Einen AWS-Katalog erstellen

Maschinenkataloge erstellen beschreibt die Assistenten, die einen Maschinenkatalog erstellen. Die folgenden Informationen behandeln Details, die spezifisch für AWS-Virtualisierungsumgebungen sind.

Hinweis:

Bevor Sie einen AWS-Katalog erstellen, müssen Sie die Erstellung einer Verbindung zu AWS abgeschlossen haben. Siehe Verbindung zu AWS.

Einschränkung

Ab Citrix Virtual Apps and Desktops™ 2203 LTSR und höher führt das MCS AWS-Plug-In einen DescribeInstanceTypes AWS-API-Aufruf durch, und wenn dieser erfolgreich ist, verwendet MCS den aus der API-Antwort erstellten Bestandsnamen.

Wenn Sie daher von CVAD 1912 auf 2203 oder höher aktualisieren, deaktivieren Sie die DefineInstanceType Berechtigung in AWS und aktualisieren Sie dann den vorhandenen Katalog mit dem Befehl Set-ProvScheme, um dem AWS-Benennungsschema zu entsprechen. Fügen Sie dann die DescribeInstanceType Berechtigungen wieder hinzu, nachdem die Katalogaktualisierung abgeschlossen ist und das Serviceangebot dem AWS-Benennungsschema entspricht.

Netzwerkeinstellung während der Image-Vorbereitung

Während der Image-Vorbereitung wird eine Vorbereitungs-VM (virtuelle Maschine) basierend auf der ursprünglichen VM erstellt. Diese Vorbereitungs-VM wird vom Netzwerk getrennt. Um die Vorbereitungs-VM vom Netzwerk zu trennen, wird eine Netzwerksicherheitsgruppe erstellt, um jeglichen eingehenden und ausgehenden Datenverkehr zu verweigern. Diese Netzwerksicherheitsgruppe bleibt bestehen und wird wiederverwendet. Der Name der Netzwerksicherheitsgruppe ist Citrix.XenDesktop.IsolationGroup-GUID, wobei GUID zufällig generiert wird.

AWS-Mandantenfähigkeit konfigurieren

AWS bietet die folgenden Mandantenfähigkeitsoptionen:

• Shared Tenancy (der Standardtyp): Mehrere Amazon EC2-Instanzen von verschiedenen Kunden können auf derselben physischen Hardware residieren.
• Dedicated Tenancy: Ihre EC2-Instanzen laufen nur auf Hardware mit anderen Instanzen, die Sie bereitgestellt haben. Andere Kunden nutzen nicht dieselbe Hardware.

Sie können MCS verwenden, um dedizierte AWS-Hosts mithilfe von PowerShell bereitzustellen.

AWS Dedicated Host Tenancy mit PowerShell konfigurieren

Sie können einen Maschinenkatalog mit über PowerShell definierter Host-Tenancy erstellen.

Ein dedizierter Amazon [EC2] Host ist ein physischer Server mit [EC2] Instanzkapazität, der vollständig dediziert ist, sodass Sie vorhandene Pro-Socket- oder Pro-VM-Softwarelizenzen verwenden können.

Dedizierte Hosts haben eine voreingestellte Auslastung, die auf dem Instanztyp basiert. Beispielsweise ist ein einzelner zugewiesener dedizierter Host vom Instanztyp C4 Large auf die Ausführung von 16 Instanzen beschränkt. Weitere Informationen finden Sie auf der AWS-Website.

Die Anforderungen für die Bereitstellung auf AWS-Hosts umfassen:

• Ein importiertes BYOL-Image (Bring Your Own License) (AMI). Bei dedizierten Hosts verwenden und verwalten Sie Ihre vorhandenen Lizenzen.
• Eine Zuweisung dedizierter Hosts mit ausreichender Auslastung, um Bereitstellungsanforderungen zu erfüllen.
• Auto-Placement aktivieren.

Um mit PowerShell auf einem dedizierten Host in AWS bereitzustellen, verwenden Sie das Cmdlet New-ProvScheme mit dem Parameter TenancyType auf Host gesetzt.

Weitere Informationen finden Sie in der Citrix Developer Documentation.

Maschineneigenschaften aus AMIs erfassen

Wenn Sie einen Katalog zur Bereitstellung von Maschinen mit Machine Creation Services (MCS) in AWS erstellen, wählen Sie ein AMI aus, das das Master-/Golden Image dieses Katalogs darstellt. Aus diesem AMI verwendet MCS einen Snapshot des Datenträgers. In früheren Versionen mussten Sie, wenn Sie Rollen oder Tags auf Ihren Maschinen haben wollten, die AWS-Konsole verwenden, um diese einzeln festzulegen. Diese Funktionalität ist standardmäßig aktiviert.

