App Layering

Gouvernement MS Azure

Lors de la création de couches dans Azure Government, utilisez une configuration de connecteur MS Azure Government. Cet article décrit les champs inclus dans la configuration du connecteur. Pour en savoir plus sur les connecteurs App Layering, reportez-vous Configurations de connecteursà la section

Une configuration de connecteur contient les informations d’identification utilisées par l’appliance pour accéder à un emplacement spécifique dans Azure Government. Votre organisation peut disposer d’un compte Azure Government et de plusieurs emplacements de stockage. Vous avez besoin d’une configuration de connecteur pour que l’appliance puisse accéder à chaque emplacement de stockage.

Avant de créer une configuration de connecteur Azure Government

Cette section explique :

  • Informations de compte Azure Government requises pour créer cette configuration de connecteur.
  • Le stockage Azure Government dont vous avez besoin pour App Layering.
  • Serveurs avec lesquels l’appliance communique.

Informations sur le compte Azure requises

Le connecteur Azure Government nécessite les mêmes informations que le connecteur Azure.

Configuration du connecteur Azure Government

  • Nom - Nom que vous utilisez pour une nouvelle configuration de connecteur.
  • ID d’abonnement : pour déployer des machines virtuelles Azure, votre organisation doit disposer d’un ID d’abonnement.
  • ID de locataire - Instance Azure Active Directory, ce GUID identifie l’instance dédiée Azure Active Directory (AD) de votre organisation.
  • ID client : identificateur pour l’enregistrement d’application, que votre organisation a créé pour App Layering.
  • Client Secret - Mot de passe de l’ID client que vous utilisez. Si vous avez oublié le secret client, vous pouvez en créer un nouveau. Remarque : les secrets client sont logiquement associés aux locataires Azure, de sorte que chaque fois que vous utilisez un nouvel abonnement et un nouvel ID de locataire, vous devez utiliser un nouveau secret client.
  • Stockage Azure standard (requis) : compte de stockage pour les machines virtuelles Azure (fichiers VHD), le fichier de modèle que vous utilisez pour déployer des machines virtuelles Azure et les fichiers de diagnostic de démarrage pour ces machines. Lorsque vous spécifiez le stockage Premium, qui est facultatif, les machines virtuelles y sont stockées et les fichiers de diagnostic de modèle et de démarrage restent dans le stockage standard.

    Le compte de stockage doit déjà avoir été créé dans le portail gouvernemental Azure et le nom que vous entrez doit correspondre au nom du portail. Pour plus de détails, voir Configurer les comptes de stockage nécessaires ci-dessous.

  • Stockage Premium (facultatif) : plus de stockage pour les machines virtuelles Azure (fichiers VHD). Le stockage Premium ne prend en charge que les objets blob de page. Vous ne pouvez pas utiliser le stockage Premium pour stocker le fichier modèle pour le déploiement des machines virtuelles Azure, ni les fichiers de diagnostic de démarrage pour ces machines virtuelles. Lorsque vous spécifiez un compte de stockage premium, les tailles de machines virtuelles disponibles sont limitées à celles qui prennent en charge le stockage premium.

    Le compte de stockage doit déjà avoir été créé dans le portail gouvernemental Azure et le nom que vous entrez doit correspondre au nom du portail. Pour plus de détails, consultez la rubrique Configurer les comptes de stockage nécessaires dans cet article.

Compte de stockage gouvernemental Azure requis

Tout compte que vous utilisez pour App Layering doit satisfaire aux exigences suivantes :

  • Ne doit pas être un compte de stockage classique.
  • Doit être séparé du compte de stockage utilisé pour l’appliance.
  • Doit se trouver à l’emplacement gouvernemental Azure où vous prévoyez de déployer des machines virtuelles.
  • Peut être situé dans n’importe quel groupe de ressources, à condition que l’emplacement du groupe de ressources soit le même que celui du compte.

Compte de stockage standard requis

L’un des types suivants de comptes de stockage Standard Azure Government) est requis pour créer une configuration de connecteur.

  • Stockage local redondant standard (LRS)
  • Stockage géo-redondant standard (GRS)
  • Stockage géo-redondant en lecture standard (RAGRS)

Lors de la création du stockage standardrequis, activez Blob Public Access pour ce compte. Sinon, les tentatives de publication d’images échouent avec l’erreur :

« Un échec s'est produit lors de la création d'un conteneur de stockage dans le compte de stockage Azure : l'accès public n'est pas autorisé sur ce compte de stockage. «  

Compte de stockage premium

En plus du compte Standard requis, vous pouvez utiliser le stockage Premium pour stocker vos disques de machine virtuelle App Layering.

