App Layering

Gouvernement MS Azure

Lors de la création de couches dans Azure Government, utilisez une configuration de connecteur MS Azure Government. Cet article décrit les champs inclus dans la configuration du connecteur. Pour en savoir plus sur les connecteurs App Layering, consultez Configurations de connecteurs.

Une configuration de connecteur contient les informations d’identification utilisées par l’appliance pour accéder à un emplacement spécifique dans Azure Government. Votre organisation peut disposer d’un compte Azure Government et de plusieurs emplacements de stockage. Vous avez besoin d’une configuration de connecteur pour que l’appliance puisse accéder à chaque emplacement de stockage.

Avant de créer une configuration de connecteur Azure Government

Cette section explique :

  • Informations de compte Azure Government requises pour créer cette configuration de connecteur.
  • Le stockage Azure Government dont vous avez besoin pour App Layering.
  • Serveurs avec lesquels l’appliance communique.

Informations sur le compte Azure requises

Le connecteur Azure Government nécessite les mêmes informations que le connecteur Azure.

Configuration du connecteur Azure Government

  • Nom  : nom que vous utilisez pour une nouvelle configuration de connecteur.
  • ID d’abonnement - Pour déployer des machines virtuelles Azure, votre organisation doit disposer d’un ID d’abonnement.
  • ID de locataire : instance Azure Active Directory, ce GUID identifie l’instance dédiée d’Azure Active Directory (AD) de votre organisation.
  • ID client : identifiant de l’enregistrement de l’application, que votre organisation a créé pour la App Layering.
  • Secret client : mot de passe de l’ID client que vous utilisez. Si vous avez oublié le secret client, vous pouvez en créer un nouveau. Remarque : les secrets client sont logiquement associés aux locataires Azure. Par conséquent, chaque fois que vous utilisez un nouvel abonnement et un nouvel ID de locataire, vous devez utiliser un nouveau secret client.
  • Stockage Azure standard (requis) : compte de stockage pour les machines virtuelles Azure (fichiers VHD), fichier modèle que vous utilisez pour déployer des machines virtuelles Azure et fichiers de diagnostic de démarrage pour ces machines. Lorsque vous spécifiez lestockagePremium, qui est facultatif, les machines virtuelles y sont stockées et les fichiers de diagnostic de modèle et de démarrage restent dans le stockage standard.

    Le compte de stockage doit déjà avoir été créé dans le portail gouvernemental Azure et le nom que vous entrez doit correspondre au nom du portail. Pour plus d’informations, voir Configurer les comptes de stockage nécessaires ci-dessous.

  • Stockage Premium (facultatif) : stockage supplémentaire pour les machines virtuelles Azure (fichiers VHD). Le stockage Premium ne prend en charge que les objets blob de page. Vous ne pouvez pas utiliser le stockage Premium pour stocker le fichier modèle pour le déploiement des machines virtuelles Azure, ni les fichiers de diagnostic de démarrage pour ces machines virtuelles. Lorsque vous spécifiez un compte de stockage premium, les tailles de machines virtuelles disponibles sont limitées à celles qui prennent en charge le stockage premium.

    Le compte de stockage doit déjà avoir été créé dans le portail gouvernemental Azure et le nom que vous entrez doit correspondre au nom du portail. Pour plus d’informations, voir Configurer les comptes de stockage nécessaires plus loin dans cet article.

Compte de stockage gouvernemental Azure requis

Tout compte que vous utilisez pour App Layering doit satisfaire aux exigences suivantes :

  • Ne doit pas être un compte de stockage classique.
  • Doit être séparé du compte de stockage utilisé pour l’appliance.
  • Doit se trouver à l’emplacement gouvernemental Azure où vous prévoyez de déployer des machines virtuelles.
  • Peut être situé dans n’importe quel groupe de ressources, à condition que l’emplacement du groupe de ressources soit le même que celui du compte.

Compte de stockage standard requis

L’un des types suivants de comptes de stockage Standard Azure Government) est requis pour créer une configuration de connecteur.

  • Stockage local redondant standard (LRS)
  • Stockage géo-redondant standard (GRS)
  • Stockage géo-redondant en lecture standard (RAGRS)

Lors de la création du stockage standard requis, activez Blob Public Access pour ce compte. Sinon, les tentatives de publication d’images échouent avec l’erreur :

"Un échec s'est produit lors de la création d'un conteneur de stockage dans le compte de stockage Azure : l'accès public n'est pas autorisé sur ce compte de stockage."

Compte de stockage premium

En plus du compte Standard requis, vous pouvez utiliser le stockage Premium pour stocker vos disques de machine virtuelle App Layering.

