Citrix Virtual Apps and Desktops Service

Environnements de virtualisation Microsoft Azure Resource Manager

Suivez les instructions dans cet article si vous utilisez Microsoft Azure Resource Manager pour provisionner des machines virtuelles dans votre déploiement de Citrix Virtual Apps and Desktops Service.

Nous supposons que vous connaissez les solutions suivantes :

Remarque :

Par défaut, Azure prend en charge le cryptage des disques au repos, à l’aide des clés de cryptage gérées par Azure. Cette forme de cryptage est utilisée par tous les catalogues dans MCS et ne nécessite aucune configuration utilisateur.

Provisioning à la demande d’Azure

Lorsque vous utilisez MCS pour créer des catalogues de machines dans Azure Resource Manager, la fonctionnalité de provisioning à la demande d’Azure :

  • Réduit vos coûts de stockage
  • Accélère la création de catalogues
  • Accélère les opérations d’alimentation de machine virtuelle (VM)

Pour les administrateurs, le provisioning à la demande ne modifie pas les procédures de création de connexions hôte et de catalogues de machines MCS de Studio. Les différences résident dans la méthode et le moment auxquels les ressources sont créées et gérées dans Azure et la visibilité des VM dans le portail Azure.

Remarque :

Utilisez la version complète de Studio pour ajouter des connexions hôtes Azure. La version Web de Studio ne vous permet pas d’ajouter des connexions hôtes Azure.

Avant l’intégration de Citrix Virtual Apps and Desktops Service au provisioning à la demande d’Azure, le comportement MCS était différent. Lorsque MCS créait un catalogue, les machines virtuelles étaient créées dans Azure pendant le processus de provisioning.

Avec le provisioning à la demande d’Azure, les VM sont créées uniquement lorsque Citrix Virtual Apps and Desktops initie une action d’alimentation, une fois que le provisioning est terminé. Une VM est visible dans le portail Azure uniquement lorsqu’elle est exécutée. Dans Studio, les VM sont visibles si elles sont en cours d’exécution.

Lorsque vous créez un catalogue MCS, le portail Azure affiche les groupes de ressources, le groupe de sécurité réseau, les comptes de stockage, les interfaces réseau, les images de base et les disques d’identité. Le portail Azure n’affiche pas la VM tant que Citrix Virtual Apps and Desktops n’a pas initié une action d’alimentation pour celle-ci. Ensuite, l’état de la VM dans Studio devient On.

  • Pour une machine regroupée, le disque du système d’exploitation et le cache en écriture différée existent uniquement lorsque la VM existe. L’utilisation du cache peut entraîner des économies de stockage significatives si vous arrêtez régulièrement les machines (par exemple, en dehors des heures de travail).
  • Pour une machine dédiée, le disque du système d’exploitation est créé la première fois que la VM est démarrée. Il reste dans le stockage jusqu’à ce que l’identité de la machine soit supprimée.

Lorsque Citrix Virtual Apps and Desktops met une VM hors tension, l’identité de cette machine est supprimée dans Azure. Elle n’apparaît plus dans le portail Azure. (Dans Studio, l’état de la VM devient Désactivé.)

Catalogues créés avant le provisioning à la demande Les catalogues de machines créés avant que Citrix Virtual Apps and Desktops Service ne prenne en charge le provisioning à la demande d’Azure (mi-2017) se comportaient différemment. Les machines virtuelles de ces catalogues sont visibles dans le portail Azure si elles sont en cours d’exécution. Vous ne pouvez pas convertir une image dans une région autre que celle où MCS provisionne le catalogue. L’image est copiée sur un disque dur virtuel dans un compte de stockage classique dans la région du catalogue. Elle est ensuite reconvertie en disque géré.

Dans la page Types de stockage et de licence de l’assistant de création de catalogue, vous pouvez cocher une case pour utiliser des comptes de stockage conventionnels au lieu de disques gérés. (Cette case à cocher est désactivée lorsque vous effectuez le provisioning dans une région Azure qui ne prend pas en charge les disques gérés.)

Créer une connexion à Azure Resource Manager

La section Créer et gérer des connexions décrit les assistants qui créent une connexion. Les informations suivantes traitent d’informations spécifiques aux connexions de Azure Resource Manager.

Notions importantes :

  • Le rôle de contributeur pour l’abonnement doit avoir été accordé aux principaux de service.
  • Lorsque vous créez la première connexion, Azure vous invite à leur accorder les autorisations nécessaires. Vous devrez toujours vous authentifier pour les futures connexions, mais Azure mémorise votre accord préalable et n’affiche plus l’invite.
  • Les comptes utilisés pour l’authentification doivent être des co-administrateurs de l’abonnement.
  • Le compte utilisé pour l’authentification doit être un membre du répertoire de l’abonnement. Il existe deux types de comptes : « Professionnel ou école » et « compte Microsoft personnel ». Pour plus d’informations, consultez la section CTX219211.
  • Bien que vous puissiez utiliser un compte Microsoft existant en l’ajoutant en tant que membre du répertoire de l’abonnement, cela peut entraîner des complications si un accès invité à l’une des ressources du répertoire a précédemment été accordé à l’utilisateur. Dans ce cas, le répertoire peut contenir une entrée fictive qui ne lui accorde pas les autorisations nécessaires, et une erreur est renvoyée.

    Corrigez cela en supprimant les ressources du répertoire et en les rajoutant explicitement. Soyez toutefois prudent, car cela a des effets indésirables sur d’autres ressources auxquelles ce compte peut accéder.

