Migrazione dei carichi di lavoro tra le posizioni delle risorse utilizzando il servizio di portabilità delle immagini
Il servizio di portabilità delle immagini semplifica la gestione delle immagini su tutte le piattaforme. Le API REST di Citrix Virtual Apps and Desktops possono essere utilizzate per automatizzare l’amministrazione delle risorse all’interno di un sito Citrix Virtual Apps and Desktops.
Il flusso di lavoro della portabilità delle immagini inizia quando si utilizza Citrix Cloud per avviare la migrazione di un’immagine tra due posizioni delle risorse. Dopo aver esportato l’immagine, il servizio di portabilità delle immagini consente di trasferire e preparare l’immagine per l’esecuzione sull’hypervisor di destinazione o sul cloud pubblico. Infine, Citrix Provisioning o Machine Creation Services esegue il provisioning dell’immagine nell’ambiente di destinazione.
Componenti
I componenti del servizio di portabilità delle immagini includono:
- Servizi Citrix Cloud
- Portafoglio credenziali Citrix
- Dispositivo connettore Citrix
- VM del motore di composizione
- Script di esempio di PowerShell
Servizi Citrix Cloud
L’API Citrix Cloud Services è un servizio API REST che interagisce con il servizio di portabilità delle immagini. Utilizzando il servizio API REST, è possibile creare e monitorare i processi di portabilità delle immagini. Ad esempio, si effettua una chiamata API per avviare un processo di portabilità dell’immagine, ad esempio per esportare un disco, e quindi si effettuano chiamate per ottenere lo stato del processo.
Portafoglio credenziali Citrix
Il servizio Citrix Credentials Wallet gestisce in modo sicuro le credenziali di sistema, consentendo al servizio di portabilità delle immagini di interagire con le risorse. Ad esempio, quando si esporta un disco da vSphere a una condivisione SMB, il servizio di portabilità delle immagini richiede le credenziali per aprire una connessione alla condivisione SMB per scrivere il disco. Se le credenziali sono memorizzate nel Portafoglio credenziali, il servizio di portabilità delle immagini può recuperare e utilizzare tali credenziali.
Questo servizio ti dà la possibilità di gestire completamente le tue credenziali. L’API Cloud Services funge da punto di accesso, dandoti la possibilità di creare, aggiornare ed eliminare le credenziali.
Motore di composizione
Il Compositing Engine è il cavallo di battaglia del servizio di portabilità delle immagini. Il motore di composizione (CE) è una singola macchina virtuale creata all’inizio di un processo di esportazione o preparazione della portabilità delle immagini. Queste macchine virtuali vengono create nello stesso ambiente in cui si svolge il processo. Ad esempio, quando si esporta un disco da vSphere, il CE viene creato nel server vSphere. Analogamente, quando si esegue un processo di preparazione in Azure, AWS o Google Cloud, il CE viene creato rispettivamente in Azure, AWS o Google Cloud. Il CE monta il disco su se stesso e quindi esegue le manipolazioni necessarie sul disco. Al termine del processo di preparazione o esportazione, la macchina virtuale CE e tutti i relativi componenti vengono eliminati.
Apparecchio connettore
L’appliance Connector, che esegue il software del provider per gestire le risorse IPS, viene eseguita nell’ambiente (sia on-premise che nell’abbonamento Azure, AWS o Google Cloud) e funge da controller per i singoli processi. Riceve le istruzioni per il processo dal servizio cloud e crea e gestisce le macchine virtuali del motore di composizione. La macchina virtuale dell’appliance connettore funge da singolo punto di comunicazione sicuro tra i servizi cloud e gli ambienti. Distribuisci una o più appliance connettore in ciascuna delle tue posizioni di risorse (locale, Azure, AWS o Google Cloud). Per garantire la sicurezza, viene distribuito un dispositivo connettore in ogni posizione risorsa. Posizionando la co-location dell’appliance connettore e del motore di composizione, il livello di sicurezza della distribuzione aumenta notevolmente, poiché tutti i componenti e le comunicazioni vengono mantenuti all’interno della posizione della risorsa.
Moduli PowerShell
Viene fornita una raccolta di moduli PowerShell da usare all’interno degli script come punto di partenza per sviluppare un’automazione personalizzata. I moduli forniti sono supportati così come sono, ma è possibile modificarli se necessario per la distribuzione.
L’automazione di PowerShell utilizza i parametri di configurazione forniti per comporre una chiamata REST al servizio API Citrix Cloud per avviare il processo e quindi fornire aggiornamenti periodici man mano che il processo procede.
Se si desidera sviluppare la propria soluzione di automazione, è possibile effettuare chiamate direttamente al servizio cloud utilizzando il linguaggio di programmazione preferito. Consulta il portale API per informazioni dettagliate sulla configurazione e l’utilizzo del servizio di portabilità delle immagini Endpoint REST e moduli PowerShell.
