App Layering

MS Azure

在 Azure 环境中创建层时,请使用 MS Azure 连接器配置。本文介绍 Azure 连接器配置设置 中包含的字段。有关连接器配置以及如何添加新配置的详细信息,请参阅连接器配置

连接器配置包含设备用于访问 Azure 中特定位置的凭据。你的组织可以有一个 Azure 帐户和多个存储位置。您需要设备的连接器配置才能访问每个存储位置。

在创建 Azure 连接器配置之前

本节解释:

  • 创建此连接器配置所需的 Azure 帐户信息。
  • App Layering 所需的 Azure 存储空间。
  • 设备与之通信的服务器。

必需的 Azure 帐户信息

Azure 连接器配置需要以下信息。

Azure 连接器配置

  • 名称 -用于新连接器配置的名称。
  • 订阅 ID -要部署 Azure 虚拟机,组织必须具有订阅 ID。
  • 租户 ID - Azure Active Directory 实例,此 GUID 标识您组织的 Azure Active Directory (AD) 专用实例。
  • 客户端 ID - 您的组织为 App Layering 创建的应用程序注册的标识符。
  • 客户端密码 - 您使用的客户端 ID 的密码。如果您忘记了客户端密码,则可以创建一个。注意: 客户端密钥在逻辑上与 Azure 租户关联,因此每次使用新的订阅和租户 ID 时,都必须使用新的客户端密钥。
  • 标准 Azure 存储(必需): Azure 虚拟机的存储帐户(VHD 文件)、用于部署 Azure 虚拟机的模板文件以及 Azure 虚拟机的启动诊断文件。如果指定高级存储(可选),则虚拟机将存储在那里,模板和启动诊断文件将保留在标准存储中。

    存储帐户必须已在 Azure 门户中创建,并且您输入的名称必须与门户中的名称一致。有关详细信息,请参阅下面的设置一个或多个必要的存储帐户

  • 高级存储(可选): Azure 虚拟机的可选额外存储空间(VHD 文件)。高级存储仅支持页 Blob,不能用于存储用于部署 Azure 虚拟机的模板文件或这些虚拟机的引导诊断文件。指定高级存储帐户时,可用的虚拟机大小仅限于支持高级存储的虚拟机大小。

    存储帐户必须已在 Azure 门户中创建,并且您输入的名称必须与门户中的名称一致。有关详细信息,请参阅下面的设置一个或多个必要的存储帐户

所需的 Azure 存储帐户

用于 App Layering 的任何帐户都必须满足以下要求:

  • 不得是经典存储帐户。
  • 必须独立于用于装置的存储帐户。
  • 必须位于计划部署虚拟机的 Azure 位置。
  • 可以位于任何资源组中,只要资源组的位置与帐户的位置相同即可。

所需的标准存储帐户

创建连接器配置需要以下类型之一的标准 Azure 存储帐户。

  • 标准本地冗余存储 (LRS)
  • 标准地域冗余存储 (GRS)
  • 标准读取访问地域冗余存储 (RAGRS)

创建所需的 标准存储时,请为此帐户启用 Blob 公共访问 。否则,尝试发布图像失败,并显示错误:

"A failure occurred while creating a storage container in the Azure storage account: Public access is not permitted on this storage account."

高级存储帐户

除了所需的标准帐户外,您还可以使用高级存储来存储 App Layering 虚拟机磁盘。创建可选的高级存储时,不需要 Blob 公共访问权限

设备与之通信的服务器

使用此连接器,设备与以下服务器进行通信:

  • management.azure.com
  • login.windows.net
  • management.core.windows.net
  • portal.azure.com/#create /microsoft.模板/URI
  • blob.core.windows.net

设备需要与这些服务器进行网络连接。

设置你的 Azure 订阅

对于要连接到 App Layering 设备的每个 Azure 订阅,请使用以下过程。

设置和检索 Azure 凭据

要在添加 Azure 连接器配置时检索 Azure 凭据:

  • 标识你的 Azure 订阅 ID。
  • 在 Azure Active Directory 中创建应用程序注册。
  • 从应用程序注册中检索 Azure 租户 ID、客户端 ID 和客户端密钥。
  • 在订阅中创建存储帐户或使用现有帐户。

确定正确的 Azure 订阅 ID

  1. 转到 Azure 门户
  2. 单击 “ 订阅”,然后在列表中找到所需的订阅。
  3. 选择并复制订阅 ID,然后将其粘贴到连接器配置 订阅 ID 字段中。

为 Azure 订阅创建应用注册

可以将一个 Azure 订阅用于多个 Azure 连接器配置。要用于 App Layering 连接器配置的每个 Azure 订阅都需要注册应用程序。

要创建应用程序注册:

  1. 登录 Azure 门户
  2. 单击 Azure Active Directory。 如果未列出 Azure Active Directory,请单击 更多服务 以显示更多选择。
  3. 在左侧的 管理下,选择 应用程序注册
  4. 在页面顶部,单击 “ 新注册”。 此时将显示一个表单。
  5. 名称 字段中,键入描述性名称,例如 “Citrix App Layering 访问权限”。
  6. 对于 受支持的帐户类型,请选择仅在此组织目录中的帐户(仅限我的公司 -单租户)
  7. 对于 重定向 URL,请键入 https://myapp.com/auth
  8. 单击注册
  9. 在应用程序注册列表中,单击您在上述过程中创建的新应用程序注册。
  10. 在出现的新窗口中,应用程序 ID 显示在顶部附近。在正在创建的连接器配置的 客户端 ID 框中输入此值。
  11. 向右滚动以查看应用程序属性,包括显示名称、应用程序 ID 和其他值。
  12. 复制目录(租户)ID 值并将其粘贴到连接器配置中的租户 ID 字段中。
  13. 管理 下的左列中,单击 证书和密码
  14. 为 App Layering 应用程序添加客户端密钥,其中包含“App Layering 密钥 1”等说明。
  15. 在连接器配置中键入新 客户端密钥 的值。

    注意:

    关闭此窗口后,此项不会再次显示。此密钥是敏感信息。将密钥视为允许对 Azure 订阅进行管理访问的密码。打开在 Azure Active Directory > 应用程序注册 > [您刚刚输入的名称] > 设置 > 属性中创建的应用程序注册的设置。

  16. 返回 Azure 主页,然后单击 订阅。如果未列出 订阅 ,请单击 更多服务 以查找它。
  17. 单击您正在用于此连接器的订阅。
  18. 在左侧面板中,单击 访问控制 (IAM)
  19. 在访问控制面板的顶部栏中,单击 添加 ,然后选择 添加角色分配
  20. 添加角色分配 窗体将显示在右侧。单击 角色 的下拉菜单,然后选择 参与者
  21. 选择 字段中,键入 “Citrix App Layering 访问权限” 或使用您为应用程序注册输入的名称。
  22. 单击表格底部的 “ 保存 ” 按钮。

现在,你已经设置了 Azure 应用注册,该注册具有对 Azure 订阅的读/写访问权限。

设置一个或多个必要的存储帐户

Azure 存储帐户是 App Layering 软件存储从 Azure 导入和发布到 Azure 的所有映像(虚拟硬盘或 VHD)以及用于部署 Azure 虚拟机的模板文件以及这些计算机的引导诊断文件的位置。

如果现有存储帐户满足以下要求,则可以使用它:

  • 是经典的存储帐户。
  • 它与连接器配置中使用的订阅相同。

在 App Layering Azure 连接器配置向导中,在 标准存储帐户字段中输入存储帐户 名称。

如果您没有存储帐户,请创建 标准 存储帐户。连接器配置需要标准帐户,但也可以指定第二个高级存储帐户。

  1. 在 Azure 主页上,单击 存储帐户
  2. 存储帐户 窗口中,单击 添加
  3. 在 “ 订阅 ” 字段中,选择您正在使用的订阅。
  4. 资源组 字段中,选择 新建 ,然后输入类似于存储帐户名称的名称。
  5. 存储帐户名称 字段中,输入一个令人难忘的名称。
  6. 选择 位置
  7. 在 “ 性能 ” 字段中,如果您选择的位置是此连接器配置的唯一位置,请选择 标准。否则,请根据您的需求选择最佳类型。
  8. 帐户类型 字段中,选择 通用 v2通用 v1
  9. 复制字段中,选择所需的类型。
  10. 对于 访问层(默认),选择 “ ” 或 “ ”。
  11. 单击 下一步:网络连接,然后选择连接方法。
  12. 完成“网络”、“高级”和“标记”下的剩余选项。
  13. 选择 查看 + 创建
  14. 最后,在正在创建的连接器配置中输入新的 存储帐户名称

如果你的 Azure 客户端密钥丢失,该怎么办

你可以使用 证书和密钥生成新的 Azure 客户端密钥。有关详细信息,请参阅本文前面的 为每个 Azure 订阅创建应用程序注册 部分中的步骤。

添加连接器配置

要求准备就绪后,创建 Azure 连接器配置:

  1. 在创建图层或向现有图层添加新版本的向导中,单击 连接器 选项卡。
  2. 在连接器配置列表下,单击 新建
  3. 在打开的对话框中,为创建层或发布分层图像的平台和位置选择 Connector 类型。然后单击 新建 以打开 连接器配置 页面。
  4. 填写 “ 连接器配置 ” 页面上的字段。有关指南,请参阅字段定义。
  5. 单击测试按钮以验证设备是否可以访问使用提供的凭据指定的位置。
  6. 单击保存。新的连接器配置将显示在 “连接器”选项卡上。

Azure 数据结构(参考)

Azure 数据结构如下所示:

租户

  • 租户 ID
  • 应用程序注册
    • 客户端 ID
    • 客户端密钥
  • 订阅
  • 订阅 ID
    • 存储帐户
      • 存储帐户名称

其中:

  • 租户是你的 Azure Active Directory 实例,用户和应用程序可以用来访问 Azure。租户 ID 标识每个租户。租户可以访问一个或多个 Azure 订阅。
  • Azure Active Directory 租户包含两种类型的帐户。
    • 用于登录 Azure 门户 (portal.azure.com) 的用户帐户
    • 用于访问订阅的应用程序注册具有客户端 ID。
      • 客户端 ID 具有客户端密钥,而不是密码。
      • 用户可以生成客户端密钥,然后将其删除。
  • Azure 订阅包含可以在 Azure 中创建的所有内容,但用户帐户除外。
  • 订阅包含存储帐户。存储帐户是存储 App Layering VHD 的位置。存储帐户名称标识位置。
MS Azure