  • Il existe un problème connu dans lequel certains comptes sont détectés en tant qu’invités du répertoire alors qu’ils en sont membres. Des configurations comme celle-ci se produisent généralement avec d’anciens comptes de répertoire établis. Solution : ajoutez un compte au répertoire, qui prend la valeur d’appartenance appropriée.
  • Les groupes de ressources sont des conteneurs de ressources qui peuvent contenir des ressources provenant de régions autres que leur propre région. Cela peut porter à confusion si vous vous attendez à ce que les ressources affichées dans la région d’un groupe de ressources soient disponibles.
  • Assurez-vous que votre réseau et sous-réseau sont suffisamment grands pour héberger le nombre de machines dont vous avez besoin. Cela nécessite une démarche prospective, mais Microsoft vous permet de spécifier les valeurs correctes, en fournissant des conseils sur la capacité de l’espace d’adressage.

Vous pouvez établir une connexion hôte à Azure de deux manières :

  • S’authentifier auprès d’Azure pour créer un principal de service
  • Utiliser les détails d’un principal de service créé précédemment pour se connecter à Azure

S’authentifier auprès d’Azure pour créer un principal de service

Important :

Cette fonctionnalité n’est pas encore disponible pour les abonnements Azure Chine et Azure Allemagne.

Avant de commencer, vérifiez les points suivants :

  • Vous disposez d’un compte utilisateur dans le locataire Azure Active Directory de votre abonnement.
  • Le compte d’utilisateur Azure AD est également un co-administrateur pour l’abonnement Azure que vous utiliserez pour les ressources de provisioning.

Dans l’assistant Ajouter une connexion et des ressources :

  1. Sur la page Connexion, sélectionnez Créer une connexion, le type de connexion Microsoft Azure et votre environnement Azure.

  2. Sélectionnez les outils à utiliser pour créer les machines virtuelles, puis cliquez sur Suivant.

  3. Sur la page Détails de la connexion, entrez votre ID d’abonnement Azure et un nom pour la connexion. Lorsque vous entrez l’ID d’abonnement, le bouton Créer nouveau est activé.

    Remarque :

    Le nom de la connexion peut contenir entre 1 et 64 caractères, et ne peut pas contenir uniquement des espaces ou les caractères \/;:#.*?=<>|[]{}"'()'.

  4. Cliquez sur Créer, puis entrez le nom d’utilisateur et le mot de passe du compte Azure Active Directory.

  5. Cliquez sur Connexion.

  6. Cliquez sur Accepter pour donner à Citrix Virtual Apps and Desktops les autorisations répertoriées. Citrix Virtual Apps and Desktops crée un principal de service qui lui permet de gérer les ressources Azure pour le compte d’utilisateur spécifié.

  7. Lorsque vous cliquez sur Accepter, vous revenez à la page Connexion dans Studio.

    Remarque :

    Une fois que vous vous êtes authentifié auprès d’Azure, les boutons Créer et Utiliser existant disparaissent. Le texte Connexion établie avec succès apparaît, avec une coche verte indiquant la connexion réussie à votre abonnement Azure.

  8. Sur la page Détails de la connexion, cliquez sur Suivant.

    Remarque :

    Vous ne pouvez pas passer à la page suivante tant que vous ne vous êtes pas correctement authentifié auprès d’Azure et n’avez pas consenti à accorder les autorisations requises.

  9. Configurez les ressources pour la connexion. Les ressources comprennent la région et le réseau.

    • Sur la page Région, sélectionnez une région.
    • Sur la page Réseau, procédez comme suit :
      • tapez un nom de ressource comportant entre 1 et 64 caractères pour vous aider à identifier la combinaison région/réseau dans Studio. Un nom de ressource ne peut contenir que des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.
      • Sélectionnez une paire réseau virtuel/groupe de ressources (si vous avez plusieurs réseaux virtuels avec le même nom, le couplage du nom du réseau avec le groupe de ressources fournit des combinaisons uniques). Si la région que vous avez sélectionnée sur la page précédente ne dispose pas de réseaux virtuels, retournez à cette page et sélectionnez une région contenant des réseaux virtuels.
  10. Sur la page Résumé, affichez un résumé des paramètres et cliquez sur Terminer pour terminer votre configuration.

Utiliser les détails d’un principal de service créé précédemment pour se connecter à Azure

Pour créer un principal de service manuellement, connectez-vous à votre abonnement Azure Resource Manager et utilisez les applets de commande PowerShell fournies dans les sections suivantes.

Pré-requis :

  • $SubscriptionId : SubscriptionID Azure Resource Manager pour l’abonnement sur lequel vous souhaitez provisionner les VDA.
  • $AADUser : compte utilisateur Azure AD pour le locataire AD de votre abonnement. Définissez $AADUser comme co-administrateur pour votre abonnement.
  • $ApplicationName : nom de l’application à créer dans Azure AD.
  • $ApplicationPassword : mot de passe de l’application. Vous utilisez ce mot de passe comme secret d’application lors de la création de la connexion hôte.

Pour créer un principal de service :

  1. Connectez-vous à votre abonnement Azure Resource Manager.

    Login-AzureRmAccount

  2. Sélectionnez l’abonnement Azure Resource Manager sur lequel vous souhaitez créer le principal de service.

    Select-AzureRmSubscription -SubscriptionID $SubscriptionId;

  3. Créez l’application dans votre locataire AD.

    $AzureADApplication = New-AzureRmADApplication -DisplayName $ApplicationName -HomePage "https://localhost/$ApplicationName" -IdentifierUris https://$ApplicationName -Password $ApplicationPassword

  4. Créez un principal de service.

    New-AzureRmADServicePrincipal -ApplicationId $AzureADApplication.ApplicationId

  5. Attribuez un rôle au principal de service.

    New-AzureRmRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.ApplicationId –scope /subscriptions/$SubscriptionId

  6. Dans la sortie de la fenêtre de la console PowerShell, notez la valeur ApplicationId. Vous fournissez cet ID lors de la création de la connexion hôte.