Serveurs avec lesquels l’appliance communique

À l’aide de ce connecteur, l’appliance communique avec les serveurs suivants :

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/ #create /Microsoft.Template/URI/
  • blob.core.usgovcloudapi.net

L’appliance nécessite des connexions réseau avec ces serveurs.

Configurer votre abonnement Azure Government

Utilisez les procédures suivantes pour chaque abonnement Azure Government que vous souhaitez vous connecter à l’appliance App Layering.

Configurer et récupérer vos informations d’identification Azure Government

Lorsque vous ajoutez une nouvelle configuration de connecteur MS Azure Government, récupérez vos informations d’identification Azure Government comme suit :

  • Identifiez votre ID d’abonnement Azure Government.
  • Créez un enregistrement d’application dans Azure Government Active Directory.
  • Récupérez l’ID client Azure Government, l’ID client et le secret client à partir de l’enregistrement de l’application.
  • Créez un nouveau compte de stockage ou utilisez un compte existant dans l’abonnement.

Identifier l’ID d’abonnement Azure Government correct

  1. Accédez au Portail Azure Government.
  2. Cliquez sur Abonnements, puis recherchez l’abonnement dont vous avez besoin dans la liste.
  3. Sélectionnez et copiez l’ID d’abonnement, puis collez-le dans le champ ID d’abonnement de configuration du connecteur.

Créer une inscription d’application pour chaque abonnement Azure Government

Vous pouvez utiliser un abonnement Azure Government pour plusieurs configurations de connecteurs Azure. Chaque abonnement que vous souhaitez utiliser pour vos configurations de connecteur App Layering nécessite un enregistrement d’application.

Pour créer un enregistrement d’application :

  1. Connectez-vous au Portail Azure Government.
  2. Cliquez sur Azure Active Directory. Si Azure Active Directory n’est pas répertorié, cliquez sur Autres services et recherchez Azure Government Active Directory.
  3. Sur la gauche, sous Gérer, sélectionnez Enregistrements d’applications.
  4. En haut de la page, cliquez sur Nouvelle inscription. Un formulaire s’affiche.
  5. Dans le champ Nom, tapez un nom descriptif, tel que « Citrix App Layering Access ».
  6. Pour Types de compte pris en charge, sélectionnez Comptes dans ce répertoire organisationnel uniquement (Ma société uniquement - locataire unique).
  7. Pour URL de redirection, tapez https://myapp.com/auth.
  8. Cliquez sur Enregistrer.
  9. Dans la liste des inscriptions d’application, cliquez sur le nouvel enregistrement d’application que vous avez créé dans la procédure précédente.
  10. Dans la nouvelle fenêtre qui apparaît, l’ID d’application apparaît en haut. Entrez cette valeur dans la zone ID client de la configuration du connecteur que vous créez.
  11. Faites défiler vers la droite pour afficher les propriétés de l’application, y compris le nom complet, l’ID de l’application et d’autres valeurs.
  12. Copiez la valeur de l’ ID d’annuaire (locataire) et collez-la dans le champ ID du locataire dans la configuration du connecteur.
  13. Dans la colonne de gauche, sous Gérer, cliquez sur Certificats et secrets.
  14. Ajoutez un nouveau secret client pour l’application Application Layering, avec une description telle que « App Layering Key 1”.
  15. Tapez la valeur du nouveau Client Secret dans la configuration du connecteur.

    Remarque :

    Cette clé n’apparaît plus après la fermeture de cette fenêtre. Cette clé est une information sensible. Traitez la clé comme un mot de passe qui autorise l’accès administratif à votre abonnement Azure Government. Ouvrez les paramètres de l’enregistrement de l’application que vous venez de créer dans Azure Government Active Directory > Enregistrements d’applications > [Nom que vous venez de saisir] > Paramètres > Propriétés.

  16. Revenez à Azure Home, puis cliquez sur Abonnements. Si Abonnements ne figure pas dans la liste, cliquez sur Autres services pour le localiser.
  17. Cliquez sur l’abonnement que vous utilisez pour ce connecteur.
  18. Dans le panneau gauche, cliquez sur Contrôle d’accès (IAM).
  19. Dans la barre supérieure du panneau de configuration Access, cliquez sur Ajouter et sélectionnez Ajouter une attribution de rôle.
  20. L’écran Ajouter une attribution de rôle apparaît à droite. Cliquez sur le menu déroulant Rôle et sélectionnez Contributeur.
  21. Dans le champ Sélectionner, tapez « Citrix App Layering Access » ou utilisez le nom que vous avez entré pour l’enregistrement de l’application.
  22. Cliquez sur le bouton Enregistrer en bas du formulaire.

Vous avez maintenant configuré un enregistrement d’application Azure Government qui dispose d’un accès en lecture/écriture à votre abonnement Azure Government.

