Citrix DaaS

Créer un catalogue AWS

La section Créer des catalogues de machines décrit les assistants qui permettent de créer un catalogue de machines. Les informations suivantes couvrent les détails spécifiques aux environnements de virtualisation AWS.

Remarque

Avant de créer un catalogue AWS, vous devez terminer la création d’une connexion à AWS. Voir Connexion à AWS.

Paramètre réseau lors de la préparation de l’image

Lors de la préparation de l’image, une machine virtuelle (machine virtuelle) de préparation est créée sur la base de la machine virtuelle d’origine. Cette machine virtuelle de préparation est déconnectée du réseau. Pour déconnecter le réseau de la machine virtuelle de préparation, un groupe de sécurité réseau est créé pour refuser tout trafic entrant et sortant. Ce groupe de sécurité réseau persiste et est réutilisé. Le nom du groupe de sécurité réseau est Citrix.XenDesktop.IsolationGroup-GUID. Le GUID est généré de manière aléatoire.

Location AWS

AWS propose les options de location suivantes : location partagée (type par défaut) et location dédiée. La location partagée signifie que plusieurs instances Amazon EC2 provenant de clients différents peuvent résider sur le même matériel physique. La location dédiée signifie que vos instances EC2 s’exécutent uniquement sur du matériel avec d’autres instances que vous avez déployées. Les autres clients n’utilisent pas le même matériel.

Vous pouvez utiliser MCS pour provisionner des hôtes dédiés AWS à l’aide de Studio ou PowerShell.

Configuration requise pour le provisioning des hôtes AWS

  • Une image importée (AMI) BYOL (apportez votre propre licence). Avec des hôtes dédiés, utilisez et gérez vos licences existantes.
  • Une allocation d’hôtes dédiés avec une utilisation suffisante pour satisfaire les demandes de provisioning.
  • Activation du placement automatique.

Configurer la location d’hôte dédié AWS à l’aide de Studio

Lorsque vous utilisez MCS pour créer un catalogue afin de provisionner des machines dans AWS, la page Création d’un catalogue de machines > Sécurité présente les options suivantes :

  • Utiliser le matériel partagé. Ce paramètre convient à la plupart des déploiements. Plusieurs clients partagent le matériel même s’ils n’interagissent pas les uns avec les autres. L’utilisation de matériel partagé est l’option la moins coûteuse pour exécuter vos instances Amazon EC2.
  • Utiliser un hôte dédié. Un hôte Amazon EC2 dédié est un serveur physique avec une capacité d’instance EC2 entièrement dédiée, ce qui vous permet d’utiliser les licences logicielles par socket ou par machine virtuelle. Les hôtes dédiés ont une utilisation prédéfinie basée sur le type d’instance. Par exemple, un hôte dédié alloué de types d’instance C4 Large ne peut pas exécuter plus de 16 instances. Consultez le site AWS pour plus d’informations.

    Ce paramètre convient aux déploiements avec des restrictions de licence ou exigences de sécurité qui nécessitent d’utiliser un hôte dédié. Avec un hôte dédié, vous possédez la totalité d’un hôte physique et vous êtes facturé sur une base horaire. Posséder cet hôte vous permet de faire tourner autant d’instances EC2 que cet hôte le permet, sans frais supplémentaires.

  • Utiliser une instance dédiée. Ce paramètre est plus approprié aux déploiements nécessitant des exigences spécifiques en matière de sécurité et conformité. Avec une instance dédiée, vous bénéficiez toujours des avantages d’un hôte séparé des autres clients AWS, mais vous ne payez pas pour la totalité de l’hôte. Vous n’avez pas besoin de vous soucier de la capacité de l’hôte, mais vous êtes facturé à un taux plus élevé pour les instances.

Remarque

Vous pouvez supprimer les disques d’identité de préparation disponibles si aucune tâche de création de catalogue ou de mise à jour d’image n’est en cours.

Configurer les locataires d’hôtes dédiés AWS à l’aide de PowerShell

Vous pouvez également provisionner des hôtes dédiés AWS via PowerShell. Utilisez l’applet de commande New-ProvScheme avec le paramètre TenancyType défini sur Hôte.

