Ambienti cloud di Microsoft Azure Resource Manager

Segua le indicazioni contenute in questo articolo quando utilizza Microsoft Azure Resource Manager per il provisioning di macchine virtuali nella Sua distribuzione Citrix Virtual Apps and Desktops™.

Si presume che Lei abbia familiarità con quanto segue:

• Azure Active Directory: https://docs.microsoft.com/en-in/azure/active-directory/fundamentals/active-directory-whatis/
• Framework di consenso: https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/plan-an-application-integration
• Service principal: https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals/

Provisioning on-demand di Azure

Con il provisioning on-demand di Azure, le VM vengono create solo quando Citrix Virtual Apps and Desktops avvia un’azione di accensione, dopo il completamento del provisioning.

Quando si utilizza MCS per creare cataloghi di macchine in Azure Resource Manager, la funzionalità di provisioning on-demand di Azure:

• Riduce i costi di archiviazione
• Fornisce una creazione più rapida del catalogo

Quando si crea un catalogo MCS, il portale di Azure visualizza il gruppo di sicurezza di rete, le interfacce di rete, le immagini di base e i dischi di identità nei gruppi di risorse.

Il portale di Azure non mostra una VM finché Citrix Virtual Apps and Desktops non avvia un’azione di accensione per essa. Esistono due tipi di macchine con le seguenti differenze:

• Per una macchina in pool, il disco del sistema operativo e la cache di write-back esistono solo quando esiste la VM. Quando si spegne una macchina in pool nella console, la VM non è visibile nel portale di Azure. Si ottiene un notevole risparmio sui costi di archiviazione se si spengono regolarmente le macchine (ad esempio, al di fuori dell’orario di lavoro).
• Per una macchina dedicata, il disco del sistema operativo viene creato la prima volta che la VM viene accesa. La VM nel portale di Azure rimane in archiviazione finché l’identità della macchina non viene eliminata. Quando si spegne una macchina dedicata nella console, la VM è ancora visibile nel portale di Azure.

Connessione ad Azure Resource Manager

Connessioni e risorse descrive le procedure guidate che creano una connessione. Le seguenti informazioni coprono i dettagli specifici delle connessioni di Azure Resource Manager.

Considerazioni:

• Citrix® consiglia di utilizzare un Service Principal con il ruolo di collaboratore. Tuttavia, consulti la sezione Autorizzazioni minime per ottenere l’elenco delle autorizzazioni minime.
• Quando si crea la prima connessione, Azure Le chiede di concedere le autorizzazioni necessarie. Per le connessioni future dovrà comunque autenticarsi, ma Azure ricorderà il Suo consenso precedente e non visualizzerà nuovamente la richiesta.
• Gli account utilizzati per l’autenticazione devono disporre delle autorizzazioni per assegnare ruoli nella sottoscrizione utilizzando Azure RBAC. Ad esempio, Proprietario, Amministratore del controllo degli accessi basato sui ruoli o Amministratore dell’accesso utente della sottoscrizione.
• L’account utilizzato per l’autenticazione deve essere un membro della directory della sottoscrizione. Esistono due tipi di account da considerare: “Aziendale o dell’istituto di istruzione” e “account Microsoft personale”. Per i dettagli, consulti CTX219211.

• Sebbene sia possibile utilizzare un account Microsoft esistente aggiungendolo come membro della directory della sottoscrizione, possono verificarsi complicazioni se all’utente era stato precedentemente concesso l’accesso guest a una delle risorse della directory. In questo caso, potrebbe avere una voce segnaposto nella directory che non gli concede le autorizzazioni necessarie e viene restituito un errore.

  Per risolvere il problema, rimuova le risorse dalla directory e le aggiunga nuovamente in modo esplicito. Tuttavia, eserciti questa opzione con cautela, poiché ha effetti indesiderati su altre risorse a cui l’account può accedere.

• Esiste un problema noto per cui alcuni account vengono rilevati come guest della directory quando in realtà sono membri. Configurazioni come questa si verificano tipicamente con account di directory più vecchi e consolidati. Soluzione alternativa: aggiungere un account alla directory, che assume il valore di appartenenza corretto.
• I gruppi di risorse sono semplicemente contenitori per le risorse e possono contenere risorse di regioni diverse dalla propria. Ciò può potenzialmente creare confusione se ci si aspetta che le risorse visualizzate nella regione di un gruppo di risorse siano disponibili.
• Si assicuri che la Sua rete e la Sua subnet siano sufficientemente grandi da ospitare il numero di macchine richieste. Ciò richiede una certa lungimiranza, ma Microsoft La aiuta a specificare i valori corretti, con indicazioni sulla capacità dello spazio degli indirizzi.

È possibile stabilire una connessione host ad Azure in due modi:

• Autenticarsi ad Azure per creare un service principal.
• Utilizzare i dettagli di un service principal creato in precedenza per connettersi ad Azure.

Creare un service principal

Importante:

Questa funzionalità non è ancora disponibile per le sottoscrizioni di Azure Cina e Azure Germania.

Prima di iniziare, si autentichi ad Azure. Si assicuri che:

• Disponga di un account utente nel tenant di Azure Active Directory della Sua sottoscrizione.
• Gli account utilizzati per l’autenticazione devono disporre delle autorizzazioni per assegnare ruoli nella sottoscrizione utilizzando Azure RBAC. Ad esempio, Proprietario, Amministratore del controllo degli accessi basato sui ruoli o Amministratore dell’accesso utente della sottoscrizione.
• Disponga delle autorizzazioni di amministratore globale, amministratore di applicazioni o sviluppatore di applicazioni per l’autenticazione. Queste autorizzazioni possono essere revocate dopo la creazione della connessione host. Per ulteriori informazioni sui ruoli, consulti Ruoli predefiniti di Azure AD.