Flussi di lavoro
Il servizio di portabilità delle immagini usa un flusso di lavoro in più fasi per preparare un’immagine del catalogo master da una posizione di risorsa locale per la sottoscrizione al cloud pubblico. Il servizio esporta l’immagine dalla piattaforma hypervisor locale e l’utente la carica nell’abbonamento al cloud pubblico (l’utilità di caricamento di PowerShell fornita può aiutare ad automatizzare questa operazione). Quindi, la portabilità dell’immagine prepara l’immagine in modo che sia compatibile con la piattaforma cloud pubblica. Infine, l’immagine viene pubblicata e pronta per essere distribuita come nuovo catalogo di macchine all’interno della posizione delle risorse cloud.
Questi flussi di lavoro di alto livello si basano sulla configurazione del provisioning di origine e di destinazione dell’immagine (Machine Creation o Citrix Provisioning). Il flusso di lavoro scelto determina quali passaggi del processo di portabilità dell’immagine sono necessari.
Fare riferimento alla tabella seguente per comprendere quali lavori sono necessari per ciascuno dei flussi di lavoro IPS supportati.
Flusso di lavoro (dall’origine alla destinazione) | Esportazione | Caricare | Preparare | Pubblicare |
---|---|---|---|---|
Da MCS a MCS | Y | Y | Y | N |
Da PVS a MCS* | N | Y | Y | N |
Da PVS a PVS | N / A | Y | Y | Y |
Da MCS a PVS | Y | Y | Y | Y |
*Si presuppone che l’immagine originale sia disponibile come Citrix Provisioning vDisk e che non sia necessario esportarla direttamente dall’hypervisor della piattaforma di origine.
Requisiti
Per iniziare a utilizzare la portabilità delle immagini, è necessario soddisfare i seguenti requisiti.
Un’immagine di Citrix Machine Catalog
IPS richiede l’utilizzo di immagini con una delle seguenti configurazioni testate:
-
Windows Server 2016, 2019 e 2022H2
-
Windows 10 o 11
-
Provisioning tramite Machine Creation Services o Citrix Provisioning
- Agente di recapito virtuale Citrix:
- I due aggiornamenti cumulativi più recenti per 1912 e 2203 LTSR
- Le due versioni più recenti
- Servizi Desktop remoto abilitati per l’accesso alla console in Azure
Il servizio di portabilità delle immagini supporta i seguenti hypervisor e piattaforme cloud:
Piattaforme di origine:
-
VMware vSphere 7.0 e 8.0
-
Hypervisor XenServer 8/Citrix 8.2
-
Nutanix AHV (solo elemento prisma)
-
Microsoft Azure
-
Piattaforma Google Cloud
Piattaforme di destinazione:
-
VMware vSphere 8.0
-
Hypervisor XenServer 8/Citrix 8.2
-
Nutanix AHV (solo elemento prisma)
-
Microsoft Azure
-
Condizioni d’uso
-
Piattaforma Google Cloud
Un’appliance Citrix Connector
È necessario installare e configurare un’appliance Citrix Connector in ogni posizione delle risorse in cui si prevede di utilizzare la portabilità delle immagini. Ad esempio, se si utilizza la portabilità delle immagini per spostare un’immagine da vSphere ad Azure, AWS e Google Cloud, sono necessarie almeno quattro appliance Citrix Connector:
Vedere Distribuzione di appliance connettore per istruzioni dettagliate.
Una condivisione file SMB (Windows)
Hai bisogno di un Windows Condivisione file SMB per la memorizzazione dell’output dei lavori di esportazione. La condivisione deve essere accessibile alla macchina virtuale del motore di composizione, che verrà creata nella posizione della risorsa in cui si usa il servizio di portabilità delle immagini. Assicurarsi che lo spazio libero disponibile nella condivisione sia almeno il doppio delle dimensioni configurate del file system dell’immagine.
Un computer per l’esecuzione di script di PowerShell
Assicurarsi che il computer che esegue gli script di PowerShell disponga di quanto segue:
-
PowerShell versione 5.1.
-
Una connessione di rete veloce alla condivisione file SMB. Può trattarsi dello stesso computer che ospita la condivisione file.
-
Una connessione di rete veloce alle piattaforme cloud pubbliche in cui si prevede di utilizzare la funzione di portabilità delle immagini. Ad esempio, Azure, AWS o Google Cloud.
Vedere la sezione Preparare un computer per PowerShell per informazioni dettagliate su come scaricare e configurare i moduli di portabilità delle immagini da PowerShell Gallery.
Il tuo ID cliente Citrix Cloud
Assicurati di avere un valido Abbonamento Citrix DaaS.
Per continuare, è necessario accedere a Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops). Se non si dispone dell’accesso, contattare il rappresentante Citrix.
Fare riferimento alla Guida introduttiva all’API documentazione per istruzioni su come creare e configurare un client API da utilizzare con la portabilità delle immagini.
Autorizzazioni e configurazione necessarie per Azure
Affinché il servizio di portabilità delle immagini esegua azioni sulla risorsa di Azure, è necessario concedere le autorizzazioni per determinate funzionalità di Azure all’entità servizio di Azure usata dal servizio di portabilità delle immagini. Per l’elenco dettagliato, vedere Autorizzazioni necessarie per Microsoft Azure.