Baliser les ressources opérationnelles AWS

Une image de machine Amazon (AMI) représente un type d’appliance virtuelle utilisée pour créer une machine virtuelle dans l’environnement Amazon Cloud, communément appelé EC2. Vous devez utiliser une AMI pour déployer des services qui utilisent l’environnement EC2. Lorsque vous créez un catalogue pour provisionner des machines à l’aide de MCS pour AWS, vous sélectionnez l’AMI en tant qu’image principale pour ce catalogue.

Important :

La création de catalogues à l’aide d’un profil de machine et d’un modèle de lancement est nécessaire au balisage des ressources opérationnelles.

Pour créer un catalogue AWS, vous devez d’abord créer une AMI pour l’instance qui sera l’image principale. MCS lit les balises de cette instance et les incorpore dans le modèle de lancement. Les balises du modèle de lancement sont ensuite appliquées à toutes les ressources Citrix créées dans votre environnement AWS, notamment :

  • Machines virtuelles
  • Disques machine virtuelle
  • Interfaces réseau machine virtuelle
  • Compartiments S3
  • Objets S3
  • Modèles de lancement
  • AMI

Baliser les ressources opérationnelles à l’aide de Studio

Lorsque vous créez un catalogue pour provisionner des machines dans AWS à l’aide de MCS, vous pouvez choisir d’appliquer des balises de machine aux ressources opérationnelles en sélectionnant l’option Appliquer des balises de machine aux ressources opérationnelles sur la page Modèle de machine.

Cette option contrôle s’il faut appliquer des balises de machine à chaque élément créé dans votre environnement AWS afin de faciliter le provisioning des machines. Les ressources opérationnelles sont créées en tant que sous-produits de la création de catalogue. Elles incluent des ressources temporaires et persistantes, telles que les instances de VM de préparation et les images de machine d’Amazon.

Baliser les ressources opérationnelles à l’aide de PowerShell

Pour utiliser PowerShell pour baliser des ressources :

  1. Ouvrez une fenêtre PowerShell à partir de l’hôte DDC.
  2. Exécutez la commande asnp citrix pour charger des modules PowerShell spécifiques à Citrix.

Pour baliser une ressource pour une machine virtuelle provisionnée, utilisez la propriété personnalisée AWSOperationalResourceStagging. Exemple :

  New-ProvScheme -ProvisioningSchemeName test 
  -CustomProperties “AwsOperationalResourcesTagging,true” 
  -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-01xxxxx).launchtemplate\lt-01xxxxx (1).launchtemplateversion" 
  ...   <Other <standard provscheme parameters>
<!--NeedCopy-->

Catalogue compatible MCSIO

L’optimisation du stockage MCS (MCSIO) améliore les performances de la machine virtuelle en mettant en cache les opérations sur disque en mémoire ou sur un petit disque haut débit. Vous pouvez créer un catalogue non persistant compatible MCSIO à l’aide des commandes PowerShell. Pour ce faire, vous devez installer le pilote MCSIO pendant l’installation ou de la mise à niveau du VDA lors de la préparation de l’instance AMI. Par défaut, ce pilote n’est pas installé.

Une fois qu’une AMI MCSIO est préparée (pendant l’installation du VDA, sélectionnez l’option permettant d’inclure le pilote MCSIO dans l’installation), vous pouvez créer un catalogue non persistant compatible MCSIO.

Remarque

L’option permettant de configurer MCSIO avec un cache disque uniquement (sans cache mémoire) à l’aide de Studio a été supprimée dans tous les environnements d’hyperviseurs et de services de cloud.

Création d’un catalogue compatible MCSIO

Les quatre paramètres ajoutés à la commande PowerShell New-ProvScheme sont les suivants :

  • UseWriteBackCache : active la mise en cache (en écriture différée) pour le schéma de provisioning donné
  • WriteBackCacheDiskSize : spécifie la taille en Go du disque temporaire utilisé pour la mise en cache
  • WriteBackCacheMemorySize : spécifie la quantité de mémoire en Mo à utiliser pour la mise en cache. Paramètre facultatif.

Remarque

  • La valeur de WriteBackCacheDiskSize doit être supérieure à zéro car au moins 1 Go de stockage sur disque de cache est requis. La taille du disque de cache ne doit pas être supérieure à la taille du disque du système d’exploitation.
  • La valeur de WriteBackCacheMemorySize doit être différente de zéro et inférieure à la taille de la mémoire du catalogue de machines.

