Ambienti cloud di Microsoft Azure Resource Manager

Seguire le indicazioni contenute in questo articolo quando si utilizza Microsoft Azure Resource Manager per il provisioning di macchine virtuali nella distribuzione di Citrix Virtual Apps and Desktops™.

Si presume che l’utente abbia familiarità con quanto segue:

• Azure Active Directory: https://docs.microsoft.com/en-in/azure/active-directory/fundamentals/active-directory-whatis/
• Framework di consenso: https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/plan-an-application-integration
• Entità servizio: https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals/

Provisioning on-demand di Azure

Con il provisioning on-demand di Azure, le VM vengono create solo quando Citrix Virtual Apps and Desktops avvia un’azione di accensione, dopo il completamento del provisioning.

Quando si utilizza MCS per creare cataloghi di macchine in Azure Resource Manager, la funzionalità di provisioning on-demand di Azure:

• Riduce i costi di archiviazione
• Offre una creazione più rapida del catalogo

Quando si crea un catalogo MCS, il portale di Azure visualizza il gruppo di sicurezza di rete, le interfacce di rete, le immagini di base e i dischi di identità nei gruppi di risorse.

Il portale di Azure non mostra una VM finché Citrix Virtual Apps and Desktops non avvia un’azione di accensione per essa. Esistono due tipi di macchine con le seguenti differenze:

• Per una macchina in pool, il disco del sistema operativo e la cache di write-back esistono solo quando esiste la VM. Quando si spegne una macchina in pool nella console, la VM non è visibile nel portale di Azure. Si ottiene un notevole risparmio sui costi di archiviazione se si spengono regolarmente le macchine (ad esempio, al di fuori dell’orario di lavoro).
• Per una macchina dedicata, il disco del sistema operativo viene creato la prima volta che la VM viene accesa. La VM nel portale di Azure rimane in archiviazione finché l’identità della macchina non viene eliminata. Quando si spegne una macchina dedicata nella console, la VM è ancora visibile nel portale di Azure.

Connessione ad Azure Resource Manager

Connessioni e risorse descrive le procedure guidate che creano una connessione. Le seguenti informazioni riguardano i dettagli specifici delle connessioni di Azure Resource Manager.

Considerazioni:

• Citrix® consiglia di utilizzare un’entità servizio con il ruolo di collaboratore. Tuttavia, consultare la sezione Autorizzazioni minime per ottenere l’elenco delle autorizzazioni minime.
• Quando si crea la prima connessione, Azure richiede di concedere le autorizzazioni necessarie. Per le connessioni future è comunque necessario autenticarsi, ma Azure ricorda il consenso precedente e non visualizza nuovamente la richiesta.
• Gli account utilizzati per l’autenticazione devono disporre delle autorizzazioni per assegnare ruoli nella sottoscrizione utilizzando Azure RBAC. Ad esempio, Proprietario, Amministratore del controllo degli accessi in base al ruolo o Amministratore dell’accesso utente della sottoscrizione.
• L’account utilizzato per l’autenticazione deve essere un membro della directory della sottoscrizione. Esistono due tipi di account da considerare: “Account aziendale o dell’istituto di istruzione” e “Account Microsoft personale”. Per i dettagli, consultare CTX219211.

• Sebbene sia possibile utilizzare un account Microsoft esistente aggiungendolo come membro della directory della sottoscrizione, possono verificarsi complicazioni se all’utente è stato precedentemente concesso l’accesso guest a una delle risorse della directory. In questo caso, potrebbe avere una voce segnaposto nella directory che non gli concede le autorizzazioni necessarie e viene restituito un errore.

  Risolvere questo problema rimuovendo le risorse dalla directory e aggiungendole nuovamente in modo esplicito. Tuttavia, esercitare questa opzione con cautela, poiché ha effetti indesiderati su altre risorse a cui l’account può accedere.

• Esiste un problema noto per cui alcuni account vengono rilevati come guest della directory quando sono in realtà membri. Configurazioni come questa si verificano in genere con account di directory più vecchi e consolidati. Soluzione alternativa: aggiungere un account alla directory, che assume il valore di appartenenza corretto.
• I gruppi di risorse sono semplicemente contenitori per le risorse e possono contenere risorse provenienti da regioni diverse dalla propria. Ciò può potenzialmente creare confusione se ci si aspetta che le risorse visualizzate nella regione di un gruppo di risorse siano disponibili.
• Assicurarsi che la rete e la subnet siano sufficientemente grandi da ospitare il numero di macchine richieste. Ciò richiede una certa lungimiranza, ma Microsoft aiuta a specificare i valori corretti, con indicazioni sulla capacità dello spazio degli indirizzi.

È possibile stabilire una connessione host ad Azure in due modi:

• Autenticarsi ad Azure per creare un’entità servizio.
• Utilizzare i dettagli di un’entità servizio creata in precedenza per connettersi ad Azure.

Creare un’entità servizio

Importante:

Questa funzionalità non è ancora disponibile per le sottoscrizioni di Azure Cina e Azure Germania.

Prima di iniziare, autenticarsi ad Azure. Assicurarsi che:

• Si disponga di un account utente nel tenant di Azure Active Directory della propria sottoscrizione.
• