App Layering

MS Azure

Azure 環境でレイヤーを作成するときは、MS Azure コネクタ構成を使用します。この資料では、 Azure コネクタ構成設定に含まれるフィールドについて説明します 。コネクタ構成の詳細と新しい構成の追加方法については、「 コネクタ構成」を参照してください。

コネクタ構成には、アプライアンスが Azure の特定の場所にアクセスするために使用する資格情報が含まれます。組織では、1 つの Azure アカウントといくつかのストレージの場所を持つことができます。アプライアンスが各ストレージの場所にアクセスするためのコネクタ構成が必要です。

注:

このコネクタはレイヤーの公開に使用されます。 このコネクタをテンプレートの公開には使用しないでください

Azure コネクタ構成を作成する前に

このセクションでは、次の項目について説明します。

  • このコネクタ構成の作成に必要な Azure アカウント情報。
  • App Layering に必要な Azure ストレージ。
  • アプライアンスが通信するサーバー。

必要な Azure アカウント情報

Azure コネクタの構成には、次の情報が必要です。

Azure コネクタの構成

  • 名前 -新しいコネクタ構成に使用する名前。
  • サブスクリプション ID -Azure 仮想マシンをデプロイするには、組織にサブスクリプション ID が必要です。
  • テナント ID -Azure Active Directory インスタンスです。この GUID は、組織の Azure Active Directory (AD) の専用インスタンスを識別します。
  • クライアント ID -組織が App Layering 用に作成したアプリケーション登録の識別子。
  • クライアントシークレット -使用しているクライアント ID のパスワード。クライアントシークレットを忘れた場合は、クライアントシークレットを作成できます。注: クライアントシークレットは Azure テナントと論理的に関連付けられているため、新しいサブスクリプションとテナント ID を使用するたびに、新しいクライアントシークレットを使用する必要があります。
  • 標準 Azure ストレージ (必須): Azure 仮想マシンのストレージアカウント (VHD ファイル)、Azure 仮想マシンのデプロイに使用するテンプレートファイル、および Azure 仮想マシンのブート診断ファイル。 Premium Storage (オプション)を指定すると、仮想マシンはそこに格納され、テンプレートとブート診断ファイルは標準ストレージに残ります。

    ストレージアカウントは Azure Portal にすでに作成されており、入力する名前はポータルの名前と一致している必要があります。詳細については、以下の「 1 つ以上の必要なストレージアカウントを設定する 」を参照してください。

  • プレミアムストレージ (オプション): Azure 仮想マシン (VHD ファイル) 用のオプションの追加ストレージ。Premium Storage は、ページ BLOB のみをサポートし、Azure 仮想マシンをデプロイするためのテンプレートファイル、またはそれらの仮想マシンのブート診断ファイルを格納するために使用することはできません。プレミアムストレージアカウントを指定すると、使用可能な仮想マシンのサイズは、プレミアムストレージをサポートするサイズに制限されます。

    ストレージアカウントは Azure Portal にすでに作成されており、入力する名前はポータルの名前と一致している必要があります。詳細については、以下の「 1 つ以上の必要なストレージアカウントを設定する 」を参照してください。

必要な Azure ストレージアカウント

App Layeringで使用するアカウントは、以下の要件を満たしている必要があります。

  • クラシックストレージアカウントではいけません。
  • アプライアンスに使用するストレージアカウントとは別のものである必要があります。
  • 仮想マシンのデプロイを計画している Azure の場所にある必要があります。
  • リソースグループの場所がアカウントの場所と同じであれば、どのリソースグループにも配置できます。

必要な標準ストレージアカウント

コネクタ構成を作成するには、次の種類の Standard Azure ストレージアカウントのいずれかが必要です。

  • 標準ローカル冗長ストレージ(LRS)
  • 標準地理冗長ストレージ (GRS)
  • 標準読み取りアクセス地理冗長ストレージ (RAGRS)

必要な標準ストレージを作成するときは、このアカウントの BLOB パブリックアクセスを有効にします 。そうしないと、イメージを公開しようとすると次のエラーで失敗します。

"A failure occurred while creating a storage container in the Azure storage account: Public access is not permitted on this storage account."