Les propriétés personnalisées qui affectent le MCSIO sont les suivantes :

  • WBCDiskStorageType : définit le type de volume utilisé pour le disque temporaire dans AWS. Ce paramètre accepte un argument de chaîne au format volume-type\[:iops\]\[:throughput\]. Les types de volumes sont les suivants :

    • gp2 : ne pas utiliser les paramètres IOPS et de débit pour ce type de volume
    • gp3 : utiliser les paramètres IOPS et de débit pour ce type de volume
    • io1 : utiliser uniquement le paramètre IOPS pour ce type de volume
    • io2 : utiliser uniquement le paramètre IOPS pour ce type de volume

    Le type de volume par défaut est gp2.

  • PersistWBC : contrôle s’il faut conserver ou supprimer le disque de cache chaque fois que l’instance AWS est mise hors tension. Si la valeur est définie sur true, le disque de cache est conservé. Si la valeur est définie sur false (valeur par défaut), le disque de cache est créé et conservé uniquement pendant la mise sous tension de l’instance AMI.
  • PersistosDisk : contrôle s’il faut conserver ou supprimer le disque du système d’exploitation chaque fois que l’instance AWS est mise hors tension. Si la valeur est définie sur true, le disque du système d’exploitation est conservé. Si la valeur est définie sur false (valeur par défaut), le disque du système d’exploitation est créé et conservé uniquement pendant la mise sous tension de l’instance AMI.

Effectuez les étapes suivantes dans la fenêtre PowerShell pour créer un catalogue non persistant compatible MCSIO :

  1. Ouvrez la fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger des modules PowerShell spécifiques à Citrix.
  3. Créez un catalogue de brokers et un pool d’identités.
  4. Créez le schéma de provisioning. Par exemple :

      $HostingUnitUid = '0xxxx1d9-bbfc-xxxf-bxxb-exxxxxe008b2'
      $MasterImageVM = 'XDHyp:\HostingUnits\ctx-test\aws-apollo-non-persistent-multi-mcsio-vda-win2022 (ami-0bf1810488acbxxxb).template'
      $NetworkMap = @{ 'NetworkPath' = 'XDHyp:\HostingUnits\ctx-test\us-east-1a.availabilityzone\10.0.128.0`/17 (vpc-0fa6e41d72507fxxx).network' }
      $SecurityGroup = $( 'XDHyp:\HostingUnits\ctx-test\us-east-1a.availabilityzone\private.securitygroup' )
      $ServiceOffering = 'XDHyp:\HostingUnits\ctx-test\T3 Medium Instance.serviceoffering'
      $CustomProperties = 'WBCDiskStorageType,gp3:6000:250;PersistWBC,false'
    
    
      $provScheme = New-ProvScheme -ProvisioningSchemeName $CatalogName -HostingUnitUid $HostingUnitUid `
      -IdentityPoolUid $acctPool.IdentityPoolUid -CleanOnBoot `
      -  MasterImageVM $MasterImageVM `
      -NetworkMap $NetworkMap `
      -ServiceOffering $ServiceOffering `
      -SecurityGroup $SecurityGroup `
      -CustomProperties $CustomProperties `
      -UseWriteBackCache -WriteBackCacheDiskSize 16 -WriteBackCacheMemorySize 256
    <!--NeedCopy-->
    
  5. Ajoutez des machines virtuelles au catalogue.

Améliorer les performances de démarrage avec MCSIO

Vous pouvez améliorer les performances de démarrage des machines virtuelles si vous activez MCSIO et définissez les propriétés personnalisées PersistWBC et PersistOSDisk sur true. Avec un tel paramètre, les machines virtuelles peuvent démarrer plus rapidement car elles n’ont pas besoin d’initialiser un nouveau disque de cache ni de recréer un disque racine à partir de leur modèle.

Créer un catalogue de machines basé sur un profil de machine à l’aide de PowerShell

Vous pouvez utiliser un profil de machine pour capturer les propriétés matérielles d’une instance EC2 (VM) ou une version de Launch Template et les appliquer aux machines provisionnées. Les propriétés capturées peuvent inclure, par exemple, les propriétés du volume EBS, le type d’instance, l’optimisation EBS, les options d’UC, le type de locataire, la capacité de mise en veille prolongée et d’autres configurations AWS prises en charge.

Vous pouvez utiliser une instance AWS EC2 (VM) ou une version d’AWS Launch Template comme entrée de profil de machine.

Remarque

Les propriétés de volume EBS sont uniquement dérivées d’un profil de machine.

