App Layering

MS Azure Government

Al crear capas en Azure Government, use una configuración de conector de MS Azure Government. Este artículo describe los campos incluidos en la configuración del conector. Para obtener más información sobre los conectores de App Layering, consulte Configuración de conectores.

Una configuración de conector contiene las credenciales que utiliza el dispositivo para acceder a una ubicación específica de Azure Government. Su organización puede tener una cuenta de Azure Government y varias ubicaciones de almacenamiento. Necesita una configuración de conector para que el dispositivo tenga acceso a cada ubicación de almacenamiento.

Antes de crear una configuración de conector de Azure Government

En esta sección se explica:

  • Información de la cuenta de Azure Government necesaria para crear esta configuración de conector.
  • El almacenamiento de Azure Government que necesita para App Layering.
  • Los servidores con los que se comunica el dispositivo.

Información necesaria de la cuenta de Azure

El conector de Azure Government necesita la misma información que el conector de Azure.

Configuración de Azure Government

  • Nombre: Nombre que se utiliza para una nueva configuración de conector.
  • ID de suscripción: Para implementar máquinas virtuales Azure, su organización debe tener un ID de suscripción.
  • ID de arrendatario: Instancia de Azure Active Directory, este GUID identifica la instancia dedicada de Azure Active Directory (AD) de su organización.
  • ID de cliente: Identificador del registro de aplicaciones, que su organización ha creado para App Layering.
  • Secreto de cliente: La contraseña del ID de cliente que está utilizando. Si ha olvidado el secreto del cliente, puede crear uno nuevo. Nota: Los secretos de cliente están asociados lógicamente con los arrendatarios de Azure, por lo que cada vez que utilice una nueva suscripción e ID de arrendatario, debe usar un nuevo secreto de cliente.
  • Almacenamiento estándar de Azure (obligatorio): una cuenta de almacenamiento para máquinas virtuales de Azure (archivos VHD), el archivo de plantilla que se usa para implementar máquinas virtuales de Azure y los archivos de diagnóstico de arranque de esas máquinas. Cuando especifica el almacenamiento Premium, que es opcional, las máquinas virtuales se almacenan allí y la plantilla y los archivos de diagnóstico de arranque permanecen en el almacenamiento estándar.

    La cuenta de almacenamiento ya debe haberse creado en el portal de Azure Government y el nombre que escriba debe coincidir con el nombre del portal. Para obtener más información, consulta Configurar las cuentas de almacenamiento necesarias a continuación.

  • Almacenamiento premium (opcional): más almacenamiento para las máquinas virtuales de Azure (archivos VHD). El almacenamiento premium solo admite blobs de página. No puede usar almacenamiento premium para almacenar el archivo de plantilla para implementar máquinas virtuales de Azure, ni los archivos de diagnóstico de arranque para esas máquinas virtuales. Cuando especifica una cuenta de almacenamiento premium, los tamaños de máquina virtual disponibles se limitan a los que admiten almacenamiento premium.

    La cuenta de almacenamiento ya debe haberse creado en el portal de Azure Government y el nombre que escriba debe coincidir con el nombre del portal. Para obtener más información, consulte Configurar las cuentas de almacenamiento necesarias más adelante en este artículo.

Cuenta de almacenamiento de Azure gubernamental requerida

Cualquier cuenta que utilices para App Layering debe cumplir los siguientes requisitos:

  • No debe ser una cuenta de almacenamiento clásica.
  • Debe ser independiente de la cuenta de almacenamiento utilizada para el dispositivo.
  • Debe estar en la ubicación de Azure Government donde planea implementar máquinas virtuales.
  • Se puede ubicar en cualquier grupo de recursos, siempre que la ubicación del grupo de recursos sea la misma que la ubicación de la cuenta.

Cuenta de almacenamiento estándar requerida

Se requiere uno de los siguientes tipos de cuentas de almacenamiento estándar de Azure Government) para crear una configuración de conector.

  • Almacenamiento de información con redundancia local estándar (LRS)
  • Almacenamiento de información georredundante estándar (GRS)
  • Almacenamiento de información georredundante de acceso de lectura estándar (RAGRS)

Al crear el almacenamiento estándarnecesario, active Blob Public Access para esta cuenta. De lo contrario, los intentos de publicar imágenes fallan con el error:

"A failure occurred while creating a storage container in the Azure storage account: Public access is not permitted on this storage account." 

Cuenta de almacenamiento premium

Además de la cuenta Standard necesaria, puede usar el almacenamiento Premium para almacenar los discos de su máquina virtual App Layering.

