App Layering

MS Azure Government

Al crear capas en Azure Government, use una configuración de conector de MS Azure Government. Este artículo describe los campos incluidos en la configuración del conector. Para obtener más información acerca de los conectores App Layering, consulte Configuraciones de conectores.

Una configuración de conector contiene las credenciales que utiliza el dispositivo para acceder a una ubicación específica de Azure Government. Su organización puede tener una cuenta de Azure Government y varias ubicaciones de almacenamiento. Necesita una configuración de conector para que el dispositivo tenga acceso a cada ubicación de almacenamiento.

Antes de crear una configuración de conector de Azure Government

En esta sección se explica:

  • Información de la cuenta de Azure Government necesaria para crear esta configuración de conector.
  • El almacenamiento de Azure Government que necesita para App Layering.
  • Los servidores con los que se comunica el dispositivo.

Información necesaria de la cuenta de Azure

El conector de Azure Government necesita la misma información que el conector de Azure.

Configuración de Azure Government

  • Nombre: Nombre que se utiliza para una nueva configuración de conector.
  • ID de suscripción: Para implementar máquinas virtuales de Azure, su organización debe tener un ID de suscripción.
  • ID de arrendatario: Una instancia de Azure Active Directory, este GUID identifica la instancia dedicada de Azure Active Directory (AD) de su organización.
  • ID de cliente: Un identificador para el registro de aplicaciones, que su organización ha creado para App Layering.
  • Secreto del cliente: La contraseña del ID de cliente que está mediante. Si ha olvidado el secreto del cliente, puede crear uno nuevo. Nota: Los secretos de cliente están asociados lógicamente a los arrendatarios de Azure, por lo que cada vez que use una nueva suscripción y un ID de arrendatario, debe usar un nuevo secreto de cliente.
  • Almacenamiento estándar de Azure (obligatorio): Cuenta de almacenamiento para máquinas virtuales de Azure (archivos VHD), el archivo de plantilla que se utiliza para implementar máquinas virtuales de Azure y los archivos de diagnóstico de arranque para esas máquinas. Al especificar almacenamiento Premium, que es opcional, las máquinas virtuales se almacenan allí y los archivos de diagnóstico de inicio y plantilla permanecen en el almacenamiento estándar.

    La cuenta de almacenamiento ya debe haberse creado en el portal de Azure Government y el nombre que escriba debe coincidir con el nombre del portal. Para obtener más información, consulte Configurar las cuentas de almacenamiento necesarias a continuación.

  • Almacenamiento premium (opcional): Almacenamiento adicional opcional para máquinas virtuales de Azure (archivos VHD). El almacenamiento premium solo admite blobs de página. No puede usar almacenamiento premium para almacenar el archivo de plantilla para implementar máquinas virtuales de Azure, ni los archivos de diagnóstico de arranque para esas máquinas virtuales. Cuando especifica una cuenta de almacenamiento premium, los tamaños de máquina virtual disponibles se limitan a los que admiten almacenamiento premium.

    La cuenta de almacenamiento ya debe haberse creado en el portal de Azure Government y el nombre que escriba debe coincidir con el nombre del portal. Para obtener más información, consulte Configurar las cuentas de almacenamiento necesarias más adelante en este artículo.

Cuenta de almacenamiento de Azure gubernamental requerida

Cualquier cuenta que utilices para App Layering debe cumplir los siguientes requisitos:

  • No debe ser una cuenta de almacenamiento clásica.
  • Debe ser independiente de la cuenta de almacenamiento utilizada para el dispositivo.
  • Debe estar en la ubicación de Azure Government donde planea implementar máquinas virtuales.
  • Se puede ubicar en cualquier grupo de recursos, siempre que la ubicación del grupo de recursos sea la misma que la ubicación de la cuenta.

Cuenta de almacenamiento estándar requerida

Se requiere uno de los siguientes tipos de cuentas de almacenamiento estándar de Azure Government) para crear una configuración de conector.

  • Almacenamiento de información con redundancia local estándar (LRS)
  • Almacenamiento de información georredundante estándar (GRS)
  • Almacenamiento de información georredundante de acceso de lectura estándar (RAGRS)

Al crear el almacenamiento estándar necesario, habilite el acceso público de blob para esta cuenta. De lo contrario, los intentos de publicar imágenes fallan con el error:

"Se produjo un error al crear un contenedor de almacenamiento en la cuenta de almacenamiento de Azure: no se permite el acceso público en esta cuenta de almacenamiento."

Cuenta de almacenamiento premium

Además de la cuenta estándar requerida, puede utilizar el almacenamiento Premium para almacenar los discos de la máquina virtual de App Layering.