Remarques importantes

Points importants à prendre en considération lors de la création d’un catalogue de machines MCS :

  • Si vous ajoutez les paramètres des propriétés matérielles d’une machine dans les commandes New-ProvScheme et Set-ProvScheme, les valeurs fournies dans les paramètres écrasent les valeurs du profil de machine.
  • Si vous définissez AwsCaptureInstanceProperties sur true et que vous ne définissez pas la propriété MachineProfile, seuls les rôles IAM et les balises sont capturés.
  • Vous ne pouvez pas définir simultanément AwsCaptureInstanceProperties et MachineProfile.

    Remarque

    La propriété AwsCaptureInstanceProperties est obsolète.

  • Si aucun profil de machine n’est spécifié, vous devez indiquer explicitement les valeurs des propriétés suivantes :

    • Groupe de sécurité
    • Interface réseau élastique ou réseau virtuel
  • Vous pouvez activer AwsOperationalResourcesTagging uniquement si vous activez AwsCaptureInstanceProperties ou si vous spécifiez un profil de machine.

Points importants à prendre en considération après la création d’un catalogue de machines MCS :

  • Vous ne pouvez pas redéfinir un catalogue reposant sur un profil de machine en tant que catalogue ne reposant pas sur un profil de machine.

Créer un catalogue de machines à l’aide d’un profil de machine

Pour créer un catalogue de machines à l’aide d’un profil de machine :

  1. Ouvrez une fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger des modules PowerShell spécifiques à Citrix.
  3. Créez un pool d’identités s’il n’a pas déjà été créé. Par exemple, les opérations suivantes peuvent être effectuées :

      New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain abcdf -NamingSchemeType Numeric
    <!--NeedCopy-->
    
  4. Exécutez la commande New-ProvScheme. Par exemple :

      New-ProvScheme -ProvisioningSchemeName demet-test-1
      -HostingUnitUid aa633238-9xxd-4cf6-80e8-232a758a1xx1
      -IdentityPoolUid 34d5b088-e312-416f-907d-16573xxxxxc4
      -CleanOnBoot
      -MasterImageVM 'XDHyp:\HostingUnits\cvad-test-scalestress\citrix-demet-ami.0 (ami-0ca813xxxxxx061ef).template'
      -MachineProfile 'XdHyp:\HostingUnits\cvad-test-scalestress\us-east-1a.availabilityzone\machine-profile-instance i (i-0xxxxxxxx).vm'
    <!--NeedCopy-->
    
  5. Terminez la création du catalogue.

Mettre à jour le profil de machine

Pour mettre à jour le profil de machine sur un catalogue initialement provisionné avec un profil de machine, procédez comme suit : Vous pouvez également modifier le type de location et la capacité de mise en veille prolongée de la source du profil de machine lors de la modification d’un catalogue de machines MCS.

  1. Exécutez la commande Set-ProvScheme. Par exemple, les opérations suivantes peuvent être effectuées :

      Set-ProvScheme `
      -ProvisioningSchemeUid "<ID" `
      -MachineProfile "XDHyp:\HostingUnits\abc\us-east-1a.availabilityzone\citrix-cvad-machineprofile-instance (i-0xxxxxxxx).vm"
    <!--NeedCopy-->
    

Créer un catalogue avec une version de modèle de lancement à l’aide de PowerShell

Vous pouvez créer un catalogue de machines MCS avec une version du modèle de lancement comme entrée de profil de machine. Vous pouvez également mettre à jour l’entrée d’un catalogue de profils de machines depuis une machine virtuelle vers une version de modèle de lancement et d’une version de modèle de lancement vers une machine virtuelle.

Sur la console AWS EC2, vous pouvez fournir les informations de configuration de l’instance d’un modèle de lancement ainsi que le numéro de version. Lorsque vous spécifiez la version du modèle de lancement en tant qu’entrée de profil de machine lors de la création ou de la mise à jour d’un catalogue de machines, les propriétés de cette version du modèle de lancement sont copiées sur les machines virtuelles VDA provisionnées.

Les propriétés suivantes peuvent être fournies à l’aide de l’entrée de profil de machine ou explicitement en tant que paramètres dans les commandes New-ProvScheme ou Set-ProvScheme. Si elles sont fournies dans les commandes New-ProvScheme ou Set-ProvScheme, elles ont priorité sur les valeurs de profil de machine de ces propriétés.