プレミアムストレージアカウント

必須の Standard アカウントに加えてPremium Storage を使用して App Layering 仮想マシンディスクを格納できます。 オプションのプレミアムストレージを作成する場合BLOB パブリックアクセスは必要ありません

アプライアンスが通信するサーバ

このコネクタを使用して、アプライアンスは次のサーバーと通信します。

  • management.azure.com
  • login.windows.net
  • management.core.windows.net
  • portal.azure.com/ #create /microsoft.template/URI
  • blob.core.windows.net

アプライアンスには、これらのサーバとのネットワーク接続が必要です。

Azure サブスクリプションをセットアップする

App Layering アプライアンスに接続する Azure サブスクリプションごとに、以下の手順を実行します。

Azure 認証情報のセットアップと取得

Azure コネクタ構成を追加するときに Azure 資格情報を取得するには、次の手順に従います。

  • Azure サブスクリプション ID を特定します。
  • Azure Active Directory でアプリ登録を作成します。
  • Azure テナント ID、クライアント ID、およびクライアントシークレットをアプリ登録から取得します。
  • サブスクリプション内でストレージアカウントを作成するか、既存のアカウントを使用します。

正しい Azure サブスクリプション ID を特定する

  1. Azure ポータルに移動します
  2. [ サブスクリプション] をクリックし、リストで必要なサブスクリプションを見つけます。
  3. サブスクリプション ID を選択してコピーし、コネクタ設定の [ サブスクリプション ID ] フィールドに貼り付けます。

Azure サブスクリプションのアプリ登録を作成する

複数の Azure コネクタ構成に 1 つの Azure サブスクリプションを使用できます。App Layering コネクタの構成に使用する各 Azure サブスクリプションには、アプリの登録が必要です。

アプリ登録を作成するには、次の手順に従います。

  1. Azure ポータルにログインします
  2. [ Azure Active Directory] をクリックします。 Azure Active Directory が一覧に表示されない場合は、[ その他のサービス ] をクリックしてその他の選択肢を表示します。
  3. 左側の [ 管理] で、[ アプリの登録] を選択します。
  4. ページの上部にある [ 新規登録] をクリックします。 フォームが表示されます。
  5. 名前 ]フィールドに、「Citrix App Layering アクセス」などのわかりやすい名前を入力します。
  6. [ サポートされるアカウントタイプ] で、[ この組織ディレクトリ内のアカウントのみ (私の会社のみ -シングルテナント)] を選択します。
  7. [リダイレクト URL] に、https://myapp.com/authと入力します。
  8. [登録] をクリックします。
  9. アプリ登録の一覧で、前の手順で作成した新しいアプリ登録をクリックします。
  10. 表示される新しいウィンドウで、アプリケーション ID が上部に表示されます。この値を、作成しているコネクタ構成の [ クライアント ID ] ボックスに入力します。
  11. 右にスクロールして、表示名、アプリケーション ID などの値を含むアプリケーションのプロパティを表示します。
  12. ディレクトリ (テナント) ID の値をコピーし、コネクタ構成の [ テナント ID ] フィールドに貼り付けます。
  13. 左側の列で、[ 管理 ] の下にある [ 証明書とシークレット] をクリックします。
  14. App Layering アプリケーションのクライアントシークレットを、「App Layering Key 1」などの説明とともに追加します。
  15. 新しいクライアントシークレットの値を 、コネクタ構成に入力します。

    注:

    このウィンドウを閉じた後、このキーは再度表示されません。このキーは機密情報です。キーは、Azure サブスクリプションへの管理者アクセスを許可するパスワードのように扱います。 Azure Active Directory > アプリの登録 > [入力した名前] > [設定] > [プロパティ] で、作成したアプリ登録の設定を開きます

  16. Azure Home に戻り、[ サブスクリプション] をクリックします。[ サブスクリプション ] が表示されない場合は、[ その他のサービス ] をクリックして探します。
  17. このコネクタに使用しているサブスクリプションをクリックします。
  18. 左側のパネルで、[ アクセスコントロール (IAM)] をクリックします。
  19. [アクセスコントロールパネル] の上部バーで、[ 追加 ] をクリックし、[ 役割の割り当ての追加] を選択します。
  20. 右側に [役割の割り当ての追加 ] フォームが表示されます。[ 役割 ] のドロップダウンメニューをクリックし、[ 共同作成者] を選択します。
  21. [選択 ]フィールドに「Citrix App Layering access」と入力するか、アプリケーション登録に入力した名前を使用します。
  22. フォームの下部にある [ 保存 ] ボタンをクリックします。

これで、Azure サブスクリプションへの読み取り/書き込みアクセス権を持つ Azure アプリ登録がセットアップされました。

必要なストレージアカウントを 1 つ以上設定する

Azure ストレージアカウントは、App Layering ソフトウェアが、Azure からインポートおよび発行されたすべてのイメージ (仮想ハードディスク、または VHD) と、Azure 仮想マシンのデプロイに使用するテンプレートファイル、およびそれらのマシンのブート診断ファイルを格納する場所です。

