanztyp, EBS-Optimierung, CPU-Optionen, Tenancy-Typ, Ruhezustandsfähigkeiten und weitere unterstützte AWS-Konfigurationen.

Sie können die Version einer AWS EC2-Instanz (VM) oder einer AWS-Startvorlage als Maschinenprofileingabe verwenden.

Hinweis

EBS-Volumeeigenschaften werden nur aus einem Maschinenprofil abgeleitet.

Wichtige Überlegungen

Wichtige Überlegungen bei der Erstellung eines MCS-Maschinenkatalogs:

  • Wenn Sie in den Befehlen New-ProvScheme und Set-ProvScheme Parameter für Maschinenhardwareeigenschaften hinzufügen, überschreiben die in den Parametern angegebenen Werte die Werte im Maschinenprofil.
  • Wenn Sie AwsCaptureInstanceProperties als true festlegen und die Eigenschaft MachineProfile nicht festlegen, werden nur IAM-Rollen und -Tags erfasst.

  • Sie können nicht gleichzeitig AwsCaptureInstanceProperties und MachineProfile festlegen.

    Hinweis

    Die AwsCaptureInstanceProperties sind veraltet.

  • Wenn kein Maschinenprofil bereitgestellt wird, müssen Sie die Werte der folgenden Eigenschaften explizit angeben:

    • Sicherheitsgruppe
    • ENI oder Virtuelles Netzwerk
  • Sie können AwsOperationalResourcesTagging nur aktivieren, wenn Sie AwsCaptureInstanceProperties aktivieren oder ein Maschinenprofil angeben.

Wichtige Überlegungen nach der Erstellung eines MCS-Maschinenkatalogs:

  • Ein Maschinenkatalog, der auf einem Maschinenprofil basiert, kann nicht in einen Maschinenkatalog geändert werden, der nicht auf einem Maschinenprofil basiert.

Maschinenkatalog über ein Maschinenprofil erstellen

So erstellen Sie einen Maschinenkatalog mit einem Maschinenprofil:

  1. Öffnen Sie ein PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

  3. Erstellen Sie einen Identitätspool, falls noch nicht vorhanden. Beispiel:

      New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain abcdf -NamingSchemeType Numeric
<!--NeedCopy-->

  4. Führen Sie den Befehl New-ProvScheme aus. Beispiel:

      New-ProvScheme -ProvisioningSchemeName demet-test-1
  -HostingUnitUid aa633238-9xxd-4cf6-80e8-232a758a1xx1
  -IdentityPoolUid 34d5b088-e312-416f-907d-16573xxxxxc4
  -CleanOnBoot
  -MasterImageVM 'XDHyp:\HostingUnits\cvad-test-scalestress\citrix-demet-ami.0 (ami-0ca813xxxxxx061ef).template'
  -MachineProfile 'XdHyp:\HostingUnits\cvad-test-scalestress\us-east-1a.availabilityzone\machine-profile-instance i (i-0xxxxxxxx).vm'
<!--NeedCopy-->
  5. Schließen Sie das Erstellen des Katalogs ab.

Aktualisieren des Maschinenprofils

Gehen Sie zum Aktualisieren des Maschinenprofils in einem Katalog, der mit einem Maschinenprofil bereitgestellt wurde, wie folgt vor: Sie können auch den Tenancy-Typ und die Ruhezustandsfähigkeit der Maschinenprofilquelle ändern, während Sie einen MCS-Maschinenkatalog bearbeiten.

  1. Führen Sie den Befehl Set-ProvScheme aus. Beispiel:

      Set-ProvScheme `
  -ProvisioningSchemeUid "<ID" `
  -MachineProfile "XDHyp:\HostingUnits\abc\us-east-1a.availabilityzone\citrix-cvad-machineprofile-instance (i-0xxxxxxxx).vm"
<!--NeedCopy-->

Mit PowerShell einen Katalog mit Startvorlagenversion erstellen

Sie können einen MCS-Maschinenkatalog mit einer Startvorlagenversion als Maschinenprofileingabe erstellen. Sie können auch die Eingabe eines Maschinenprofilkatalogs von einer VM auf eine Startvorlagenversion und von einer Startvorlagenversion auf eine VM aktualisieren.