Dans l’assistant Ajouter une connexion et des ressources :

  1. Sur la page Connexion, sélectionnez Créer une connexion, le type de connexion Microsoft Azure et votre environnement Azure.

  2. Sélectionnez les outils à utiliser pour créer les machines virtuelles, puis cliquez sur Suivant.

  3. Sur la page Détails de la connexion, entrez votre ID d’abonnement Azure et un nom pour la connexion.

    Remarque :

    Le nom de la connexion peut contenir entre 1 et 64 caractères, et ne peut pas contenir uniquement des espaces ou les caractères \/;:#.*?=<>|[]{}"'()'.

  4. Cliquez sur Utiliser existant. Dans la fenêtre Détails du principal de service existant, entrez les paramètres suivants pour le principal de service existant. Une fois que vous avez saisi les détails, le bouton Enregistrer est activé. Cliquez sur Enregistrer. Vous ne pouvez pas avancer au-delà de cette page tant que vous n’avez pas fourni de détails valides.

    • ID d’abonnement. Saisissez votre identifiant d’abonnement Azure. Pour obtenir votre ID d’abonnement, connectez-vous au portail Azure et accédez à Abonnements > Vue d’ensemble.
    • ID Active Directory (ID du locataire). Entrez l’ID du répertoire (locataire) de l’application que vous avez enregistrée auprès d’Azure AD.
    • ID de l’application. Entrez l’ID d’application (client) de l’application que vous avez enregistrée auprès d’Azure AD.
    • Secret d’application. Créez une clé secrète. L’application enregistrée utilise la clé pour s’authentifier auprès d’Azure AD. Nous vous recommandons de modifier régulièrement les clés pour des raisons de sécurité. Assurez-vous d’enregistrer la clé car vous ne pouvez pas la récupérer ultérieurement.
    • URL d’authentification. Ce champ est automatiquement renseigné et n’est pas modifiable.
    • URL de gestion. Ce champ est automatiquement renseigné et n’est pas modifiable.
    • Suffixe de stockage. Ce champ est automatiquement renseigné et n’est pas modifiable.
  5. Après avoir cliqué sur Enregistrer, vous revenez à la page Détails de la connexion . Cliquez sur Suivant pour passer à la page suivante.

  6. Configurez les ressources pour la connexion. Les ressources comprennent la région et le réseau.

    • Sur la page Région, sélectionnez une région.
    • Sur la page Réseau, procédez comme suit :
      • tapez un nom de ressource comportant entre 1 et 64 caractères pour vous aider à identifier la combinaison région/réseau dans Studio. Un nom de ressource ne peut contenir que des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.
      • Sélectionnez une paire réseau virtuel/groupe de ressources (si vous avez plusieurs réseaux virtuels avec le même nom, le couplage du nom du réseau avec le groupe de ressources fournit des combinaisons uniques). Si la région que vous avez sélectionnée sur la page précédente ne dispose pas de réseaux virtuels, retournez à cette page et sélectionnez une région contenant des réseaux virtuels.
  7. Sur la page Résumé, affichez un résumé des paramètres et cliquez sur Terminer pour terminer votre configuration.

Créer un catalogue de machines à l’aide d’une image principale Azure Resource Manager

Ces informations étayent les instructions disponibles dans la section Créer des catalogues de machines.

Une image principale est le modèle qui est utilisé pour créer les machines virtuelles dans un catalogue de machines. Avant de créer le catalogue de machines, créez une image principale dans Azure Resource Manager. Pour plus d’informations sur les images principales, consultez l’article Créer des catalogues de machines.

Dans l’assistant de création de catalogue de machines :

  • Les pages Système d’exploitation et Gestion des machines ne contiennent aucune information spécifique à Azure. Suivez les instructions décrites dans l’article Créer des catalogues de machines.

  • Sur la page Image principale, sélectionnez un groupe de ressources, puis naviguez dans les conteneurs pour accéder au disque dur virtuel Azure ou dans Shared Image Gallery jusqu’à la version Azure ImageVersion que vous souhaitez utiliser comme image principale. Un VDA Citrix doit être installé sur le disque dur virtuel ou la version ImageVersion. Si le disque dur virtuel est attaché à une machine virtuelle, arrêtez la machine virtuelle.

  • La page Types de stockage et de licence s’affiche uniquement lors de l’utilisation de l’image principale Azure Resource Manager.

    Page Types de stockage et de licence

    Les types de stockage suivants peuvent être utilisés pour le catalogue de machines :

    • SSD premium. Offre une prise en charge des disques hautes performances et à faible latence pour les machines virtuelles avec des charges d’E/S intensives.
    • SSD standard. Offre une option de stockage économique optimisée pour les charges de travail nécessitant des performances constantes à des niveaux d’E/S par seconde inférieurs. Un disque d’identité Azure est toujours créé à l’aide d’un SSD standard.

    • HDD standard. Fournit une prise en charge fiable et économique des disques pour les machines virtuelles exécutant des charges de travail insensibles à la latence.

    Le type de stockage détermine les tailles de machine qui sont disponibles sur la page Machines virtuelles de l’assistant. Les deux types de stockage créent de multiples copies synchrones de vos données dans un seul data center. Pour de plus amples informations sur les types de stockage et la réplication de stockage Azure, consultez les rubriques suivantes :

    Indiquez si vous souhaitez utiliser des licences Windows existantes. L’utilisation de licences Windows avec des images Windows (images de support de plate-forme Azure ou images personnalisées) vous permet d’exécuter des machines virtuelles Windows dans Azure à un coût réduit. Il existe deux types de licences :

    • Licence Windows Server. Vous permet d’utiliser vos licences Windows Server ou Azure Windows Server, ce qui vous permet d’utiliser Azure Hybrid Use Benefits (HUB). Pour plus de détails, consultez la section https://azure.microsoft.com/pricing/hybrid-use-benefit/. HUB réduit les coûts d’exécution de VM dans Azure au taux de calcul de base, les licences Windows Server supplémentaires de la galerie Azure sont donc gratuites.

