Microsoft Azure Resource Manager-Cloudumgebungen

Befolgen Sie die Anweisungen in diesem Artikel, wenn Sie den Microsoft Azure Resource Manager verwenden, um virtuelle Maschinen in Ihrer Citrix Virtual Apps and Desktops™-Bereitstellung bereitzustellen.

Wir gehen davon aus, dass Sie mit Folgendem vertraut sind:

• Azure Active Directory: https://docs.microsoft.com/en-in/azure/active-directory/fundamentals/active-directory-whatis/
• Zustimmungs-Framework: https://docs.microsoft.com/de-de/azure/active-directory/manage-apps/plan-an-application-integration
• Dienstprinzipal: https://docs.microsoft.com/de-de/azure/active-directory/develop/app-objects-and-service-principals/

Azure On-Demand-Bereitstellung

Bei der Azure On-Demand-Bereitstellung werden VMs nur erstellt, wenn Citrix Virtual Apps and Desktops eine Einschaltaktion initiiert, nachdem die Bereitstellung abgeschlossen ist.

Wenn Sie MCS verwenden, um Maschinenkataloge im Azure Resource Manager zu erstellen, bietet die Azure On-Demand-Bereitstellungsfunktion:

• Reduziert Ihre Speicherkosten
• Ermöglicht eine schnellere Katalogerstellung

Wenn Sie einen MCS-Katalog erstellen, zeigt das Azure-Portal die Netzwerksicherheitsgruppe, Netzwerkschnittstellen, Basisimages und Identitätsdatenträger in den Ressourcengruppen an.

Das Azure-Portal zeigt eine VM erst an, wenn Citrix Virtual Apps and Desktops eine Einschaltaktion dafür initiiert. Es gibt zwei Maschinentypen mit folgenden Unterschieden:

• Bei einer gepoolten Maschine existieren der Betriebssystemdatenträger und der Write-Back-Cache nur, wenn die VM existiert. Wenn Sie eine gepoolte Maschine in der Konsole herunterfahren, ist die VM im Azure-Portal nicht sichtbar. Es gibt eine erhebliche Speicherkosteneinsparung, wenn Sie Maschinen routinemäßig herunterfahren (z. B. außerhalb der Arbeitszeiten).
• Bei einer dedizierten Maschine wird der Betriebssystemdatenträger erstellt, wenn die VM zum ersten Mal eingeschaltet wird. Die VM im Azure-Portal bleibt im Speicher, bis die Maschinenidentität gelöscht wird. Wenn Sie eine dedizierte Maschine in der Konsole herunterfahren, ist die VM im Azure-Portal weiterhin sichtbar.

Verbindung mit Azure Resource Manager

Verbindungen und Ressourcen beschreibt die Assistenten, die eine Verbindung erstellen. Die folgenden Informationen behandeln Details, die spezifisch für Azure Resource Manager-Verbindungen sind.

Überlegungen:

• Citrix® empfiehlt die Verwendung eines Dienstprinzipals mit der Rolle „Mitwirkender“. Eine Liste der Mindestberechtigungen finden Sie jedoch im Abschnitt Mindestberechtigungen.
• Beim Erstellen der ersten Verbindung fordert Azure Sie auf, die erforderlichen Berechtigungen zu erteilen. Für zukünftige Verbindungen müssen Sie sich weiterhin authentifizieren, aber Azure merkt sich Ihre vorherige Zustimmung und zeigt die Aufforderung nicht erneut an.
• Konten, die zur Authentifizierung verwendet werden, müssen über Berechtigungen verfügen, um Rollen im Abonnement mithilfe von Azure RBAC zuzuweisen. Beispiel: Besitzer, Administrator für rollenbasierte Zugriffssteuerung oder Benutzerzugriffsadministrator des Abonnements.
• Das zur Authentifizierung verwendete Konto muss Mitglied des Verzeichnisses des Abonnements sein. Es gibt zwei Arten von Konten, die zu beachten sind: „Geschäfts- oder Schulkonto“ und „persönliches Microsoft-Konto“. Weitere Informationen finden Sie unter CTX219211.

• Obwohl Sie ein vorhandenes Microsoft-Konto verwenden können, indem Sie es als Mitglied des Verzeichnisses des Abonnements hinzufügen, kann es zu Komplikationen kommen, wenn dem Benutzer zuvor Gastzugriff auf eine der Ressourcen des Verzeichnisses gewährt wurde. In diesem Fall haben sie möglicherweise einen Platzhaltereintrag im Verzeichnis, der ihnen nicht die erforderlichen Berechtigungen gewährt, und es wird ein Fehler zurückgegeben.

  Beheben Sie dies, indem Sie die Ressourcen aus dem Verzeichnis entfernen und sie explizit wieder hinzufügen. Gehen Sie jedoch vorsichtig mit dieser Option um, da sie unbeabsichtigte Auswirkungen auf andere Ressourcen haben kann, auf die das Konto zugreifen kann.

• Es gibt ein bekanntes Problem, bei dem bestimmte Konten als Verzeichnisgäste erkannt werden, obwohl sie tatsächlich Mitglieder sind. Solche Konfigurationen treten typischerweise bei älteren, etablierten Verzeichniskonten auf. Problemumgehung: Fügen Sie dem Verzeichnis ein Konto hinzu, das den korrekten Mitgliedschaftswert annimmt.
• Ressourcengruppen sind lediglich Container für Ressourcen und können Ressourcen aus anderen Regionen als ihrer eigenen Region enthalten. Dies kann potenziell verwirrend sein, wenn Sie erwarten, dass Ressourcen, die in der Region einer Ressourcengruppe angezeigt werden, verfügbar sind.
• Stellen Sie sicher, dass Ihr Netzwerk und Subnetz groß genug sind, um die benötigte Anzahl von Maschinen aufzunehmen. Dies erfordert etwas Weitsicht, aber Microsoft hilft Ihnen, die richtigen Werte anzugeben, mit Anleitungen zur Kapazität des Adressraums.

Sie können eine Hostverbindung zu Azure auf zwei Arten herstellen:

• Authentifizieren Sie sich bei Azure, um einen Dienstprinzipal zu erstellen.
• Verwenden Sie die Details eines zuvor erstellten Dienstprinzipals, um eine Verbindung zu Azure herzustellen.

Dienstprinzipal erstellen

Wichtig:

Diese Funktion ist für Azure China- und Azure Deutschland-Abonnements noch nicht verfügbar.

Bevor Sie beginnen, authentifizieren Sie sich bei Azure. Stellen Sie Folgendes sicher:

• Sie haben ein Benutzerkonto im Azure Active Directory-Mandanten Ihres Abonnements.
• Konten, die zur Authentifizierung verwendet werden, müssen über Berechtigungen zum Zuweisen von Rollen im Abonnement mit Azure RBAC verfügen. Beispiel: Besitzer, Administrator für rollenbasierte Zugriffssteuerung oder Benutzerzugriffsadministrator des Abonnements.
• Sie verfügen über globale Administrator-, Anwendungsadministrator- oder Anwendungsentwicklerberechtigungen für die Authentifizierung. Diese Berechtigungen können nach dem Erstellen der Hostverbindung widerrufen werden. Weitere Informationen zu Rollen finden Sie unter Integrierte Azure AD-Rollen.