  • Offre de services
  • Réseaux
  • Groupes de sécurité
  • Type de location

Remarque

Si l’offre de service n’est pas fournie dans le modèle de lancement du profil de machine ou en tant que paramètre dans la commande New-ProvScheme, vous obtenez une erreur appropriée.

Pour créer un catalogue en utilisant la version du modèle de lancement comme entrée de profil de machine :

  1. Ouvrez une fenêtre PowerShell.
  2. Exécutez asnp citrix* pour charger des modules PowerShell spécifiques à Citrix.
  3. Obtenez la liste des versions d’un modèle de lancement. Par exemple :

      XDHyp:\HostingUnits\test\test-mp-sard (lt-01xxxxx).launchtemplate> ls | Select FullPath
    <!--NeedCopy-->
    
  4. Créez un pool d’identités s’il n’a pas été créé. Par exemple :

      New-AcctIdentityPool `
      -IdentityPoolName "abc11" `
      -NamingScheme "abc1-##" `
      -NamingSchemeType Numeric `
      -Domain "citrix-xxxxxx.local" `
      -ZoneUid "xxxxxxxx" `
    <!--NeedCopy-->
    
  5. Créez un schéma de provisioning avec une version de modèle de lancement comme entrée de profil de machine. Par exemple :

      New-ProvScheme `
      -ProvisioningSchemeName "MPLT1" `
      -HostingUnitUid "c7f71f6a-3f45-4xxx-xxxx-xxxxxxxxxx" `
      -IdentityPoolUid "bf3a6ba2-1f80-4xxx-xxxx-xxxxxxxxx" `
      -MasterImageVM "XDHyp:\HostingUnits\xxxd-ue1a\apollo-non-persistent-vda-win2022 (ami-0axxxxxxxxxxx).template" `
      -CleanOnBoot `
      -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-01xxxxx).launchtemplate\lt-01xxxxx (1).launchtemplateversion"
    <!--NeedCopy-->
    
  6. Enregistrez le schéma de provisioning en tant que catalogue de brokers. Par exemple :

      New-BrokerCatalog -Name "MPLT1" `
      -AllocationType Random `
      -Description "Machine profile catalog" `
      -ProvisioningSchemeId fe7df345-244e-4xxxx-xxxxxxxxx `
      -ProvisioningType Mcs `
      -SessionSupport MultiSession `
      -PersistUserChanges Discard
    <!--NeedCopy-->
    
  7. Terminez la création du catalogue.

Mettre à jour la source du profil de machine

Vous pouvez également mettre à jour l’entrée d’un catalogue de profils de machines depuis une machine virtuelle vers une version de modèle de lancement et d’une version de modèle de lancement vers une machine virtuelle. Par exemple :

  • Pour mettre à jour l’entrée d’un catalogue de profils de machines depuis une machine virtuelle vers une version de modèle de lancement, procédez comme suit :

       Set-ProvScheme -ProvisioningSchemeName "CloudServiceOfferingTest" `
       -MachineProfile "XDHyp:\HostingUnits\xxxx-ue1a\machineprofiletest (lt-0bxxxxxxxxxxxx).launchtemplate\lt-0bxxxxxxxxxxxx (1).launchtemplateversion"
     <!--NeedCopy-->
    
  • Pour mettre à jour l’entrée d’un catalogue de profils de machines depuis une version de modèle de lancement vers une machine virtuelle, procédez comme suit :

       Set-ProvScheme -ProvisioningSchemeName "CloudServiceOfferingTest" `
       -MachineProfile "XDHyp:\HostingUnits\sard-ue1a\us-east-1a.availabilityzone\apollo-non-persistent-vda-win2022-2 (i-08xxxxxxxxx).vm"
     <!--NeedCopy-->
    

Crypter le système d’exploitation et les disques d’identité

Vous pouvez créer un catalogue persistant et non persistant de machines virtuelles avec des clés AWS KMS (clé gérée par le client et clé gérée par AWS) pouvant être utilisées pour crypter le disque du système d’exploitation et le disque d’identité (ID).

  • Les clés gérées par AWS sont automatiquement renouvelées chaque année.
  • Le renouvellement automatique des clés gérées par le client est facultatif et ces clés peuvent être gérées manuellement.