Auf der AWS EC2-Konsole können Sie die Instanzkonfigurationsangaben einer Startvorlage zusammen mit der Versionsnummer angeben. Wenn Sie beim Erstellen oder Aktualisieren eines Maschinenkatalogs die Startvorlagenversion als Maschinenprofileingabe angeben, werden die Eigenschaften aus dieser Startvorlagenversion auf die bereitgestellten VDA-VMs kopiert.

Die folgenden Eigenschaften können mithilfe der Maschinenprofileingabe oder explizit als Parameter in den Befehlen New-ProvScheme oder Set-ProvScheme bereitgestellt werden. Wenn sie in den Befehlen New-ProvScheme oder Set-ProvScheme angegeben werden, haben sie Vorrang vor den Maschinenprofilwerten dieser Eigenschaften.

  • Dienstangebot
  • Netzwerke
  • Sicherheitsgruppen
  • Mandantenmodell

Hinweis

Wenn das Serviceangebot nicht in der Startvorlage des Maschinenprofils oder als Parameter im Befehl New-ProvScheme bereitgestellt wird, erhalten Sie eine entsprechende Fehlermeldung.

Erstellen eines Katalog mit der Startvorlagenversion als Maschinenprofileingabe:

  1. Öffnen Sie ein PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

  3. Rufen Sie die Liste der Startvorlagenversionen einer Startvorlage auf. Beispiel:

      XDHyp:\HostingUnits\test\test-mp-sard (lt-01xxxxx).launchtemplate> ls | Select FullPath
<!--NeedCopy-->

  4. Erstellen Sie einen Identitätspool (falls nicht vorhanden). Beispiel:

      New-AcctIdentityPool `
  -IdentityPoolName "abc11" `
  -NamingScheme "abc1-##" `
  -NamingSchemeType Numeric `
  -Domain "citrix-xxxxxx.local" `
  -ZoneUid "xxxxxxxx" `
<!--NeedCopy-->

  5. Erstellen Sie ein Provisioningschema mit einer Startvorlagenversion als Maschinenprofileingabe. Beispiel:

      New-ProvScheme `
  -ProvisioningSchemeName "MPLT1" `
  -HostingUnitUid "c7f71f6a-3f45-4xxx-xxxx-xxxxxxxxxx" `
  -IdentityPoolUid "bf3a6ba2-1f80-4xxx-xxxx-xxxxxxxxx" `
  -MasterImageVM "XDHyp:\HostingUnits\xxxd-ue1a\apollo-non-persistent-vda-win2022 (ami-0axxxxxxxxxxx).template" `
  -CleanOnBoot `
  -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-01xxxxx).launchtemplate\lt-01xxxxx (1).launchtemplateversion"
<!--NeedCopy-->

  6. Registrieren Sie das Provisioningsschema als Brokerkatalog. Beispiel:

      New-BrokerCatalog -Name "MPLT1" `
  -AllocationType Random `
  -Description "Machine profile catalog" `
  -ProvisioningSchemeId fe7df345-244e-4xxxx-xxxxxxxxx `
  -ProvisioningType Mcs `
  -SessionSupport MultiSession `
  -PersistUserChanges Discard
<!--NeedCopy-->
  7. Schließen Sie das Erstellen des Katalogs ab.