Wenn Sie sich bei Azure authentifizieren, um einen Dienstprinzipal zu erstellen, wird eine Anwendung in Azure registriert. Für die registrierte Anwendung wird ein geheimer Schlüssel (Clientgeheimnis) erstellt. Die registrierte Anwendung verwendet das Clientgeheimnis zur Authentifizierung bei Azure AD. Stellen Sie sicher, dass Sie das Clientgeheimnis ändern, bevor es abläuft. Sie erhalten eine Warnung in der Konsole, bevor der geheime Schlüssel abläuft.

Um sich bei Azure zu authentifizieren und einen Dienstprinzipal zu erstellen, führen Sie die folgenden Schritte im Assistenten Verbindung und Ressourcen hinzufügen aus:

1. Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, den Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung aus.

2. Wählen Sie die Tools aus, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und klicken Sie dann auf Weiter.

3. Geben Sie auf der Seite Verbindungsdetails Ihre Azure-Abonnement-ID und einen Namen für die Verbindung ein. Nachdem Sie die Abonnement-ID eingegeben haben, wird die Schaltfläche Neu erstellen aktiviert.

   Hinweis:

   Der Verbindungsname darf 1–64 Zeichen enthalten und darf weder nur Leerzeichen noch die Zeichen \/;:#.*?=<>|[]{}"'()' enthalten.

4. Wählen Sie Neu erstellen und geben Sie dann den Benutzernamen und das Kennwort des Azure Active Directory-Kontos ein.
5. Wählen Sie Anmelden.
6. Wählen Sie Akzeptieren, um Citrix Virtual Apps and Desktops die aufgeführten Berechtigungen zu erteilen. Citrix Virtual Apps and Desktops erstellt einen Dienstprinzipal, der es ihm ermöglicht, Azure-Ressourcen im Namen des angegebenen Benutzers zu verwalten.

7. Nachdem Sie Akzeptieren ausgewählt haben, kehren Sie zur Seite Verbindung im Assistenten zurück.

   Hinweis:

   Nachdem Sie sich erfolgreich bei Azure authentifiziert haben, verschwinden die Schaltflächen Neu erstellen und Vorhandene verwenden. Der Text Verbindung erfolgreich wird mit einem grünen Häkchen angezeigt, was die erfolgreiche Verbindung zu Ihrem Azure-Abonnement anzeigt.

8. Wählen Sie auf der Seite Verbindungsdetails Weiter.

   Hinweis:

   Sie können erst zur nächsten Seite wechseln, wenn Sie sich erfolgreich bei Azure authentifiziert und der Erteilung der erforderlichen Berechtigungen zugestimmt haben.

9. Konfigurieren Sie Ressourcen für die Verbindung. Ressourcen umfassen die Region und das Netzwerk.

   • Wählen Sie auf der Seite Region eine Region aus.
   • Führen Sie auf der Seite Netzwerk Folgendes aus:
     • Geben Sie einen Ressourcennamen mit 1 bis 64 Zeichen ein, um die Kombination aus Region und Netzwerk zu identifizieren. Ein Ressourcenname darf weder nur Leerzeichen noch die Zeichen \/;:#.*?=<>|[]{}"'()' enthalten.
     • Wählen Sie ein Paar aus virtuellem Netzwerk und Ressourcengruppe aus. (Wenn Sie mehr als ein virtuelles Netzwerk mit demselben Namen haben, bietet die Kombination des Netzwerknamens mit der Ressourcengruppe eindeutige Kombinationen.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu dieser Seite zurück und wählen Sie eine Region mit virtuellen Netzwerken aus.
10. Zeigen Sie auf der Seite Zusammenfassung eine Zusammenfassung der Einstellungen an und wählen Sie Fertig stellen, um die Einrichtung abzuschließen.

Verwenden Sie die Details eines zuvor erstellten Dienstprinzipals, um eine Verbindung mit Azure herzustellen

Um einen Dienstprinzipal manuell zu erstellen, stellen Sie eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her und verwenden Sie die PowerShell-Cmdlets, die in den folgenden Abschnitten bereitgestellt werden.

Voraussetzungen:

• SubscriptionId: Azure Resource Manager SubscriptionID für das Abonnement, in dem Sie VDAs bereitstellen möchten.
• ActiveDirectoryID: Mandanten-ID der Anwendung, die Sie bei Azure AD registriert haben.
• ApplicationName: Name für die in Azure AD zu erstellende Anwendung.

So erstellen Sie einen Dienstprinzipal:

1. Stellen Sie eine Verbindung mit Ihrem Azure Resource Manager-Abonnement her.

   Connect-AzAccount

2. Wählen Sie das Azure Resource Manager-Abonnement aus, in dem Sie den Dienstprinzipal erstellen möchten.

   Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

3. Erstellen Sie die Anwendung in Ihrem AD-Mandanten.

   $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

4. Erstellen Sie einen Dienstprinzipal.

   New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

5. Weisen Sie dem Dienstprinzipal eine Rolle zu.

   New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

6. Notieren Sie im Ausgabefenster der PowerShell-Konsole die ApplicationId. Diese ID geben Sie beim Erstellen der Hostverbindung an.

Im Assistenten Verbindung und Ressourcen hinzufügen:

1. Wählen Sie auf der Seite Verbindung die Option Neue Verbindung erstellen, den Verbindungstyp Microsoft Azure und Ihre Azure-Umgebung aus.

2. Wählen Sie die Tools aus, die zum Erstellen der virtuellen Maschinen verwendet werden sollen, und wählen Sie dann Weiter.

3. Geben Sie auf der Seite Verbindungsdetails Ihre Azure-Abonnement-ID und einen Namen für die Verbindung ein.

   Hinweis:

   Der Verbindungsname darf 1–64 Zeichen enthalten und darf weder nur Leerzeichen noch die Zeichen \/;:#.*?=<>|[]{}"'()' enthalten.

4. Wählen Sie Vorhandenen verwenden. Geben Sie im Fenster Details des vorhandenen Dienstprinzipals die folgenden Einstellungen für den vorhandenen Dienstprinzipal ein. Nachdem Sie die Details eingegeben haben, wird die Schaltfläche Speichern aktiviert. Wählen Sie Speichern. Sie können diese Seite erst verlassen, wenn Sie gültige Details angegeben haben.

   • Abonnement-ID. Geben Sie Ihre Azure-Abonnement-ID ein. Um Ihre Abonnement-ID zu erhalten, melden Sie sich beim Azure-Portal an und navigieren Sie zu Abonnements > Übersicht.
   • Active Directory-ID (Mandanten-ID). Geben Sie die Verzeichnis-ID (Mandanten-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
   • Anwendungs-ID. Geben Sie die Anwendungs-ID (Client-ID) der Anwendung ein, die Sie bei Azure AD registriert haben.
   • Anwendungsgeheimnis. Erstellen Sie einen geheimen Schlüssel (Clientgeheimnis). Die registrierte Anwendung verwendet den Schlüssel zur Authentifizierung bei Azure AD. Wir empfehlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Speichern Sie den Schlüssel unbedingt, da Sie ihn später nicht mehr abrufen können.

