App Layering

Gouvernement MS Azure

Lors de la création de couches dans Azure Government, utilisez une configuration de connecteur MS Azure Government. Cet article décrit les champs inclus dans la configuration du connecteur. Pour en savoir plus sur les connecteurs App Layering, consultez Configurations des connecteurs.

Une configuration de connecteur contient les informations d’identification utilisées par l’appliance pour accéder à un emplacement spécifique dans Azure Government. Votre organisation peut disposer d’un compte Azure Government et de plusieurs emplacements de stockage. Vous avez besoin d’une configuration de connecteur pour que l’appliance puisse accéder à chaque emplacement de stockage.

Avant de créer une configuration de connecteur Azure Government

Cette section explique :

  • Informations de compte Azure Government requises pour créer cette configuration de connecteur.
  • Le stockage Azure Government dont vous avez besoin pour App Layering.
  • Serveurs avec lesquels l’appliance communique.

Informations sur le compte Azure requises

Le connecteur Azure Government nécessite les mêmes informations que le connecteur Azure.

Configuration du connecteur Azure Government

  • Nom  : nom que vous utilisez pour une nouvelle configuration de connecteur.
  • ID d’abonnement  : pour déployer des machines virtuelles Azure, votre organisation doit disposer d’un ID d’abonnement.
  • ID de locataire  : instance Azure Active Directory, ce GUID identifie l’instance dédiée d’Azure Active Directory (AD) de votre organisation.
  • ID client  : identificateur de l’enregistrement de l’application, que votre organisation a créé pour App Layering.
  • Client Secret  : mot de passe correspondant à l’ID client que vous utilisez. Si vous avez oublié le secret client, vous pouvez en créer un nouveau. Remarque : Les secrets client sont associés logiquement aux locataires Azure. Par conséquent, chaque fois que vous utilisez un nouvel abonnement et un nouvel ID de locataire, vous devez utiliser un nouveau secret client.
  • Stockage Azure standard (requis) : un compte de stockage pour les machines virtuelles Azure (fichiers VHD), le fichier de modèle que vous utilisez pour déployer des machines virtuelles Azure et les fichiers de diagnostic de démarrage pour ces machines. Lorsque vous spécifiez le stockage Premium, qui est facultatif, les machines virtuelles y sont stockées et le modèle et les fichiers de diagnostic de démarrage restent dans le stockage standard.

    Le compte de stockage doit déjà avoir été créé dans le portail gouvernemental Azure et le nom que vous entrez doit correspondre au nom du portail. Pour plus de détails, consultez la section Configurer les comptes de stockage nécessaires ci-dessous.

  • Stockage Premium (facultatif) : davantage de stockage pour les machines virtuelles Azure (fichiers VHD). Le stockage Premium ne prend en charge que les objets blob de page. Vous ne pouvez pas utiliser le stockage Premium pour stocker le fichier modèle pour le déploiement des machines virtuelles Azure, ni les fichiers de diagnostic de démarrage pour ces machines virtuelles. Lorsque vous spécifiez un compte de stockage premium, les tailles de machines virtuelles disponibles sont limitées à celles qui prennent en charge le stockage premium.

    Le compte de stockage doit déjà avoir été créé dans le portail gouvernemental Azure et le nom que vous entrez doit correspondre au nom du portail. Pour plus de détails, consultez la section Configurer les comptes de stockage nécessaires plus loin dans cet article.

Compte de stockage gouvernemental Azure requis

Tout compte que vous utilisez pour App Layering doit satisfaire aux exigences suivantes :

  • Il ne doit pas s’agir d’un compte de stockage classique.
  • Doit être séparé du compte de stockage utilisé pour l’appliance.
  • Doit se trouver à l’emplacement gouvernemental Azure où vous prévoyez de déployer des machines virtuelles.
  • Peut être situé dans n’importe quel groupe de ressources, à condition que l’emplacement du groupe de ressources soit le même que celui du compte.

Compte de stockage standard requis

L’un des types suivants de comptes de stockage Standard Azure Government) est requis pour créer une configuration de connecteur.

  • Stockage local redondant standard (LRS)
  • Stockage géo-redondant standard (GRS)
  • Stockage géo-redondant en lecture standard (RAGRS)

Lorsque vous créez le stockage standard requis, activez l’accès public Blob pour ce compte. Sinon, les tentatives de publication d’images échouent avec l’erreur :

"A failure occurred while creating a storage container in the Azure storage account: Public access is not permitted on this storage account." 

Compte de stockage premium

En plus du compte Standard requis, vous pouvez utiliser le stockage Premium pour stocker les disques de vos machines virtuelles App Layering.