Serveurs avec lesquels l’appliance communique

À l’aide de ce connecteur, l’appliance communique avec les serveurs suivants :

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/#create/Microsoft.Template/uri/
  • blob.core.usgovcloudapi.net

L’appliance nécessite des connexions réseau avec ces serveurs.

Configurer votre abonnement Azure Government

Utilisez les procédures suivantes pour chaque abonnement Azure Government que vous souhaitez vous connecter à l’appliance App Layering.

Configurer et récupérer vos informations d’identification Azure Government

Lorsque vous ajoutez une nouvelle configuration de connecteur MS Azure Government, récupérez vos informations d’identification Azure Government comme suit :

  • Identifiez votre ID d’abonnement Azure Government.
  • Créez un enregistrement d’application dans Azure Government Active Directory.
  • Récupérez l’ID client Azure Government, l’ID client et le secret client à partir de l’enregistrement de l’application.
  • Créez un nouveau compte de stockage ou utilisez un compte existant dans l’abonnement.

Identifier l’ID d’abonnement Azure Government correct

  1. Accédez au portail Azure Government.
  2. Cliquez sur Abonnements, puis recherchez l’abonnement dont vous avez besoin dans la liste.
  3. Sélectionnez et copiez l’ID d’abonnement, puis collez-le dans lechamp IDd’abonnement de configuration du connecteur.

Créer une inscription d’application pour chaque abonnement Azure Government

Vous pouvez utiliser un abonnement Azure Government pour plusieurs configurations de connecteurs Azure. Chaque abonnement que vous souhaitez utiliser pour vos configurations de connecteur App Layering nécessite un enregistrement d’application.

Pour créer un enregistrement d’application :

  1. Connectez-vous au portail Azure Government.
  2. Cliquez sur Azure Active Directory. Si Azure Active Directory n’est pas répertorié, cliquez sur Autres services et recherchez Azure Government Active Directory.
  3. Sur la gauche, sous Gérer, sélectionnez Enregistrements d’applications.
  4. En haut de la page, cliquez sur Nouvelle inscription. Un formulaire s’affiche.
  5. Dans lechampNom, tapez un nom descriptif, tel que « Citrix App Layering access ».
  6. Pour les types de compte pris en charge, sélectionnez Comptes dans cet annuaire d’organisation uniquement (Mon entreprise uniquement - Locataire unique).
  7. Pour URL de redirection, tapez https://myapp.com/auth.
  8. Cliquez sur Enregistrer.
  9. Dans la liste des inscriptions d’application, cliquez sur le nouvel enregistrement d’application que vous avez créé dans la procédure précédente.
  10. Dans la nouvelle fenêtre qui apparaît, l’ID d’application apparaît en haut. Entrez cette valeur dans lazone IDclient de la configuration du connecteur que vous créez.
  11. Faites défiler vers la droite pour afficher les propriétés de l’application, y compris le nom complet, l’ID de l’application et d’autres valeurs.
  12. Copiez lavaleur d’ID derépertoire (locataire) et collez-la dans lechamp ID delocataire dans la configuration du connecteur.
  13. Dans la colonne de gauche sous Gérer, cliquez sur Certificats et secrets.
  14. Ajoutez un nouveau secret client pour l’application Application Layering, avec une description telle que « App Layering Key 1”.
  15. Saisissez la valeur du nouveau secret client dans la configuration du connecteur.

Remarque :

Cette clé n’apparaît plus après la fermeture de cette fenêtre. Cette clé est une information sensible. Traitez la clé comme un mot de passe qui autorise l’accès administratif à votre abonnement Azure Government. Ouvrez les paramètres de l’enregistrement d’application que vous venez de créer dans Azure Government Active Directory > Enregistrements d’application > [nom que vous venez d’entrer] > Paramètres > Propriétés.

  1. Revenez à Azure Home, puis cliquez sur Abonnements. Si Abonnements n’est pas répertorié, cliquez sur Plus de services pour le localiser.
  2. Cliquez sur l’abonnement que vous utilisez pour ce connecteur.
  3. Dans le panneau de gauche, cliquez sur Contrôle d’accès (IAM).
  4. Dans la barre supérieure du panneau de configuration Accès, cliquez sur Ajouter et sélectionnez Ajouter une attribution de rôle.
  5. L’écran Ajouter une attribution de rôle apparaît à droite. Cliquez sur le menu déroulant Rôle et sélectionnez Collaborateur.
  6. Dans lechampSélectionner, tapez « Citrix App Layering access » ou utilisez le nom que vous avez entré pour l’enregistrement de l’application.
  7. Cliquez sur leboutonEnregistrer au bas du formulaire.

Vous avez maintenant configuré un enregistrement d’application Azure Government qui dispose d’un accès en lecture/écriture à votre abonnement Azure Government.