   • Ablaufdatum des Geheimnisses. Geben Sie das Datum ein, nach dem das Anwendungsgeheimnis abläuft. Sie erhalten eine Warnung auf der Konsole, bevor der geheime Schlüssel abläuft. Wenn der geheime Schlüssel jedoch abläuft, erhalten Sie Fehlermeldungen.

     Hinweis:

     Aus Sicherheitsgründen darf die Ablaufzeit nicht mehr als zwei Jahre ab dem aktuellen Datum betragen.

   • Authentifizierungs-URL. Dieses Feld wird automatisch ausgefüllt und ist nicht bearbeitbar.
   • Verwaltungs-URL. Dieses Feld wird automatisch ausgefüllt und ist nicht bearbeitbar.

   • Speichersuffix. Dieses Feld wird automatisch ausgefüllt und ist nicht bearbeitbar.

     Für die Erstellung eines MCS-Katalogs in Azure ist der Zugriff auf die folgenden Endpunkte erforderlich. Der Zugriff auf diese Endpunkte optimiert die Konnektivität zwischen Ihrem Netzwerk und dem Azure-Portal sowie dessen Diensten.

     • Authentifizierungs-URL: https://login.microsoftonline.com/
     • Verwaltungs-URL: https://management.azure.com/. Dies ist eine Anforderungs-URL für Azure Resource Manager-Anbieter-APIs. Der Endpunkt für die Verwaltung hängt von der Umgebung ab. Für Azure Global ist dies beispielsweise https://management.azure.com/, und für Azure US Government ist es https://management.usgovcloudapi.net/.
     • Speichersuffix: https://*.core.windows.net./. Dies (*) ist ein Platzhalterzeichen für das Speichersuffix. Beispiel: https://demo.table.core.windows.net/.

5. Nachdem Sie auf Speichern geklickt haben, kehren Sie zur Seite Verbindungsdetails zurück. Klicken Sie auf Weiter, um zur nächsten Seite zu gelangen.

6. Konfigurieren Sie Ressourcen für die Verbindung. Ressourcen umfassen die Region und das Netzwerk.

   • Wählen Sie auf der Seite Region eine Region aus.
   • Führen Sie auf der Seite Netzwerk folgende Schritte aus:
     • Geben Sie einen Ressourcennamen mit 1 bis 64 Zeichen ein, um die Kombination aus Region und Netzwerk besser identifizieren zu können. Ein Ressourcenname darf weder nur Leerzeichen noch die Zeichen \/;:#.*?=<>|[]{}"'()' enthalten.
     • Wählen Sie ein Paar aus virtuellem Netzwerk/Ressourcengruppe aus. (Wenn Sie mehr als ein virtuelles Netzwerk mit demselben Namen haben, bietet die Kombination des Netzwerknamens mit der Ressourcengruppe eindeutige Kombinationen.) Wenn die auf der vorherigen Seite ausgewählte Region keine virtuellen Netzwerke enthält, kehren Sie zu dieser Seite zurück und wählen Sie eine Region mit virtuellen Netzwerken aus.

7. Auf der Seite Zusammenfassung können Sie eine Übersicht der Einstellungen anzeigen und auf Fertig stellen klicken, um die Einrichtung abzuschließen.

Maschinenkatalog mit einem Azure Resource Manager-Image erstellen

Ein Image kann eine Festplatte, ein Snapshot oder eine Imageversion einer Imagedefinition in der Azure Compute Gallery sein, das zum Erstellen der VMs in einem Maschinenkatalog verwendet wird. Allgemeine Informationen zu Images finden Sie unter Maschinenkataloge erstellen.

Azure-Drosselung

Azure Resource Manager drosselt Anforderungen für Abonnements und Mandanten und leitet den Datenverkehr basierend auf definierten Grenzwerten weiter, die auf die spezifischen Anforderungen des Anbieters zugeschnitten sind. Weitere Informationen finden Sie unter Drosselung von Resource Manager-Anforderungen auf der Microsoft-Website. Für Abonnements und Mandanten gibt es Grenzwerte, wobei die Verwaltung vieler Maschinen problematisch werden kann. Beispielsweise kann ein Abonnement, das viele Maschinen enthält, Leistungsprobleme im Zusammenhang mit Energieoperationen aufweisen.

Tipp:

Weitere Informationen finden Sie unter Verbessern der Azure-Leistung mit Machine Creation Services.

Um diese Probleme zu mindern, können Sie die interne MCS-Drosselung entfernen, um mehr vom verfügbaren Anforderungskontingent von Azure zu nutzen.

Wir empfehlen die folgenden optimalen Einstellungen beim Ein- oder Ausschalten von VMs in großen Abonnements, z. B. solchen mit 1.000 VMs:

• Absolute gleichzeitige Vorgänge: 500
• Maximale neue Vorgänge pro Minute: 2000
• Maximale Parallelität von Vorgängen: 500

MCS unterstützt standardmäßig maximal 500 gleichzeitige Vorgänge. Alternativ können Sie das Remote PowerShell SDK verwenden, um die maximale Anzahl gleichzeitiger Vorgänge festzulegen.

Verwenden Sie die PowerShell-Eigenschaft MaximumConcurrentProvisioningOperations, um die maximale Anzahl gleichzeitiger Azure-Bereitstellungsvorgänge anzugeben. Beachten Sie bei der Verwendung dieser Eigenschaft Folgendes:

• Der Standardwert von MaximumConcurrentProvisioningOperations ist 500.
• Konfigurieren Sie den Parameter MaximumConcurrentProvisioningOperations mit dem PowerShell-Befehl Set-item.

Azure-Ressourcengruppen

Azure-Bereitstellungsressourcengruppen bieten eine Möglichkeit, die VMs bereitzustellen, die Benutzern Anwendungen und Desktops bereitstellen. Sie können vorhandene leere Azure-Ressourcengruppen hinzufügen, wenn Sie einen MCS-Maschinenkatalog erstellen, oder neue Ressourcengruppen für Sie erstellen lassen. Weitere Informationen zu Azure-Ressourcengruppen finden Sie in der Microsoft-Dokumentation.

Nutzung von Azure-Ressourcengruppen

Es gibt keine Begrenzung der Anzahl von virtuellen Maschinen, verwalteten Datenträgern, Snapshots und Images pro Azure-Ressourcengruppe. (Die Begrenzung von 240 VMs pro 800 verwalteten Datenträgern pro Azure-Ressourcengruppe wurde aufgehoben.)

• Bei Verwendung eines Dienstprinzipals mit vollem Umfang zum Erstellen eines Maschinenkatalogs erstellt MCS nur eine Azure-Ressourcengruppe und verwendet diese Gruppe für den Katalog.
• Bei Verwendung eines Dienstprinzipals mit eingeschränktem Umfang zum Erstellen eines Maschinenkatalogs müssen Sie eine leere, vorab erstellte Azure-Ressourcengruppe für den Katalog bereitstellen.