Pour en savoir plus sur les clés KMS, consultez les documents AWS suivants :

Pour crypter le disque du système d’exploitation et le disque d’identité, configurez l’une des options suivantes :

  • Utiliser une image principale cryptée (par exemple, une AMI créée à partir d’une instance ou d’un instantané contenant un volume racine EBS crypté avec une clé KMS)
  • Utiliser une source de profil de machine (machine virtuelle ou modèle de lancement) contenant un volume racine EBS crypté.

Limitations

Tenez compte des limitations suivantes :

  • Actuellement, MCS ne prend en charge qu’un seul disque sur l’AMI de l’image principale.
  • Vous ne pouvez pas crypter directement des volumes EBS ou des instantanés non cryptés existants, ni modifier la clé KMS d’un volume crypté existant. Pour cela, vous devez procéder comme suit :

    1. Créez un instantané de ce volume.
    2. Créez un volume à partir de cet instantané
    3. Cryptez le nouveau volume.

Consultez les documents AWS suivants :

Créer un catalogue avec cryptage de disque

Vous pouvez créer un catalogue de machines MCS avec cryptage de disque en utilisant :

  • L’image principale
  • Le profil de la machine

Points à prendre en compte lors de l’utilisation d’une entrée de profil de machine :

  • La clé KMS de l’entrée de profil de machine a priorité sur la clé KMS de l’image principale.
  • Si aucune entrée de profil de machine n’est spécifiée, la clé KMS de l’AMI principale est utilisée pour crypter les disques des machines virtuelles du catalogue.
  • Si des mappages de périphériques en bloc sont présents dans le profil de machine, les périphériques en bloc présents dans le modèle d’image principale (AMI) et dans le profil de machine doivent correspondre. Par exemple, si l’AMI d’un périphérique est définie sur /dev/sda1, un périphérique du profil de machine doit également être défini sur /dev/sda1.
  • S’il n’y a pas de clé dans la source du profil de machine et que l’image principale n’est pas cryptée, les disques des machines virtuelles du catalogue ne sont pas cryptés.
  • Lorsque l’image principale est cryptée, une machine virtuelle source de profil de machine ou un modèle de lancement doit avoir un volume racine crypté pour être considéré comme une entrée valide.

Modifier un catalogue existant

Vous pouvez modifier un catalogue à l’aide de la commande PowerShell Set-ProvScheme pour obtenir :

  • Une entrée de profil de machine dont le volume contient une nouvelle clé KMS.
  • Un modèle d’image principale AMI crypté avec une nouvelle clé KMS.

Remarques importantes :

  • Les volumes des nouvelles machines virtuelles ajoutées au catalogue sont cryptés avec la nouvelle clé KMS.
  • Pour mettre à jour les paramètres de cryptage lorsqu’il existe un profil de machine, exécutez Set-ProvScheme avec un nouveau profil de machine.
  • Vous ne pouvez pas modifier un catalogue existant pour transformer les volumes cryptés en volumes non cryptés. Vous ne pouvez pas mettre à jour une image pour remplacer une AMI principale cryptée en AMI principale non cryptée.

Activer le démarrage sécurisé NitroTPM et UEFI pour les instances de VM

Lorsque vous créez un catalogue, vous pouvez désormais sélectionner une image principale (AMI) avec NitroTPM et/ou le démarrage sécurisé UEFI activé. En conséquence, NitroTPM et/ou le démarrage sécurisé UEFI sont également activés sur les machines virtuelles provisionnées dans le catalogue. Cette implémentation garantit des machines virtuelles sécurisées et fiables. Pour plus d’informations sur NitroTPM et le démarrage sécurisé UEFI, consultez la documentation Amazon.

Limitations

  • Vous pouvez actuellement utiliser NitroTPM et le démarrage sécurisé dans toutes les régions AWS (y compris les régions AWS GovCloud (États-Unis)), à l’exception de la Chine.
  • Vous ne pouvez pas activer NitroTPM et le démarrage sécurisé UEFI sur les catalogues existants. Si vous souhaitez configurer un catalogue avec NitroTPM et le démarrage sécurisé UEFI, vous devez créer un catalogue.

Étapes clés

  1. Configurez votre environnement AWS.
  2. Créez une connexion à AWS.
  3. Créer une image principale (AMI) avec NitroTPM et/ou le démarrage sécurisé UEFI activés.
  4. Créez un catalogue de machines en sélectionnant l’image principale avec NitroTPM et le démarrage sécurisé UEFI activés dans le menu de création de catalogue Web Studio ou lors de la création d’un schéma de provisioning à l’aide des commandes PowerShell.