Configurer le (s) compte (s) de stockage nécessaire

Le ou les comptes de stockage Azure Government sont l’endroit où le logiciel App Layering stocke toutes les images importées et publiées dans Azure Government (disques durs virtuels ou VHD), ainsi que le fichier modèle que vous utilisez pour déployer des machines virtuelles Azure Government et les fichiers de diagnostic de démarrage pour ces machines.

Vous pouvez utiliser un compte de stockage existant. Il doit satisfaire aux exigences suivantes :

  • Il ne s’agit pas d’un compte de stockage classique.
  • Il est dans le même abonnement que celui utilisé dans la configuration du connecteur.

Dans l’assistant de configuration du connecteur Azure App Layering, entrez le nom du compte de stockage dans lechamp Compte de stockagestandard.

Si vous n’avez pas de compte de stockage, créez un comptede stockagestandard. Les configurations de connecteurs nécessitent un compte standard, bien que vous puissiez également spécifier un deuxième compte de stockage premium.

  1. Sur la page d’accueil Azure, cliquez sur Comptes de stockage.
  2. Dans lafenêtre Comptesde stockage, cliquez sur Ajouter.
  3. Dans lechampAbonnement, sélectionnez l’abonnement que vous utilisez.
  4. Dans lechamp Groupe deressources, sélectionnez Créer un nouveau et entrez un nom similaire au nom du compte de stockage.
  5. Dans lechamp Nom du compte destockage, entrez un nom dont vous vous souviendrez.
  6. Sélectionnez l’emplacement.
  7. Dans lechampPerformances, s’il s’agit du seul emplacement de stockage pour cette configuration de connecteur, sélectionnez Standard. Sinon, choisissez le type le plus adapté à vos besoins.
  8. Dans lechamp Type decompte, sélectionnez Usage général v2 ou Usage général v1.
  9. Dans lechampRéplication, sélectionnez le type dont vous avez besoin.
  10. Pour le niveau Accès (par défaut), sélectionnez Chaud ou Froid.
  11. Cliquez sur Suivant : Mise en réseau, puis sélectionnez la méthode de connectivité.
  12. Complétez les options restantes sous Mise en réseau, Avancé et Balises.
  13. Sélectionnez Révision + Créer.
  14. Enfin, entrez le nouveau nom de compte de stockage dans la configuration de connecteur que vous créez.

Que faire si votre secret client Azure Government est perdu

Vous pouvez générer un nouveau secret client Azure à l’aide des certificats et des secrets. Pour plus d’informations, consultez les étapes de lasectionCréer un enregistrement d’application pour chaque abonnement Azure plus haut dans cet article.

Ajouter une configuration de connecteur

Lorsque toutes les exigences sont prêtes, créez une configuration de connecteur Azure Government :

  1. Dans l’assistant de création d’une couche ou d’ajout d’une version de couche, cliquez sur l’onglet Connecteur.
  2. Sous la liste Configurations de connecteur, cliquez sur Nouveau pour ouvrir une boîte de dialogue.
  3. Sélectionnez le type de connecteur pour la plate-forme et l’emplacement où vous créez la couche ou publiez l’image. Cliquez ensuite sur Nouveau pour ouvrir lapage Configuration duconnecteur.
  4. Complétez les champs de lapage Configuration duconnecteur. Pour obtenir des conseils, voir les définitions des champs.
  5. Cliquez sur le bouton TEST pour vérifier que l’appliance peut accéder à l’emplacement spécifié à l’aide des informations d’identification fournies.
  6. Cliquez sur Enregistrer. La nouvelle configuration du connecteur apparaît sous l’onglet Connecteur.

Structure de données Azure Government (Référence)

La structure de données Azure Government est la suivante :

Locataire

  • ID de locataire
  • Inscription de l’application
    • ID client
    • Secret client
  • Abonnement
  • ID d’abonnement
    • Compte de stockage
      • Nom du compte de stockage

où :

  • Locataire est votre instance Azure Government Active Directory que les utilisateurs et les applications peuvent utiliser pour accéder à Azure Government. Le locataire est identifié par votre ID de locataire. Un locataire peut avoir accès à un ou plusieurs abonnements Azure Government.
  • Le client Azure Government Active Directory contient deux types de comptes.
    • Un compte d’utilisateur pour se connecter au portail Azure Government (portal.azure.us).
    • Un enregistrement d’application pour accéder à l’abonnement a un ID client.
      • L’ID client a un secret client, au lieu d’un mot de passe.
      • Les utilisateurs peuvent générer le secret client et le supprimer.
  • Un abonnement Azure Government contient tout ce qui peut être créé dans Azure Government, à l’exception des comptes d’utilisateurs.
  • Un abonnement contient des comptes de stockage. C’est là que les VHD App Layering sont stockés. Il est identifié par un nom de compte de stockage.
Gouvernement MS Azure