Configurer le (s) compte (s) de stockage nécessaire

Le ou les comptes de stockage Azure Government sont l’endroit où le logiciel App Layering stocke toutes les images importées et publiées dans Azure Government (disques durs virtuels ou VHD), ainsi que le fichier modèle que vous utilisez pour déployer des machines virtuelles Azure Government et les fichiers de diagnostic de démarrage pour ces machines.

Vous pouvez utiliser un compte de stockage existant. Il doit satisfaire aux exigences suivantes :

  • Ce n’est pas un compte de stockage classique.
  • Il est dans le même abonnement que celui utilisé dans la configuration du connecteur.

Dans l’assistant de configuration du connecteur Azure de App Layering, entrez le nom du compte de stockage dans le champ Compte de stockage standard.

Si vous n’avez pas de compte de stockage, créez un compte de stockage standard. Les configurations de connecteurs nécessitent un compte standard, bien que vous puissiez également spécifier un deuxième compte de stockage premium.

  1. Sur la page d’accueil Azure, cliquez sur Comptes de stockage.
  2. Dans la fenêtre Comptes de stockage, cliquez sur Ajouter.
  3. Dans le champ Abonnement, sélectionnez l’abonnement que vous utilisez.
  4. Dans le champ Groupe de ressources, sélectionnez Créer un nouveau et entrez un nom similaire au nom du compte de stockage.
  5. Dans le champ Nom du compte de stockage, entrez un nom dont vous vous souviendrez.
  6. Sélectionnez l’ emplacement.
  7. Dans le champ Performances, s’il s’agit du seul emplacement de stockage pour cette configuration de connecteur, sélectionnez Standard. Sinon, choisissez le type le plus adapté à vos besoins.
  8. Dans le champ Type de compte, sélectionnez Usage général v2 ou Usage général v1.
  9. Dans le champ Réplication, sélectionnez le type dont vous avez besoin.
  10. Pour le niveau Accès (par défaut), sélectionnez Chaud ou Froid.
  11. Cliquez sur Suivant : Mise en réseau, puis sélectionnez la méthode de connectivité.
  12. Complétez les options restantes sous Mise en réseau, Avancé et Balises.
  13. Sélectionnez Révision + Créer.
  14. Enfin, entrez le nouveau nom du compte de stockage dans la configuration du connecteur que vous créez.

Que faire si votre secret client Azure Government est perdu

Vous pouvez générer un nouveau Secret client Azure à l’aide des certificats et secrets. Pour plus d’informations, consultez les étapes de la section Créer un enregistrement d’application pour chaque abonnement Azure plus haut dans cet article.

Ajouter une configuration de connecteur

Lorsque toutes les exigences sont prêtes, créez une configuration de connecteur Azure Government :

  1. Dans l’assistant de création d’une couche ou d’ajout d’une version de couche, cliquez sur l’onglet Connecteur.
  2. Sous la liste Configurations de connecteur, cliquez sur Nouveau pour ouvrir une boîte de dialogue.
  3. Sélectionnez le type de connecteur pour la plate-forme et l’emplacement où vous créez la couche ou publiez l’image. Cliquez ensuite sur Nouveau pour ouvrir la page Configuration du connecteur.
  4. Complétez les champs de la page Configuration du connecteur. Pour obtenir des conseils, voir les définitions des champs.
  5. Cliquez sur le bouton TEST pour vérifier que l’appliance peut accéder à l’emplacement spécifié à l’aide des informations d’identification fournies.
  6. Cliquez sur Enregistrer. La nouvelle configuration du connecteur apparaît sous l’onglet Connecteur.

Structure de données Azure Government (Référence)

La structure de données Azure Government est la suivante :

Locataire

  • ID de locataire
  • Inscription de l’application
    • ID client
    • Clé secrète client
  • Abonnement
  • ID d’abonnement
    • Compte de stockage
      • Nom du compte de stockage

où :

  • Lelocataire est votre instance Azure Government Active Directory que les utilisateurs et les applications peuvent utiliser pour accéder à Azure Government. Le locataire est identifié par votre ID de locataire. Un locataire peut avoir accès à un ou plusieurs abonnements Azure Government.
  • Le client Azure Government Active Directory contient deux types de comptes.
    • Un compte d’utilisateur pour se connecter au portail Azure Government (portal.azure.us).
    • Un enregistrement d’application pour accéder à l’abonnement a un ID client.
      • L’ID client a un secret client, au lieu d’un mot de passe.
      • Les utilisateurs peuvent générer le secret client et le supprimer.
  • Un abonnement Azure Government contient tout ce qui peut être créé dans Azure Government, à l’exception des comptes d’utilisateurs.
  • Un abonnement contient des comptes de stockage. C’est là que les VHD App Layering sont stockés. Il est identifié par un nom de compte de stockage.
Gouvernement MS Azure