Maschinenprofilquelle aktualisieren

Sie können auch die Eingabe eines Maschinenprofilkatalogs von einer VM auf eine Startvorlagenversion und von einer Startvorlagenversion auf eine VM aktualisieren. Beispiel:

  • Aktualisieren der Eingabe eines Maschinenprofilkatalogs von einer VM auf eine Startvorlagenversion:

       Set-ProvScheme -ProvisioningSchemeName "CloudServiceOfferingTest" `
   -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-0bxxxxxxxxxxxx).launchtemplate\lt-0bxxxxxxxxxxxx (1).launchtemplateversion"
 <!--NeedCopy-->

  • Aktualisieren der Eingabe eines Maschinenprofilkatalogs von einer Startvorlagenversion auf eine VM:

       Set-ProvScheme -ProvisioningSchemeName "CloudServiceOfferingTest" `
   -MachineProfile "XDHyp:\HostingUnits\sard-ue1a\us-east-1a.availabilityzone\apollo-non-persistent-vda-win2022-2 (i-08xxxxxxxxx).vm"
 <!--NeedCopy-->

Betriebssystem- und ID-Datenträger verschlüsseln

Sie können einen persistenten und nicht persistenten Katalog von VMs mit AWS-KMS-Schlüsseln (vom Kunden verwalteter Schlüssel und von AWS verwalteter Schlüssel) erstellen, die zum Verschlüsseln des Betriebssystemdatenträgers und des ID-Datenträgers verwendet werden können.

  • Von AWS verwaltete Schlüssel werden jedes Jahr automatisch rotiert.
  • Für vom Kunden verwaltete Schlüssel ist die automatische Rotation optional und sie können manuell verwaltet werden.

Weitere Informationen zu KMS-Schlüsseln finden Sie in den folgenden AWS-Dokumenten:

Für die Verschlüsselung von Betriebssystem- und ID-Datenträgern konfigurieren Sie eine der folgenden Optionen:

  • Verwenden Sie ein verschlüsseltes Masterimage (z. B. ein AMI, das aus einer Instanz oder einem Snapshot erstellt wurde und ein mit einem KMS-Schlüssel verschlüsseltes EBS-Root-Volume enthält)
  • Verwenden Sie eine Maschinenprofilquelle (VM oder Startvorlage), die ein verschlüsseltes EBS-Root-Volume enthält.

Einschränkungen

Es gelten folgende Einschränkungen:

  • MCS unterstützt derzeit nur einen Datenträger auf dem Master-Image-AMI.

  • Sie können vorhandene unverschlüsselte EBS-Volumes oder Snapshots nicht direkt verschlüsseln oder den KMS-Schlüssel eines vorhandenen verschlüsselten Volumes ändern. Um das zu tun, müssen Sie:

    1. Einen neuen Snapshot dieses Volumes erstellen
    2. Ein neues Volume aus diesem Snapshot erstellen
    3. Das neue Volume verschlüsseln.

Lesen Sie die folgenden AWS-Dokumente:

Einen Katalog mit Datenträgerverschlüsselung erstellen

Sie können einen MCS-Maschinenkatalog mit Datenträgerverschlüsselung erstellen, indem Sie Folgendes verwenden:

  • Masterimage
  • Maschinenprofil

Bei der Verwendung der Maschinenprofileingabe sind folgende Überlegungen zu berücksichtigen:

  • Der KMS-Schlüssel der Maschinenprofileingabe hat Vorrang vor dem KMS-Schlüssel des Masterimages.
  • Wenn keine Maschinenprofileingabe bereitgestellt wird, wird der KMS-Schlüssel des Master-Image-AMI verwendet, um die Datenträger der Katalog-VMs zu verschlüsseln.
  • Wenn im Maschinenprofil Blockgerätzuordnungen vorhanden sind, müssen die in der Masterimagevorlage (AMI) vorhandenen Blockgeräte und das Maschinenprofil übereinstimmen. Wenn AMI beispielsweise ein Gerät hat, das auf /dev/sda1 definiert ist, muss das Maschinenprofil auch ein Gerät haben, das auf /dev/sda1 definiert ist.
  • Wenn die Maschinenprofilquelle keinen Schlüssel enthält und das Masterimage unverschlüsselt ist, werden die Datenträger der Katalog-VMs nicht verschlüsselt.
  • Wenn das Masterimage verschlüsselt ist, muss eine Maschinenprofil-Quell-VM oder eine Startvorlage über ein verschlüsseltes Root-Volume verfügen, um als gültige Eingabe betrachtet zu werden.

