App Layering

MS Azure 政府

在 Azure 政府中创建层时,请使用 MS Azure 政府连接器配置。本文介绍连接器配置中包含的字段。有关 App Layering 连接器的更多信息,请参阅 连接器配置

连接器配置包含设备用于访问 Azure 政府中特定位置的凭据。你的组织可能有一个 Azure 政府帐户和多个存储位置。您需要设备的连接器配置才能访问每个存储位置。

在创建 Azure 政府连接器配置之前

本节解释:

  • 创建此连接器配置所需的 Azure 政府帐户信息。
  • App Layering 所需的 Azure 政府存储。
  • 设备与之通信的服务器。

必需的 Azure 帐户信息

Azure 政府连接器需要与 Azure 连接器相同的信息。

Azure 政府连接器配置

  • 名称 -用于新连接器配置的名称。
  • 订阅 ID -要部署 Azure 虚拟机,组织必须具有订阅 ID。
  • 租户 ID -一个 Azure Active Directory 实例,此 GUID 标识组织的 Azure Active Directory (AD) 专用实例。
  • 客户端 ID -您的组织为 App Layering 创建的应用程序注册标识符。
  • 客户端密钥 -您正在使用的客户端 ID 的口令。如果您忘记了客户端密码,则可以创建一个新的密码。注意: 客户端密钥在逻辑上与 Azure 租户关联,因此每次使用新订阅和租户 ID 时,都必须使用新的客户端密钥。
  • 标准 Azure 存储(必需): Azure 虚拟机(VHD 文件)的存储帐户、用于部署 Azure 虚拟机的模板文件以及这些计算机的引导诊断文件。指定 高级 存储( 可选)时,虚拟机将存储在此处,并且模板和引导诊断文件仍保留在标准存储中。

    存储帐户必须已在 Azure 政府门户中创建,并且您输入的名称必须与门户中的名称匹配。有关详细信息,请参阅下面的设置必要的存储帐户。

  • 高级存储(可选):Azure 虚拟机的 更多存储空间(VHD 文件)。高级存储仅支持页 Blob。不能使用高级存储来存储用于部署 Azure 虚拟机的模板文件,也不能使用这些虚拟机的引导诊断文件。指定高级存储帐户时,可用的虚拟机大小仅限于支持高级存储的虚拟机大小。

    存储帐户必须已在 Azure 政府门户中创建,并且您输入的名称必须与门户中的名称匹配。有关详细信息,请参阅本文后面的设置必要的存储帐户

所需的 Azure 政府存储帐户

用于 App Layering 的任何帐户都必须满足以下要求:

  • 不得是经典存储帐户。
  • 必须独立于用于装置的存储帐户。
  • 必须位于计划部署虚拟机的 Azure 政府位置。
  • 可以位于任何资源组中,只要资源组的位置与帐户的位置相同即可。

所需的标准存储帐户

创建连接器配置需要以下类型之一的标准 Azure 政府)存储帐户。

  • 标准本地冗余存储 (LRS)
  • 标准地域冗余存储 (GRS)
  • 标准读取访问地域冗余存储 (RAGRS)

创建所需的标准存储时,请为此帐户启用 Blob 公共访问权限。否则,尝试发布图像失败,并显示错误:

“在 Azure 存储帐户中创建存储容器时出现故障:此存储帐户不允许公共访问。“

高级存储帐户

除了所需的标准帐户外,您还可以使用高级存储来存储 App Layering 虚拟机磁盘。

设备与之通信的服务器

使用此连接器,设备与以下服务器进行通信:

  • login.microsoftonline.us
  • management.usgovcloudapi.net
  • management.core.usgovcloudapi.net
  • portal.azure.us/#create/Microsoft.Template/uri/
  • blob.core.usgovcloudapi.net

设备需要与这些服务器进行网络连接。

设置 Azure 政府订阅

对于要连接到应用分层设备的每个 Azure 政府订阅,请使用以下过程。

设置和检索 Azure 政府凭据

添加新的 MS Azure 政府连接器配置时,请按如下方式检索 Azure 政府凭据:

  • 确定你的 Azure 政府订阅 ID。
  • 在 Azure 政府 Active Directory 中创建应用注册。
  • 从应用注册中检索 Azure 政府租户 ID、客户端 ID 和客户端密钥。
  • 创建新的存储帐户,或使用订阅中的现有存储帐户。

确定正确的 Azure 政府订阅 ID

  1. 转到 Azure 政府门户
  2. 单击“订阅”,然后在列表中找到您需要的订阅。
  3. 选择并复制订阅 ID,然后将其粘贴到连接器配置 订阅 ID 字段中。

为每个 Azure 政府订阅创建一个应用程序注册

可以将一个 Azure 政府订阅用于多个 Azure 连接器配置。要用于 App Layering 连接器配置的每个订阅都需要注册应用程序。

要创建应用程序注册:

  1. 登录到 Azure 政府门户
  2. 单击 Azure Active Directory。如果未列出 Azure Active Directory,请单击“更多服务”并搜索 Azure 政府 Active Directory。
  3. 在左侧的“管理”下,选择“应用注册”
  4. 在页面顶部,单击“新注册”。此时将显示一个表单。
  5. 在“名称”字段中,键入描述性名称,如“Citrix App Layering 访问权限”。
  6. 对于支持的帐户类型,选择仅在此组织目录中的帐户(* 仅限*我的公司-单租户)
  7. 对于 重定向 URL,请键入 https://myapp.com/auth
  8. 单击“注册”
  9. 在应用程序注册列表中,单击您在上述过程中创建的新应用程序注册。
  10. 在出现的新窗口中,应用程序 ID 显示在顶部附近。在正在创建的连接器配置中的“客户端 ID”框中输入此值。
  11. 向右滚动以查看应用程序属性,包括显示名称、应用程序 ID 和其他值。
  12. 复制目录(租户)ID 值并将其粘贴到连接器配置中的租户 ID 字段中。
  13. 在左列中的“管理”下,单击“证书和秘密”
  14. 为 App Layering 应用程序添加新的客户端密钥,其中包含“App Layering 密钥 1”等说明。
  15. 在连接器配置中键入新客户端密钥的值。

注意:

关闭此窗口后,此项不会再次显示。此密钥是敏感信息。将密钥视为允许管理员访问 Azure 政府订阅的密码。打开刚刚在 Azure 政府 Active Directory > 应用注册 > 刚刚输入的 [名称 > 设置] > 属性中创建的应用注册的设置

  1. 返回到 Azure 主页,然后单击 订阅。如果未列出“订阅”,请单击“更多服务”以找到它。
  2. 单击您正在用于此连接器的订阅。
  3. 在左侧面板中,单击访问控制 (IAM)
  4. 在“访问”控制面板的顶部栏上,单击“添加”,然后选择“添加角色分配”
  5. 添加角色分配 窗体将显示在右侧。单击角色的下拉菜单,然后选择贡献者
  6. 在“选择”字段中,键入“Citrix App Layering 访问权限”,或使用您为应用程序注册输入的名称。
  7. 单击窗体底部的“保存”按钮。

现在,你已经设置了 Azure 政府应用注册,该注册具有对 Azure 政府订阅的读/写访问权限。

设置必要的存储帐户

Azure 政府存储帐户是 App Layering 软件存储从 Azure 政府导入和发布到 Azure 政府的所有映像(虚拟硬盘或 VHD),以及用于部署 Azure 政府虚拟机的模板文件以及这些计算机的启动诊断文件。

您可以使用现有存储帐户。它必须满足以下要求:

  • 不是 一个经典的存储帐户。
  • 它与连接器配置中使用的订阅相同。

在 App Layering Azure 连接器配置向导中,在 标准存储帐户 字段中输入存储帐户名称。

如果您没有存储帐户,请创建 标准 存储帐户。连接器配置需要标准帐户,但也可以指定第二个高级存储帐户。

  1. 在 Azure 主页上,单击 存储帐户
  2. 在“存储帐户”窗口中,单击“添加”
  3. 在“订阅”字段中,选择您正在使用的订阅。
  4. 资源组字段中,选择新建并输入类似于存储帐户名称的名称。
  5. 存储帐户名 字段中,输入您将记住的名称。
  6. 选择 位置
  7. 在“性能”字段中,如果这是此连接器配置的唯一存储位置,请选择“标准”。否则,请根据您的需求选择最佳类型。
  8. 在“帐户类型”字段中,选择“常规用途 v2”或“常规用途 v1”
  9. 在“复制”字段中,选择所需的类型。
  10. 对于“访问”层(默认值),选择“热”或“冷”
  11. 单击“下一步:网络连接”,然后选择连接方法。
  12. 完成“网络”、“高级”和“标记”下的剩余选项。
  13. 选择“查看 + 创建”
  14. 最后,在正在创建的连接器配置中输入新的存储帐户名称

如果你的 Azure 政府客户端密码丢失,该怎么办

你可以使用 证书和密码生成新的 Azure 客户端密钥。有关详细信息,请参阅本文前面的“为每个 Azure 订阅创建应用注册”部分中的步骤。

添加连接器配置

当所有要求准备就绪后,创建 Azure 政府连接器配置:

  1. 在用于创建层或添加层版本的向导中,单击“连接器”选项卡。
  2. 在“连接器配置”列表下,单击“新建”以打开对话框。
  3. 为创建层或发布图像的平台和位置选择连接器类型。然后单击 “ 新建” 以打开 “ 连接器配置” 页。
  4. 填写“连接器配置”页上的字段。有关指南,请参阅字段定义。
  5. 单击 TEST 按钮,验证装置是否可以使用提供的凭据访问指定的位置。
  6. 单击“保存”。新的连接器配置将显示在 “连接器”选项卡上。

Azure 政府数据结构(参考)

Azure 政府数据结构如下所示:

租户

  • 租户编号
  • 应用程序注册
    • 客户端 ID
    • 客户端密钥
  • 订阅
  • 订阅 ID
    • 存储帐户
      • 存储帐户名称

其中:

  • 租户 是 Azure 政府 Active Directory 实例,用户和应用程序可用于访问 Azure 政府。租户由您的租户 ID 标识。租户可以访问一个或多个 Azure 政府订阅。
  • Azure 政府 Active Directory 租户包含两种类型的帐户。
    • 用于登录到 Azure 政府门户(portal.azure.us)的用户帐户
    • 用于访问订阅的应用程序注册具有客户端 ID。
      • 客户端 ID 具有客户端密钥,而不是密码。
      • 用户可以生成客户端密钥,然后将其删除。
  • Azure 政府订阅包含可在 Azure 政府中创建的所有内容,但用户帐户除外。
  • 订阅包含存储帐户。这是存储 App Layering VHD 的位置。它由存储帐户名称标识。
MS Azure 政府