Tipp:

Um die Erfassung von AWS-Instanzeigenschaften zu verwenden, muss eine VM mit dem AMI verknüpft sein.

Um diesen Prozess zu verbessern, liest MCS Eigenschaften von der Instanz, von der das AMI erstellt wurde, und wendet die Identity Access Management (IAM)-Rolle und Tags der Maschine auf die für einen bestimmten Katalog bereitgestellten Maschinen an. Bei Verwendung dieser optionalen Funktion findet der Katalogerstellungsprozess die ausgewählte AMI-Quellinstanz und liest eine begrenzte Anzahl von Eigenschaften. Diese Eigenschaften werden dann in einer AWS Launch Template gespeichert, die zur Bereitstellung von Maschinen für diesen Katalog verwendet wird. Jede Maschine im Katalog erbt die erfassten Instanzeigenschaften.

Erfasste Eigenschaften umfassen:

• IAM-Rollen – angewendet auf bereitgestellte Instanzen.
• Tags – angewendet auf bereitgestellte Instanzen, deren Datenträger und NICs. Diese Tags werden auf temporäre Citrix®-Ressourcen angewendet, einschließlich: S3-Bucket und -Objekte sowie AMIs, Snapshots und Startvorlagen.

Tipp:

Die Kennzeichnung temporärer Citrix-Ressourcen ist optional und kann mithilfe der benutzerdefinierten Eigenschaft AwsOperationalResourcesTagging konfiguriert werden.

AWS-Instanzeigenschaft erfassen

Sie können diese Funktion nutzen, indem Sie beim Erstellen eines Bereitstellungsschemas für eine AWS-Hostverbindung eine benutzerdefinierte Eigenschaft, AwsCaptureInstanceProperties, angeben:

New-ProvScheme -CustomProperties "AwsCaptureInstanceProperties,true" …<standard provscheme parameters

Weitere Informationen finden Sie in der Citrix Developer Documentation.

Hinweis:

Die AwsCaptureInstanceProperties ist veraltet. Wir empfehlen stattdessen, Maschinenprofile zu verwenden, um Maschineneigenschaften für VMs anzugeben.

Maschineneigenschaften aus Maschinenprofilen erfassen

Beim Erstellen eines Katalogs zur Bereitstellung von AWS-Maschinen mit MCS können Sie ein Maschinenprofil verwenden, um bestimmte Maschineneigenschaftseinstellungen vorab festzulegen.

Gehen Sie dazu wie folgt vor:

1. Speichern Sie die Maschinenprofile in derselben Verfügbarkeitszone wie die Ressourcen, in denen Sie diesen Katalog erstellen.
2. Wählen Sie auf der Seite Maschinenvorlage des Katalogerstellungs-Assistenten die Option Maschinenprofil verwenden. Maschinenprofile, die sich in derselben verfügbaren Zone wie die von Ihnen ausgewählten Ressourcen befinden, werden angezeigt.
3. Wählen Sie bei Bedarf ein Maschinenprofil aus.

Hinweis:

Sie können entweder ein Maschinenprofil oder ein AMI verwenden, um Maschineneigenschaften zu erfassen. Wenn Sie in Web Studio die Option Maschinenprofil verwenden auswählen, wird die Option Maschinenvorlageneigenschaften auf virtuelle Maschinen anwenden automatisch ausgeblendet.

AWS-Betriebsressource taggen

Wenn Sie einen Katalog zur Bereitstellung von Maschinen in AWS mit MCS erstellen, können Sie steuern, ob die IAM-Rolle und die Tag-Eigenschaften auf diese Maschinen angewendet werden sollen. Sie können auch steuern, ob Maschinentags auf Betriebsressourcen angewendet werden sollen.

Ein Amazon Machine Image (AMI) stellt einen Typ von virtueller Appliance dar, der zum Erstellen einer virtuellen Maschine in der Amazon Cloud-Umgebung, allgemein als EC2 bezeichnet, verwendet wird. Sie verwenden ein AMI, um Dienste bereitzustellen, die die EC2-Umgebung nutzen. Wenn Sie einen Katalog zur Bereitstellung von Maschinen mit MCS für AWS erstellen, wählen Sie das AMI als Golden Image für diesen Katalog aus.