    • Licence client Windows. Vous permet de transférer vos licences Windows 10 vers Azure, ce qui vous permet d’exécuter des machines virtuelles Windows 10 dans Azure sans avoir besoin de licences supplémentaires. Pour plus de détails, consultez la section Licences d’accès client et licences de gestion.

    Remarque :

    L’option de licence du client Windows varie en fonction du système d’exploitation sélectionné lors de la configuration du catalogue de machines. Si vous sélectionnez OS multi-session, l’option apparaît sous la forme Utiliser mes licences Windows 10. Si vous sélectionnez OS mono-session, l’option apparaît sous la forme Utiliser mes licences du client Windows.

    Vous pouvez vérifier que la machine virtuelle provisionnée utilise bien une de ces licences en exécutant la commande PowerShell suivante : Get-AzM -ResourceGroup MyResourceGroup -Name MyVM.

    Vous pouvez également utiliser le SDK PowerShell Get-Provscheme pour effectuer la vérification. Par exemple : Get-Provscheme -ProvisioningSchemeName "My Azure Catalog". Pour plus d’informations sur cette applet de commande, voir https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/MachineCreation/Get-ProvScheme/.

    Azure Managed Disks est utilisé pour les VM dans le catalogue par défaut. Si vous souhaitez plutôt utiliser des comptes de stockage standard, sélectionnez la case en bas de la page. La case à cocher Utiliser des disques non gérés plutôt que Azure Managed Disks pour les VM de ce catalogue est disponible uniquement dans l’ancienne console.

    Azure Shared Image Gallery (SIG) est un référentiel pour la gestion et le partage d’images. Il vous permet de mettre vos images à disposition de l’ensemble de votre organisation. Nous vous recommandons de stocker une image principale dans SIG lors de la création de catalogues de machines non persistants volumineux, car cela permet de réinitialiser plus rapidement les disques du système d’exploitation VDA. La case à cocher Placer l’image dans Shared Image Gallery de Azure est disponible uniquement dans la console Web.

  • Sur la page Machines virtuelles, indiquez le nombre de machines virtuelles à créer. Vous devez en spécifier au moins une. Sélectionnez une taille de machine. Une fois que vous avez créé un catalogue, vous ne pouvez pas modifier la taille de machine. Si vous souhaitez changer de taille, supprimez le catalogue, puis créez un catalogue qui utilise la même image principale et spécifie la taille de machine souhaitée.

    Si vous activez la case à cocher Placer l’image dans Shared Image Gallery de Azure sur la page Types de stockage et de licence, la section Paramètres de Shared Image Gallery de Azure apparaît, vous permettant de spécifier des paramètres SIG supplémentaires :

    • Ratio réplicas d’images/machines virtuelles. Permet de spécifier le ratio entre les machines virtuelles et les réplicas d’images que vous souhaitez conserver dans Azure. Par défaut, Azure conserve un réplica d’image unique pour 40 machines non persistantes. Pour les machines persistantes, ce nombre est 1 000 par défaut.

    • Nombre maximal de réplicas. Vous permet de spécifier le nombre maximal de réplicas d’images que vous souhaitez qu’Azure conserve. La valeur par défaut est 10.

Les noms de machine virtuelle ne peuvent pas contenir de caractères non ASCII ou spéciaux.

  • (Lors de l’utilisation de MCS) Sur la page Groupes de ressources, choisissez si vous souhaitez créer des groupes de ressources ou utiliser des groupes existants.
    • Si vous choisissez de créer des groupes de ressources, cliquez sur Suivant.
    • Si vous choisissez d’utiliser des groupes de ressources existants, sélectionnez les groupes dans la liste Groupes de ressources de provisioning disponibles. Rappel : sélectionnez un nombre suffisant de groupes pour prendre en charge les machines que vous créez dans le catalogue. Studio affiche un message indiquant si vous en choisissez trop peu. Vous pouvez sélectionner un nombre supérieur au minimum requis si vous envisagez d’ajouter d’autres VM au catalogue ultérieurement. Vous ne pouvez pas ajouter d’autres groupes de ressources à un catalogue après que le catalogue a été créé.

    Pour plus d’informations, consultez Groupes de ressources Azure.

  • Les pages Cartes réseau, Comptes d’ordinateurs et Résumé ne contiennent aucune information spécifique à Azure. Suivez les instructions décrites dans l’article Créer des catalogues de machines.

Suivez les instructions de l’assistant.

Limitation Azure

Azure Resource Manager limite les demandes d’abonnements et de locataires, en acheminant le trafic en fonction de limites définies, adaptées aux besoins spécifiques du fournisseur. Pour plus d’informations, consultez la section Limitation des demandes Resource Manager sur le site Microsoft. Il existe des limites pour les abonnements et les locataires, où la gestion de nombreuses machines peut devenir problématique. Par exemple, un abonnement contenant un grand nombre de machines peut rencontrer des problèmes de performances liés aux opérations d’alimentation.

Conseil :

Pour plus d’informations, consultez Amélioration des performances Azure avec Machine Creation Services.

Pour aider à atténuer ces problèmes, le service Citrix Virtual Apps and Desktops vous permet de supprimer la limitation interne de MCS pour utiliser une plus grande partie du quota de demandes disponible d’Azure.