Temporäre Azure-Datenträger

Ein temporärer Azure-Datenträger ermöglicht es Ihnen, den Cache-Datenträger oder temporären Datenträger neu zu verwenden, um den Betriebssystemdatenträger für eine Azure-fähige virtuelle Maschine zu speichern. Diese Funktionalität ist nützlich für Azure-Umgebungen, die einen leistungsstärkeren SSD-Datenträger gegenüber einem Standard-HDD-Datenträger erfordern. Um temporäre Datenträger zu verwenden, müssen Sie die benutzerdefinierte Eigenschaft UseEphemeralOsDisk auf true setzen, wenn Sie New-ProvScheme ausführen.

Hinweis:

Wenn die benutzerdefinierte Eigenschaft UseEphemeralOsDisk auf false gesetzt ist oder kein Wert angegeben ist, verwenden alle bereitgestellten VDAs weiterhin einen bereitgestellten Betriebssystemdatenträger.

Im Folgenden finden Sie ein Beispiel für benutzerdefinierte Eigenschaften, die im Bereitstellungsschema verwendet werden sollen:

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],
<!--NeedCopy-->

So erstellen Sie Maschinen mit temporären Betriebssystemdatenträgern

Temporäre Betriebssystemdatenträger werden basierend auf der Eigenschaft UseEphemeralOsDisk im Parameter CustomProperties gesteuert.

Wichtige Überlegungen für temporäre Datenträger

Um temporäre Betriebssystemdatenträger mit New-ProvScheme bereitzustellen, beachten Sie die folgenden Einschränkungen:

• Die für den Katalog verwendete VM-Größe muss ephemere Betriebssystemdatenträger unterstützen.
• Die Größe des Cache- oder temporären Datenträgers, der der VM-Größe zugeordnet ist, muss größer oder gleich der Größe des Betriebssystemdatenträgers sein.
• Die Größe des temporären Datenträgers muss größer sein als die Größe des Cachedatenträgers.

Beachten Sie auch diese Punkte, wenn Sie:

• Das Bereitstellungsschema erstellen.
• Das Bereitstellungsschema ändern.
• Das Image aktualisieren.

Azure Ephemeral Disk und Machine Creation Services (MCS) Speicheroptimierung (MCS I/O)

Azure Ephemeral OS Disk und MCS I/O können nicht gleichzeitig aktiviert werden.

Die wichtigen Überlegungen sind wie folgt:

• Sie können keinen Maschinenkatalog erstellen, bei dem sowohl der ephemere Betriebssystemdatenträger als auch MCS I/O gleichzeitig aktiviert sind.

• Die PowerShell-Parameter (UseWriteBackCache und UseEphemeralOsDisk), die in New-ProvScheme oder Set-ProvScheme auf true gesetzt sind, schlagen mit einer entsprechenden Fehlermeldung fehl.
• Für bestehende Maschinenkataloge, die mit beiden aktivierten Funktionen erstellt wurden, können Sie weiterhin:
  • einen Maschinenkatalog aktualisieren.
  • VMs hinzufügen oder löschen.
  • einen Maschinenkatalog löschen.

Azure serverseitige Verschlüsselung

Citrix Virtual Apps and Desktops und Citrix DaaS unterstützen kundenverwaltete Verschlüsselungsschlüssel für Azure Managed Disks über Azure Key Vault. Mit dieser Unterstützung können Sie Ihre Organisations- und Compliance-Anforderungen erfüllen, indem Sie die verwalteten Datenträger Ihres Maschinenkatalogs mit Ihrem eigenen Verschlüsselungsschlüssel verschlüsseln. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage.

Bei Verwendung dieser Funktion für verwaltete Datenträger:

• Um den Schlüssel zu ändern, mit dem der Datenträger verschlüsselt ist, ändern Sie den aktuellen Schlüssel im DiskEncryptionSet. Alle Ressourcen, die diesem DiskEncryptionSet zugeordnet sind, werden mit dem neuen Schlüssel verschlüsselt.

• Wenn Sie Ihren Schlüssel deaktivieren oder löschen, werden alle VMs mit Datenträgern, die diesen Schlüssel verwenden, automatisch heruntergefahren. Nach dem Herunterfahren sind die VMs nicht mehr nutzbar, es sei denn, der Schlüssel wird wieder aktiviert oder Sie weisen einen neuen Schlüssel zu. Jeder Katalog, der den Schlüssel verwendet, kann nicht eingeschaltet werden, und Sie können ihm keine VMs hinzufügen.

Wichtige Überlegungen bei der Verwendung kundenverwalteter Verschlüsselungsschlüssel

Beachten Sie bei der Verwendung dieser Funktion Folgendes:

• Alle Ressourcen, die mit Ihren kundenverwalteten Schlüsseln zusammenhängen (Azure Key Vaults, Datenträgerverschlüsselungssätze, VMs, Datenträger und Snapshots), müssen sich im selben Abonnement und in derselben Region befinden.

• Sobald Sie den kundenverwalteten Verschlüsselungsschlüssel aktiviert haben, können Sie ihn später nicht mehr deaktivieren. Wenn Sie den kundenverwalteten Verschlüsselungsschlüssel deaktivieren oder entfernen möchten, kopieren Sie alle Daten auf einen anderen verwalteten Datenträger, der den kundenverwalteten Verschlüsselungsschlüssel nicht verwendet.

• Datenträger, die aus verschlüsselten benutzerdefinierten Images unter Verwendung der serverseitigen Verschlüsselung und kundenverwalteter Schlüssel erstellt wurden, müssen mit denselben kundenverwalteten Schlüsseln verschlüsselt werden. Diese Datenträger müssen sich im selben Abonnement befinden.

• Snapshots, die von Datenträgern erstellt wurden, die mit serverseitiger Verschlüsselung und kundenverwalteten Schlüsseln verschlüsselt sind, müssen mit denselben kundenverwalteten Schlüsseln verschlüsselt werden.

• Datenträger, Snapshots und Images, die mit kundenverwalteten Schlüsseln verschlüsselt sind, können nicht in eine andere Ressourcengruppe und ein anderes Abonnement verschoben werden.

• Verwaltete Datenträger, die derzeit oder zuvor mit Azure Disk Encryption verschlüsselt wurden, können nicht mit kundenverwalteten Schlüsseln verschlüsselt werden.

• Informationen zu Einschränkungen bei Datenträgerverschlüsselungssätzen pro Region finden Sie auf der Microsoft-Website.

Hinweis:

Informationen zum Konfigurieren der serverseitigen Azure-Verschlüsselung finden Sie unter Schnellstart: Erstellen eines Schlüsseltresors mit dem Azure-Portal.