Wichtig:

Das Erstellen von Katalogen durch Erfassen einer Instanzeigenschaft und einer Startvorlage ist für die Verwendung der Tagging-Funktion für Betriebsressourcen erforderlich.

Um einen AWS-Katalog zu erstellen, müssen Sie zuerst ein AMI für die Instanz erstellen, die das Golden Image sein soll. MCS liest die Tags von dieser Instanz und integriert sie in die Startvorlage. Die Tags der Startvorlage werden dann auf alle in Ihrer AWS-Umgebung erstellten Citrix-Ressourcen angewendet, einschließlich:

• Virtuelle Maschinen
• VM-Datenträger
• VM-Netzwerkschnittstellen
• S3-Buckets
• S3-Objekte
• Startvorlagen
• AMIs

Eine Betriebsressource taggen

So taggen Sie Ressourcen mit PowerShell:

1. Öffnen Sie ein PowerShell-Fenster vom DDC-Host.
2. Führen Sie den Befehl asnp citrix aus, um Citrix-spezifische PowerShell-Module zu laden.

Um eine Ressource für eine bereitgestellte VM zu taggen, verwenden Sie die neue benutzerdefinierte Eigenschaft AwsOperationalResourcesTagging. Die Syntax für diese Eigenschaft lautet:

New-ProvScheme -CustomProperties "AwsCaptureInstanceProperties,true; AwsOperationalResourcesTagging,true" …<standard provscheme parameters>

Tags auf VMs kopieren

Sie können Tags auf NICs und Datenträgern (Identitätsdatenträger, Write-Back-Cache-Datenträger und Betriebssystemdatenträger), die im Maschinenprofil angegeben sind, auf neu erstellte VMs in einem MCS-Maschinenkatalog kopieren. Sie können diese Tags in jeder der Maschinenprofilquellen (AWS VM-Instanz oder AWS Startvorlagenversion) angeben. Diese Funktion ist für persistente und nicht-persistente Maschinenkataloge und VMs anwendbar.

Hinweis:

• In der AWS EC2-Konsole können Sie die Werte für Tag Network Interfaces unter den Launch Template Version Resource Tags nicht sehen. Sie können jedoch den PowerShell-Befehl aws ec2 describe-launch-template-versions --launch-template-id lt-0bb652503d45dcbcd --versions 12 ausführen, um die Tagspezifikationen anzuzeigen.
• Wenn eine Maschinenprofilquelle (VM oder Startvorlagenversion) zwei Netzwerkschnittstellen (eni-1 und eni-2) hat und eni-1 den Tag t1 und eni-2 den Tag t2 hat, dann erhält die VM die Tags beider Netzwerkschnittstellen.

Katalog mit einem Maschinenprofil erstellen

Sie können ein Maschinenprofil verwenden, um die Hardwareeigenschaften einer EC2-Instanz (VM) oder einer Startvorlagenversion zu erfassen und auf die bereitgestellten Maschinen anzuwenden. Erfasste Eigenschaften können beispielsweise EBS-Volume-Eigenschaften, Instanztyp, EBS-Optimierung, CPU-Optionen, Tenancy-Typ, Hibernationsfähigkeit und andere unterstützte AWS-Konfigurationen umfassen.

Sie können eine AWS EC2-Instanz (VM) oder eine AWS Startvorlagenversion als Maschinenprofil-Eingabe verwenden.

Hinweis:

• EBS-Volume-Eigenschaften werden nur aus einem Maschinenprofil abgeleitet.
• MCS stellt VMs mit Identitätsdatenträgern vom GP3-Volume-Typ bereit. Da der GP3-Volume-Typ die günstigste von AWS angebotene Option ist, minimiert diese Funktion die Kosten. Die Implementierung gilt nur für VMs, die einem neuen Katalog hinzugefügt werden, und für neue VMs, die einem vorhandenen Katalog hinzugefügt werden. Vor dieser Funktion erstellte VMs haben weiterhin ID-Datenträger vom GP2-Volume-Typ, es sei denn, der ID-Datenträger wird zurückgesetzt.

Wichtige Überlegungen

Die wichtigen Überlegungen beim Erstellen eines MCS-Maschinenkatalogs:

• Wenn Sie Hardware-Eigenschaftsparameter für Maschinen in den Befehlen New-ProvScheme und Set-ProvScheme hinzufügen, überschreiben die in den Parametern angegebenen Werte die Werte im Maschinenprofil.
• Wenn Sie AwsCaptureInstanceProperties als true festlegen und die Eigenschaft MachineProfile nicht festlegen, werden nur IAM-Rollen und Tags erfasst.