Einen vorhandenen Katalog ändern

Sie können einen vorhandenen Katalog mit dem PowerShell-Befehl Set-ProvScheme so ändern, dass er Folgendes hat:

  • Eine Maschinenprofileingabe mit einem Volume, das einen neuen KMS-Schlüssel enthält.
  • Ein Master-Image-Vorlagen-AMI, das mit einem neuen KMS-Schlüssel verschlüsselt ist.

Wichtige Überlegungen:

  • Die Volumes neuer VMs, die dem Katalog hinzugefügt wurden, werden mit dem neuen KMS-Schlüssel verschlüsselt.
  • Um die Verschlüsselungseinstellungen zu aktualisieren, wenn ein vorhandenes Maschinenprofil vorliegt, führen Sie Set-ProvScheme mit einem neuen Maschinenprofil aus.
  • Sie können einen vorhandenen Katalog nicht von verschlüsselten Volumes zu unverschlüsselten Volumes ändern. Sie können kein Image-Update von einem verschlüsselten Master-AMI auf ein unverschlüsseltes Master-AMI durchführen.

NitroTPM und UEFI Secure Boot für VM-Instanzen aktivieren

Beim Erstellen eines Katalogs können Sie jetzt ein Masterimage (AMI) mit aktiviertem NitroTPM und/oder UEFI Secure Boot auswählen. Dementsprechend werden die bereitgestellten VMs im Katalog auch mit NitroTPM und/oder UEFI Secure Boot aktiviert. Diese Implementierung stellt sicher, dass die VMs sicher und vertrauenswürdig sind. Weitere Informationen zu NitroTPM und UEFI Secure Boot finden Sie in der Amazon-Dokumentation.

Einschränkungen

  • Sie können derzeit sowohl NitroTPM als auch Secure Boot in allen AWS-Regionen (einschließlich der AWS GovCloud (US)-Regionen) außer China verwenden.
  • Sie können NitroTPM und UEFI Secure Boot nicht für vorhandene Kataloge aktivieren. Wenn Sie einen Katalog mit aktiviertem NitroTPM und UEFI Secure Boot wünschen, erstellen Sie einen neuen Katalog.

Wichtige Schritte

  1. Richten Sie Ihre AWS-Umgebung ein.
  2. Erstellen Sie eine Verbindung zu AWS.
  3. Erstellen Sie ein Masterimage (AMI) mit aktiviertem NitroTPM und/oder UEFI Secure Boot.
  4. Erstellen Sie einen Maschinenkatalog, indem Sie das Masterimage mit aktiviertem NitroTPM und UEFI Secure Boot im Web Studio-Katalogerstellungsmenü auswählen oder wenn Sie mit PowerShell-Befehlen ein Bereitstellungsschema erstellen.

Für die zum erstellten Katalog hinzugefügten VMs sind NitoTPM und UEFI Secure Boot aktiviert.

AMI erstellen, die NitroTPM und UEFI Secure Boot unterstützt

  1. Sie können eine AMI aus einer VM erstellen, bei der NitroTPM und/oder UEFI Secure Boot aktiviert ist.

    1. Erstellen Sie die Instanz mit AWS Marketplace-Images. Suchen Sie beispielsweise im AWS-Marketplace nach TPM-Windows_Server-2022-English-Full-Base.
    2. Laden Sie den VDA für Einzel- oder Mehrfachsitzungen herunter.
    3. Erstellen Sie eine AMI aus dieser VM.

  2. Verwenden Sie den Befehl “register-image”:

      --boot-mode (string)
  --tpm-support (string)
<!--NeedCopy-->

    Weitere Informationen finden Sie unter register-image.