È possibile assegnare il Collaboratore ruolo all’entità servizio nella risorsa associata. In alternativa, per assegnare le autorizzazioni minime necessarie, è possibile creare ruoli personalizzati con le autorizzazioni necessarie e assegnarli all’entità servizio con ambito per le risorse appropriate.
Vedere la documentazione di Azure per configurazione dei ruoli di sicurezza per l’entità servizio di Azure e per Creazione di ruoli personalizzati.
Autorizzazioni e configurazione richieste per Google Cloud
Affinché il servizio di portabilità delle immagini esegua azioni nel tuo progetto Google Cloud, concedi le autorizzazioni per determinate funzionalità all’entità del servizio Google Cloud utilizzata dal servizio di portabilità delle immagini.
Per l’elenco dettagliato, vedere Autorizzazioni richieste per Google Cloud.
È possibile assegnare queste autorizzazioni utilizzando i ruoli seguenti:
- Editor di compilazione cloud
- Amministratore di calcolo
- Amministratore dello spazio di archiviazione
- Utente account di servizio
Vedi ilDocumentazione di Google Cloudper ulteriori informazioni sulla configurazione delle autorizzazioni dell’account di servizio.
Autorizzazioni e configurazione richieste da Amazon Web Services
Per eseguire flussi di lavoro del servizio di portabilità delle immagini con un account Amazon Web Services (AWS), la rispettiva identità IAM (Identity and Access Management) deve disporre delle autorizzazioni corrette.
Per l’elenco dettagliato, vedere Autorizzazioni richieste da AWS.
Configurare il servizio di portabilità delle immagini
Per configurare il servizio di portabilità delle immagini:
- Distribuire le appliance del connettore
- Preparare un computer per PowerShell
- Aggiungere credenziali al portafoglio credenziali
Distribuzione di appliance connettore
La portabilità delle immagini richiede i dispositivi Citrix Connector per creare processi di portabilità delle immagini. Le appliance Connector consentono di proteggere le interazioni con gli ambienti on-premise e cloud pubblici. I dispositivi connettore comunicano con il servizio di portabilità delle immagini per segnalare lo stato del processo e l’integrità generale del servizio.
Per distribuire e configurare l’appliance del connettore nell’ambiente in uso, seguire la procedura descritta in Appliance connettore per servizi cloud.
Notare il requisito Configurazione hardware e Accesso alla porta di rete per l’appliance durante la pianificazione della distribuzione.
Quando l’appliance viene distribuita e registrata, i componenti necessari per abilitare la portabilità delle immagini vengono installati automaticamente.
Preparare un computer per PowerShell
Per aiutarti a iniziare a usare la portabilità delle immagini, abbiamo creato moduli PowerShell che puoi personalizzare e utilizzare con il servizio.
Le sezioni seguenti descrivono come preparare un computer per l’esecuzione degli script di PowerShell. Questi script sono solo alcuni esempi. Modificali o migliorali in base alle tue esigenze.
Nota:
Dopo l’installazione iniziale, utilizzare Modulo di aggiornamento per aggiornare il modulo PowerShell.
Requisiti di PowerShell
Per usare gli script di PowerShell, è necessario quanto segue:
-
Un computer Windows per eseguire gli script di PowerShell che gestiscono i processi di portabilità delle immagini. La macchina:
-
Dispone della versione più recente di PowerShell.
-
Dispone di una connessione di rete da 10 Gbs o superiore alla condivisione file SMB locale e di una connessione veloce al cloud pubblico (Azure, AWS o Google Cloud, ad esempio).
-
Può essere lo stesso computer che ospita la condivisione file.
-
È un computer che esegue Windows 10, Windows Server 2019 o Windows Server 2022, con le ultime patch Microsoft.
-
Può connettersi a Microsoft PowerShell Gallery per scaricare le librerie di PowerShell necessarie.
-
A seconda della versione di Windows, potrebbe essere necessario disabilitare il supporto TLS 1.0/1.1. Fare riferimento a Documentazione di supporto TLS di Microsoft PowerShell Gallery per maggiori informazioni.
Per impostazione predefinita, PowerShell non esegue automaticamente l’autenticazione tramite un server proxy. Assicurarsi di aver configurato la sessione di PowerShell per l’uso del server proxy, in base a Microsoft e alle procedure consigliate per il fornitore del proxy.
Se vengono visualizzati errori durante l’esecuzione degli script di PowerShell relativi a una versione mancante o precedente di PowerShellGet, è necessario installare la versione più recente come indicato di seguito:
Install-Module -Name PowerShellGet -Force -Scope CurrentUser -AllowClobber
Installare librerie e moduli
Il servizio di portabilità delle immagini si basa sulle librerie di Microsoft PowerShell Gallery per gestire le operazioni di portabilità.
Importante:
Dopo l’installazione iniziale, utilizzare Modulo di aggiornamento per installare nuove versioni.