• Sie können AwsCaptureInstanceProperties und MachineProfile nicht gleichzeitig festlegen.

  **Hinweis:

  Der AwsCaptureInstanceProperties ist veraltet.

• Wenn kein Maschinenprofil angegeben ist, müssen Sie die Werte der folgenden Eigenschaften explizit angeben:

  • Sicherheitsgruppe
  • ENI oder virtuelles Netzwerk
• Sie können AwsOperationalResourcesTagging nur aktivieren, wenn Sie AwsCaptureInstanceProperties aktivieren oder ein Maschinenprofil angeben.

Die wichtigen Überlegungen nach dem Erstellen eines MCS-Maschinenkatalogs:

• Sie können einen Katalog nicht von maschinenprofilbasiert in nicht maschinenprofilbasiert ändern.

Maschinenkatalog mit einem Maschinenprofil erstellen

So erstellen Sie einen Maschinenkatalog mit einem Maschinenprofil:

1. Öffnen Sie ein PowerShell-Fenster.
2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

3. Erstellen Sie einen Identitätspool, falls noch nicht geschehen. Zum Beispiel:

   New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain abcdf -NamingSchemeType Numeric
   <!--NeedCopy-->
   

4. Führen Sie den Befehl New-ProvScheme aus. Zum Beispiel:

   New-ProvScheme -ProvisioningSchemeName demet-test-1
   -HostingUnitUid aa633238-9xxd-4cf6-80e8-232a758a1xx1
   -IdentityPoolUid 34d5b088-e312-416f-907d-16573xxxxxc4
   -CleanOnBoot
   -MasterImageVM 'XDHyp:\HostingUnits\cvad-test-scalestress\citrix-demet-ami.0 (ami-0ca813xxxxxx061ef).template'
   -MachineProfile 'XdHyp:\HostingUnits\cvad-test-scalestress\us-east-1a.availabilityzone\machine-profile-instance i (i-0xxxxxxxx).vm'
   <!--NeedCopy-->
   

5. Schließen Sie die Katalogerstellung ab. Weitere Informationen finden Sie unter Citrix PowerShell SDK.

Maschinenprofil aktualisieren

Um das Maschinenprofil in einem Katalog zu aktualisieren, der ursprünglich mit einem Maschinenprofil bereitgestellt wurde, gehen Sie wie folgt vor. Sie können auch den Mandantentyp und die Ruhezustandsfunktion der Maschinenprofilquelle ändern, während Sie einen MCS-Maschinenkatalog bearbeiten.

1. Führen Sie den Befehl Set-ProvScheme aus. Zum Beispiel:

   Set-ProvScheme `
   -ProvisioningSchemeUid "<ID" `
   -MachineProfile "XDHyp:\HostingUnits\abc\us-east-1a.availabilityzone\citrix-cvad-machineprofile-instance (i-0xxxxxxxx).vm"
   <!--NeedCopy-->
   

Katalog mit Startvorlagenversion erstellen

Sie können einen MCS-Maschinenkatalog mit einer Startvorlagenversion als Maschinenprofil-Eingabe erstellen. Sie können die Eingabe eines Maschinenprofilkatalogs auch von einer VM in eine Startvorlagenversion und von einer Startvorlagenversion in eine VM aktualisieren.

In der AWS EC2-Konsole können Sie die Instanzkonfigurationsinformationen einer Startvorlage zusammen mit der Versionsnummer angeben. Wenn Sie die Startvorlagenversion als Maschinenprofil-Eingabe beim Erstellen oder Aktualisieren eines Maschinenkatalogs angeben, werden die Eigenschaften dieser Version der Startvorlage auf die bereitgestellten VDA-VMs kopiert.

Die folgenden Eigenschaften können über die Maschinenprofil-Eingabe oder explizit als Parameter in den Befehlen New-ProvScheme oder Set-ProvScheme angegeben werden. Wenn sie in den Befehlen New-ProvScheme oder Set-ProvScheme angegeben werden, haben sie Vorrang vor den Maschinenprofilwerten dieser Eigenschaften.

• Serviceangebot
• Netzwerke
• Sicherheitsgruppen
• Mandantentyp

Hinweis:

Wenn das Serviceangebot nicht in der Startvorlage des Maschinenprofils oder als Parameter im New-ProvScheme Befehl angegeben ist, erhalten Sie eine entsprechende Fehlermeldung.