Azure-kundenseitig verwalteter Verschlüsselungsschlüssel

Beim Erstellen eines Maschinenkatalogs können Sie wählen, ob Daten auf den im Katalog bereitgestellten Maschinen verschlüsselt werden sollen. Die serverseitige Verschlüsselung mit einem kundenseitig verwalteten Verschlüsselungsschlüssel ermöglicht es Ihnen, die Verschlüsselung auf Ebene der verwalteten Datenträger zu verwalten und Daten auf den Maschinen im Katalog zu schützen. Ein Datenträgerverschlüsselungssatz (Disk Encryption Set, DES) stellt einen kundenseitig verwalteten Schlüssel dar. Um diese Funktion nutzen zu können, müssen Sie Ihren DES zuerst in Azure erstellen. Ein DES hat das folgende Format:

• /subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Wählen Sie einen DES aus der Liste aus. Der von Ihnen ausgewählte DES muss sich im selben Abonnement und in derselben Region wie Ihre Ressourcen befinden. Wenn Ihr Image mit einem DES verschlüsselt ist, verwenden Sie denselben DES, wenn Sie den Maschinenkatalog erstellen. Sie können den DES nach dem Erstellen des Katalogs nicht mehr ändern.

Wenn Sie einen Katalog mit einem Verschlüsselungsschlüssel erstellen und den entsprechenden DES in Azure später deaktivieren, können Sie die Maschinen im Katalog nicht mehr einschalten oder Maschinen hinzufügen.

Dedizierte Azure-Hosts

Sie können MCS verwenden, um VMs auf dedizierten Azure-Hosts bereitzustellen. Bevor Sie VMs auf dedizierten Azure-Hosts bereitstellen:

• Erstellen Sie eine Hostgruppe.
• Erstellen Sie Hosts in dieser Hostgruppe.
• Stellen Sie sicher, dass ausreichend Hostkapazität für die Erstellung von Katalogen und virtuellen Maschinen reserviert ist.

Sie können einen Maschinenkatalog mit definierter Host-Tenancy über das folgende PowerShell-Skript erstellen:

New-ProvScheme <otherParameters> -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="HostGroupId" Value="myResourceGroup/myHostGroup" />
 ...other Custom Properties...
 </CustomProperties>
<!--NeedCopy-->

Bei der Bereitstellung virtueller Maschinen auf dedizierten Azure-Hosts mit MCS ist Folgendes zu beachten:

• Ein dedizierter Host ist eine Katalogeigenschaft und kann nach der Erstellung des Katalogs nicht mehr geändert werden. Dedizierte Tenancy wird derzeit in Azure nicht unterstützt.
• Eine vorkonfigurierte Azure-Hostgruppe in der Region der Hosting-Einheit ist erforderlich, wenn der Parameter HostGroupId verwendet wird.
• Azure Auto-Placement ist erforderlich. Diese Funktionalität fordert die Aufnahme des mit der Hostgruppe verknüpften Abonnements an. Weitere Informationen finden Sie unter VM Scale Set on Azure Dedicated Hosts - Public Preview. Wenn Auto-Placement nicht aktiviert ist, gibt MCS während der Katalogerstellung einen Fehler aus.

Azure Shared Image Gallery

Verwenden Sie die Azure Shared Image Gallery als Repository für veröffentlichte Images für von MCS bereitgestellte Maschinen in Azure. Sie können ein veröffentlichtes Image in der Galerie speichern, um die Erstellung und Hydrierung von Betriebssystemdatenträgern zu beschleunigen und so die Start- und Anwendungsstartzeiten für nicht-persistente VMs zu verbessern. Die Shared Image Gallery enthält die folgenden drei Elemente:

• Galerie: Hier werden Images gespeichert. MCS erstellt eine Galerie für jeden Maschinenkatalog.
• Galerie-Imagedefinition: Diese Definition enthält Informationen (Betriebssystemtyp und -zustand, Azure-Region) über das veröffentlichte Image. MCS erstellt eine Imagedefinition für jedes Image, das für den Katalog erstellt wird.
• Galerie-Imageversion: Jedes Image in einer Shared Image Gallery kann mehrere Versionen haben, und jede Version kann mehrere Replikate in verschiedenen Regionen haben. Jedes Replikat ist eine vollständige Kopie des veröffentlichten Images.

Hinweis:

Die Funktionalität der Shared Image Gallery funktioniert nur mit verwalteten Datenträgern. Sie ist für ältere Maschinenkataloge nicht verfügbar.

Weitere Informationen finden Sie unter Übersicht über die Azure Shared Image Gallery.

Shared Image Gallery konfigurieren

Verwenden Sie den Befehl New-ProvScheme, um ein Bereitstellungsschema mit Shared Image Gallery-Unterstützung zu erstellen. Verwenden Sie den Befehl Set-ProvScheme, um diese Funktion für ein Bereitstellungsschema zu aktivieren oder zu deaktivieren und das Replikatverhältnis und die maximalen Replikatwerte zu ändern.

Drei benutzerdefinierte Eigenschaften wurden zu Bereitstellungsschemata hinzugefügt, um die Shared Image Gallery-Funktion zu unterstützen:

UseSharedImageGallery

• Definiert, ob die Shared Image Gallery zum Speichern der veröffentlichten Images verwendet werden soll. Wenn auf True gesetzt, wird das Image als Shared Image Gallery-Image gespeichert, andernfalls wird das Image als Snapshot gespeichert.
• Gültige Werte sind True und False.
• Wenn die Eigenschaft nicht definiert ist, ist der Standardwert False.

SharedImageGalleryReplicaRatio

• Definiert das Verhältnis von Maschinen zu Replikaten der Katalogimageversion.
• Gültige Werte sind ganze Zahlen größer als 0.
• Wenn die Eigenschaft nicht definiert ist, werden Standardwerte verwendet. Der Standardwert für persistente Betriebssystemdatenträger ist 1000 und der Standardwert für nicht-persistente Betriebssystemdatenträger ist 40.

SharedImageGalleryReplicaMaximum

• Definiert die maximale Anzahl von Replikaten für jede Katalogimageversion.
• Gültige Werte sind ganze Zahlen größer als 0.
• Wenn die Eigenschaft nicht definiert ist, ist der Standardwert 10.
• Azure unterstützt derzeit bis zu 10 Replikate für eine einzelne Katalogimageversion. Wenn die Eigenschaft auf einen Wert gesetzt wird, der größer ist als der von Azure unterstützte Wert, versucht MCS, den angegebenen Wert zu verwenden. Azure generiert einen Fehler, den MCS protokolliert und die aktuelle Replikatanzahl unverändert lässt.

Tipp:

Bei Verwendung der Shared Image Gallery zum Speichern eines veröffentlichten Images für von MCS bereitgestellte Kataloge legt MCS die Replikatanzahl der Katalogimageversion basierend auf der Anzahl der Maschinen im Katalog, dem Replikatverhältnis und dem Replikatmaximum fest. Die Replikatanzahl wird berechnet, indem die Anzahl der Maschinen im Katalog durch das Replikatverhältnis geteilt (auf die nächste ganze Zahl aufgerundet) und der Wert dann auf die maximale Replikatanzahl begrenzt wird. Beispiel: Bei einem Replikatverhältnis von 20 und einem Maximum von 5 werden für 0–20 Maschinen ein Replikat erstellt, für 21–40 Maschinen 2 Replikate, für 41–60 Maschinen 3 Replikate, für 61–80 Maschinen 4 Replikate und für 81+ Maschinen 5 Replikate.