Serveurs avec lesquels l’appliance communique

À l’aide de ce connecteur, l’appliance communique avec les serveurs suivants :

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/#create/Microsoft.Template/uri/
  • blob.core.usgovcloudapi.net

L’appliance nécessite des connexions réseau avec ces serveurs.

Configurer votre abonnement Azure Government

Utilisez les procédures suivantes pour chaque abonnement Azure Government que vous souhaitez vous connecter à l’appliance App Layering.

Configurer et récupérer vos informations d’identification Azure Government

Lorsque vous ajoutez une nouvelle configuration de connecteur MS Azure Government, récupérez vos informations d’identification Azure Government comme suit :

  • Identifiez votre ID d’abonnement Azure Government.
  • Créez un enregistrement d’application dans Azure Government Active Directory.
  • Récupérez l’ID client Azure Government, l’ID client et le secret client à partir de l’enregistrement de l’application.
  • Créez un nouveau compte de stockage ou utilisez un compte existant dans l’abonnement.

Identifier l’ID d’abonnement Azure Government correct

  1. Accédez au portail Azure Government.
  2. Cliquez sur Abonnements, puis recherchez l’abonnement dont vous avez besoin dans la liste.
  3. Sélectionnez et copiez l’ID d’abonnement, puis collez-le dans le champ ID d’abonnement de configuration du connecteur.

Créer une inscription d’application pour chaque abonnement Azure Government

Vous pouvez utiliser un abonnement Azure Government pour plusieurs configurations de connecteurs Azure. Chaque abonnement que vous souhaitez utiliser pour vos configurations de connecteur App Layering nécessite un enregistrement d’application.

Pour créer un enregistrement d’application :

  1. Connectez-vous au portail Azure Government.
  2. Cliquez sur Azure Active Directory. Si Azure Active Directory ne figure pas dans la liste, cliquez sur Plus de services et recherchez Azure Government Active Directory.
  3. Sur la gauche, sous Gérer, sélectionnez Enregistrements d’applications.
  4. En haut de la page, cliquez sur Nouvelle inscription. Un formulaire s’affiche.
  5. Dans le champ Nom, saisissez un nom descriptif, par exemple « Accès Citrix App Layering ».
  6. Pour Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire d’organisation uniquement (Ma société uniquement - Locataire unique).
  7. Pour URL de redirection, tapez https://myapp.com/auth.
  8. Cliquez sur Enregistrer.
  9. Dans la liste des inscriptions d’application, cliquez sur le nouvel enregistrement d’application que vous avez créé dans la procédure précédente.
  10. Dans la nouvelle fenêtre qui apparaît, l’ID d’application apparaît en haut. Entrez cette valeur dans la zone ID client de la configuration de connecteur que vous créez.
  11. Faites défiler vers la droite pour afficher les propriétés de l’application, y compris le nom complet, l’ID de l’application et d’autres valeurs.
  12. Copiez la valeur de l’ID du répertoire (locataire) et collez-la dans le champ ID du locataire de la configuration du connecteur.
  13. Dans la colonne de gauche, sous Gérer, cliquez sur Certificats et secrets.
  14. Ajoutez un nouveau secret client pour l’application Application Layering, avec une description telle que « App Layering Key 1 ».
  15. Tapez la valeur du nouveau secret client dans la configuration du connecteur.

    Remarque :

    Cette clé n’apparaît plus après la fermeture de cette fenêtre. Cette clé est une information sensible. Traitez la clé comme un mot de passe qui autorise l’accès administratif à votre abonnement Azure Government. Ouvrez les paramètres de l’enregistrement de l’application que vous venez de créer dans Azure Government Active Directory > Enregistrements d’applications > [nom que vous venez de saisir] > Paramètres > Propriétés.

  16. Revenez à l’accueil Azure, puis cliquez sur Abonnements. Si les abonnements ne figurent pas dans la liste, cliquez sur Plus de services pour le localiser.
  17. Cliquez sur l’abonnement que vous utilisez pour ce connecteur.
  18. Dans le panneau de gauche, cliquez sur Contrôle d’accès (IAM).
  19. Dans la barre supérieure du panneau de contrôle d’accès, cliquez sur Ajouter et sélectionnez Ajouter une attribution de rôle.
  20. Le formulaire Ajouter une attribution de rôle apparaît sur la droite. Cliquez sur le menu déroulant Rôle et sélectionnez Contributeur.
  21. Dans le champ Sélectionner, saisissez « Accès Citrix App Layering » ou utilisez le nom que vous avez entré pour l’enregistrement de l’application.
  22. Cliquez sur le bouton Enregistrer en bas du formulaire.

Vous avez maintenant configuré un enregistrement d’application Azure Government qui dispose d’un accès en lecture/écriture à votre abonnement Azure Government.