So erstellen Sie einen Katalog, der die Startvorlagenversion als Eingabe für das Maschinenprofil verwendet:

1. Öffnen Sie ein PowerShell-Fenster.
2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

3. Rufen Sie die Liste der Startvorlagenversionen einer Startvorlage ab. Zum Beispiel:

   XDHyp:\HostingUnits\test\test-mp-sard (lt-01xxxxx).launchtemplate> ls | Select FullPath
   <!--NeedCopy-->
   

4. Erstellen Sie einen Identitätspool, falls noch nicht geschehen. Zum Beispiel:

   New-AcctIdentityPool `
   -IdentityPoolName "abc11" `
   -NamingScheme "abc1-##" `
   -NamingSchemeType Numeric `
   -Domain "citrix-xxxxxx.local" `
   -ZoneUid "xxxxxxxx" `
   <!--NeedCopy-->
   

5. Erstellen Sie ein Bereitstellungsschema mit einer Startvorlagenversion als Eingabe für das Maschinenprofil. Zum Beispiel:

   New-ProvScheme `
   -ProvisioningSchemeName "MPLT1" `
   -HostingUnitUid "c7f71f6a-3f45-4xxx-xxxx-xxxxxxxxxx" `
   -IdentityPoolUid "bf3a6ba2-1f80-4xxx-xxxx-xxxxxxxxx" `
   -MasterImageVM "XDHyp:\HostingUnits\xxxd-ue1a\apollo-non-persistent-vda-win2022 (ami-0axxxxxxxxxxx).template" `
   -CleanOnBoot `
   -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-01xxxxx).launchtemplate\lt-01xxxxx (1).launchtemplateversion"
   <!--NeedCopy-->
   

6. Registrieren Sie das Bereitstellungsschema als Brokerkatalog. Zum Beispiel:

   New-BrokerCatalog -Name "MPLT1" `
   -AllocationType Random `
   -Description "Machine profile catalog" `
   -ProvisioningSchemeId fe7df345-244e-4xxxx-xxxxxxxxx `
   -ProvisioningType Mcs `
   -SessionSupport MultiSession `
   -PersistUserChanges Discard
   <!--NeedCopy-->
   

7. Schließen Sie die Katalogerstellung ab. Weitere Informationen finden Sie unter Citrix PowerShell SDK

Sie können die Eingabe eines Maschinenprofilkatalogs auch von einer VM auf eine Startvorlagenversion und von einer Startvorlagenversion auf eine VM aktualisieren. Zum Beispiel:

• So aktualisieren Sie die Eingabe eines Maschinenprofilkatalogs von einer VM auf eine Startvorlagenversion:

   Set-ProvScheme -ProvisioningSchemeName "CloudServiceOfferingTest" `
   -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-0bxxxxxxxxxxxx).launchtemplate\lt-0bxxxxxxxxxxxx (1).launchtemplateversion"
   <!--NeedCopy-->
  

• So aktualisieren Sie die Eingabe eines Maschinenprofilkatalogs von einer Startvorlagenversion auf eine VM:

   Set-ProvScheme -ProvisioningSchemeName "CloudServiceOfferingTest" `
   -MachineProfile "XDHyp:\HostingUnits\sard-ue1a\us-east-1a.availabilityzone\apollo-non-persistent-vda-win2022-2 (i-08xxxxxxxxx).vm"
   <!--NeedCopy-->
  

Betriebssystem- und ID-Datenträger verschlüsseln

Sie können persistente und nicht-persistente Kataloge von VMs mit AWS KMS-Schlüsseln (kundenverwalteter Schlüssel und AWS-verwalteter Schlüssel) erstellen, die zum Verschlüsseln von Betriebssystem- und Identitätsdatenträgern verwendet werden können.

• AWS-verwaltete Schlüssel werden jährlich automatisch rotiert.
• Kundenverwaltete Schlüssel sind für die automatische Rotation optional und können manuell verwaltet werden.

Weitere Informationen zu KMS-Schlüsseln finden Sie in den folgenden AWS-Dokumenten:

• AWS KMS-Konzepte
• Funktionsweise der automatischen Schlüsselrotation.

Konfigurieren Sie für die Verschlüsselung von Betriebssystem- und ID-Datenträgern eine der folgenden Optionen:

• Verwenden Sie ein verschlüsseltes Masterimage (z. B. ein AMI, das aus einer Instanz oder einem Snapshot erstellt wurde, der ein mit einem KMS-Schlüssel verschlüsseltes EBS-Root-Volume enthält).
• Verwenden Sie eine Maschinenprofilquelle (VM oder Startvorlage), die ein verschlüsseltes EBS-Root-Volume enthält.