Quando si autentica ad Azure per creare un service principal, un’applicazione viene registrata in Azure. Viene creata una chiave segreta (segreto client) per l’applicazione registrata. L’applicazione registrata utilizza il segreto client per autenticarsi ad Azure AD. Si assicuri di modificare il segreto client prima che scada. Riceverà un avviso sulla console prima della scadenza della chiave segreta.

Per autenticarsi ad Azure per creare un service principal, completi i seguenti passaggi nella procedura guidata Aggiungi connessione e risorse:

1. Nella pagina Connessione, selezioni Crea nuova connessione, il tipo di connessione Microsoft Azure e il Suo ambiente Azure.

2. Selezioni gli strumenti da utilizzare per creare le macchine virtuali e quindi selezioni Avanti.

3. Nella pagina Dettagli connessione, inserisca l’ID della Sua sottoscrizione Azure e un nome per la connessione. Dopo aver inserito l’ID della sottoscrizione, il pulsante Crea nuovo viene abilitato.

   Nota:

   Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.

4. Selezioni Crea nuovo e quindi inserisca il nome utente e la password dell’account Azure Active Directory.
5. Selezioni Accedi.
6. Selezioni Accetta per concedere a Citrix Virtual Apps and Desktops le autorizzazioni elencate. Citrix Virtual Apps and Desktops crea un service principal che gli consente di gestire le risorse di Azure per conto dell’utente specificato.

7. Dopo aver selezionato Accetta, tornerà alla pagina Connessione nella procedura guidata.

   Nota:

   Dopo aver eseguito correttamente l’autenticazione ad Azure, i pulsanti Crea nuovo e Usa esistente scompaiono. Viene visualizzato il testo Connessione riuscita, con un segno di spunta verde, che indica la connessione riuscita alla Sua sottoscrizione Azure.

8. Nella pagina Dettagli connessione, selezioni Avanti.

   Nota:

   Non è possibile procedere alla pagina successiva finché non si autentica correttamente ad Azure e acconsente a concedere le autorizzazioni richieste.

9. Configuri le risorse per la connessione. Le risorse comprendono la regione e la rete.

   • Nella pagina Regione, selezioni una regione.
   • Nella pagina Rete, esegua quanto segue:
     • Digiti un nome di risorsa di 1-64 caratteri per aiutare a identificare la combinazione di regione e rete. Un nome di risorsa non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.
     • Selezioni una coppia rete virtuale/gruppo di risorse. (Se ha più di una rete virtuale con lo stesso nome, l’associazione del nome della rete con il gruppo di risorse fornisce combinazioni uniche.) Se la regione selezionata nella pagina precedente non ha reti virtuali, torni a quella pagina e selezioni una regione che abbia reti virtuali.
10. Nella pagina Riepilogo, visualizzi un riepilogo delle impostazioni e selezioni Fine per completare la configurazione.

Utilizzare i dettagli di un service principal creato in precedenza per connettersi ad Azure

Per creare un service principal manualmente, si connetta alla Sua sottoscrizione di Azure Resource Manager e utilizzi i cmdlet PowerShell forniti nelle sezioni seguenti.

Prerequisiti:

• SubscriptionId: SubscriptionID di Azure Resource Manager per la sottoscrizione in cui si desidera eseguire il provisioning dei VDA.
• ActiveDirectoryID: ID tenant dell’applicazione che ha registrato con Azure AD.
• ApplicationName: Nome dell’applicazione da creare in Azure AD.

Per creare un service principal:

1. Si connetta alla Sua sottoscrizione di Azure Resource Manager.

   Connect-AzAccount

2. Selezioni la sottoscrizione di Azure Resource Manager in cui desidera creare il service principal.

   Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

3. Crea l’applicazione nel Suo tenant AD.

   $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

4. Crea un service principal.

   New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

5. Assegni un ruolo al service principal.

   New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

6. Dalla finestra di output della console PowerShell, annoti l’ApplicationId. Fornirà tale ID durante la creazione della connessione host.

Nella procedura guidata Aggiungi connessione e risorse:

1. Nella pagina Connessione, selezioni Crea nuova connessione, il tipo di connessione Microsoft Azure e il Suo ambiente Azure.

2. Selezioni gli strumenti da utilizzare per creare le macchine virtuali e quindi selezioni Avanti.

3. Nella pagina Dettagli connessione, inserisca l’ID della Sua sottoscrizione Azure e un nome per la connessione.

   Nota:

   Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.

4. Selezioni Usa esistente. Nella finestra Dettagli service principal esistente, inserisca le seguenti impostazioni per il service principal esistente. Dopo aver inserito i dettagli, il pulsante Salva viene abilitato. Selezioni Salva. Non è possibile procedere oltre questa pagina finché non fornisce dettagli validi.

   • ID sottoscrizione. Inserisca l’ID della Sua sottoscrizione Azure. Per ottenere l’ID della sottoscrizione, acceda al portale di Azure e navighi in Sottoscrizioni > Panoramica.
   • ID Active Directory (ID tenant). Inserisca l’ID della directory (tenant) dell’applicazione che ha registrato con Azure AD.
   • ID applicazione. Inserisca l’ID dell’applicazione (client) dell’applicazione che ha registrato con Azure AD.
   • Segreto applicazione. Crei una chiave segreta (segreto client). L’applicazione registrata utilizza la chiave per autenticarsi ad Azure AD. Si consiglia di modificare regolarmente le chiavi per motivi di sicurezza. Si assicuri di salvare la chiave perché non potrà recuperarla in seguito.

   • Data di scadenza del segreto. Inserisca la data dopo la quale il segreto dell’applicazione scade. Riceverà un avviso sulla console prima della scadenza della chiave segreta. Tuttavia, se la chiave segreta scade, riceverà degli errori.

     Nota:

     Per motivi di sicurezza, il periodo di scadenza non può essere superiore a due anni da oggi.