Anwendungsfall: Aktualisieren des Replikatverhältnisses und des Replikatmaximums der Shared Image Gallery

Der vorhandene Maschinenkatalog verwendet die Shared Image Gallery. Verwenden Sie den Befehl Set-ProvScheme, um die benutzerdefinierten Eigenschaften für alle vorhandenen Maschinen im Katalog und alle zukünftigen Maschinen zu aktualisieren:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Anwendungsfall: Konvertieren eines Snapshot-Katalogs in einen Shared Image Gallery-Katalog

Für diesen Anwendungsfall:

1. Führen Sie Set-ProvScheme mit dem auf True gesetzten Flag UseSharedImageGallery aus. Fügen Sie optional die Eigenschaften SharedImageGalleryReplicaRatio und SharedImageGalleryReplicaMaximum hinzu.
2. Aktualisieren Sie den Katalog.
3. Führen Sie einen Neustart der Maschinen durch, um eine Aktualisierung zu erzwingen.

Zum Beispiel:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Tipp:

Die Parameter SharedImageGalleryReplicaRatio und SharedImageGalleryReplicaMaximum sind nicht erforderlich. Nachdem der Befehl Set-ProvScheme abgeschlossen ist, wurde das Shared Image Gallery-Image noch nicht erstellt. Sobald der Katalog für die Verwendung der Galerie konfiguriert ist, speichert der nächste Katalogaktualisierungsvorgang das veröffentlichte Image in der Galerie. Der Katalogaktualisierungsbefehl erstellt die Galerie, das Galerie-Image und die Image-Version. Ein Neustart der Maschinen aktualisiert diese, wobei gegebenenfalls die Replikatanzahl aktualisiert wird. Ab diesem Zeitpunkt werden alle vorhandenen nicht-persistenten Maschinen mit dem Shared Image Gallery-Image zurückgesetzt und alle neu bereitgestellten Maschinen mit dem Image erstellt. Der alte Snapshot wird innerhalb weniger Stunden automatisch bereinigt.

Anwendungsfall: Konvertieren eines Shared Image Gallery-Katalogs in einen Snapshot-Katalog

Für diesen Anwendungsfall:

1. Führen Sie Set-ProvScheme mit dem auf False gesetzten oder nicht definierten Flag UseSharedImageGallery aus.
2. Aktualisieren Sie den Katalog.
3. Führen Sie einen Neustart der Maschinen durch, um eine Aktualisierung zu erzwingen.

Zum Beispiel:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'
<!--NeedCopy-->

Tipp:

Anders als beim Aktualisieren von einem Snapshot auf einen Shared Image Gallery-Katalog werden die benutzerdefinierten Daten für jede Maschine noch nicht aktualisiert, um die neuen benutzerdefinierten Eigenschaften widerzuspiegeln. Führen Sie den folgenden Befehl aus, um die ursprünglichen benutzerdefinierten Eigenschaften der Shared Image Gallery anzuzeigen: Get-ProvVm -ProvisioningSchemeName catalog-name. Nachdem der Befehl Set-ProvScheme abgeschlossen ist, wurde der Image-Snapshot noch nicht erstellt. Sobald der Katalog so konfiguriert ist, dass er die Galerie nicht verwendet, speichert der nächste Katalogaktualisierungsvorgang das veröffentlichte Image als Snapshot. Ab diesem Zeitpunkt werden alle vorhandenen nicht-persistenten Maschinen mithilfe des Snapshots zurückgesetzt und alle neu bereitgestellten Maschinen aus dem Snapshot erstellt. Durch das Aus- und Einschalten der Maschinen werden diese aktualisiert, wobei die benutzerdefinierten Maschinendaten aktualisiert werden, um widerzuspiegeln, dass UseSharedImageGallery auf False gesetzt ist. Die alten Shared Image Gallery-Assets (Galerie, Image und Version) werden innerhalb weniger Stunden automatisch bereinigt.

Bereitstellen von Maschinen in angegebenen Verfügbarkeitszonen

Sie können Maschinen in bestimmten Verfügbarkeitszonen in Azure-Umgebungen bereitstellen. Dies können Sie mithilfe von PowerShell erreichen.

Hinweis:

Wenn keine Zonen angegeben sind, lässt MCS Azure die Maschinen innerhalb der Region platzieren. Wenn mehr als eine Zone angegeben ist, verteilt MCS die Maschinen zufällig auf diese.

Konfigurieren von Verfügbarkeitszonen über PowerShell

Mithilfe von PowerShell können Sie die Angebotsinventarelemente mit Get-Item anzeigen. Zum Beispiel, um das Dienstangebot der Region Eastern US Standard_B1ls anzuzeigen:

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"
<!--NeedCopy-->

Um die Zonen anzuzeigen, verwenden Sie den Parameter AdditionalData für das Element:

$serviceOffering.AdditionalData

Wenn keine Verfügbarkeitszonen angegeben sind, ändert sich nichts an der Art und Weise, wie Maschinen bereitgestellt werden.

Um Verfügbarkeitszonen über PowerShell zu konfigurieren, verwenden Sie die benutzerdefinierte Eigenschaft Zones, die mit dem Vorgang New-ProvScheme verfügbar ist. Die Eigenschaft Zones definiert eine Liste von Verfügbarkeitszonen, in denen Maschinen bereitgestellt werden sollen. Diese Zonen können eine oder mehrere Verfügbarkeitszonen umfassen. Zum Beispiel <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/> für die Zonen 1 und 3.

Verwenden Sie den Befehl Set-ProvScheme, um die Zonen für ein Bereitstellungsschema zu aktualisieren.

Wenn eine ungültige Zone angegeben wird, wird das Bereitstellungsschema nicht aktualisiert, und es wird eine Fehlermeldung angezeigt, die Anweisungen zur Behebung des ungültigen Befehls enthält.

Tipp:

Wenn Sie eine ungültige benutzerdefinierte Eigenschaft angeben, wird das Bereitstellungsschema nicht aktualisiert und eine entsprechende Fehlermeldung wird angezeigt.

Temporärer Azure-Datenträger

Temporäre Azure-Datenträger ermöglichen es Ihnen, den Cache oder temporären Datenträger umzufunktionieren, um den Betriebssystemdatenträger für eine Azure-fähige virtuelle Maschine zu speichern. Diese Funktionalität ist nützlich für Azure-Umgebungen, die einen leistungsstärkeren SSD-Datenträger gegenüber einem Standard-HDD-Datenträger erfordern.

Hinweis:

Persistente Kataloge unterstützen keine temporären Betriebssystemdatenträger.

Temporäre Betriebssystemdatenträger erfordern, dass Ihr Bereitstellungsschema verwaltete Datenträger und eine Shared Image Gallery verwendet. Weitere Informationen finden Sie unter Azure Shared Image Gallery.

Verwenden von PowerShell zum Konfigurieren eines temporären Datenträgers

Um einen temporären Azure-Betriebssystemdatenträger für einen Katalog zu konfigurieren, verwenden Sie den Parameter UseEphemeralOsDisk in Set-ProvScheme. Setzen Sie den Wert des Parameters UseEphemeralOsDisk auf true.