Servidores con los que el dispositivo se comunica

Mediante este conector, el dispositivo se comunica con los siguientes servidores:

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.us.govcloudapi.net
  • portal.azure.us/#create/Microsoft.Template/uri/
  • blob.core.us.govcloudapi.net

El dispositivo requiere conexiones de red con estos servidores.

Configurar su suscripción de Azure Government

Utilice los siguientes procedimientos para cada suscripción de Azure Government que quiera conectar con el dispositivo App Layering.

Configurar y obtener las credenciales de Azure Government

Al agregar una nueva configuración del conector de MS Azure Government, recupere las credenciales de Azure Government de la siguiente manera:

  • Identifique su ID de suscripción de Azure Government
  • Cree un registro de aplicaciones en Azure Government Active Directory.
  • Obtenga el ID de arrendatario, el ID de cliente y el secreto de cliente de Azure Government del registro de aplicaciones.
  • Cree una nueva cuenta de almacenamiento o use una existente dentro de la suscripción.

Identificar el ID de suscripción de Azure Government

  1. Vaya al portal de Azure Government.
  2. Haga clic en Suscripcionesy busca la suscripción que necesitas en la lista.
  3. Seleccione y copie el ID de suscripción y péguelo en el campo ID de suscripción de configuración del conector.

Crear un registro de aplicación para cada suscripción de Azure Government

Puede usar una suscripción de Azure Government para varias configuraciones de conectores de Azure. Cada suscripción que quiera utilizar para las configuraciones del conector de App Layering requiere un registro de aplicaciones.

Para crear un registro de aplicación:

  1. Inicie sesión en el portal Azure Government.
  2. Haga clic en Azure Active Directory. Si Azure Active Directory no aparece en la lista, haga clic en Más servicios y busque Azure Government Active Directory.
  3. En la parte izquierda, debajo de Administrar, selecciona Registros de aplicaciones.
  4. En la parte superior de la página, haga clic en Nuevo registro. Aparece un formulario.
  5. En el campo Nombre, escriba un nombre descriptivo, como “Acceso a Citrix App Layering”.
  6. En Tipos de cuentas compatibles, seleccione Cuentas en este directorio organizativo únicamente (soloMi empresa: Arrendatario único).
  7. En URL de redireccionamiento, escriba https://myapp.com/auth.
  8. Haga clic en Registrar.
  9. En la lista de registros de aplicaciones, haga clic en el nuevo registro de aplicaciones que creó en el procedimiento anterior.
  10. En la nueva ventana que aparece, el ID de aplicación aparece cerca de la parte superior. Introduzca este valor en el cuadro ID de cliente de la configuración del conector que va a crear.
  11. Desplácese hacia la derecha para ver las propiedades de la aplicación, incluidos el nombre para mostrar, el ID de aplicación y otros valores.
  12. Copie el valor de ID de directorio (arrendatario) y péguelo en el campo ID de arrendatario de la configuración del conector.
  13. En la columna izquierda, debajo de Administrar, haga clic en Certificados y secretos.
  14. Agregue un nuevo secreto de cliente para la aplicación App Layering, con una descripción como “App Layering Key 1”.
  15. Escriba el valor del nuevo secreto de cliente en la configuración del conector.

    Nota:

    Esta clave no aparece de nuevo después de cerrar esta ventana. Esta clave es información confidencial. Trate la clave como una contraseña que permite el acceso administrativo a su suscripción de Azure Government. Abra la configuración del registro de aplicaciones que acaba de crear en Azure Government Active Directory > Registros de aplicaciones > [nombre que acaba de escribir] > Configuración > Propiedades.

  16. Vuelva a Azure Home y haga clic en Suscripciones. Si las suscripciones no aparecen en la lista, haga clic en Más servicios para localizarla.
  17. Haga clic en la suscripción que está usando para este conector.
  18. En el panel izquierdo, haga clic en Control de acceso (IAM).
  19. En la barra superior del panel de control de acceso, haga clic en Agregar y seleccione Agregar asignación de funciones.
  20. El formulario Agregar asignación de funciones aparece a la derecha. Haga clic en el menú desplegable de Función y selecciona Colaborador.
  21. En el campo Seleccionar, escriba “Acceso a Citrix App Layering” o utilice el nombre que ha introducido para el registro de la aplicación.
  22. Haga clic en el botón Guardar en la parte inferior del formulario.

Ahora ha configurado un registro de aplicación de Azure Government que tiene acceso de lectura/escritura a su suscripción de Azure Government.