Servidores con los que el dispositivo se comunica

Mediante este conector, el dispositivo se comunica con los siguientes servidores:

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/#create/Microsoft.Template/uri/
  • blob.core.usgovcloudapi.net

El dispositivo requiere conexiones de red con estos servidores.

Configurar su suscripción de Azure Government

Utilice los siguientes procedimientos para cada suscripción de Azure Government que quiera conectar con el dispositivo App Layering.

Configurar y obtener las credenciales de Azure Government

Al agregar una nueva configuración del conector de MS Azure Government, recupere las credenciales de Azure Government de la siguiente manera:

  • Identifique su ID de suscripción de Azure Government
  • Cree un registro de aplicaciones en Azure Government Active Directory.
  • Obtenga el ID de arrendatario, el ID de cliente y el secreto de cliente de Azure Government del registro de aplicaciones.
  • Cree una nueva cuenta de almacenamiento o use una existente dentro de la suscripción.

Identificar el ID de suscripción de Azure Government

  1. Vaya al portal de Azure Government.
  2. Haga clic en Suscripcionesy busque la suscripción que necesita en la lista.
  3. Seleccione y copie el ID de suscripción y péguelo en elcampo ID desuscripción de configuración del conector.

Crear un registro de aplicación para cada suscripción de Azure Government

Puede usar una suscripción de Azure Government para varias configuraciones de conectores de Azure. Cada suscripción que quiera utilizar para las configuraciones del conector de App Layering requiere un registro de aplicaciones.

Para crear un registro de aplicación:

  1. Inicie sesión en Azure Government Portal.
  2. Haga clic en Azure Active Directory. Si Azure Active Directory no aparece en la lista, haga clic en Más servicios y busque Azure Government Active Directory.
  3. A la izquierda, en Administrar, selecciona Registros de aplicaciones.
  4. En la parte superior de la página, haga clic en Nuevo registro. Aparece un formulario.
  5. En elcampoNombre, escriba un nombre descriptivo, como “Acceso a Citrix App Layering”.
  6. Para Tipos de cuenta admitidos, seleccione Cuentas solo en este directorio organizativo (SoloMi empresa: Arrendatario único).
  7. Para URL de redirección, escriba https://myapp.com/auth.
  8. Haga clic en Registro.
  9. En la lista de registros de aplicaciones, haga clic en el nuevo registro de aplicaciones que creó en el procedimiento anterior.
  10. En la nueva ventana que aparece, el ID de aplicación aparece cerca de la parte superior. Introduzca este valor en elcuadro Id. decliente de la configuración del conector que está creando.
  11. Desplácese hacia la derecha para ver las propiedades de la aplicación, incluidos el nombre para mostrar, el ID de aplicación y otros valores.
  12. Copie elvalor de ID dedirectorio (arrendatario) y péguelo en elcampo ID dearrendatario de la configuración del conector.
  13. En la columna izquierda, debajo de Administrar, haga clic en Certificados y secretos.
  14. Agregue un nuevo secreto de cliente para la aplicación App Layering, con una descripción como “App Layering Key 1”.
  15. Escriba el valor del nuevo secreto de cliente en la configuración del conector.

Nota:

Esta clave no aparece de nuevo después de cerrar esta ventana. Esta clave es información confidencial. Trate la clave como una contraseña que permite el acceso administrativo a su suscripción de Azure Government. Abra la configuración del registro de aplicaciones que acaba de crear en Azure Government Active Directory > Registros de aplicaciones > [nombre que acaba de introducir] > Configuración > Propiedades.

  1. Vuelva a Azure Home y haga clic en Suscripciones. Si las suscripciones no aparecen en la lista, haga clic en Más servicios para localizarlas.
  2. Haga clic en la suscripción que está mediante para este conector.
  3. En el panel izquierdo, haga clic en Control de acceso (IAM).
  4. En la barra superior del panel de control Acceso, haga clic en Agregar y seleccione Agregar asignación de rol.
  5. ElformularioAgregar asignación de roles aparece a la derecha. Haga clic en el menú desplegable de Rol y seleccione Colaborador.
  6. En elcampoSeleccionar, escriba “Citrix App Layering access” o utilice el nombre que haya introducido para el registro de la aplicación.
  7. Haga clic en elbotónGuardar en la parte inferior del formulario.

Ahora ha configurado un registro de aplicación de Azure Government que tiene acceso de lectura/escritura a su suscripción de Azure Government.