-
Eseguire il comando di PowerShell seguente per scaricare i moduli più recenti:
Install-Module -Name "Citrix.Workloads.Portability","Citrix.Image.Uploader" -Scope CurrentUser
-
Per modificare la variabile di ambiente PATH:
Passeggiata Y e Entrare accettare.
-
Per installare il provider NuGet:
Passeggiata Y e Entrare accettare.
-
Se informato di un repository non attendibile:
Passeggiata Un (Sì a tutti) e Entrare continuare.
-
-
Verificare che tutti i moduli necessari siano stati scaricati eseguendo il comando:
Get-InstalledModule -Name Citrix.*
Questo comando restituisce un output simile al seguente:
Nome Deposito Descrizione Citrix.Image.Uploader PSGallery Comandi per caricare un disco rigido virtuale(x) in un account di archiviazione di Azure, AWS o GCP e ottenere informazioni su un disco rigido virtuale(x) Citrix.Workloads.Portabilità PSGallery Cmdlet autonomo per il processo immagine del servizio Citrix Image Portability
Aggiorna i moduli all’ultima versione
Eseguire il comando seguente per aggiornare lo script alla versione più recente.
Update-Module -Name "Citrix.Workloads.Portability","Citrix.Image.Uploader" -Force
Installazione di Citrix Virtual Apps and Desktops Remote PowerShell SDK
Il servizio di portabilità delle immagini richiede l’SDK Remote PowerShell di Citrix Virtual Apps and Desktops per creare e gestire i processi di portabilità all’interno di Citrix Cloud.
Scarica e installa il file SDK di PowerShell remoto sul tuo computer.
Installare componenti di terze parti specifici della piattaforma
Il modulo PowerShell del servizio di portabilità delle immagini non installa dipendenze di terze parti. Pertanto, puoi limitare l’installazione solo alle piattaforme di destinazione. Se si utilizza una delle piattaforme seguenti, seguire le istruzioni pertinenti per l’installazione delle dipendenze della piattaforma:
VMware
Se si creano processi di portabilità delle immagini che comunicano con l’ambiente VMware, eseguire il comando seguente per installare i moduli VMware PowerShell necessari.
Install-Module -Name VMWare.PowerCLI -Scope CurrentUser -AllowClobber -Force -SkipPublisherCheck
Servizi Web Amazon
Se stai creando processi di portabilità delle immagini in AWS, scarica e installa il file Interfaccia a riga di comando AWS, quindi esegui questi comandi per installare i moduli AWS PowerShell richiesti:
Install-Module -Name AWS.Tools.Installer
Install-AWSToolsModule AWS.Tools.EC2,AWS.Tools.S3
Azzurro
Se si creano processi di portabilità delle immagini in Azure, scaricare e installare il file Utilità della riga di comando di Azure, quindi eseguire questi comandi per installare i moduli di Azure PowerShell necessari:
Install-Module -Name Az.Accounts -Scope CurrentUser -AllowClobber -Force
Install-Module -Name Az.Compute -Scope CurrentUser -AllowClobber -Force
Google Cloud
Se stai creando processi di portabilità delle immagini in Google Cloud, scarica e installa il Google Cloud SDK sul tuo computer.
Disinstallare script e moduli
Eseguire i seguenti comandi per disinstallare i moduli utilizzati dal software Image Portability.
Nota:
Gli script e i componenti di terze parti non vengono rimossi automaticamente durante la disinstallazione dei moduli IPS.
Per disinstallare i moduli:
Get-InstalledModule -Name "Citrix.Workloads.Portability","Citrix.Images.Uploader" | Uninstall-Module
Aggiungere credenziali al portafoglio credenziali
Per gli scenari di automazione end-to-end, è possibile configurare il servizio di portabilità delle immagini per l’autenticazione non interattiva con Citrix Cloud, il cloud pubblico e le risorse locali. Inoltre, il servizio di portabilità delle immagini utilizza le credenziali memorizzate nel Citrix Credential Wallet ogni volta che le nostre API vengono autenticate direttamente con le risorse on-premise e del cloud pubblico. L’impostazione delle credenziali come descritto in questa sezione è un passaggio obbligatorio per l’esecuzione di processi di esportazione, preparazione e pubblicazione.
Durante l’esecuzione dei processi, il servizio di portabilità delle immagini richiede l’accesso alle risorse che è possibile controllare. Ad esempio, per consentire al servizio di portabilità delle immagini di esportare un disco da un server vSphere a una condivisione SMB, il servizio deve disporre dell’accesso a entrambi i sistemi. Per proteggere queste informazioni sull’account, il servizio di portabilità delle immagini utilizza il servizio Citrix Credential Wallet. Questo servizio memorizza le tue credenziali nel portafoglio con un nome definito dall’utente. Quando si desidera eseguire un processo, specificare il nome della credenziale da utilizzare. Inoltre, queste credenziali possono essere aggiornate o eliminate dal portafoglio in qualsiasi momento.
