App Layering

MS Azure 政府

在 Azure 政府中创建层时,请使用 MS Azure 政府连接器配置。本文介绍连接器配置中包含的字段。有关App Layering 连接器的更多信息,请参阅 连接器配置

连接器配置包含设备用于访问 Azure 政府中特定位置的凭据。你的组织可能有一个 Azure 政府帐户和多个存储位置。您需要设备的连接器配置才能访问每个存储位置。

在创建 Azure 政府连接器配置之前

本节解释:

  • 创建此连接器配置所需的 Azure 政府帐户信息。
  • App Layering 所需的 Azure 政府存储。
  • 设备与之通信的服务器。

必需的 Azure 帐户信息

Azure 政府连接器需要与 Azure 连接器相同的信息。

Azure 政府连接器配置

  • 名称 -用于新连接器配置的名称。
  • 订阅 ID -要部署 Azure 虚拟机,组织必须具有订阅 ID。
  • 租户 ID - Azure Active Directory 实例,此 GUID 标识您组织的 Azure Active Directory (AD) 专用实例。
  • 客户端 ID - 您的组织为 App Layering 创建的应用程序注册的标识符。
  • 客户端密码 - 您使用的客户端 ID 的密码。如果您忘记了客户端密码,则可以创建一个新的密码。注意: 客户端密钥在逻辑上与 Azure 租户关联,因此每次使用新的订阅和租户 ID 时,都必须使用新的客户端密钥。
  • 标准 Azure 存储(必需): Azure 虚拟机(VHD 文件)的存储帐户、用于部署 Azure 虚拟机的模板文件以及这些计算机的启动诊断文件。指定 高级 存储(可选)时,虚拟机将存储在那里,模板和启动诊断文件仍保留在标准存储中。

    存储帐户必须已在 Azure 政府门户中创建,并且您输入的名称必须与门户中的名称匹配。有关详细信息,请参阅 下面的设置必要的存储帐户

  • 高级存储(可选):为 Azure 虚拟机(VHD 文件)提供更多存储空间。高级存储仅支持页 Blob。不能使用高级存储来存储用于部署 Azure 虚拟机的模板文件,也不能使用这些虚拟机的引导诊断文件。指定高级存储帐户时,可用的虚拟机大小仅限于支持高级存储的虚拟机大小。

    存储帐户必须已在 Azure 政府门户中创建,并且您输入的名称必须与门户中的名称匹配。有关详细信息,请参阅本文后面的 设置必要的存储帐户

所需的 Azure 政府存储帐户

用于 App Layering 的任何帐户都必须满足以下要求:

  • 不得是经典存储帐户。
  • 必须独立于用于装置的存储帐户。
  • 必须位于计划部署虚拟机的 Azure 政府位置。
  • 可以位于任何资源组中,只要资源组的位置与帐户的位置相同即可。

所需的标准存储帐户

创建连接器配置需要以下类型之一的标准 Azure 政府)存储帐户。

  • 标准本地冗余存储 (LRS)
  • 标准地域冗余存储 (GRS)
  • 标准读取访问地域冗余存储 (RAGRS)

创建所需的 标准存储时,请为此帐户启用 Blob 公共访问 。否则,尝试发布图像失败,并显示错误:

"A failure occurred while creating a storage container in the Azure storage account: Public access is not permitted on this storage account." 

高级存储帐户

除了所需的标准帐户外,您还可以使用高级存储来存储 App Layering 虚拟机磁盘。

设备与之通信的服务器

使用此连接器,设备与以下服务器进行通信:

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/ #create /microsoft.template/uri/
  • blob.core.usgovcloudapi.net

设备需要与这些服务器进行网络连接。

设置 Azure 政府订阅

对于要连接到 App Layering 设备的每个 Azure 政府订阅,请使用以下过程。

设置和检索 Azure 政府凭据

添加新的 MS Azure 政府连接器配置时,请按如下方式检索 Azure 政府凭据:

  • 确定你的 Azure 政府订阅 ID。
  • 在 Azure 政府 Active Directory 中创建应用注册。
  • 从应用注册中检索 Azure 政府租户 ID、客户端 ID 和客户端密钥。
  • 创建新的存储帐户,或使用订阅中的现有存储帐户。

确定正确的 Azure 政府订阅 ID

  1. 转到 Azure 政府门户
  2. 单击 “ 订阅”,然后在列表中找到所需的订阅。
  3. 选择并复制订阅 ID,然后将其粘贴到连接器配置 订阅 ID 字段中。

为每个 Azure 政府订阅创建一个应用程序注册

可以将一个 Azure 政府订阅用于多个 Azure 连接器配置。要用于 App Layering 连接器配置的每个订阅都需要注册应用程序。

要创建应用程序注册:

  1. 登录到 Azure 政府门户
  2. 单击 Azure Active Directory。 如果未列出 Azure Active Directory,请单击“更多服务”,然后搜索 Azure 政府 Active Directory。
  3. 在左侧的 管理下,选择 应用程序注册
  4. 在页面顶部,单击 “ 新注册”。 此时将显示一个表单。
  5. 名称 字段中,键入描述性名称,例如 “Citrix App Layering 访问权限”。
  6. 对于 受支持的帐户类型,请选择仅在此组织目录中的帐户(仅限我的公司 -单租户)
  7. 对于 重定向 URL,请键入 https://myapp.com/auth
  8. 单击注册
  9. 在应用程序注册列表中,单击您在上述过程中创建的新应用程序注册。
  10. 在出现的新窗口中,应用程序 ID 显示在顶部附近。在正在创建的连接器配置的 客户端 ID 框中输入此值。
  11. 向右滚动以查看应用程序属性,包括显示名称、应用程序 ID 和其他值。
  12. 复制目录(租户)ID 值并将其粘贴到连接器配置中的租户 ID 字段中。
  13. 管理 下的左列中,单击 证书和密码
  14. 为 App Layering 应用程序添加新的客户端密钥,其中包含“App Layering 密钥 1”等说明。
  15. 在连接器配置中键入新 客户端密钥 的值。

    注意:

    关闭此窗口后,此项不会再次显示。此密钥是敏感信息。将密钥视为允许管理员访问 Azure 政府订阅的密码。在 Azure 政府 Active Directory > 应用程序注册 > [您刚刚输入的名称] > 设置 > 属性中打开你刚刚创建的应用程序注册的设置。

  16. 返回 Azure 主页,然后单击 订阅。如果未列出 订阅 ,请单击 更多服务 以查找它。
  17. 单击您正在用于此连接器的订阅。
  18. 在左侧面板中,单击 访问控制 (IAM)
  19. 在访问控制面板的顶部栏中,单击 添加 ,然后选择 添加角色分配
  20. 添加角色分配 窗体将显示在右侧。单击 角色 的下拉菜单,然后选择 参与者
  21. 选择 字段中,键入 “Citrix App Layering 访问权限” 或使用您为应用程序注册输入的名称。
  22. 单击表格底部的 “ 保存 ” 按钮。

现在,你已经设置了 Azure 政府应用注册,该注册具有对 Azure 政府订阅的读/写访问权限。

设置必要的存储帐户

Azure 政府存储帐户是 App Layering 软件存储从 Azure 政府导入和发布到 Azure 政府的所有映像(虚拟硬盘或 VHD),以及用于部署 Azure 政府虚拟机的模板文件以及这些计算机的启动诊断文件。

您可以使用现有存储帐户。它必须满足以下要求:

  • 是经典的存储帐户。
  • 它与连接器配置中使用的订阅相同。

在 App Layering Azure 连接器配置中,在标准存储帐户字段中输入存储帐户名称。

如果您没有存储帐户,请创建 标准 存储帐户。连接器配置需要标准帐户,但也可以指定第二个高级存储帐户。

  1. 在 Azure 主页上,单击 存储帐户
  2. 存储帐户 窗口中,单击 添加
  3. 在 “ 订阅 ” 字段中,选择您正在使用的订阅。
  4. 资源组 字段中,选择 新建 ,然后输入类似于存储帐户名称的名称。
  5. 存储帐户名称 字段中,输入您要记住的名称。
  6. 选择 位置
  7. 在“性能”字段中,如果这是此连接器配置的唯一存储位置,请选择“标准”。否则,请根据您的需求选择最佳类型。
  8. 帐户类型 字段中,选择 通用 v2通用 v1
  9. 复制字段中,选择所需的类型。
  10. 对于 访问层(默认),选择 “ ” 或 “ ”。
  11. 单击 下一步:网络连接,然后选择连接方法。
  12. 完成“网络”、“高级”和“标记”下的剩余选项。
  13. 选择 查看 + 创建
  14. 最后,在正在创建的连接器配置中输入新的 存储帐户名称

如果你的 Azure 政府客户端密码丢失,该怎么办

你可以使用 证书和密钥生成新的 Azure 客户端密钥。有关详细信息,请参阅本文前面的 为每个 Azure 订阅创建应用程序注册 部分中的步骤。

添加连接器配置

当所有要求准备就绪后,创建 Azure 政府连接器配置:

  1. 单击连接器页面。
  2. 单击“添加连接器配置”以打开对话框。
  3. 为创建层或发布图像的平台和位置选择连接器类型。然后单击“新建”以打开“连接器配置”页。
  4. 填写 “ 连接器配置 ” 页面上的字段。有关指南,请参阅字段定义。
  5. 单击测试按钮以验证设备是否可以访问使用提供的凭据指定的位置。
  6. 单击保存。新的连接器配置将显示在 “连接器”选项卡上。

Azure 政府数据结构(参考)

Azure 政府数据结构如下所示:

租户

  • 租户 ID
  • 应用程序注册
    • 客户端 ID
    • 客户端密码
  • 订阅
  • 订阅 ID
    • 存储帐户
      • 存储帐户名称

其中:

  • 租户 是你的 Azure 政府 Active Directory 实例,用户和应用程序可以使用它来访问 Azure 政府。租户由您的租户 ID 标识。租户可以访问一个或多个 Azure 政府订阅。
  • Azure 政府 Active Directory 租户包含两种类型的帐户。
    • 用于登录 Azure 政府门户 (portal.azure.us) 的 用户帐户
    • 用于访问订阅的应用程序注册具有客户端 ID。
      • 客户端 ID 具有客户端密钥,而不是密码。
      • 用户可以生成客户端密钥,然后将其删除。
  • Azure 政府订阅包含可在 Azure 政府中创建的所有内容,但用户帐户除外。
  • 订阅包含存储帐户。这是存储 App Layering VHD 的位置。它由存储帐户名称标识。
MS Azure 政府