Configurer le (s) compte (s) de stockage nécessaire

Le ou les comptes de stockage Azure Government sont l’endroit où le logiciel App Layering stocke toutes les images importées et publiées dans Azure Government (disques durs virtuels ou VHD), ainsi que le fichier modèle que vous utilisez pour déployer des machines virtuelles Azure Government et les fichiers de diagnostic de démarrage pour ces machines.

Vous pouvez utiliser un compte de stockage existant. Il doit satisfaire aux exigences suivantes :

  • Il ne s’agit pas d’un compte de stockage classique.
  • Il est dans le même abonnement que celui utilisé dans la configuration du connecteur.

Dans la configuration du connecteur Azure App Layering, entrez le nom du compte de stockage dans le champ Compte de stockage standard .

Si vous n’avez pas de compte de stockage, créez un compte de stockage standard . Les configurations de connecteurs nécessitent un compte standard, bien que vous puissiez également spécifier un deuxième compte de stockage premium.

  1. Sur la page d’accueil Azure, cliquez sur Comptes de stockage.
  2. Dans la fenêtre Comptes de stockage, cliquez sur Ajouter.
  3. Dans le champ Abonnement, sélectionnez l’abonnement que vous utilisez.
  4. Dans le champ Groupe de ressources, sélectionnez Créer un nouveau et entrez un nom similaire au nom du compte de stockage.
  5. Dans le champ Nom du compte de stockage, saisissez un nom dont vous vous souviendrez.
  6. Sélectionnez l’emplacement.
  7. Dans le champ Performances, s’il s’agit du seul emplacement de stockage pour cette configuration de connecteur, sélectionnez Standard. Sinon, choisissez le type le plus adapté à vos besoins.
  8. Dans le champ Type de compte, sélectionnez General Purpose v2 ou General Purpose v1.
  9. Dans le champ Réplication, sélectionnez le type dont vous avez besoin.
  10. Pour le niveau d’accès (par défaut), sélectionnez Chaud ou Froid.
  11. Cliquez sur Next : Networking, puis sélectionnez la méthode de connectivité.
  12. Complétez les options restantes sous Mise en réseau, Avancé et Balises.
  13. Sélectionnez Réviser+Créer.
  14. Enfin, saisissez le nom du nouveau compte de stockage dans la configuration du connecteur que vous créez.

Que faire si votre secret client Azure Government est perdu

Vous pouvez générer un nouveau secret client Azure à l’aide des certificats et secrets. Pour plus de détails, consultez les étapes de la section Créer un enregistrement d’application pour chaque abonnement Azure plus haut dans cet article.

Ajouter une configuration de connecteur

Lorsque toutes les exigences sont prêtes, créez une configuration de connecteur Azure Government :

  1. Cliquez sur la page Connecteurs .
  2. Cliquez sur Ajouter une configuration de connecteur pour ouvrir une boîte de dialogue.
  3. Sélectionnez le type de connecteur pour la plate-forme et l’emplacement où vous créez la couche ou publiez l’image. Cliquez ensuite sur Nouveau pour ouvrir la page Configuration du connecteur .
  4. Renseignez les champs de la page Configuration du connecteur . Pour obtenir des conseils, consultez les définitions des champs.
  5. Cliquez sur le bouton TEST pour vérifier que l’appliance peut accéder à l’emplacement spécifié à l’aide des informations d’identification fournies.
  6. Cliquez sur Enregistrer. La nouvelle configuration du connecteur apparaît sous l’onglet Connecteur.

Structure de données Azure Government (Référence)

La structure de données Azure Government est la suivante :

Locataire

  • ID de locataire
  • Enregistrement des applications
    • ID client
    • Clé secrète client
  • Abonnement
  • ID d’abonnement
    • Compte de stockage
      • Nom du compte de stockage

où :

  • Tenant est votre instance Active Directory Azure Government que les utilisateurs et les applications peuvent utiliser pour accéder à Azure Government. Le locataire est identifié par votre ID de locataire. Un locataire peut avoir accès à un ou plusieurs abonnements Azure Government.
  • Le client Azure Government Active Directory contient deux types de comptes.
    • Un compte d’utilisateur pour se connecter au portail Azure Government (portal.azure.us).
    • L’enregistrement d’une application permettant d’accéder à l’abonnement comporte un ID client.
      • L’ID client possède un secret client, au lieu d’un mot de passe.
      • Les utilisateurs peuvent générer le secret client et le supprimer.
  • Un abonnement Azure Government contient tout ce qui peut être créé dans Azure Government, à l’exception des comptes d’utilisateurs.
  • Un abonnement contient des comptes de stockage. C’est là que sont stockés les VHD App Layering. Il est identifié par un nom de compte de stockage.
Gouvernement MS Azure