NitoTPM et le démarrage sécurisé UEFI sont activés sur les machines virtuelles ajoutées au catalogue créé.

Créer une AMI compatible avec NitroTPM et le démarrage sécurisé UEFI

  1. Vous pouvez créer une AMI à partir d’une machine virtuelle sur laquelle NitroTPM et/ou le démarrage sécurisé UEFI sont activés.

    1. Créez l’instance à partir des images AWS Marketplace. Par exemple, recherchez TPM-Windows_Server-2022-English-Full-Base sur aws-marketplace.
    2. Téléchargez VDA mono ou multisession.
    3. Créez une AMI à partir de cette VM.
  2. Utilisez la commande register-image :

      --boot-mode (string)
      --tpm-support (string)
    <!--NeedCopy-->
    

    Pour plus d’informations, consultez register-image.

Consultez les documents AWS suivants :

Vous pouvez ouvrir une fenêtre PowerShell à partir de l’hôte du Delivery Controller pour vérifier les conditions suivantes :

  • Une offre de service prend en charge NitroTPM ou le démarrage sécurisé UEFI.

       (Get-Item -Path “XDHyp:\HostingUnits\aws\T3 Medium Instance.serviceoffering”).AdditionalData.BootMode
       (Get-Item -Path “XDHyp:\HostingUnits\aws\T3 Medium Instance.serviceoffering”).AdditionalData.NitroTpmSupportVersions
     <!--NeedCopy-->
    
  • Le modèle prend en charge NitroTPM ou le démarrage sécurisé UEFI.

       (Get-HypInventoryItem -LiteralPath “XDHyp:\HostingUnits\aws” -ResourceType “template -Id “ID”).AdditionalData.BootMode
    
       (Get-HypInventoryItem -LiteralPath “XDHyp:\HostingUnits\aws” -ResourceType “template -Id “ID”).AdditionalData.TpmSupport
     <!--NeedCopy-->
    

Mettre à jour l’offre de service du catalogue existant

Vous pouvez modifier l’offre de service d’un catalogue existant en utilisant Set-ProvScheme. La modification s’applique aux machines virtuelles récemment d’ajoutées. Toutefois, vous obtenez des erreurs dans les scénarios suivants :

Mode de démarrage des AMI L’AMI est-elle compatible avec NitroTPM ? L’offre de service est-elle compatible avec NitroTPM et le démarrage sécurisé UEFI ?
UEFI Non Non
BIOS hérité Oui Non
UEFI Oui Non
UEFI préféré Oui Non

Copier des balises sur des machine virtuelle

Vous pouvez copier des balises des cartes d’interface réseau et des disques (disque d’identité, disque cache en écriture différée et disque du système d’exploitation) spécifiés dans le profil de la machine vers des machines virtuelles nouvellement créées dans un catalogue de machines MCS. Vous pouvez spécifier ces balises dans n’importe quelle source de profil de machine (instance AWS de machine virtuelle ou version du modèle de lancement AWS). Cette fonctionnalité s’applique aux catalogues de machines et de machine virtuelle persistants et non persistants.

Remarque

  • Sur la console AWS EC2, vous ne pouvez pas voir les valeurs des interfaces réseau de balises sous les balises de ressource de version du modèle de lancement. Cependant, vous pouvez exécuter la commande PowerShell aws ec2 describe-launch-template-versions --launch-template-id lt-0bb652503d45dcbcd --versions 12 pour afficher les spécifications des balises.
  • Si une source de profil de machine (version de machine virtuelle ou de modèle de lancement) possède deux interfaces réseau (eni-1 et eni-2) et que eni-1 possède la balise t1 et eni-2 la balise t2, la machine virtuelle obtient les balises des deux interfaces réseau.

Filtrer les instances de machines virtuelles à l’aide de PowerShell

Une instance de machine virtuelle AWS que vous utilisez comme machine virtuelle de profil de machine doit être compatible pour que le catalogue de machines soit créé et fonctionne correctement. Pour répertorier les instances de machines virtuelles AWS qui peuvent être utilisées comme machines virtuelles d’entrée de profil de machine, vous pouvez exécuter la commande Get-HypInventoryItem. La commande permet de consulter et de filtrer l’inventaire des machines virtuelles disponibles sur une unité d’hébergement.