Le credenziali vengono spesso memorizzate per queste piattaforme:
- Microsoft Azure
- Condizioni d’uso
- Google Cloud
- Condivisione PMI
- VMware vSphere
- Nutanix AHV
- XenServer
Per gestire le credenziali, fare riferimento alla API del servizio di portabilità delle immagini e Gestione delle credenziali della sezione Portale API per sviluppatori.
Utilizzare il servizio di portabilità delle immagini
La preparazione delle immagini nelle posizioni delle risorse locali per l’abbonamento al cloud pubblico richiede la creazione di processi di portabilità delle immagini all’interno di Citrix Cloud. È possibile creare un processo per effettuare chiamate API dirette al servizio all’interno dello script o del programma oppure usando i moduli di PowerShell di esempio sviluppati per automatizzare le chiamate API. Fare riferimento alla Portale API per sviluppatori di servizi di portabilità delle immagini per informazioni sull’uso delle API REST e dei moduli PowerShell per creare processi IPS.
Pubblicazione di cataloghi di macchine con Citrix Provisioning
Il servizio di portabilità delle immagini (IPS) viene utilizzato con i servizi di creazione di macchine (MCS) in Azure, AWS, Google Cloud, Nutanix, vSphere e XenServer o con Citrix Provisioning (PVS) in Azure, Google Cloud, vSphere e XenServer. È possibile combinare le soluzioni PowerShell e REST descritte in questa guida con gli strumenti della piattaforma, le API della piattaforma o gli SDK Citrix DaaS per creare un flusso di lavoro end-to-end automatizzato e senza soluzione di continuità per la creazione di un catalogo di macchine basato sull’immagine preparata. A seconda della piattaforma cloud scelta, possono essere necessari passaggi intermedi tra il completamento di un processo di preparazione IPS e la creazione di un catalogo o l’assegnazione a un target PVS.
Condizioni d’uso
Su AWS, IPS produce un volume EBS EC2 contenente l’immagine preparata (impostazione predefinita) o un’immagine Amazon Machine (AMI) creata dall’immagine preparata. Vedi il Portale API per sviluppatori di servizi di portabilità delle immagini per informazioni su come creare un’AMI anziché l’impostazione predefinita di un volume.
Si noti che MCS richiede un’AMI per la creazione del catalogo. IPS utilizza l’importazione di macchine virtuali AWS per creare l’AMI e questo ha determinati requisiti. Prima di utilizzare IPS per creare un’AMI, consulta la pagina AWS Guida per l’utente all’importazione/esportazione di macchine virtuali requisiti e assicurarsi che siano stati soddisfatti.
Azzurro
In Azure, IPS produce dischi gestiti che possono essere utilizzati direttamente come immagini master MCS. Per assegnare l’immagine risultante alle destinazioni PVS, IPS fornisce un’operazione di “pubblicazione” per copiare il disco gestito in un file VHD(x) nell’archivio PVS.
Google Cloud
IPS prepara i lavori su Google Cloud produce un disco. MCS richiede un modello di istanza Google Cloud. Il processo di creazione di un modello di istanza MCS da un disco è descritto in dettaglio in Preparare un’istanza di macchina virtuale master e un disco persistente.
Per le destinazioni PVS su Google Cloud, IPS fornisce un’operazione di “pubblicazione” per copiare il disco in un file VHD(x) nell’archivio PVS.
Automatizza la configurazione VDA
Quando si prepara un’immagine gestita da Citrix originata in locale, è possibile riconfigurare il VDA all’interno dell’immagine per supportare l’ambiente di destinazione per il quale l’immagine viene preparata. Il servizio di portabilità delle immagini può applicare le modifiche alla configurazione VDA in tempo reale durante la fase di preparazione del flusso di lavoro. I seguenti parametri di configurazione definiscono il funzionamento del VDA nell’immagine migrata: InstallaMisa, XdReconfiguree InstallMcsio. Vedere Esempi di PowerShell per il servizio di portabilità delle immagini per definire questi parametri durante la creazione di lavori IPS.
Configurazioni
-
Configurando InstallaMisa A
vero
abilita il servizio di portabilità delle immagini per installare tutti i componenti VDA mancanti necessari per il provisioning dell’immagine utilizzando MCS. -
Configurando InstallaMisa A
vero
o InstallMcsio Avero
richiede anche la configurazione CloudProvisioningType AMcs
. -
Mettere InstallPvs alla versione del server PVS in cui viene distribuita l’immagine. Quando InstallPvs , il servizio di portabilità delle immagini (IPS) installa automaticamente la versione specificata del software del dispositivo di destinazione PVS nell’immagine durante i lavori di preparazione. IPS supporta le due build più recenti (versione base o aggiornamenti cumulativi) per le ultime due versioni di servizio a lungo termine (LTSR) e versioni correnti (CR).
Per entrambi InstallaMisa e InstallMcsio, tenere presente quanto segue:
-
Queste funzionalità sono supportate solo per le versioni LTSR e CR recenti del VDA.
-
Se i componenti necessari sono già presenti per il VDA installato, non vengono apportate modifiche, anche se i parametri sono configurati.