Configurar las cuentas de almacenamiento necesarias

Las cuentas de almacenamiento de Azure Government son donde el software de App Layering almacena todas las imágenes importadas y publicadas en Azure Government (discos duros virtuales o VHD), junto con el archivo de plantilla que se utiliza para implementar máquinas virtuales de Azure Government y los archivos de diagnóstico de inicio para esas máquinas.

Puede usar una cuenta de almacenamiento existente. Debe cumplir estos requisitos:

  • No es una cuenta de almacenamiento clásica.
  • Está en la misma suscripción utilizada en la configuración del conector.

En el asistente de configuración del conector de Azure en App Layering, escriba el nombre de la cuenta de almacenamiento en elcampo Cuenta de almacenamientoestándar.

Si no tienes una cuenta de almacenamiento, crea una cuentade almacenamientoestándar. Las configuraciones de conectores requieren una cuenta estándar, aunque también puede especificar una segunda cuenta de almacenamiento que sea premium.

  1. En la página principal de Azure, haga clic en Cuentas de almacenamiento.
  2. En laventana Cuentasde almacenamiento, haga clic en Agregar.
  3. En elcampoSuscripción, seleccione la suscripción que está mediante.
  4. En elcampo Grupo derecursos, seleccione Crear nuevo e introduzca un nombre similar al nombre de la cuenta de almacenamiento.
  5. En elcampo Nombre de cuenta dealmacenamiento, escriba un nombre que recuerde.
  6. Seleccione la ubicación.
  7. En elcampoRendimiento, si esta es la única ubicación de almacenamiento para esta configuración de conector, seleccione Estándar. De lo contrario, elija el tipo que mejor se adapte a sus necesidades.
  8. En elcampo Tipo decuenta, seleccione propósito general v2 o propósito general v1.
  9. En elcampoReplicación, seleccione el tipo que necesita.
  10. Para el nivel de acceso (predeterminado), seleccione Caliente o Frío.
  11. Haga clic en Siguiente: Redesy seleccione el método de conectividad.
  12. Complete las opciones restantes en Redes, Avanzadas y Etiquetas.
  13. Seleccione Revisar + Crear.
  14. Por último, introduzca el nuevo nombre de la cuenta de almacenamiento en la configuración del conector que está creando.

Qué hacer si se pierde el secreto de cliente de Azure Government

Puede generar un nuevo secreto de cliente de Azure con los certificados y secretos. Para obtener más información, consulte los pasos descritos en lasecciónCrear un registro de aplicación para cada suscripción de Azure anteriormente en este artículo.

Agregar una configuración de conector

Cuando todos los requisitos estén listos, cree una configuración del conector de Azure Government:

  1. En el asistente para crear una capa o agregar una versión de capa, haga clic en lafichaConector.
  2. En la lista de Configuraciones de conectores, haga clic en Nuevo para abrir un cuadro de diálogo.
  3. Seleccione el tipo de conector para la plataforma y la ubicación en la que está creando la capa o publicando la imagen. A continuación, haga clic en Nuevo para abrir lapágina Configuracióndel conector.
  4. Complete los campos de lapágina Configuracióndel Conector. Para obtener orientación, consulte las definiciones de campo.
  5. Haga clic en elbotónPROBAR para comprobar que el dispositivo puede acceder a la ubicación especificada mediante las credenciales proporcionadas.
  6. Haga clic en Guardar. La nueva configuración del conector aparece en la ficha Conector

Estructura de datos de Azure Government (referencia)

La estructura de datos de Azure Government es la siguiente:

Arrendatario

  • ID de arrendatario
  • Registro de aplicaciones
    • ID de cliente
    • Secreto del cliente
  • Suscripción
  • ID de suscripción
    • Cuenta de almacenamiento
      • Nombre de la cuenta de almacenamiento

donde:

  • Arrendatario es la instancia de Azure Government Active Directory que los usuarios y las aplicaciones pueden usar para acceder a Azure Government. El arrendatario se identifica mediante su ID de arrendatario. Un arrendatario puede tener acceso a una o más suscripciones de Azure Government.
  • El arrendatario de Azure Government Active Directory contiene dos tipos de cuentas.
    • Una cuenta de usuario para iniciar sesión en el portal de Azure Government (portal.azure.us).
    • Un registro de aplicación para acceder a la suscripción tiene un ID de cliente.
      • El ID de cliente tiene un secreto de cliente, en lugar de una contraseña.
      • Los usuarios pueden generar el secreto del cliente y eliminarlo.
  • Una suscripción de Azure Government contiene todo lo que se puede crear en Azure Government, excepto las cuentas de usuario.
  • Una suscripción contiene cuentas de almacenamiento. Aquí es donde se almacenan los VHD de App Layering. Se identifica mediante un nombre de cuenta de almacenamiento.
MS Azure Government