   • URL di autenticazione. Questo campo viene popolato automaticamente e non è modificabile.
   • URL di gestione. Questo campo viene popolato automaticamente e non è modificabile.

   • Suffisso di archiviazione. Questo campo viene popolato automaticamente e non è modificabile.

     L’accesso ai seguenti endpoint è richiesto per la creazione di un catalogo MCS in Azure. L’accesso a questi endpoint ottimizza la connettività tra la Sua rete e il portale di Azure e i suoi servizi.

     • URL di autenticazione: https://login.microsoftonline.com/
     • URL di gestione: https://management.azure.com/. Questo è un URL di richiesta per le API del provider di Azure Resource Manager. L’endpoint per la gestione dipende dall’ambiente. Ad esempio, per Azure Global, è https://management.azure.com/, e per Azure US Government, è https://management.usgovcloudapi.net/.
     • Suffisso di archiviazione: https://*.core.windows.net./. Questo (*) è un carattere jolly per il suffisso di archiviazione. Ad esempio, https://demo.table.core.windows.net/.

5. Dopo aver selezionato Salva, tornerà alla pagina Dettagli connessione. Selezioni Avanti per procedere alla pagina successiva.

6. Configuri le risorse per la connessione. Le risorse comprendono la regione e la rete.

   • Nella pagina Regione, selezioni una regione.
   • Nella pagina Rete, esegua quanto segue:
     • Digiti un nome di risorsa di 1-64 caratteri per aiutare a identificare la combinazione di regione e rete. Un nome di risorsa non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.
     • Selezioni una coppia rete virtuale/gruppo di risorse. (Se ha più di una rete virtuale con lo stesso nome, l’associazione del nome della rete con il gruppo di risorse fornisce combinazioni uniche.) Se la regione selezionata nella pagina precedente non ha reti virtuali, torni a quella pagina e selezioni una regione che abbia reti virtuali.

7. Nella pagina Riepilogo, visualizzi un riepilogo delle impostazioni e selezioni Fine per completare la Sua configurazione.

Creare un catalogo di macchine utilizzando un’immagine di Azure Resource Manager

Un’immagine può essere un disco, uno snapshot o una versione di immagine di una definizione di immagine all’interno di Azure Compute Gallery che viene utilizzata per creare le VM in un catalogo di macchine. Per informazioni generali sulle immagini, consulti Creare cataloghi di macchine.

Throttling di Azure

Azure Resource Manager limita le richieste per sottoscrizioni e tenant, instradando il traffico in base a limiti definiti, adattati alle esigenze specifiche del provider. Consulti Limitazione delle richieste di Resource Manager sul sito Microsoft per maggiori informazioni. Esistono limiti per sottoscrizioni e tenant, dove la gestione di molte macchine può diventare problematica. Ad esempio, una sottoscrizione contenente molte macchine potrebbe riscontrare problemi di prestazioni relativi alle operazioni di alimentazione.

Suggerimento:

Per maggiori informazioni, consulti Migliorare le prestazioni di Azure con Machine Creation Services.

Per aiutare a mitigare questi problemi, è possibile rimuovere la limitazione interna di MCS per utilizzare una maggiore quota di richieste disponibile da Azure.

Si consigliano le seguenti impostazioni ottimali quando si accendono o spengono VM in sottoscrizioni di grandi dimensioni, ad esempio quelle contenenti 1.000 VM:

• Operazioni simultanee assolute: 500
• Numero massimo di nuove operazioni al minuto: 2000
• Concorrenza massima delle operazioni: 500

MCS supporta 500 operazioni simultanee massime per impostazione predefinita. In alternativa, è possibile utilizzare l’SDK di PowerShell remoto per impostare il numero massimo di operazioni simultanee.

Utilizzi la proprietà PowerShell, MaximumConcurrentProvisioningOperations, per specificare il numero massimo di operazioni di provisioning Azure simultanee. Quando utilizza questa proprietà, consideri:

• Il valore predefinito di MaximumConcurrentProvisioningOperations è 500.
• Configuri il parametro MaximumConcurrentProvisioningOperations utilizzando il comando PowerShell Set-item.

Gruppi di risorse di Azure

I gruppi di risorse di provisioning di Azure forniscono un modo per eseguire il provisioning delle VM che forniscono applicazioni e desktop agli utenti. È possibile aggiungere gruppi di risorse di Azure vuoti esistenti quando si crea un catalogo di macchine MCS, oppure far creare nuovi gruppi di risorse per Lei. Per informazioni sui gruppi di risorse di Azure, consulti la documentazione Microsoft.

Utilizzo dei gruppi di risorse di Azure

Non esiste alcun limite al numero di macchine virtuali, dischi gestiti, snapshot e immagini per gruppo di risorse di Azure. (Il limite di 240 VM per 800 dischi gestiti per gruppo di risorse di Azure è stato rimosso.)

• Quando si utilizza un service principal con ambito completo per creare un catalogo di macchine, MCS crea un solo gruppo di risorse di Azure e utilizza tale gruppo per il catalogo.
• Quando si utilizza un service principal con ambito ristretto per creare un catalogo di macchine, è necessario fornire un gruppo di risorse di Azure vuoto e pre-creato per il catalogo.

Dischi effimeri di Azure

Un disco effimero di Azure consente di riutilizzare il disco cache o il disco temporaneo per archiviare il disco del sistema operativo per una macchina virtuale abilitata per Azure. Questa funzionalità è utile per gli ambienti Azure che richiedono un disco SSD con prestazioni più elevate rispetto a un disco HDD standard. Per utilizzare i dischi effimeri, è necessario impostare la proprietà personalizzata UseEphemeralOsDisk su true quando si esegue New-ProvScheme.

Nota:

Se la proprietà personalizzata UseEphemeralOsDisk è impostata su false o non viene specificato un valore, tutti i VDA di cui è stato eseguito il provisioning continuano a utilizzare un disco del sistema operativo di cui è stato eseguito il provisioning.