-
Per le versioni supportate del VDA, la portabilità delle immagini installa la versione appropriata dei componenti richiesti, anche se i componenti VDA necessari non sono presenti.
-
Per le versioni non supportate del VDA, la riconfigurazione non riesce e viene registrato un messaggio se i componenti VDA necessari non sono presenti. Il processo di preparazione viene completato anche se la riconfigurazione VDA non lo fa.
XdReconfigure Richiede uno dei seguenti valori: Controller
o site_guid
. Di seguito sono riportati esempi di parametri di configurazione che utilizzano ciascun valore:
Utilizzando Controller:
XdReconfigure = @(
[pscustomobject]@{
ParameterName = 'controllers'
ParameterValue = 'comma-separated-list-of-your-cloud-connectors-fqdns'
}
)
dove il Valore parametro è l’elenco dei nomi di dominio completi dei nuovi DDC a cui si desidera puntare il VDA. È possibile specificare più DDC in un formato delimitato da virgole.
Utilizzando site_guid:
XdReconfigure = @(
[pscustomobject]@{
ParameterName = 'site_guid'
ParameterValue = 'active-directory-site-guid'
}
)
XdReconfigure accetta anche i valori supportati durante l’esecuzione del programma di installazione della riga di comando VDA con il /riconfigurare installare l’interruttore, ad esempio, XenDesktopVdaSetup.exe /reconfigure. Alcuni esempi di questi valori includono wem_agent_port, wem_cached_data_sync_port, wem_cloud_connectorso wem_server. Per un elenco completo delle opzioni della riga di comando di riconfigurazione VDA, fare riferimento alla Documentazione di Citrix DaaS VDA.
Configurando InstallMcsio A vero
installa automaticamente MCSIO sull’immagine. Per disabilitare l’installazione automatica di MCSIO sull’immagine, configurare InstallMcsio A falso
.
Nota:
È possibile utilizzare
-DryRun
durante l’esecuzione dei comandi per convalidare la configurazione e le impostazioni di rete dell’appliance connettore.
Riferimento
In questa sezione vengono fornite informazioni tecniche di riferimento, in base alle proprie esigenze.
Autorizzazioni richieste dai servizi di portabilità delle immagini
Questa sezione descrive in dettaglio le autorizzazioni richieste dal servizio di portabilità delle immagini su ciascuna delle piattaforme on-premise e cloud supportate.
Autorizzazioni necessarie per l’appliance connettore
L’appliance connettore deve accedere ai seguenti URL per preparare le immagini nel servizio di portabilità delle immagini:
api-ap-s.cloud.com
api-eu.cloud.com
api-us.cloud.com
credentialwallet.citrixworkspaceapi.net
graph.microsoft.com
login.microsoftonline.com
management.azure.com
*.blob.storage.azure.net
Autorizzazioni necessarie per VMware vCenter
Le seguenti autorizzazioni vCenter sono necessarie per eseguire il processo del disco di esportazione IPS in un ambiente VMware. Queste autorizzazioni sono disponibili in Ruoli Nel Controllo di accesso del pannello di amministrazione di vCenter.
- Cryptographic operations
- Direct Access
- Datastore
- Allocate space
- Browse datastore
- Low level file operations
- Remove file
- Folder
- Create folder
- Delete folder
- Network
- Assign network
- Resource
- Assign virtual machine to resource pool
- Virtual machine
- Change Configuration
- Add existing disk
- Add new disk
- Remove disk
- Edit Inventory
- Create from existing
- Create new
- Remove
- Interaction
- Power off
- Power on
Autorizzazioni necessarie per Microsoft Azure
La portabilità delle immagini richiede che l’account del servizio Azure disponga delle autorizzazioni seguenti.
Quando viene specificato il gruppo di risorse da utilizzare per il motore di composizione, ovvero nella resourceGroup in una richiesta REST o la proprietà -AzureVmResourceGroup quando si usano i comandi Citrix.Workloads.Portability di PowerShell), sono necessarie le autorizzazioni seguenti nell’ambito del gruppo di risorse.
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/endGetAccess/action
Microsoft.Compute/disks/delete
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/delete
Microsoft.Compute/virtualMachines/powerOff/action
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/networkSecurityGroups/join/action
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/networkSecurityGroups/write
Microsoft.Resources/deployments/operationStatuses/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/subscriptions/resourcegroups/read
Quando il gruppo di risorse da utilizzare per il motore di composizione non viene specificato, sono necessarie le autorizzazioni seguenti nell’ambito della sottoscrizione.
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/endGetAccess/action
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/virtualMachines/powerOff/action
Microsoft.Compute/virtualMachines/read
Microsoft.Compute/virtualMachines/write
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkSecurityGroups/join/action
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/networkSecurityGroups/write
Microsoft.Resources/deployments/operationStatuses/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/subscriptions/resourceGroups/delete
Microsoft.Resources/subscriptions/resourceGroups/write
Microsoft.Authorization/roleAssignments/read
Microsoft.Authorization/roleDefinitions/read
Le autorizzazioni seguenti sono necessarie nell’ambito del gruppo di risorse di destinazione specificato, ovvero il gruppo di risorse specificato nella targetDiskResourceGroupName in una richiesta REST o la proprietà -Gruppo di risorse target quando si utilizza PowerShell).