次の要件を満たしている場合は、既存のストレージアカウントを使用できます。

  • 従来のストレージアカウントではありません
  • これは、コネクタ構成で使用されているのと同じサブスクリプションにあります。

App Layering Azure コネクタ構成で、[ 標準ストレージアカウント] フィールドにストレージアカウント名を入力します

ストレージアカウントをお持ちでない場合は、 標準ストレージアカウントを作成します 。コネクタ構成には標準アカウントが必要ですが、Premium の 2 番目のストレージアカウントを指定することもできます。

  1. Azure ホームページで、[ ストレージアカウント] をクリックします。
  2. [ ストレージアカウント ] ウィンドウで、[ 追加] をクリックします。
  3. [ サブスクリプション ] フィールドで、使用しているサブスクリプションを選択します。
  4. [ リソースグループ ] フィールドで、[ 新規作成 ] を選択し、ストレージアカウントの名前に似た名前を入力します。
  5. [ ストレージアカウント名 ] フィールドに、記憶に残る名前を入力します。
  6. [ ロケーション] を選択します。
  7. [ パフォーマンス ] フィールドで、選択したロケーションがこのコネクタ構成で唯一のロケーションである場合は、[ 標準] を選択します。それ以外の場合は、ニーズに最適なタイプを選択します。
  8. [ 勘定科目の種類 ] フィールドで、[ 汎用 v2 ] または [ 汎用 v1] を選択します。
  9. [ レプリケーション ] フィールドで、必要なタイプを選択します。
  10. アクセス層 (デフォルト)には、[ ホット ] または [ コールド] を選択します。
  11. [ 次へ:ネットワーク] をクリックし、接続方法を選択します。
  12. [ネットワーク]、[詳細設定]、[タグ] の残りのオプションを設定します。
  13. [Review + Create] を選択します。
  14. 最後に、 作成するコネクタ構成に新しいストレージアカウント名を入力します

Azure クライアントシークレットが失われた場合の対処策

証明書とシークレットを使用して、新しい Azure クライアントシークレットを生成できます。詳細については、この記事の前半の「 各 Azure サブスクリプションのアプリ登録を作成する 」セクションの手順を参照してください。

コネクタ構成の追加

要件の準備ができたら、Azure コネクタ構成を作成します。

  1. [ コネクタ ] ページをクリックします。
  2. [ コネクタ構成の追加] をクリックします。
  3. 表示されたダイアログボックスで、プラットフォームの Connector タイプと、レイヤーの作成またはレイヤー画像の公開先を選択します。次に、[ 新規 ] をクリックして [ コネクタの構成 ] ページを開きます。
  4. [ コネクタの設定 ] ページのフィールドに入力します。ガイダンスについては、フィールド定義を参照してください。
  5. [ テスト (TEST)] ボタンをクリックして、指定された認証情報を使用してアプライアンスが指定した場所にアクセスできることを確認します。
  6. [保存] をクリックします。新しいコネクタ構成が [コネクタ] タブに表示されます。

Azure データ構造 (リファレンス)

Azure のデータ構造は次のとおりです。

テナント

  • テナント ID
  • アプリ登録
    • クライアントID
    • クライアントシークレット
  • サブスクリプション
  • サブスクリプションID
    • ストレージ アカウント
      • ストレージアカウント名

場所:

  • テナントは 、ユーザーおよびアプリケーションが Azure にアクセスするために使用できる Azure Active Directory インスタンスです。テナント ID は、各テナントを識別します。テナントは、1 つ以上の Azure サブスクリプションにアクセスできます。
  • Azure Active Directory テナントには、2 種類のアカウントが含まれています。
    • Azure ポータル (portal.azure.com) にログインするためのユーザーアカウント
    • サブスクリプションにアクセスするためのアプリ登録には 、クライアント ID があります。
      • クライアント ID には、パスワードではなく、クライアントシークレットがあります。
      • ユーザーはクライアントシークレットを生成し、削除できます。
  • Azure サブスクリプションには、ユーザーアカウントを除き、Azure で作成できるすべてのものが含まれています。
  • サブスクリプションには、ストレージアカウントが含まれています。ストレージアカウントは、App Layering VHD が格納される場所です。ストレージアカウント名によって、場所が識別されます。
MS Azure