Einschränkungen

Beachten Sie die folgenden Einschränkungen:

• MCS unterstützt derzeit nur einen Datenträger auf dem Masterimage-AMI.

• Sie können vorhandene unverschlüsselte EBS-Volumes oder Snapshots nicht direkt verschlüsseln oder den KMS-Schlüssel eines vorhandenen verschlüsselten Volumes ändern. Dazu müssen Sie:

  1. Erstellen Sie einen neuen Snapshot dieses Volumes.
  2. Erstellen Sie ein neues Volume aus diesem Snapshot.
  3. Verschlüsseln Sie das neue Volume.

Siehe die folgenden AWS-Dokumente:

• Unverschlüsselte Ressourcen verschlüsseln
• Einschränkungen der automatischen oder standardmäßigen Verschlüsselung von EBS-Volumes: Vorhandene und neue Amazon EBS-Volumes automatisch verschlüsseln.

Katalog mit Festplattenverschlüsselung erstellen

Sie können einen MCS-Maschinenkatalog mit Festplattenverschlüsselung erstellen, indem Sie Folgendes verwenden:

• Masterimage
• Maschinenprofil

Überlegungen zur Verwendung der Maschinenprofil-Eingabe für die Festplattenverschlüsselung:

• Der KMS-Schlüssel der Maschinenprofil-Eingabe hat Vorrang vor dem KMS-Schlüssel des Masterimages.
• Wenn keine Maschinenprofil-Eingabe bereitgestellt wird, wird der KMS-Schlüssel des Masterimage-AMI verwendet, um die Festplatten der Katalog-VMs zu verschlüsseln.
• Wenn das Maschinenprofil Block Device Mappings enthält, müssen die Blockgeräte im Masterimage-Template (AMI) und im Maschinenprofil übereinstimmen. Wenn das AMI beispielsweise ein Gerät auf /dev/sda1 definiert hat, muss das Maschinenprofil auch ein Gerät auf /dev/sda1 definiert haben.
• Wenn im Maschinenprofil keine Schlüsselquelle vorhanden ist und das Master-Image unverschlüsselt ist, werden die Datenträger der Katalog-VMs nicht verschlüsselt.
• Wenn das Master-Image verschlüsselt ist, muss eine VM der Maschinenprofilquelle oder eine Startvorlage über ein verschlüsseltes Root-Volume verfügen, um als gültige Eingabe zu gelten.

Vorhandenen Katalog ändern

Sie können einen vorhandenen Katalog mit Set-ProvScheme ändern, um Folgendes zu erhalten:

• Eine Maschinenprofileingabe mit einem Volume, das einen neuen KMS-Schlüssel enthält.
• Ein Master-Image-Vorlagen-AMI, das mit einem neuen KMS-Schlüssel verschlüsselt ist.

Wichtige Überlegungen

• Die Volumes der neuen VMs, die dem Katalog hinzugefügt werden, werden mit dem neuen KMS-Schlüssel verschlüsselt.
• Um die Verschlüsselungseinstellungen zu aktualisieren, wenn ein Maschinenprofil vorhanden ist, führen Sie Set-ProvScheme mit einem neuen Maschinenprofil aus.
• Sie können einen vorhandenen Katalog nicht von verschlüsselten Volumes auf unverschlüsselte Volumes umstellen. Sie können kein Image-Update von einem verschlüsselten Master-AMI auf ein unverschlüsseltes Master-AMI durchführen.

NitroTPM und UEFI Secure Boot für VM-Instanzen aktivieren

Beim Erstellen eines Katalogs können Sie jetzt ein Master-Image (AMI) mit aktiviertem NitroTPM und/oder UEFI Secure Boot auswählen. Dementsprechend werden die bereitgestellten VMs im Katalog ebenfalls mit NitroTPM und/oder UEFI Secure Boot aktiviert. Diese Implementierung stellt sicher, dass die VMs gesichert und vertrauenswürdig sind. Weitere Informationen zu NitroTPM und UEFI Secure Boot finden Sie in der Amazon-Dokumentation.

Einschränkungen

• Sie können NitroTPM und Secure Boot derzeit in allen AWS-Regionen (einschließlich der AWS GovCloud (US)-Regionen) außer China verwenden.
• Sie können NitroTPM und UEFI Secure Boot nicht für vorhandene Kataloge aktivieren. Wenn Sie einen Katalog mit aktiviertem NitroTPM und UEFI Secure Boot wünschen, erstellen Sie einen neuen Katalog.