Citrix recommande les paramètres optimaux suivants lors de la mise hors/sous tension de machines virtuelles dans les abonnements volumineux, par exemple ceux contenant 1000 machines virtuelles :

  • Opérations simultanées absolues - 500
  • Nombre maximal de nouvelles opérations par minute - 2000
  • Nombre maximal d’opérations simultanées - 500

Utilisez Studio pour configurer les opérations Azure pour une connexion hôte donnée :

  1. Dans Citrix Studio, sélectionnez le nœud Configuration.
  2. Dans le nœud Configuration, sélectionnez Hébergement.
  3. Sélectionnez une connexion liée à Azure pour la modifier.
  4. Dans l’écran Modifier la connexion, cliquez sur Avancé.
  5. Dans l’écran Avancé, utilisez les options de configuration pour spécifier le nombre d’actions simultanées, les mises à jour simultanées de disque virtuel, le nombre maximal de nouvelles actions par minute et toutes les options de connexion supplémentaires.

Limitation Azure

MCS prend en charge 500 opérations simultanées maximum par défaut. Vous pouvez utiliser les informations PowerShell pour définir le nombre maximal d’opérations simultanées.

Utilisez la propriété PowerShell, MaximumConcurrentProvisioningOperations, pour spécifier le nombre maximal d’opérations de provisioning Azure simultanées. Lorsque vous utilisez cette propriété dans le schéma de provisioning, tenez compte des éléments suivants :

  • MCS prend en charge 500 opérations simultanées maximum par défaut, à l’aide du paramètre de propriétés personnalisées MaximumConcurrentProvisioningOperations.
  • Configurez le paramètre MaximumConcurrentProvisioningOperations à l’aide de la commande PowerShell Set-ProvScheme.

Groupes de ressources Azure

Les groupes de ressources de provisioning d’Azure permettent de provisionner les VM qui fournissent des applications et bureaux aux utilisateurs. Vous pouvez ajouter des groupes de ressources Azure vides existants lorsque vous créez un catalogue de machines MCS dans Studio, ou ils peuvent être créés pour vous. Pour plus d’informations sur les groupes de ressources Azure, consultez la section documentation Microsoft.

Utilisation du groupe de ressources Azure

Le nombre de machines virtuelles, de disques gérés, d’instantanés et d’images par groupe de ressources Azure n’est pas limité. (La limitation de 240 machines virtuelles/800 disques gérés par groupe de ressources Azure a été supprimée.)

  • Lorsque vous utilisez le principal de service à étendue complète pour créer un catalogue de machines, MCS crée uniquement un groupe de ressources Azure et utilise ce groupe pour le catalogue.
  • Lorsque vous utilisez le principal de service à étendue limitée pour créer un catalogue de machines, vous devez fournir un groupe de ressources Azure précréé vide pour le catalogue.

Disques éphémères Azure

Un disque éphémère vous permet de réutiliser le disque cache pour stocker le disque d’OS d’une machine virtuelle compatible Azure. Cette fonctionnalité est utile pour les environnements Azure qui nécessitent un disque SSD plus performant sur un disque dur standard. Pour utiliser des disques éphémères, vous devez définir la propriété personnalisée UseEphemeralOsDisk sur true lors de l’exécution de New-ProvScheme.

Remarque :

Si la propriété personnalisée UseEphemeralOsDisk est définie sur false ou si une valeur n’est pas spécifiée, tous les VDA provisionnés continuent d’utiliser un disque d’OS provisionné.

Voici un exemple d’ensemble de propriétés personnalisées à utiliser dans le schéma de provisioning :

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageAccountType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "SharedImageGalleryStorageAccountType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],

Comment créer des machines à l’aide de disques d’OS éphémères

Les disques d’OS éphémères sont contrôlés en fonction de la propriété UseEphemeralOsDisk du paramètre CustomProperties.

Remarques importantes sur les disques éphémères

Pour utiliser des disques d’OS éphémères provisionnés en utilisant New-ProvScheme, tenez compte des contraintes suivantes :

  • La taille de machine virtuelle utilisée pour le catalogue (l’offre de services) doit prendre en charge les disques d’OS éphémères.
  • La taille du disque cache représentée par la taille de machine virtuelle doit être supérieure ou égale à la taille du disque d’OS.

Tenez également compte de ces points lors des opérations suivantes :

  • Création du schéma de provisioning.
  • Modification du schéma de provisioning.
  • Mise à jour de l’image principale.

Cryptage Azure côté serveur

Citrix Virtual Apps and Desktops Service prend en charge les clés de cryptage gérées par le client pour les disques gérés Azure via Azure Key Vault. Cette prise en charge vous permet de gérer vos exigences en matière d’organisation et de conformité en cryptant les disques gérés de votre catalogue de machines à l’aide de vos propres clés de cryptage. Pour plus d’informations, consultez Cryptage côté serveur du stockage sur disque Azure.

Lors de l’utilisation de cette fonctionnalité pour les disques gérés :

  • Pour modifier la clé avec laquelle le disque est crypté, modifiez la clé actuelle dans DiskEncryptionSet. Toutes les ressources associées à la modification de DiskEncryptionSet doivent être cryptées avec la nouvelle clé.

  • Lorsque vous désactivez ou supprimez votre clé, toutes les machines virtuelles avec des disques utilisant cette clé s’arrêtent automatiquement. Après l’arrêt, les machines virtuelles ne sont pas utilisables, sauf si la clé est réactivée ou si vous attribuez une nouvelle clé. Tout catalogue utilisant la clé ne peut pas être mis sous tension et vous ne pouvez pas y ajouter de machines virtuelles.