Di seguito è riportato un esempio di set di proprietà personalizzate da utilizzare nello schema di provisioning:

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],
<!--NeedCopy-->

Come creare macchine utilizzando dischi del sistema operativo effimeri

I dischi del sistema operativo effimeri sono controllati in base alla proprietà UseEphemeralOsDisk nel parametro CustomProperties.

Considerazioni importanti per i dischi effimeri

Per eseguire il provisioning di dischi del sistema operativo effimeri utilizzando New-ProvScheme, consideri i seguenti vincoli:

• La dimensione della VM utilizzata per il catalogo deve supportare i dischi del sistema operativo effimeri.
• La dimensione della cache o del disco temporaneo associato alla dimensione della VM deve essere maggiore o uguale alla dimensione del disco del sistema operativo.
• La dimensione del disco temporaneo deve essere maggiore della dimensione del disco cache.

Consideri anche questi problemi quando:

• Crea lo schema di provisioning.
• Modifica lo schema di provisioning.
• Aggiorna l’immagine.

Disco effimero di Azure e ottimizzazione dell’archiviazione di Machine Creation Services (MCS) (I/O di MCS)

Il disco del sistema operativo effimero di Azure e l’I/O di MCS non possono essere abilitati contemporaneamente.

Le considerazioni importanti sono le seguenti:

• Non è possibile creare un catalogo di macchine con disco del sistema operativo effimero e I/O di MCS abilitati contemporaneamente.

• I parametri PowerShell (UseWriteBackCache e UseEphemeralOsDisk) impostati su true in New-ProvScheme o Set-ProvScheme falliscono con un messaggio di errore appropriato.
• Per i cataloghi di macchine esistenti creati con entrambe le funzionalità abilitate, è comunque possibile:
  • aggiornare un catalogo di macchine.
  • aggiungere o eliminare VM.
  • eliminare un catalogo di macchine.

Crittografia lato server di Azure

Citrix Virtual Apps and Desktops e Citrix DaaS supportano le chiavi di crittografia gestite dal cliente per i dischi gestiti di Azure tramite Azure Key Vault. Con questo supporto è possibile gestire i requisiti organizzativi e di conformità crittografando i dischi gestiti del catalogo di macchine utilizzando la propria chiave di crittografia. Per maggiori informazioni, consulti Crittografia lato server di Azure Disk Storage.

Quando si utilizza questa funzionalità per i dischi gestiti:

• Per modificare la chiave con cui il disco è crittografato, si modifica la chiave corrente nel DiskEncryptionSet. Tutte le risorse associate a tale DiskEncryptionSet vengono crittografate con la nuova chiave.

• Quando si disabilita o si elimina la chiave, tutte le VM con dischi che utilizzano tale chiave si spengono automaticamente. Dopo lo spegnimento, le VM non sono utilizzabili a meno che la chiave non venga riabilitata o non si assegni una nuova chiave. Qualsiasi catalogo che utilizza la chiave non può essere acceso e non è possibile aggiungervi VM.

Considerazioni importanti quando si utilizzano chiavi di crittografia gestite dal cliente

Consideri quanto segue quando utilizza questa funzionalità:

• Tutte le risorse relative alle Sue chiavi gestite dal cliente (Azure Key Vault, set di crittografia del disco, VM, dischi e snapshot) devono risiedere nella stessa sottoscrizione e regione.

• Una volta abilitata la chiave di crittografia gestita dal cliente, non è possibile disabilitarla in seguito. Se desidera disabilitare o rimuovere la chiave di crittografia gestita dal cliente, copi tutti i dati su un disco gestito diverso che non utilizza la chiave di crittografia gestita dal cliente.

• I dischi creati da immagini personalizzate crittografate utilizzando la crittografia lato server e le chiavi gestite dal cliente devono essere crittografati utilizzando le stesse chiavi gestite dal cliente. Questi dischi devono trovarsi nella stessa sottoscrizione.

• Gli snapshot creati da dischi crittografati con crittografia lato server e chiavi gestite dal cliente devono essere crittografati con le stesse chiavi gestite dal cliente.

• Dischi, snapshot e immagini crittografati con chiavi gestite dal cliente non possono essere spostati in un altro gruppo di risorse e sottoscrizione.

• I dischi gestiti attualmente o precedentemente crittografati utilizzando Azure Disk Encryption non possono essere crittografati utilizzando chiavi gestite dal cliente.

• Consulti il sito Microsoft per le limitazioni sui set di crittografia del disco per regione.

Nota:

Consulti Guida rapida: Creare un Key Vault usando il portale di Azure per informazioni sulla configurazione della crittografia lato server di Azure.

Chiave di crittografia gestita dal cliente di Azure

Quando si crea un catalogo di macchine, è possibile scegliere se crittografare i dati sulle macchine di cui è stato eseguito il provisioning nel catalogo. La crittografia lato server con una chiave di crittografia gestita dal cliente consente di gestire la crittografia a livello di disco gestito e di proteggere i dati sulle macchine nel catalogo. Un set di crittografia del disco (DES) rappresenta una chiave gestita dal cliente. Per utilizzare questa funzionalità, è necessario prima creare il proprio DES in Azure. Un DES è nel seguente formato:

• /subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Selezioni un DES dall’elenco. Il DES selezionato deve trovarsi nella stessa sottoscrizione e regione delle Sue risorse. Se la Sua immagine è crittografata con un DES, utilizzi lo stesso DES quando crea il catalogo di macchine. Non è possibile modificare il DES dopo aver creato il catalogo.

Se crea un catalogo con una chiave di crittografia e in seguito disabilita il DES corrispondente in Azure, non potrà più accendere le macchine nel catalogo o aggiungervi macchine.