Wichtige Schritte

1. Richten Sie Ihre AWS-Umgebung ein.
2. Stellen Sie eine Verbindung zu AWS her.
3. Erstellen Sie ein Masterimage (AMI) mit aktiviertem NitroTPM und/oder UEFI Secure Boot.
4. Erstellen Sie einen Maschinenkatalog, indem Sie das Masterimage mit aktiviertem NitroTPM und UEFI Secure Boot im Katalogerstellungsmenü von Web Studio oder bei der Erstellung eines Bereitstellungsschemas mithilfe von PowerShell-Befehlen auswählen.

VMs, die dem erstellten Katalog hinzugefügt werden, haben NitroTPM und UEFI Secure Boot aktiviert.

Erstellen Sie ein AMI, das NitroTPM und UEFI Secure Boot unterstützt

1. Sie können ein AMI aus einer VM erstellen, die NitroTPM und/oder UEFI Secure Boot aktiviert hat.

   1. Erstellen Sie die Instanz mithilfe der AWS Marketplace-Images. Beispiel: Suchen Sie nach TPM-Windows_Server-2022-English-Full-Base on the aws-marketplace.
   2. Laden Sie den Einzel- oder Mehrfachsitzungs-VDA herunter.
   3. Erstellen Sie ein AMI aus dieser VM.

2. Verwenden Sie den Befehl register-image:

   --boot-mode (string)
   --tpm-support (string)
   <!--NeedCopy-->
   

   Weitere Informationen finden Sie unter register-image.

Siehe die folgenden AWS-Dokumente:

• Bestimmen der unterstützten Startmodi eines EC2-Instanztyps
• Anforderungen für die Verwendung von NitroTPM mit Amazon EC2-Instances/.

Sie können ein PowerShell-Fenster vom Delivery Controller™-Host öffnen, um zu überprüfen, ob ein bestimmtes:

• Serviceangebot NitroTPM oder UEFI Secure Boot unterstützt

   (Get-Item -Path “XDHyp:\HostingUnits\aws\T3 Medium Instance.serviceoffering”).AdditionalData.BootMode
   (Get-Item -Path “XDHyp:\HostingUnits\aws\T3 Medium Instance.serviceoffering”).AdditionalData.NitroTpmSupportVersions
   <!--NeedCopy-->
  

• Template NitroTPM oder UEFI Secure Boot unterstützt

   (Get-HypInventoryItem -LiteralPath “XDHyp:\HostingUnits\aws” -ResourceType “template -Id “ID”).AdditionalData.BootMode
  
   (Get-HypInventoryItem -LiteralPath “XDHyp:\HostingUnits\aws” -ResourceType “template -Id “ID”).AdditionalData.TpmSupport
   <!--NeedCopy-->
  

Serviceangebot eines vorhandenen Katalogs aktualisieren

Sie können das Serviceangebot eines vorhandenen Katalogs mit Set-ProvScheme ändern. Die Änderung gilt für die neu hinzugefügten VMs. In den folgenden Szenarien treten jedoch Fehler auf:

VM-Instanzen filtern

Eine AWS EC2-Instanz, die Sie als Maschinenprofil-VM verwenden, muss kompatibel sein, damit der Maschinenkatalog korrekt erstellt und funktionieren kann. Um die AWS EC2-Instanzen aufzulisten, die als Maschinenprofil-Eingabe-VMs verwendet werden können, können Sie den Befehl Get-HypInventoryItem verwenden. Der Befehl kann das Inventar der auf einer Hosting-Einheit verfügbaren VMs seitenweise anzeigen und filtern.

Paginierung:

Get-HypInventoryItem unterstützt zwei Paginierungsmodi:

• Der Paging-Modus verwendet die Parameter -MaxRecords und -Skip, um Sätze von Elementen zurückzugeben:
  • -MaxRecords: Der Standardwert ist 1. Dies steuert, wie viele Elemente zurückgegeben werden sollen.
  • -Skip: Der Standardwert ist 0. Dies steuert, wie viele Elemente vom absoluten Anfang (oder absoluten Ende) der Liste im Hypervisor übersprungen werden sollen.
• Der Bildlaufmodus verwendet die Parameter -MaxRecords, -ForwardDirection und -ContinuationToken, um das Scrollen der Datensätze zu ermöglichen:
  • -ForwardDirection: Der Standardwert ist True. Dies wird zusammen mit -MaxRecords verwendet, um entweder den nächsten Satz übereinstimmender Datensätze oder den vorherigen Satz übereinstimmender Datensätze zurückzugeben.
  • -ContinuationToken: Gibt die Elemente unmittelbar nach (oder davor, wenn ForwardDirection false ist), jedoch ohne das in ContinuationToken angegebene Element, zurück.