Considérations importantes lors de l’utilisation de clés de cryptage gérées par le client

Tenez compte de ce qui suit lors de l’utilisation de cette fonctionnalité :

  • Toutes les ressources associées à vos clés gérées par le client (coffres de clés Azure, jeux de cryptage de disque, machines virtuelles, disques et instantanés) doivent résider dans le même abonnement et la même région.

  • Une fois que vous avez activé la clé de cryptage gérée par le client, vous ne pouvez pas la désactiver ultérieurement. Si vous souhaitez désactiver ou supprimer la clé de cryptage gérée par le client, copiez toutes les données sur un autre disque géré qui n’utilise pas la clé de cryptage gérée par le client.

  • Les disques créés à partir d’images personnalisées cryptées à l’aide du cryptage côté serveur et des clés gérées par le client doivent être cryptés à l’aide des mêmes clés gérées par le client. Ces disques doivent résider dans le même abonnement.

  • Les instantanés créés à partir de disques cryptés à l’aide du cryptage côté serveur et des clés gérées par le client doivent être cryptés à l’aide des mêmes clés gérées par le client.

  • Les disques, instantanés et images cryptés à l’aide de clés gérées par le client ne peuvent pas être transférés vers un autre groupe de ressources et un autre abonnement.

  • Les disques gérés, actuellement ou préalablement cryptés à l’aide d’Azure Disk Encryption, ne peuvent pas être cryptés à l’aide de clés gérées par le client.

  • Vous ne pouvez créer qu’un maximum de 50 jeux de cryptage de disque par région et par abonnement.

Remarque :

Pour plus d’informations sur la configuration du cryptage Azure côté serveur, consultez Démarrage rapide : Créer un coffre de clés avec le portail Azure.

Utilisez Azure Shared Image Gallery en tant que référentiel d’images publiées pour les machines provisionnées MCS dans Azure. Vous pouvez stocker une image publiée dans la galerie pour accélérer la création et l’hydratation des disques du système d’exploitation, ce qui améliore les temps de démarrage et de lancement des applications pour les machines virtuelles non persistantes. Shared Image Gallery contient les trois éléments suivants :

  • Galerie. Les images sont stockées ici. MCS crée une galerie pour chaque catalogue de machines.
  • Définition de l’image de la galerie. Cette définition inclut des informations (type et état du système d’exploitation, région Azure) sur l’image publiée. MCS crée une définition d’image pour chaque image créée pour le catalogue.
  • Version d’image de la galerie. Chaque image de Shared Image Gallery peut avoir plusieurs versions, et chaque version peut avoir plusieurs réplicas dans différentes régions. Chaque réplica est une copie complète de l’image publiée. Le service Citrix Virtual Apps and Desktops crée une version d’image Standard_LRS (version 1.0.0) pour chaque image avec le nombre approprié de réplicas dans la région du catalogue, en fonction du nombre de machines dans le catalogue, du ratio de réplica configuré et du maximum de réplicas configuré.

Remarque :

La fonctionnalité Shared Image Gallery ne fonctionne qu’avec les disques gérés. Elle n’est pas disponible pour les anciens catalogues de machines.

Pour plus d’informations, consultez Vue d’ensemble des galeries d’images partagées.

Utilisez la commande New-ProvScheme pour créer un schéma de provisioning avec la prise en charge de Shared Image Gallery. Utilisez la commande Set-ProvScheme pour activer ou désactiver cette fonctionnalité pour un schéma de provisioning et pour modifier le ratio de réplica et les valeurs maximales de réplicas.

Trois propriétés personnalisées ont été ajoutées aux schémas de provisioning pour prendre en charge la fonctionnalité Shared Image Gallery :

UseSharedImageGallery

  • Indique si vous souhaitez utiliser Shared Image Gallery pour stocker les images publiées. Si cette propriété est définie sur True, l’image est stockée en tant qu’image Shared Image Gallery, sinon l’image est stockée sous la forme d’un instantané.
  • Les valeurs valides sont True et False.
  • Si la propriété n’est pas définie, la valeur par défaut est False.

SharedImageGalleryReplicaRatio

  • Définit le ratio entre les machines et les réplicas de version d’image de la galerie.
  • Les valeurs valides sont des nombres entiers supérieurs à 0.
  • Si la propriété n’est pas définie, les valeurs par défaut sont utilisées. La valeur par défaut pour les disques du système d’exploitation persistants est de 1 000 ; la valeur par défaut pour les disques du système d’exploitation non persistants est de 40.

SharedImageGalleryReplicaMaximum

  • Définit le nombre maximal de réplicas pour chaque version d’image de la galerie.
  • Les valeurs valides sont des nombres entiers supérieurs à 0.
  • Si la propriété n’est pas définie, la valeur par défaut est 10.
  • Azure prend actuellement en charge jusqu’à 10 réplicas pour une version unique d’image de la galerie. Si la propriété est définie sur une valeur supérieure à celle prise en charge par Azure, MCS tente d’utiliser la valeur spécifiée. Azure génère une erreur, que MCS consigne, puis laisse le nombre de réplicas actuel inchangé.

Conseil :

Lors de l’utilisation de Shared Image Gallery pour stocker une image publiée pour les catalogues provisionnés MCS, MCS définit le nombre de réplicas de version d’image de galerie en fonction du nombre de machines dans le catalogue, du ratio de réplica et du maximum de réplicas. Le nombre de réplicas est calculé en divisant le nombre de machines du catalogue par le ratio de réplica (arrondi à la valeur entière la plus proche), puis en plafonnant la valeur au nombre maximal de réplicas. Par exemple, avec un ratio de réplica de 20 et un maximum de 5, 0 à 20 machines ont un réplica, 21—40 ont 2 réplicas, 41—60 ont 3 réplicas, 61 à 80 ont 4 réplicas, 81+ 5 réplicas.