Configurar las cuentas de almacenamiento necesarias

Las cuentas de almacenamiento de Azure Government son donde el software de App Layering almacena todas las imágenes importadas y publicadas en Azure Government (discos duros virtuales o VHD), junto con el archivo de plantilla que se utiliza para implementar máquinas virtuales de Azure Government y los archivos de diagnóstico de inicio para esas máquinas.

Puede usar una cuenta de almacenamiento existente. Debe cumplir estos requisitos:

  • No es una cuenta de almacenamiento clásica.
  • Está en la misma suscripción utilizada en la configuración del conector.

En la configuración del conector de Azure de App Layering, introduzca el nombre de la cuenta de almacenamiento en el campo Cuenta de almacenamiento estándar.

Si no tiene una cuenta de almacenamiento, cree una cuenta de almacenamiento estándar. Las configuraciones de conectores requieren una cuenta estándar, aunque también puede especificar una segunda cuenta de almacenamiento que sea premium.

  1. En la página principal de Azure, haga clic en Cuentas de almacenamiento.
  2. En la ventana Cuentas de almacenamiento, haga clic en Agregar.
  3. En el campo Suscripción, seleccione la suscripción que está usando.
  4. En el campo Grupo de recursos, seleccione Crear nuevo e introduzca un nombre similar al nombre de la cuenta de almacenamiento.
  5. En el campo Nombre de cuenta de almacenamiento, introduzca un nombre que pueda recordar.
  6. Selecciona la ubicación.
  7. En el campo Rendimiento, si esta es la única ubicación de almacenamiento para esta configuración de conector, seleccione Estándar. De lo contrario, elija el tipo que mejor se adapte a sus necesidades.
  8. En el campo Tipo de cuenta, seleccione General purpose v2 o General purpose v1.
  9. En el campo Replicación, seleccione el tipo que necesita.
  10. Para el nivel de acceso (predeterminado), seleccione Caliente o Frío.
  11. Haga clic en Siguiente: redesy seleccione el método de conectividad.
  12. Complete las opciones restantes en Redes, Avanzadas y Etiquetas.
  13. Seleccione Review + Create.
  14. Por último, introduzca el nuevo nombre de la cuenta de almacenamiento en la configuración del conector que va a crear.

Qué hacer si se pierde el secreto de cliente de Azure Government

Puede generar un nuevo secreto de cliente de Azure mediante los certificados y secretos. Para obtener más información, consulte los pasos de la sección Crear un registro de aplicación para cada suscripción de Azure que aparece anteriormente en este artículo.

Agregar una configuración de conector

Cuando todos los requisitos estén listos, cree una configuración del conector de Azure Government:

  1. Haga clic en la página Conectores.
  2. Haga clic en Agregar configuración de conectores para abrir un cuadro de diálogo.
  3. Seleccione el tipo de conector para la plataforma y la ubicación en la que está creando la capa o publicando la imagen. A continuación, haga clic en Nuevo para abrir la página Configuración del conector.
  4. Complete los campos de la página Configuración del conector. Para obtener orientación, consulte las definiciones de campo.
  5. Haga clic en el botón PROBAR para comprobar que el dispositivo puede acceder a la ubicación especificada mediante las credenciales proporcionadas.
  6. Haga clic en Guardar. La nueva configuración del conector aparece en la ficha Conector

Estructura de datos de Azure Government (referencia)

La estructura de datos de Azure Government es la siguiente:

Arrendatario

  • ID de arrendatario
  • Registro de aplicaciones
    • ID de cliente
    • Secreto del cliente
  • Suscripción
  • ID de suscripción
    • Cuenta de almacenamiento
      • Nombre de la cuenta de almacenamiento

Donde:

  • Tenant es la instancia de Active Directory de Azure Government que los usuarios y las aplicaciones pueden usar para acceder a Azure Government El arrendatario se identifica mediante su ID de arrendatario. Un arrendatario puede tener acceso a una o más suscripciones de Azure Government.
  • El arrendatario de Azure Government Active Directory contiene dos tipos de cuentas.
    • Una cuenta de usuario para iniciar sesión en el portal de Azure Government (portal.azure.us).
    • El registro de una aplicación para acceder a la suscripción tiene un ID de cliente.
      • El ID de cliente tiene un secreto de cliente, en lugar de una contraseña.
      • Los usuarios pueden generar el secreto del cliente y eliminarlo.
  • Una suscripción de Azure Government contiene todo lo que se puede crear en Azure Government, excepto las cuentas de usuario.
  • Una suscripción contiene cuentas de almacenamiento. Aquí es donde se almacenan los VHD de App Layering. Se identifica mediante un nombre de cuenta de almacenamiento.
MS Azure Government