Hinweis:

Um diese Funktion zu verwenden, müssen Sie auch die Parameter UseManagedDisks und UseSharedImageGallery aktivieren.

Beispiel:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'
<!--NeedCopy-->

Speichern eines temporären Betriebssystemdatenträgers

Sie haben die Möglichkeit, einen temporären Betriebssystemdatenträger auf dem temporären VM-Datenträger oder einem Ressourcendatenträger zu speichern. Diese Funktionalität ermöglicht es Ihnen, einen temporären Betriebssystemdatenträger mit einer VM zu verwenden, die entweder keinen Cache oder einen unzureichenden Cache hat. Solche VMs verfügen über einen temporären Datenträger oder einen Ressourcendatenträger zum Speichern eines temporären Betriebssystemdatenträgers, wie z. B. Ddv4.

Beachten Sie Folgendes:

• Ein temporärer Datenträger wird entweder auf dem VM-Cachedatenträger oder dem temporären (Ressourcen-)Datenträger der VM gespeichert. Der Cachedatenträger wird dem temporären Datenträger vorgezogen, es sei denn, der Cachedatenträger ist nicht groß genug, um den Inhalt des Betriebssystemdatenträgers aufzunehmen.
• Bei Updates führt ein neues Image, das größer als der Cachedatenträger, aber kleiner als der temporäre Datenträger ist, dazu, dass der temporäre Betriebssystemdatenträger durch den temporären Datenträger der VM ersetzt wird.

Bereitgestellte virtuelle Maschine beim Aus- und Einschalten beibehalten

Wählen Sie, ob eine bereitgestellte virtuelle Maschine beim Aus- und Einschalten beibehalten werden soll. Verwenden Sie den PowerShell-Parameter New-ProvScheme CustomProperties. Dieser Parameter unterstützt eine zusätzliche Eigenschaft, PersistVm, die verwendet wird, um zu bestimmen, ob eine bereitgestellte virtuelle Maschine beim Aus- und Einschalten bestehen bleibt. Setzen Sie die Eigenschaft PersistVm auf true, um eine virtuelle Maschine beim Ausschalten beizubehalten, oder setzen Sie die Eigenschaft auf false, um sicherzustellen, dass die virtuelle Maschine beim Ausschalten nicht beibehalten wird.

Hinweis:

Die Eigenschaft PersistVm gilt nur für ein Bereitstellungsschema, bei dem die Eigenschaften CleanOnBoot und UseWriteBackCache aktiviert sind. Wenn die Eigenschaft PersistVm für nicht-persistente virtuelle Maschinen nicht angegeben ist, werden diese beim Ausschalten aus der Azure-Umgebung gelöscht.

Im folgenden Beispiel setzt der Parameter New-ProvScheme CustomProperties die Eigenschaft PersistVm auf true:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="false" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
<Property xsi:type="StringProperty" Name="PersistVm" Value="true" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="demo-resourcegroup" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>
<!--NeedCopy-->

Im folgenden Beispiel behält der Parameter New-ProvScheme CustomProperties den Write-Back-Cache bei, indem er PersistVM auf true setzt:

 New-ProvScheme
 -AzureAdJoinType "None"
 -CleanOnBoot
 -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"Standard_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"false`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"PersistVm`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"demo-resourcegroup`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Client`" /></CustomProperties>"
 -HostingUnitName "demo"
 -IdentityPoolName "NonPersistent-MCSIO-PersistVM"
 -MasterImageVM "XDHyp:\HostingUnits\demo\image.folder\scale-test.resourcegroup\demo-snapshot.snapshot"
 -NetworkMapping @ {"0"="XDHyp:\HostingUnits\demo\\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\ji-test.resourcegroup\jitest-vnet.virtualprivatecloud\default.network"}
-ProvisioningSchemeName "NonPersistent-MCSIO-PersistVM"
 -ServiceOffering "XDHyp:\HostingUnits\demo\serviceoffering.folder\Standard_B2ms.serviceoffering" -UseWriteBackCache
 -WriteBackCacheDiskSize 127
 -WriteBackCacheMemorySize 256
 <!--NeedCopy-->

Tipp:

Die Eigenschaft PersistVm bestimmt, ob eine bereitgestellte virtuelle Maschine beibehalten werden soll. Die Eigenschaft PersistOsdisk bestimmt, ob die OS-Disk persistent sein soll. Um eine bereitgestellte virtuelle Maschine beizubehalten, bewahren Sie zuerst die OS-Disk auf. Sie können die OS-Disk nicht löschen, ohne zuvor die virtuelle Maschine zu löschen. Sie können die Eigenschaft PersistOsdisk verwenden, ohne den Parameter PersistVm anzugeben.

Speichertypen

Wählen Sie verschiedene Speichertypen für virtuelle Maschinen in Azure-Umgebungen, die MCS verwenden. Für Ziel-VMs unterstützt MCS:

• OS-Disk: Premium-SSD, SSD oder HDD
• Write-Back-Cache-Disk: Premium-SSD, SSD oder HDD

Beachten Sie bei der Verwendung dieser Speichertypen Folgendes:

• Stellen Sie sicher, dass Ihre VM den ausgewählten Speichertyp unterstützt.
• Wenn Ihre Konfiguration eine temporäre Azure-Disk verwendet, erhalten Sie keine Option für die Einstellung des Write-Back-Cache-Datenträgers.

Tipp:

StorageType ist für einen Betriebssystemtyp und ein Speicherkonto konfiguriert. WBCDiskStorageType ist für den Speichertyp des Write-Back-Caches konfiguriert. Für einen normalen Katalog ist StorageType erforderlich. Wenn WBCDiskStorageType nicht konfiguriert ist, wird StorageType als Standard für WBCDiskStorageType verwendet.

Wenn WBCDiskStorageType nicht konfiguriert ist, wird StorageType als Standard für WBCDiskStorageType verwendet.

Konfigurieren von Speichertypen

Um Speichertypen für VMs zu konfigurieren, verwenden Sie den Parameter StorageType in New-ProvScheme. Legen Sie den Wert des Parameters StorageType auf einen der unterstützten Speichertypen fest.

Das Folgende ist ein Beispiel für die Einstellung des Parameters CustomProperties in einem Bereitstellungsschema:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>'
<!--NeedCopy-->

Informationen für Azure-VMs, Snapshots, Betriebssystemdatenträger und Galerie-Image-Definition abrufen

Sie können Informationen für eine Azure-VM anzeigen, einschließlich Betriebssystemdatenträger und -typ, Snapshot und Galerie-Image-Definition. Diese Informationen werden für Ressourcen auf dem Masterimage angezeigt, wenn ein Maschinenkatalog zugewiesen wird. Verwenden Sie diese Funktionalität, um entweder ein Linux- oder ein Windows-Image anzuzeigen und auszuwählen. Eine PowerShell-Eigenschaft, TemplateIsWindowsTemplate, wurde dem AdditionDatafield-Parameter hinzugefügt. Dieses Feld enthält Azure-spezifische Informationen: VM-Typ, Betriebssystemdatenträger, Galerie-Image-Informationen und Informationen zum Betriebssystemtyp. Das Setzen von TemplateIsWindowsTemplate auf True zeigt an, dass der Betriebssystemtyp Windows ist; das Setzen von TemplateIsWindowsTemplate auf False zeigt an, dass der Betriebssystemtyp Linux ist.