Microsoft.Compute/disks/beginGetAccess/action
Microsoft.Compute/disks/delete
Microsoft.Compute/disks/read
Microsoft.Compute/disks/write
Microsoft.Compute/snapshots/delete
Microsoft.Compute/snapshots/read
Microsoft.Compute/snapshots/write
Le autorizzazioni seguenti sono necessarie nell’ambito del gruppo di risorse di rete virtuale specificato, ovvero il gruppo di risorse specificato nel virtualNetworkResourceGroupName in una richiesta REST o la proprietà -AzureVirtualNetworkResourceGroupName quando si utilizza PowerShell).
Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/join/action
Importante:
Le
ceVmSku
per i processi ‘prepare’ e ‘prepareAndPublish’ controlla il tipo di macchina virtuale di Azure per cui è adatto il disco gestito risultante. È necessario selezionare un ceVmSku con la stessa famiglia e la stessa versione delle macchine virtuali di cui si intende effettuare il provisioning dall’immagine di output. Il valore predefinito diStandard_D2S_v3
è adatto per funzionare su tutte le macchine della famiglia v3 D. La specifica di SKU macchina che non includono un disco temporaneo non è supportata.
Autorizzazioni richieste per Google Cloud
La portabilità delle immagini richiede che il tuo account del servizio Google Cloud disponga delle seguenti autorizzazioni:
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.disks.create
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instances.create
compute.instances.delete
compute.instances.get
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setServiceAccount
compute.instances.setTags
compute.instances.stop
compute.instances.updateDisplayDevice
compute.networks.get
compute.networks.list
compute.subnetworks.use
compute.zoneOperations.get
compute.zones.get
compute.zones.list
iam.serviceAccounts.actAs
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
Autorizzazioni richieste da AWS
La portabilità delle immagini richiede l’allegazione di un documento di policy JSON con la seguente configurazione all’utente IAM (Identity and Access Management):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ebs:CompleteSnapshot",
"ebs:PutSnapshotBlock",
"ebs:StartSnapshot",
"ec2:CreateImage",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteImage",
"ec2:DeleteSnapshot",
"ec2:DeleteVolume",
"ec2:DeregisterImage",
"ec2:DescribeImages",
"ec2:DescribeImportImageTasks",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:ImportImage",
"ec2:RebootInstances",
"ec2:RegisterImage",
"ec2:RunInstances",
"ec2:TerminateInstances",
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Nota:
È possibile ridurre ulteriormente l’ambito della risorsa in base alle esigenze.
Autorizzazioni richieste per Nutanix AHV
La portabilità dell’immagine richiede che tu sia un amministratore del cluster nella configurazione Nutanix AHV.
Autorizzazioni richieste per XenServer
La portabilità delle immagini richiede almeno il ruolo di “amministratore della macchina virtuale” per il pool in cui si trova l’host XenServer.
Networking
Il servizio di portabilità delle immagini (IPS) crea una macchina virtuale di lavoro denominata motore di composizione (CE) per eseguire operazioni sulle immagini. Tutti gli accessori del connettore nella posizione della risorsa associata devono essere in grado di comunicare tramite HTTPS con il CE. Tutte le comunicazioni tra un’appliance connettore (CA) e la CE vengono avviate dalla CA, ad eccezione di una singola eccezione nel caso di vSphere, in cui è presente una comunicazione HTTPS bidirezionale tra CE e CA.
Negli ambienti cloud (Azure, AWS, Google Cloud) il CE viene creato con un indirizzo IP privato. Pertanto, la CE deve trovarsi nella stessa rete virtuale della CA o in una rete virtuale raggiungibile dalla CA.
Inoltre, per i processi che coinvolgono file in una condivisione SMB (ad esempio, processi di esportazione), il CE deve trovarsi in una rete con connettività alla condivisione SMB.
Vedi il Documentazione dell’API del servizio di portabilità delle immagini per informazioni dettagliate su come specificare la rete da utilizzare per la CE in ciascuna piattaforma supportata.
Per i lavori di “preparazione”, il sistema operativo contenuto nell’immagine viene avviato (sul CE) per eseguire la specializzazione e altre attività. Se l’immagine contiene agenti di gestione o di sicurezza che effettuano l’accesso telefonico a un server di controllo, questi processi possono interferire con il processo di preparazione.
Se viene specificata l’opzione di annullamento dell’aggiunta al dominio, la connettività di rete può influire sui risultati. Se la macchina virtuale del motore di composizione può raggiungere il controller di dominio Active Directory tramite la rete, l’annullamento dell’aggiunta rimuove l’account computer dal dominio. In questo modo viene interrotta l’appartenenza al dominio per la macchina virtuale di origine da cui è stata estratta l’immagine.
Pertanto, si consiglia di isolare la rete fornita per l’operazione da altre risorse di rete. Questa operazione può essere eseguita mediante l’isolamento della subnet o con le regole del firewall. Vedere Isolamento della rete per i dettagli.