Le catalogue de machines existant utilise Shared Image Gallery. Utilisez la commande Set-ProvScheme pour mettre à jour les propriétés personnalisées de toutes les machines existantes du catalogue et de toutes les futures machines :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'

Pour ce cas d’utilisation :

  1. Exécutez Set-ProvScheme avec l’indicateur UseSharedImageGallery défini sur True. Vous pouvez également inclure les propriétés SharedImageGalleryReplicaRatio et SharedImageGalleryReplicaMaximum.
  2. Mettez le catalogue à jour.
  3. Effectuez un cycle d’alimentation sur les machines pour forcer une mise à jour.

Par exemple :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'

Conseil :

Les paramètres SharedImageGalleryReplicaRatio et SharedImageGalleryReplicaMaximum ne sont pas obligatoires. Une fois la commande Set-ProvScheme terminée, l’image Shared Image Gallery n’a pas encore été créée. Une fois que le catalogue est configuré pour utiliser la galerie, l’opération suivante de mise à jour du catalogue stocke l’image publiée dans la galerie. La commande de mise à jour du catalogue crée la galerie, l’image de la galerie et la version de l’image. Le cycle d’alimentation des machines les met à jour, et le nombre de réplicas est mis à jour, le cas échéant. À partir de ce moment, toutes les machines non persistantes existantes sont réinitialisées à l’aide de l’image Shared Image Gallery et toutes les machines nouvellement provisionnées sont créées à l’aide de l’image. L’ancien instantané est nettoyé automatiquement en quelques heures.

Pour ce cas d’utilisation :

  1. Exécutez Set-ProvScheme avec l’indicateur UseSharedImageGallery défini sur False ou non défini.
  2. Mettez le catalogue à jour.
  3. Effectuez un cycle d’alimentation sur les machines pour forcer une mise à jour.

Par exemple :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'

Conseil :

Contrairement à la mise à jour d’un instantané vers un catalogue Shared Image Gallery, les données personnalisées de chaque machine ne sont pas encore mises à jour pour refléter les nouvelles propriétés personnalisées. Exécutez la commande suivante pour afficher les propriétés personnalisées Shared Image Gallery d’origine : Get-ProvVm -ProvisioningSchemeName catalog-name. Une fois la commande Set-ProvScheme terminée, l’instantané de l’image n’a pas encore été créé. Une fois que le catalogue est configuré pour ne pas utiliser la galerie, la prochaine opération de mise à jour du catalogue stocke l’image publiée sous forme d’instantané. À partir de ce moment, toutes les machines non persistantes existantes sont réinitialisées à l’aide de l’instantané et toutes les machines nouvellement provisionnées sont créées à partir de l’instantané. Le cycle d’alimentation des machines les met à jour, et les données de machine personnalisées sont mises à jour pour refléter que UseSharedImageGallery est défini sur False. Les anciennes ressources Shared Image Gallery (galerie, image et version) sont automatiquement nettoyées en quelques heures.

Provisionner des machines dans des zones de disponibilité spécifiées

Vous pouvez provisionner des machines dans une zone de disponibilité spécifique dans les environnements Azure. Vous pouvez pour cela utiliser Studio ou PowerShell.

Remarque :

Vous pouvez utiliser uniquement la console Web pour provisionner des machines dans des zones de disponibilité spécifiées. Si vous utilisez l’ancienne console, PowerShell est votre seul choix. Si aucune zone n’est spécifiée, MCS laisse Azure placer les machines dans la région. Si plusieurs zones sont spécifiées, MCS distribue les machines de manière aléatoire dans ces zones.

Configuration des zones de disponibilité dans Studio

Lors de la création d’un catalogue de machines, vous pouvez spécifier des zones de disponibilité dans lesquelles vous souhaitez provisionner des machines. Sur la page Machines virtuelles, sélectionnez une ou plusieurs zones de disponibilité dans lesquelles vous souhaitez créer des machines.

Il existe deux raisons pour lesquelles aucune zone de disponibilité n’est proposée : la région n’a pas de zones de disponibilité ou la taille de machine sélectionnée n’est pas disponible.

Configuration des zones de disponibilité via PowerShell

À l’aide de PowerShell, vous pouvez afficher les éléments d’inventaire de l’offre de service en utilisant Get-Item. Par exemple, pour consulter l’offre de services de la région États-Unis de l’Est Standard_B1ls :

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"

Pour afficher les zones, utilisez le paramètre AdditionalData de l’élément :

$serviceOffering.AdditionalData

Si les zones de disponibilité ne sont pas spécifiées, les machines sont provisionnées de la même façon.

Pour configurer les zones de disponibilité via PowerShell, utilisez la propriété personnalisée Zones disponible avec l’opération New-ProvScheme. La propriété Zones définit une liste de zones de disponibilité dans lesquelles provisionner les machines. Ces zones peuvent inclure une ou plusieurs zones de disponibilité. Par exemple, <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/> pour les zones 1 et 3.

Utilisez la commande Set-ProvScheme pour mettre à jour les zones d’un schéma de provisioning.

Si une zone non valide est fournie, le schéma de provisioning n’est pas mis à jour et un message d’erreur apparaît indiquant comment corriger la commande non valide.

Conseil :

Si vous spécifiez une propriété personnalisée non valide, le schéma de provisioning n’est pas mis à jour et un message d’erreur correspondant s’affiche.

Disque éphémère Azure

Les Disques éphémères Azure vous permettent de réutiliser le disque cache pour stocker le disque d’OS d’une machine virtuelle compatible Azure. Cette fonctionnalité est utile pour les environnements Azure qui nécessitent un disque SSD plus performant sur un disque dur standard.