Host dedicati di Azure

È possibile utilizzare MCS per eseguire il provisioning di VM su host dedicati di Azure. Prima di eseguire il provisioning di VM su host dedicati di Azure:

• Creare un gruppo host.
• Creare host in quel gruppo host.
• Assicurarsi che vi sia una capacità host sufficiente riservata per la creazione di cataloghi e macchine virtuali.

È possibile creare un catalogo di macchine con tenancy host definita tramite il seguente script PowerShell:

New-ProvScheme <otherParameters> -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="HostGroupId" Value="myResourceGroup/myHostGroup" />
 ...other Custom Properties...
 </CustomProperties>
<!--NeedCopy-->

Quando si utilizza MCS per eseguire il provisioning di macchine virtuali su host dedicati di Azure, consideri:

• Un host dedicato è una proprietà del catalogo e non può essere modificata una volta creato il catalogo. La tenancy dedicata non è attualmente supportata su Azure.
• Un gruppo host di Azure preconfigurato, nella regione dell’unità di hosting, è richiesto quando si utilizza il parametro HostGroupId.
• È richiesto l’auto-posizionamento di Azure. Questa funzionalità effettua una richiesta per l’onboarding della sottoscrizione associata al gruppo host. Per maggiori informazioni, consulti VM Scale Set on Azure Dedicated Hosts - Public Preview. Se l’auto-posizionamento non è abilitato, MCS genera un errore durante la creazione del catalogo.

Azure Shared Image Gallery

Utilizzi Azure Shared Image Gallery come repository di immagini pubblicate per le macchine di cui è stato eseguito il provisioning MCS in Azure. È possibile archiviare un’immagine pubblicata nella galleria per accelerare la creazione e l’idratazione dei dischi del sistema operativo, migliorando i tempi di avvio e di lancio delle applicazioni per le VM non persistenti. La galleria di immagini condivise contiene i seguenti tre elementi:

• Galleria: Le immagini sono archiviate qui. MCS crea una galleria per ogni catalogo di macchine.
• Definizione immagine della galleria: Questa definizione include informazioni (tipo e stato del sistema operativo, regione di Azure) sull’immagine pubblicata. MCS crea una definizione di immagine per ogni immagine creata per il catalogo.
• Versione immagine della galleria: Ogni immagine in una Shared Image Gallery può avere più versioni, e ogni versione può avere più repliche in diverse regioni. Ogni replica è una copia completa dell’immagine pubblicata.

Nota:

La funzionalità Shared Image Gallery funziona solo con i dischi gestiti. Non è disponibile per i cataloghi di macchine legacy.

Per maggiori informazioni, consulti Panoramica di Azure Shared Image Gallery.

Configurare Azure Shared Image Gallery

Utilizzi il comando New-ProvScheme per creare uno schema di provisioning con supporto per Shared Image Gallery. Utilizzi il comando Set-ProvScheme per abilitare o disabilitare questa funzionalità per uno schema di provisioning e per modificare il rapporto di replica e i valori massimi di replica.

Tre proprietà personalizzate sono state aggiunte agli schemi di provisioning per supportare la funzionalità Shared Image Gallery:

UseSharedImageGallery

• Definisce se utilizzare la Shared Image Gallery per archiviare le immagini pubblicate. Se impostato su True, l’immagine viene archiviata come immagine di Shared Image Gallery, altrimenti l’immagine viene archiviata come snapshot.
• I valori validi sono True e False.
• Se la proprietà non è definita, il valore predefinito è False.

SharedImageGalleryReplicaRatio

• Definisce il rapporto tra macchine e repliche della versione dell’immagine della galleria.
• I valori validi sono numeri interi maggiori di 0.
• Se la proprietà non è definita, vengono utilizzati i valori predefiniti. Il valore predefinito per i dischi del sistema operativo persistenti è 1000 e il valore predefinito per i dischi del sistema operativo non persistenti è 40.

SharedImageGalleryReplicaMaximum

• Definisce il numero massimo di repliche per ogni versione dell’immagine della galleria.
• I valori validi sono numeri interi maggiori di 0.
• Se la proprietà non è definita, il valore predefinito è 10.
• Azure attualmente supporta fino a 10 repliche per una singola versione di immagine della galleria. Se la proprietà è impostata su un valore superiore a quello supportato da Azure, MCS tenta di utilizzare il valore specificato. Azure genera un errore, che MCS registra e quindi lascia invariato il conteggio delle repliche corrente.

Suggerimento:

Quando si utilizza Shared Image Gallery per archiviare un’immagine pubblicata per i cataloghi di cui è stato eseguito il provisioning MCS, MCS imposta il conteggio delle repliche della versione dell’immagine della galleria in base al numero di macchine nel catalogo, al rapporto di replica e al massimo di repliche. Il conteggio delle repliche viene calcolato dividendo il numero di macchine nel catalogo per il rapporto di replica (arrotondando per eccesso al numero intero più vicino) e quindi limitando il valore al conteggio massimo delle repliche. Ad esempio, con un rapporto di replica di 20 e un massimo di 5, 0-20 macchine hanno una replica creata, 21-40 ne hanno 2, 41-60 ne hanno 3, 61-80 ne hanno 4, 81+ ne hanno 5.

Caso d’uso: Aggiornamento del rapporto di replica e del massimo di repliche di Shared Image Gallery

Il catalogo di macchine esistente utilizza Shared Image Gallery. Utilizzi il comando Set-ProvScheme per aggiornare le proprietà personalizzate per tutte le macchine esistenti nel catalogo e per le macchine future:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Caso d’uso: Conversione di un catalogo snapshot in un catalogo Shared Image Gallery

Per questo caso d’uso:

1. Esegua Set-ProvScheme con il flag UseSharedImageGallery impostato su True. Includa facoltativamente le proprietà SharedImageGalleryReplicaRatio e SharedImageGalleryReplicaMaximum.
2. Aggiorni il catalogo.
3. Riavvii le macchine per forzare un aggiornamento.