Pagination :

Get-HypInventoryItem prend en charge deux modes de pagination :

  • Le mode de pagination utilise les paramètres -MaxRecords et -Skip pour renvoyer des ensembles d’éléments :
    • -MaxRecords : la valeur par défaut est 1. Ce paramètre permet de contrôler le nombre d’éléments à renvoyer.
    • -Skip : la valeur par défaut est 0. Ce paramètre permet de contrôler le nombre d’éléments à ignorer depuis le début absolu (ou la fin absolue) de la liste dans l’hyperviseur.
  • Le mode de défilement utilise les paramètres -MaxRecords, -ForwardDirection et -ContinuationToken pour permettre le défilement des enregistrements :
    • -ForwardDirection : la valeur par défaut est Vrai. Ce paramètre est utilisé avec -MaxRecords pour renvoyer soit l’ensemble suivant d’enregistrements correspondants, soit l’ensemble précédent d’enregistrements correspondants.
    • -ContinuationToken : ce paramètre renvoie les éléments immédiatement après (ou avant si ForwardDirection est défini sur faux), mais n’incluant pas l’élément donné dans ContinuationToken.

Exemples de pagination :

  • Pour renvoyer un seul enregistrement du modèle de machine portant le nom figurant en haut de la liste, procédez comme suit. Le champ AdditionalData contient TotalItemsCount et TotalFilteredItemsCount :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template
     <!--NeedCopy-->
    
  • Pour renvoyer dix enregistrements du modèle de machine portant le nom figurant en bas de la liste, procédez comme suit :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 10 | select Name
     <!--NeedCopy-->
    
  • Pour renvoyer un tableau d’enregistrements se terminant par le nom figurant en haut de la liste, procédez comme suit :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -ForwardDirection $False -MaxRecords 10 | select Name
     <!--NeedCopy-->
    
  • Pour renvoyer un tableau d’enregistrements commençant au modèle de machine associé au ContinuationToken donné :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -ContinuationToken "ami-07xxxxxxxxxx" -MaxRecords 10
     <!--NeedCopy-->
    

Filtrage :

Les paramètres facultatifs supplémentaires suivants sont pris en charge pour le filtrage. Vous pouvez combiner ces paramètres avec les options de pagination.

  • -ContainsName "my_name": If the given string matches part of an AMI name, then the AMI is included in the Get result. Par exemple :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 100 -ContainName ‘apollo’ | select Name
     <!--NeedCopy-->
    
  • -Tags '{ "Key0": "Value0", "Key1": "Value1", "Key2": "Value2" }': If an AMI has at least one of these tags, it is included in the Get result. Par exemple :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -MaxRecords 100 -Tags '{"opex owner": "Not tagged"}' | select Name
     <!--NeedCopy-->
    

    Remarque

    Deux valeurs de balise sont prises en charge. La valeur de balise Not Tagged correspond aux éléments qui ne possèdent pas la balise spécifiée dans leur liste de balises. La valeur de balise All values correspond aux éléments qui possèdent la balise, quelle que soit la valeur de la balise. Dans le cas contraire, la correspondance ne se produit que si l’élément possède la balise et que si la valeur est égale à celle indiquée dans le filtre.

  • -Id "ami-0a2d913927e0352f3": If the AMI matches the given ID, it is included in the Get result. Par exemple :

       Get-HypInventoryItem -LiteralPath "XDHyp:\HostingUnits\ctx-test" -ResourceType template -Id ami-xxxxxxxxxxxxx
     <!--NeedCopy-->
    

Filtrage avec le paramètre AdditionalData :

Le paramètre de filtre AdditionalData répertorie les modèles ou les machines virtuelles en fonction de leur capacité, de leur offre de services ou de toute propriété figurant dans AdditionalData. Par exemple :

  (Get-HypInventoryItem -ResourceType "launchtemplateversion" -LiteralPath "XDHyp:\HostingUnits\aws" -MaxRecords 200).AdditionalData
<!--NeedCopy-->

Vous pouvez également ajouter un paramètre -Warn pour indiquer les VM incompatibles. Les machines virtuelles sont incluses avec un champ AdditionalData nommé Avertissement. Par exemple :

  (Get-HypInventoryItem -ResourceType "launchtemplateversion" -LiteralPath "XDHyp:\HostingUnits\aws" -MaxRecords 200 -Template "ami-015xxxxxxxxx" -Warn $true).AdditionalData
<!--NeedCopy-->

Autres ressources

Informations supplémentaires