Lesen Sie die folgenden AWS-Dokumente:

Sie können vom Delivery Controller-Host aus ein PowerShell-Fenster öffnen, um zu prüfen, ob Folgendes zutrifft:

  • Dienstangebot unterstützt NitroTPM oder UEFI Secure Boot

       (Get-Item -Path “XDHyp:\HostingUnits\aws\T3 Medium Instance.serviceoffering”).AdditionalData.BootMode
   (Get-Item -Path “XDHyp:\HostingUnits\aws\T3 Medium Instance.serviceoffering”).AdditionalData.NitroTpmSupportVersions
 <!--NeedCopy-->

  • Vorlage unterstützt NitroTPM oder UEFI Secure Boot

       (Get-HypInventoryItem -LiteralPath “XDHyp:\HostingUnits\aws” -ResourceType “template -Id “ID”).AdditionalData.BootMode

   (Get-HypInventoryItem -LiteralPath “XDHyp:\HostingUnits\aws” -ResourceType “template -Id “ID”).AdditionalData.TpmSupport
 <!--NeedCopy-->

Dienstangebot des vorhandenen Katalogs aktualisieren

Sie können das Dienstangebot eines vorhandenen Katalogs mit Set-ProvScheme ändern. Die Änderung gilt für die neu hinzugefügten VMs. In den folgenden Szenarien treten jedoch Fehler auf:

AMIs-Bootmodus AMI unterstützt Nitro TPM? Unterstützt das Dienstangebot NitroTPM und UEFI Secure Boot?
UEFI Nein Nein
Legacy-BIOS Ja Nein
UEFI Ja Nein
UEFI bevorzugt Ja Nein

Tags auf VMs kopieren

Sie können im Maschinenprofil angegebene Tags auf Netzwerkkarten und Datenträgern (Identitätsdatenträger, Zurückschreibcachedatenträger und OS-Datenträger) auf neu erstellte VMs in einem MCS-Maschinenkatalog kopieren. Sie können diese Tags in jeder Maschinenprofilquelle (AWS VM-Instanz oder AWS-Startvorlagenversion) angeben. Dieses Feature gilt für persistente und nicht persistente Maschinenkataloge und VMs.

Hinweis

  • Auf der AWS EC2-Konsole können Sie die Werte für Tag Network Interfaces unter den Launch Template Version Resource Tags nicht sehen. Sie können jedoch den PowerShell-Befehl aws ec2 describe-launch-template-versions --launch-template-id lt-0bb652503d45dcbcd --versions 12 ausführen, um die Tag-Spezifikationen anzuzeigen.
  • Wenn eine Maschinenprofilquelle (VM- oder Startvorlagenversion) zwei Netzwerkschnittstellen (eni-1 und eni-2) hat, eni-1 das Tag t1 und eni-2 das Tag t2 hat, dann erhält die VM die Tags der beiden Netzwerkschnittstellen.

VM-Instanzen mit PowerShell filtern

Eine AWS-VM-Instanz, die Sie als Maschinenprofil-VM verwenden, muss kompatibel sein, damit der Maschinenkatalog erstellt werden kann und ordnungsgemäß funktioniert. Um die AWS-VM-Instanzen aufzulisten, die als Eingabe-VMs für Maschinenprofile verwendet werden, können Sie den Befehl Get-HypInventoryItem verwenden. Mit dem Befehl kann der Bestand der auf einer Hostingeinheit verfügbaren virtuellen Maschinen paginiert und gefiltert werden.

Paginierung:

Get-HypInventoryItem unterstützt zwei Paginierungsmodi:

  • Der Paging-Modus verwendet die Parameter -MaxRecords und -Skip, um Elementsätze zurückzugeben:
    • -MaxRecords: Der Standardwert ist 1. Dies steuert, wie viele Elemente zurückgegeben werden sollen.
    • - Überspringen: Der Standardwert ist 0. Dies steuert, wie viele Elemente ab dem absoluten Anfang (oder absoluten Ende) der Liste im Hypervisor übersprungen werden sollen.
  • Der Bildlaufmodus verwendet die Parameter -MaxRecords, -ForwardDirection und -ContinuationToken, um das Scrollen der Datensätze zu ermöglichen:
    • -ForwardDirection: Der Standardwert ist True. Dies wird zusammen mit -MaxRecords verwendet, um den nächsten Satz übereinstimmender Datensätze oder den vorherigen Satz übereinstimmender Datensätze zurückzugeben.
    • -ContinuationToken: Gibt die Elemente unmittelbar danach zurück (oder davor, wenn ForwardDirection false ist), jedoch ohne das im ContinuationToken angegebene Element.