In alcuni ambienti hypervisor locali, l’hypervisor potrebbe essere configurato con un certificato del server TLS, che non è considerato attendibile dal set di autorità di certificazione radice attendibili della CA o non corrisponde al nome host del server. Per tali situazioni, IPS fornisce la richiesta di lavoro che possono essere utilizzate per risolvere il problema. Vedere Certificati TLS per i dettagli.
Proxy di rete
Se il traffico di rete tra la CA e Internet attraversa un proxy che esegue l’introspezione TLS, potrebbe essere necessario aggiungere l’autorità di certificazione radice del proxy, ovvero il certificato utilizzato dal proxy per firmare i certificati TLS generati, all’insieme di autorità di certificazione radice della CA. Vedere Registrazione dell’appliance Connector con Citrix Cloud per ulteriori informazioni.
Isolamento della rete
-
Azzurro
In Azure, per impostazione predefinita, il CE viene creato con un gruppo di sicurezza di rete collegato alla scheda di interfaccia di rete se l’entità servizio di Azure usata nell’operazione dispone delle autorizzazioni di Azure necessarie 1.
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
-
Microsoft.Network/networkSecurityGroups/write
In caso contrario, le autorizzazioni seguenti nell’ambito della sottoscrizione se non viene utilizzato alcun gruppo di risorse esplicito:
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
Questo gruppo di sicurezza di rete è configurato per bloccare tutto il traffico in entrata/in uscita dal gruppo di sicurezza di rete, ad eccezione di:
- SMB (porta 445) in uscita
- HTTPS (porta 443) in entrata
- quello richiesto per i servizi interni di Azure
L’uso del NSG può essere forzato impostando il networkIsolation nella richiesta di lavoro a vero. In questo caso, il processo ha esito negativo se l’entità servizio usata nell’operazione non dispone delle autorizzazioni necessarie. L’uso del gruppo di sicurezza di rete può essere disabilitato impostando l’icona networkIsolation proprietà a falso.
-
Condizioni d’uso
In AWS per ottenere l’isolamento di rete del CE, è possibile creare uno o più gruppi di sicurezza di rete che bloccano tutto il traffico indesiderato e quindi nella richiesta di processo, assegnare i gruppi di sicurezza all’istanza CE utilizzando il pulsante securityGroupIds request che accetta come valore un elenco di ID del gruppo di sicurezza.
- Google Cloud
In Google Cloud, per ottenere l’isolamento della rete CE, è possibile creare regole del firewall che bloccano tutto il traffico indesiderato e quindi applicare tali regole alla CE tramite tag di rete. IPS crea il CE con il tag di rete motore di compositing e puoi assegnargli altri tag di rete utilizzando il pulsante Tag di rete Parametro di richiesta del processo che accetta un elenco di tag come valore.
Certificati TLS
Se il certificato del server dell’hypervisor è firmato da un’autorità non considerata attendibile dalla CA, è possibile utilizzare due approcci alternativi per risolvere il problema.
- Specificare nella richiesta di processo un certificato dell’autorità di certificazione radice aggiuntivo da utilizzare nella verifica del certificato. Questo certificato deve essere l’autorità di certificazione radice utilizzata per firmare il certificato del server dell’hypervisor.
- Specificare nella richiesta di lavoro l’impronta digitale SHA-1 del certificato del server dell’hypervisor. In questo caso, la convalida del certificato viene eseguita verificando che l’impronta digitale SHA-1 del certificato restituito dall’hypervisor corrisponda a quella fornita nella richiesta di processo. Questo metodo potrebbe non funzionare se è presente un proxy di intercettazione TLS tra il CE e l’hypervisor.
I parametri di richiesta di lavoro per quanto sopra, riportati rispettivamente di seguito per ciascuna piattaforma, sono:
- vSfera
- vCenterSslCaCertificate
- vCenterSslFingerprint
- Nutanix
- prismSslCaCertificato
- prismaSslImpronta digitale
- XenServer
- xenSslCaCertificate
- xenSslImpronta digitale
Vedi il API del servizio di portabilità delle immagini documentazione per ulteriori dettagli.
Gli errori di convalida del certificato possono verificarsi anche quando si verifica una mancata corrispondenza tra il nome host del server hypervisor e il nome host nel certificato. In questo caso, la corrispondenza del nome host può essere disabilitata impostando il seguente parametro su vero Nella richiesta di lavoro:
- vSfera
- vCenterSslNoCheckHostname
- Nutanix
- prismaSslNoCheckHostname
- XenServer
- xenSslNoCheckHostname
Documentazione correlata
- Documentazione dell’API del servizio di portabilità delle immagini
- Appliance connettore per servizi cloud
- Documentazione di Google Cloud
- Account del servizio Google Cloud
- Registrazione e autenticazione dell’app Microsoft Azure
-
Se per l’operazione viene utilizzato un gruppo di risorse esplicito, le autorizzazioni seguenti nell’ambito del gruppo di risorse: ↩