Ad esempio:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Suggerimento:

I parametri SharedImageGalleryReplicaRatio e SharedImageGalleryReplicaMaximum non sono obbligatori. Dopo il completamento del comando Set-ProvScheme, l’immagine di Shared Image Gallery non è ancora stata creata. Una volta configurato il catalogo per l’utilizzo della galleria, la successiva operazione di aggiornamento del catalogo archivia l’immagine pubblicata nella galleria. Il comando di aggiornamento del catalogo crea la galleria, l’immagine della galleria e la versione dell’immagine. Il riavvio delle macchine le aggiorna, a quel punto il conteggio delle repliche viene aggiornato, se appropriato. Da quel momento, tutte le macchine non persistenti esistenti vengono ripristinate utilizzando l’immagine di Shared Image Gallery e tutte le macchine di cui è stato appena eseguito il provisioning vengono create utilizzando l’immagine. Il vecchio snapshot viene pulito automaticamente entro poche ore.

Caso d’uso: Conversione di un catalogo Shared Image Gallery in un catalogo snapshot

Per questo caso d’uso:

1. Esegua Set-ProvScheme con il flag UseSharedImageGallery impostato su False o non definito.
2. Aggiorni il catalogo.
3. Riavvii le macchine per forzare un aggiornamento.

Ad esempio:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'
<!--NeedCopy-->

Suggerimento:

A differenza dell’aggiornamento da uno snapshot a un catalogo Shared Image Gallery, i dati personalizzati per ogni macchina non sono ancora stati aggiornati per riflettere le nuove proprietà personalizzate. Esegua il seguente comando per visualizzare le proprietà personalizzate originali di Shared Image Gallery: Get-ProvVm -ProvisioningSchemeName catalog-name. Dopo il completamento del comando Set-ProvScheme, lo snapshot dell’immagine non è ancora stato creato. Una volta configurato il catalogo per non utilizzare la galleria, la successiva operazione di aggiornamento del catalogo archivia l’immagine pubblicata come snapshot. Da quel momento, tutte le macchine non persistenti esistenti vengono ripristinate utilizzando lo snapshot e tutte le macchine di cui è stato appena eseguito il provisioning vengono create dallo snapshot. Il riavvio delle macchine le aggiorna, a quel punto i dati personalizzati della macchina vengono aggiornati per riflettere che UseSharedImageGallery è impostato su False. Le vecchie risorse di Shared Image Gallery (galleria, immagine e versione) vengono pulite automaticamente entro poche ore.

Provisioning di macchine in Zone di disponibilità specificate

È possibile eseguire il provisioning di macchine in Zone di disponibilità specifiche negli ambienti Azure. È possibile ottenere ciò utilizzando PowerShell.

Nota:

Se non vengono specificate zone, MCS consente ad Azure di posizionare le macchine all’interno della regione. Se viene specificata più di una zona, MCS distribuisce casualmente le macchine tra di esse.

Configurazione delle Zone di disponibilità tramite PowerShell

Utilizzando PowerShell, è possibile visualizzare gli elementi dell’inventario delle offerte utilizzando Get-Item. Ad esempio, per visualizzare l’offerta di servizio Standard_B1ls della regione Stati Uniti orientali:

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"
<!--NeedCopy-->

Per visualizzare le zone, utilizzi il parametro AdditionalData per l’elemento:

$serviceOffering.AdditionalData

Se le Zone di disponibilità non sono specificate, non vi è alcun cambiamento nel modo in cui le macchine vengono sottoposte a provisioning.

Per configurare le Zone di disponibilità tramite PowerShell, utilizzi la proprietà personalizzata Zones disponibile con l’operazione New-ProvScheme. La proprietà Zones definisce un elenco di Zone di disponibilità in cui eseguire il provisioning delle macchine. Tali zone possono includere una o più Zone di disponibilità. Ad esempio, <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/> per le Zone 1 e 3.

Utilizzi il comando Set-ProvScheme per aggiornare le zone per uno schema di provisioning.

Se viene fornita una zona non valida, lo schema di provisioning non viene aggiornato e viene visualizzato un messaggio di errore che fornisce istruzioni su come correggere il comando non valido.

Suggerimento:

Se specifica una proprietà personalizzata non valida, lo schema di provisioning non viene aggiornato e viene visualizzato un messaggio di errore pertinente.

Disco effimero di Azure

I dischi effimeri di Azure consentono di riutilizzare il disco cache o temporaneo per archiviare il disco del sistema operativo per una macchina virtuale abilitata per Azure. Questa funzionalità è utile per gli ambienti Azure che richiedono un disco SSD con prestazioni più elevate rispetto a un disco HDD standard.

Nota:

I cataloghi persistenti non supportano i dischi del sistema operativo effimeri.

I dischi del sistema operativo effimeri richiedono che il Suo schema di provisioning utilizzi dischi gestiti e una Shared Image Gallery. Per maggiori informazioni, consulti Azure Shared Image Gallery.

Utilizzo di PowerShell per configurare un disco effimero

Per configurare un disco del sistema operativo effimero di Azure per un catalogo, utilizzi il parametro UseEphemeralOsDisk in Set-ProvScheme. Imposti il valore del parametro UseEphemeralOsDisk su true.

Nota:

Per utilizzare questa funzionalità, è necessario abilitare anche i parametri UseManagedDisks e UseSharedImageGallery.

Ad esempio:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'
<!--NeedCopy-->

Archiviazione di un disco temporaneo del sistema operativo effimero

Ha la possibilità di archiviare un disco del sistema operativo effimero sul disco temporaneo della VM o su un disco di risorse. Questa funzionalità Le consente di utilizzare un disco del sistema operativo effimero con una VM che non ha una cache o ha una cache insufficiente. Tali VM hanno un disco temporaneo o di risorse per archiviare un disco del sistema operativo effimero, come Ddv4.