Tipp:

Informationen, die von der PowerShell-Eigenschaft TemplateIsWindowsTemplate angezeigt werden, stammen aus der Azure-API. In einigen Fällen kann dieses Feld leer sein. Beispielsweise enthält ein Snapshot von einem Datenträger das Feld TemplateIsWindowsTemplate nicht, da der Betriebssystemtyp nicht aus einem Snapshot abgerufen werden kann.

Setzen Sie beispielsweise den Azure VM-Parameter AdditionData mit PowerShell auf True für den Windows-Betriebssystemtyp:

PS C:\Users\username> (get-item XDHyp:\HostingUnits\mynetwork\image.folder\username-dev-testing-rg.resourcegroup\username-dev-tsvda.vm).AdditionalData
Key Value
ServiceOfferingDescription Standard_B2ms
HardDiskSizeGB 127
ResourceGroupName FENGHUAJ-DEV-TESTING-RG
ServiceOfferingMemory 8192
ServiceOfferingCores 2
TemplateIsWindowsTemplate True
ServiceOfferingWithTemporaryDiskSizeInMb 16384
SupportedMachineGenerations Gen1,Gen2
<!--NeedCopy-->

Azure Marketplace

Citrix Virtual Apps and Desktops und Citrix DaaS unterstützen die Verwendung eines Masterimages in Azure, das Planinformationen zur Erstellung eines Maschinenkatalogs enthält. Weitere Informationen finden Sie unter Microsoft Azure Marketplace.

Tipp:

Einige auf dem Azure Marketplace gefundene Images, wie das Standard-Windows Server-Image, fügen keine Planinformationen an. Die Citrix DaaS™-Funktion ist für kostenpflichtige Images.

Stellen Sie sicher, dass das in der Shared Image Gallery erstellte Image Azure-Planinformationen enthält

Verwenden Sie das Verfahren in diesem Abschnitt, um Shared Image Gallery-Images in Citrix Studio anzuzeigen. Diese Images können optional für ein Masterimage verwendet werden. Um das Image in eine Shared Image Gallery zu verschieben, erstellen Sie eine Imagedefinition in einer Galerie.

Überprüfen Sie auf der Seite Veröffentlichungsoptionen die Informationen zum Kaufplan.

Die Felder für die Kaufplaninformationen sind anfänglich leer. Füllen Sie diese Felder mit den Kaufplaninformationen aus, die für das Image verwendet wurden. Wenn die Kaufplaninformationen nicht ausgefüllt werden, kann der Maschinenkatalogprozess fehlschlagen.

Nachdem Sie die Kaufplaninformationen überprüft haben, erstellen Sie eine Imageversion innerhalb der Definition. Diese wird als Masterimage verwendet. Klicken Sie auf Version hinzufügen:

Wählen Sie im Abschnitt Versionsdetails den Image-Snapshot oder die verwaltete Festplatte als Quelle aus:

Informationen zu Azure-Berechtigungen

Dieser Abschnitt enthält die für Azure erforderlichen Mindest- und allgemeinen Berechtigungen.

Mindestberechtigungen

Mindestberechtigungen bieten eine bessere Sicherheitskontrolle. Neue Funktionen, die zusätzliche Berechtigungen erfordern, schlagen jedoch fehl, da nur Mindestberechtigungen verwendet werden.

Erstellen einer Hostverbindung

Fügen Sie eine neue Hostverbindung unter Verwendung der von Azure erhaltenen Informationen hinzu.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Energieverwaltung von VMs

Schalten Sie die Maschineninstanzen ein oder aus.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Erstellen, Aktualisieren oder Löschen von VMs

Erstellen Sie einen Maschinenkatalog, fügen Sie dann Maschinen hinzu, löschen oder aktualisieren Sie sie und löschen Sie den Maschinenkatalog.

Im Folgenden finden Sie die Liste der erforderlichen Mindestberechtigungen, wenn das Masterimage eine verwaltete Festplatte ist oder Snapshots sich in derselben Region wie die Hostverbindung befinden.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Sie benötigen die folgenden zusätzlichen Berechtigungen basierend auf minimalen Berechtigungen für die folgenden Funktionen:

• Wenn das Masterimage eine VHD in einem Speicherkonto ist, das sich in derselben Region wie die Hostverbindung befindet:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   <!--NeedCopy-->
  

• Wenn das Masterimage eine ImageVersion aus der Shared Image Gallery ist:

   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   <!--NeedCopy-->
  

• Wenn das Masterimage eine verwaltete Festplatte ist. Snapshots oder VHDs sich in einer anderen Region als der Region der Hostverbindung befinden:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
   <!--NeedCopy-->
  

• Wenn Sie eine von Citrix verwaltete Ressourcengruppe verwenden:

   "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
   <!--NeedCopy-->
  

• Wenn Sie das Masterimage in der Shared Image Gallery ablegen:

   "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
   <!--NeedCopy-->
  

• Wenn Sie Azure Dedicated Host-Unterstützung verwenden:

   "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
   <!--NeedCopy-->
  

• Wenn Sie Server Side Encryption (SSE) mit kundenseitig verwalteten Schlüsseln (CMK) verwenden:

   "Microsoft.Compute/diskEncryptionSets/read",
   <!--NeedCopy-->
  

• Wenn Sie VMs mithilfe von ARM-Vorlagen (Maschinenprofil) bereitstellen:

   "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
   <!--NeedCopy-->
  

• Wenn Sie die Azure-Vorlagenspezifikation als Maschinenprofil verwenden:

   "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
   <!--NeedCopy-->
  

Erstellen, Aktualisieren und Löschen von Maschinen mit nicht verwalteter Festplatte

Im Folgenden finden Sie die Liste der Mindestberechtigungen, die erforderlich sind, wenn das Master-Image VHD ist und die Ressourcengruppe vom Administrator bereitgestellt wird:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Allgemeine Berechtigung

Die Rolle „Mitwirkender“ hat vollen Zugriff auf die Verwaltung aller Ressourcen. Dieser Satz von Berechtigungen hindert Sie nicht daran, neue Funktionen zu erhalten.

Der folgende Satz von Berechtigungen bietet die beste Kompatibilität für die Zukunft, obwohl er mehr Berechtigungen enthält, als für den aktuellen Funktionsumfang erforderlich sind:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Weitere Informationen

• Verbindungen und Ressourcen
• Maschinenkataloge erstellen
• CTX219211: Einrichten eines Microsoft Azure Active Directory-Kontos
• CTX219243: XenApp und XenDesktop Zugriff auf Ihr Azure-Abonnement gewähren
• CTX219271: Hybrid Cloud mit Site-to-Site-VPN bereitstellen