Beispiele der Paginierung:

  • Um einen einzelnen Datensatz mit der Maschinenvorlage mit dem niedrigsten Namen zurückzugeben. Das Feld AdditionalData hat den Wert TotalItemsCount und den Wert TotalFilteredItemsCount:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template
 <!--NeedCopy-->

  • Ausgabe von 10 Datensätzen der Maschinenvorlage mit dem niedrigsten Namen:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 10 | select Name
 <!--NeedCopy-->

  • Um ein Array von Datensätzen zurückzugeben, die mit dem höchsten Namen enden:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -ForwardDirection $False -MaxRecords 10 | select Name
 <!--NeedCopy-->

  • So geben Sie ein Array von Datensätzen zurück, beginnend bei der Maschinenvorlage, die mit dem angegebenen ContinuationToken verknüpft ist:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -ContinuationToken "ami-07xxxxxxxxxx" -MaxRecords 10
 <!--NeedCopy-->

Filtern:

Die folgenden zusätzlichen optionalen Parameter werden für die Filterung unterstützt. Sie können diese Parameter mit den Paginierungsoptionen kombinieren.

  • -ContainsName "my_name": If the given string matches part of an AMI name, then the AMI is included in the Get result. Beispiel:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 100 -ContainName ‘apollo’ | select Name
 <!--NeedCopy-->

  • -Tags '{ "Key0": "Value0", "Key1": "Value1", "Key2": "Value2" }': If an AMI has at least one of these tags, it is included in the Get result. Beispiel:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 100 -Tags '{"opex owner": "Not tagged"}' | select Name
 <!--NeedCopy-->

    Hinweis

    Zwei Tag-Werte werden unterstützt. Der Wert Not Tagged entspricht Elementen, die das angegebene Tag nicht in ihrer Tag-Liste haben. Der Wert All Values entspricht Elementen, die das Tag haben, unabhängig von dessen Wert. Andernfalls gilt es nur als Übereinstimmung, wenn das Element das Tag hat und der Wert der Angabe im Filter entspricht.

  • -Id "ami-0a2d913927e0352f3": If the AMI matches the given ID, it is included in the Get result. Beispiel:

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -Id ami-xxxxxxxxxxxxx
 <!--NeedCopy-->

Filtern nach dem Parameter “AdditionalData”:

Der Filterparameter AdditionalData listet Vorlagen oder VMs basierend auf ihrer Fähigkeit, ihrem Serviceangebot oder einer beliebigen Eigenschaft auf, die in AdditionalData enthalten ist. Beispiel:

  (Get-HypInventoryItem -ResourceType "launchtemplateversion" -LiteralPath "XDHyp:\HostingUnits\aws" -MaxRecords 200).AdditionalData
<!--NeedCopy-->

Sie können auch einen Parameter -Warn hinzufügen, um die inkompatiblen VMs anzuzeigen. Die VMs sind mit einem AdditionalData-Feld mit dem Namen Warnung enthalten. Beispiel:

  (Get-HypInventoryItem -ResourceType "launchtemplateversion" -LiteralPath "XDHyp:\HostingUnits\aws" -MaxRecords 200 -Template "ami-015xxxxxxxxx" -Warn $true).AdditionalData
<!--NeedCopy-->

So geht es weiter

Weitere Informationen

AWS-Katalog erstellen
September 15, 2025
Beitrag von: 
C C
September 15, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.