Beispiele für Paginierung:

• Um einen einzelnen Datensatz der Maschinen-Vorlage mit dem niedrigsten Namen zurückzugeben. Das Feld AdditionalData enthält TotalItemsCount und TotalFilteredItemsCount:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template
   <!--NeedCopy-->
  

• Um 10 Datensätze der Maschinen-Vorlage mit dem niedrigsten Namen zurückzugeben:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 10 | select Name
   <!--NeedCopy-->
  

• Um ein Array von Datensätzen zurückzugeben, die mit dem höchsten Namen enden:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -ForwardDirection $False -MaxRecords 10 | select Name
   <!--NeedCopy-->
  

• Um ein Array von Datensätzen zurückzugeben, die bei der Maschinen-Vorlage beginnen, die mit dem angegebenen ContinuationToken verknüpft ist:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -ContinuationToken "ami-07xxxxxxxxxx" -MaxRecords 10
   <!--NeedCopy-->
  

Filterung:

Die folgenden zusätzlichen optionalen Parameter werden für die Filterung unterstützt. Sie können diese Parameter mit den Paginierungsoptionen kombinieren.

• -ContainsName "my_name": Wenn die angegebene Zeichenfolge einem Teil eines AMI-Namens entspricht, wird das AMI in das Get-Ergebnis aufgenommen. Zum Beispiel:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 100 -ContainName ‘apollo’ | select Name
   <!--NeedCopy-->
  

• -Tags '{ "Key0": "Value0", "Key1": "Value1", "Key2": "Value2" }': Wenn ein AMI mindestens eines dieser Tags hat, wird es in das Get-Ergebnis aufgenommen. Zum Beispiel:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 100 -Tags '{"opex owner": "Not tagged"}' | select Name
   <!--NeedCopy-->
  

  Hinweis:

  Zwei Tag-Werte werden unterstützt. Der Tag-Wert Nicht getaggt entspricht Elementen, die das angegebene Tag nicht in ihrer Tag-Liste haben. Der Tag-Wert Alle Werte entspricht Elementen, die das Tag unabhängig vom Wert des Tags haben. Andernfalls erfolgt die Übereinstimmung nur, wenn das Element das Tag hat und der Wert dem im Filter angegebenen Wert entspricht.

• -Id "ami-0a2d913927e0352f3": Wenn das AMI der angegebenen ID entspricht, wird es in das Get-Ergebnis aufgenommen. Zum Beispiel:

   Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -Id ami-xxxxxxxxxxxxx
   <!--NeedCopy-->
  

Filterung nach dem Parameter AdditionalData:

Der Filterparameter AdditionalData listet Vorlagen oder VMs basierend auf ihrer Funktion, ihrem Serviceangebot oder einer beliebigen Eigenschaft auf, die in AdditionalData enthalten ist. Zum Beispiel:

(Get-HypInventoryItem -ResourceType "launchtemplateversion" -LiteralPath "XDHyp:\HostingUnits\aws" -MaxRecords 200).AdditionalData
<!--NeedCopy-->

Sie können auch einen -Warn-Parameter hinzufügen, um die inkompatiblen VMs anzugeben. Die VMs werden mit einem AdditionalData-Feld namens Warning (Warnung) eingeschlossen. Beispiel:

(Get-HypInventoryItem -ResourceType "launchtemplateversion" -LiteralPath "XDHyp:\HostingUnits\aws" -MaxRecords 200 -Template "ami-015xxxxxxxxx" -Warn $true).AdditionalData
<!--NeedCopy-->

Nächste Schritte

• Wenn dies der erste erstellte Katalog ist, führt Sie Web Studio durch die Erstellung einer Bereitstellungsgruppe
• Eine Übersicht über den gesamten Konfigurationsprozess finden Sie unter Installieren und Konfigurieren
• Informationen zum Verwalten von Katalogen finden Sie unter Maschinenkataloge verwalten und AWS-Katalog verwalten

Weitere Informationen

• Verbindungen und Ressourcen erstellen und verwalten
• Verbindung zu AWS
• Maschinenkataloge erstellen