Consideri quanto segue:

• Un disco effimero viene archiviato nel disco cache della VM o nel disco temporaneo (risorsa) della VM. Il disco cache è preferito rispetto al disco temporaneo, a meno che il disco cache non sia sufficientemente grande da contenere il contenuto del disco del sistema operativo.
• Per gli aggiornamenti, una nuova immagine più grande del disco cache ma più piccola del disco temporaneo comporta la sostituzione del disco del sistema operativo effimero con il disco temporaneo della VM.

Conservazione di una macchina virtuale di cui è stato eseguito il provisioning durante il riavvio

Scelga se conservare una macchina virtuale di cui è stato eseguito il provisioning durante il riavvio. Utilizzi il parametro PowerShell New-ProvScheme CustomProperties. Questo parametro supporta una proprietà aggiuntiva, PersistVm, utilizzata per determinare se una macchina virtuale di cui è stato eseguito il provisioning persiste quando viene riavviata. Imposti la proprietà PersistVm su true per rendere persistente una macchina virtuale quando spenta, o imposti la proprietà su false per assicurarsi che la macchina virtuale non venga conservata quando spenta.

Nota:

La proprietà PersistVm si applica solo a uno schema di provisioning con le proprietà CleanOnBoot e UseWriteBackCache abilitate. Se la proprietà PersistVm non è specificata per le macchine virtuali non persistenti, queste vengono eliminate dall’ambiente Azure quando spente.

Nell’esempio seguente, il parametro New-ProvScheme CustomProperties imposta la proprietà PersistVm su true:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="false" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
<Property xsi:type="StringProperty" Name="PersistVm" Value="true" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="demo-resourcegroup" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>
<!--NeedCopy-->

Nell’esempio seguente, il parametro New-ProvScheme CustomProperties conserva la cache di write-back impostando PersistVM su true:

 New-ProvScheme
 -AzureAdJoinType "None"
 -CleanOnBoot
 -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"Standard_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"false`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"PersistVm`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"demo-resourcegroup`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Client`" /></CustomProperties>"
 -HostingUnitName "demo"
 -IdentityPoolName "NonPersistent-MCSIO-PersistVM"
 -MasterImageVM "XDHyp:\HostingUnits\demo\image.folder\scale-test.resourcegroup\demo-snapshot.snapshot"
 -NetworkMapping @ {"0"="XDHyp:\HostingUnits\demo\\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\ji-test.resourcegroup\jitest-vnet.virtualprivatecloud\default.network"}
-ProvisioningSchemeName "NonPersistent-MCSIO-PersistVM"
 -ServiceOffering "XDHyp:\HostingUnits\demo\serviceoffering.folder\Standard_B2ms.serviceoffering" -UseWriteBackCache
 -WriteBackCacheDiskSize 127
 -WriteBackCacheMemorySize 256
 <!--NeedCopy-->

Suggerimento:

La proprietà PersistVm determina se conservare una macchina virtuale di cui è stato eseguito il provisioning. La proprietà PersistOsdisk determina se rendere persistente il disco del sistema operativo. Per conservare una macchina virtuale di cui è stato eseguito il provisioning, conservi prima il disco del sistema operativo. Non è possibile eliminare il disco del sistema operativo senza prima eliminare la macchina virtuale. È possibile utilizzare la proprietà PersistOsdisk senza specificare il parametro PersistVm.

Tipi di archiviazione

Selezioni diversi tipi di archiviazione per le macchine virtuali negli ambienti Azure che utilizzano MCS. Per le VM di destinazione, MCS supporta:

• Disco del sistema operativo: SSD premium, SSD o HDD
• Disco cache di write-back: SSD premium, SSD o HDD

Quando si utilizzano questi tipi di archiviazione, consideri quanto segue:

• Si assicuri che la Sua VM supporti il tipo di archiviazione selezionato.
• Se la Sua configurazione utilizza un disco effimero di Azure, non Le viene offerta l’opzione per l’impostazione del disco cache di write-back.

Suggerimento:

StorageType è configurato per un tipo di sistema operativo e un account di archiviazione. WBCDiskStorageType è configurato per il tipo di archiviazione della cache di write-back. Per un catalogo normale, StorageType è obbligatorio. Se WBCDiskStorageType non è configurato, StorageType viene utilizzato come predefinito per WBCDiskStorageType.

Se WBCDiskStorageType non è configurato, StorageType viene utilizzato come predefinito per WBCDiskStorageType

Configurazione dei tipi di archiviazione

Per configurare i tipi di archiviazione per la VM, utilizzi il parametro StorageType in New-ProvScheme. Imposti il valore del parametro StorageType su uno dei tipi di archiviazione supportati.

Di seguito è riportato un esempio di set del parametro CustomProperties in uno schema di provisioning:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>'
<!--NeedCopy-->

Recuperare informazioni per VM Azure, snapshot, disco del sistema operativo e definizione dell’immagine della galleria

È possibile visualizzare informazioni per una VM Azure, inclusi disco e tipo del sistema operativo, snapshot e definizione dell’immagine della galleria. Queste informazioni vengono visualizzate per le risorse sull’immagine master quando viene assegnato un catalogo di macchine. Utilizzi questa funzionalità per visualizzare e selezionare un’immagine Linux o Windows. Una proprietà PowerShell, TemplateIsWindowsTemplate, è stata aggiunta al parametro AdditionDatafield. Questo campo contiene informazioni specifiche di Azure: tipo di VM, disco del sistema operativo, informazioni sull’immagine della galleria e informazioni sul tipo di sistema operativo. L’impostazione di TemplateIsWindowsTemplate su True indica che il tipo di sistema operativo è Windows; l’impostazione di TemplateIsWindowsTemplate su False indica che il tipo di sistema operativo è Linux.