Remarque :

Les catalogues persistants ne prennent pas en charge les disques d’OS éphémères. En outre, lorsque vous utilisez cette fonctionnalité, tenez compte du fait que le disque extra performant entraîne un coût supplémentaire. Il est avantageux de réutiliser le disque cache pour stocker le disque d’OS au lieu de payer pour un disque géré supplémentaire.

Les disques d’OS éphémères nécessitent que votre schéma de provisioning utilise des disques gérés et une galerie d’images partagées. Pour plus d’informations, consultez Azure Shared Image Gallery.

Utilisation de PowerShell pour configurer un disque éphémère

Pour configurer un disque d’OS éphémère Azure pour un catalogue, utilisez le paramètre UseEphemeralOsDisk dans Set-ProvScheme. Définissez la valeur du paramètre UseEphemeralOsDisk sur true.

Remarque :

Pour utiliser cette fonctionnalité, vous devez également activer les paramètres UseManagedDisks et UseSharedImageGallery.

Par exemple :

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'

Exigences

  • Si vous souhaitez que Citrix Virtual Apps and Desktops Service crée des groupes de ressources pour chaque catalogue MCS, le principal de service Azure associé à la connexion hôte doit être autorisé à créer et supprimer des groupes de ressources. Si vous souhaitez que Citrix Virtual Apps and Desktops Service utilise des groupes de ressources vides existants, le principal de service Azure associé à la connexion hôte doit avoir l’autorisation Contributeur sur ces groupes de ressources vides.
  • Lorsque vous créez une connexion hôte dans Studio à l’aide de l’option Créer nouveau, le principal de service créé dispose d’autorisations de contribution à l’étendue de l’abonnement. Vous pouvez également utiliser l’option Utiliser existant pour créer la connexion et fournir les détails d’un principal de service d’étendue de l’abonnement existant. Si vous utilisez l’option Créer nouveau et que vous créez le principal de service dans Studio, il dispose des autorisations nécessaires pour créer et supprimer de nouveaux groupes de ressources ou provisionner dans des groupes de ressources vides existants.
  • Des principaux de service à étendue limitée doivent être créés à l’aide de PowerShell. En outre, lorsque vous utilisez un principal de service à étendue limitée, vous devez utiliser PowerShell ou le portail Azure pour créer des groupes de ressources vides dans la même région que votre connexion hôte pour chaque catalogue sur lequel MCS provisionne des machines virtuelles. Pour des instructions, voir l’article de blog https://www.citrix.com/blogs/2016/11/09/azure-role-based-access-control-in-xenapp-xendesktop/.

Si vous utilisez un principal de service à étendue limitée pour la connexion hôte et que vous ne voyez pas votre groupe de ressources d’image sur la page Image principale de l’assistant de création de catalogues, cela est probablement dû au fait que le principal de service à étendue limitée que vous utilisez ne dispose pas de l’autorisation Microsoft.Resources/subscriptions/resourceGroups/read requise pour afficher le groupe de ressources de l’image. Fermez l’assistant, mettez à jour le principal de service avec les autorisations nécessaires (consultez le post de blog pour obtenir des instructions) et redémarrez l’assistant. La mise à jour dans Azure peut prendre jusqu’à 10 minutes à s’afficher dans Studio.

Conseil :

Le principal du service Azure nécessite des droits de contributeur. Le droit du contributeur peut être complet (abonnement), auquel cas MCS crée automatiquement un groupe de ressources Azure pour un catalogue de machines. Ou bien, le droit de contributeur peut être de portée restreinte, auquel cas un groupe de ressources Azure vide doit être créé à l’avance et les droits de contributeur doivent être accordés en conséquence.

Configurer des groupes de ressources pour un catalogue de machines dans Studio

La page Groupes de ressources dans l’assistant de création de catalogues vous permet de choisir si vous souhaitez créer des groupes de ressources ou utiliser des groupes existants. Consultez Créer un catalogue de machines à l’aide d’une image principale Azure Resource Manager.

Qu’advient-il des groupes de ressources lorsque vous supprimez un catalogue de machines ? Si vous laissez Citrix Virtual Apps and Desktops Service créer des groupes de ressources lorsque vous créez le catalogue de machines et que vous supprimez le catalogue ultérieurement, ces groupes de ressources et les autres ressources qu’ils contiennent sont également supprimés.

Si vous utilisez des groupes de ressources existants lorsque vous créez le catalogue de machines et que vous supprimez le catalogue ultérieurement, toutes les ressources qu’ils contiennent sont supprimées, mais pas les groupes de ressources.

Considérations et limitations

Lorsque vous utilisez des groupes de ressources existants, la liste des groupes de ressources disponibles sur la page Groupes de ressources dans l’assistant de création de catalogues ne s’actualise pas automatiquement. Par conséquent, si cette page de l’assistant est ouverte et que vous créez ou ajoutez des autorisations à des groupes de ressources dans Azure, les modifications ne sont pas reflétées dans la liste de l’assistant. Pour voir les dernières modifications, revenez sur la page Gestion des machines de l’assistant et resélectionnez les ressources associées à la connexion hôte. Ou, fermez et redémarrez l’assistant. Les modifications apportées dans Azure peuvent prendre jusqu’à 10 minutes à s’afficher dans Studio.

Si votre connexion utilise un principal de service qui peut accéder à des groupes de ressources vides dans différentes régions, ils apparaissent tous dans la liste. Veillez à choisir des groupes de ressources dans la même région que celle où vous créez le catalogue de machines.

Résolution des problèmes

  • Les groupes de ressources n’apparaissent pas dans la liste de la page Groupes de ressources de l’assistant de création de catalogues.

    Le principal de service doit disposer des autorisations appropriées appliquées aux groupes de ressources que vous voulez inclure dans la liste. Consultez Exigences.

Plus d’informations