Suggerimento:

Le informazioni visualizzate dalla proprietà PowerShell TemplateIsWindowsTemplate derivano dall’API di Azure. In alcuni casi, questo campo potrebbe essere vuoto. Ad esempio, uno snapshot da un disco dati non contiene il campo TemplateIsWindowsTemplate perché il tipo di sistema operativo non può essere recuperato da uno snapshot.

Ad esempio, imposti il parametro AdditionData della VM Azure su True per il tipo di sistema operativo Windows utilizzando PowerShell:

PS C:\Users\username> (get-item XDHyp:\Connections\mynetwork\image.folder\username-dev-testing-rg.resourcegroup\username-dev-tsvda.vm).AdditionalData
Key Value
ServiceOfferingDescription Standard_B2ms
HardDiskSizeGB 127
ResourceGroupName FENGHUAJ-DEV-TESTING-RG
ServiceOfferingMemory 8192
ServiceOfferingCores 2
TemplateIsWindowsTemplate True
ServiceOfferingWithTemporaryDiskSizeInMb 16384
SupportedMachineGenerations Gen1,Gen2
<!--NeedCopy-->

Azure Marketplace

Citrix Virtual Apps and Desktops e Citrix DaaS supportano l’utilizzo di un’immagine master su Azure che contiene informazioni sul piano per creare un catalogo di macchine. Per maggiori informazioni, consulti Microsoft Azure Marketplace.

Suggerimento:

Alcune immagini trovate su Azure Marketplace, come l’immagine standard di Windows Server, non aggiungono informazioni sul piano. La funzionalità Citrix DaaS™ è per immagini a pagamento.

Assicurarsi che l’immagine creata in Shared Image Gallery contenga informazioni sul piano Azure

Utilizzi la procedura in questa sezione per visualizzare le immagini di Shared Image Gallery in Citrix Studio. Queste immagini possono essere utilizzate facoltativamente per un’immagine master. Per inserire l’immagine in una Shared Image Gallery, crei una definizione di immagine in una galleria.

Nella pagina Opzioni di pubblicazione, verifichi le informazioni sul piano di acquisto.

I campi delle informazioni sul piano di acquisto sono inizialmente vuoti. Popoli tali campi con le informazioni sul piano di acquisto utilizzate per l’immagine. La mancata compilazione delle informazioni sul piano di acquisto può causare il fallimento del processo di catalogo delle macchine.

Dopo aver verificato le informazioni sul piano di acquisto, crei una versione dell’immagine all’interno della definizione. Questa viene utilizzata come immagine master. Clicchi su Aggiungi versione:

Nella sezione Dettagli versione, selezioni lo snapshot dell’immagine o il disco gestito come origine:

Informazioni sulle autorizzazioni di Azure

Questa sezione contiene le autorizzazioni minime e generali richieste per Azure.

Autorizzazioni minime

Le autorizzazioni minime offrono un migliore controllo della sicurezza. Tuttavia, le nuove funzionalità che richiedono autorizzazioni aggiuntive falliranno a causa dell’utilizzo delle sole autorizzazioni minime.

Creazione di una connessione host

Aggiunga una nuova connessione host utilizzando le informazioni ottenute da Azure.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gestione dell’alimentazione delle VM

Accendere o spegnere le istanze della macchina.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Creazione, aggiornamento o eliminazione di VM

Creare un catalogo di macchine, quindi aggiungere, eliminare, aggiornare le macchine ed eliminare il catalogo di macchine.

Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è un disco gestito o gli snapshot si trovano nella stessa regione della connessione di hosting.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Sono necessarie le seguenti autorizzazioni aggiuntive basate sulle autorizzazioni minime per le seguenti funzionalità:

• Se l’immagine master è un VHD in un account di archiviazione situato nella stessa regione della connessione di hosting:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   <!--NeedCopy-->
  

• Se l’immagine master è una ImageVersion dalla Shared Image Gallery:

   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   <!--NeedCopy-->
  

• Se l’immagine master è un disco gestito. Gli snapshot o il VHD si trovano in una regione diversa dalla regione della connessione di hosting:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
   <!--NeedCopy-->
  

• Se si utilizza un gruppo di risorse gestito da Citrix:

   "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
   <!--NeedCopy-->
  

• Se si inserisce l’immagine master nella Shared Image Gallery:

   "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
   <!--NeedCopy-->
  

• Se si utilizza il supporto per host dedicati di Azure:

   "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
   <!--NeedCopy-->
  

• Se si utilizza la crittografia lato server (SSE) con chiavi gestite dal cliente (CMK):

   "Microsoft.Compute/diskEncryptionSets/read",
   <!--NeedCopy-->
  

• Se si distribuiscono VM utilizzando modelli ARM (profilo macchina):

   "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
   <!--NeedCopy-->
  

• Se si utilizza la specifica del modello Azure come profilo macchina:

   "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
   <!--NeedCopy-->
  

Creazione, aggiornamento ed eliminazione di macchine con disco non gestito

Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è VHD e si utilizza il gruppo di risorse fornito dall’amministratore:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Autorizzazione generale

Il ruolo di Collaboratore ha pieno accesso per gestire tutte le risorse. Questo set di autorizzazioni non Le impedisce di ottenere nuove funzionalità.

Il seguente set di autorizzazioni fornisce la migliore compatibilità in futuro, sebbene includa più autorizzazioni di quelle necessarie con il set di funzionalità attuale:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Maggiori informazioni

• Connessioni e risorse
• Creare cataloghi di macchine
• CTX219211: Configurare un account Microsoft Azure Active Directory
• CTX219243: Concedere a XenApp e XenDesktop l’accesso alla Sua sottoscrizione Azure
• CTX219271: Distribuire un cloud ibrido utilizzando una VPN sito-sito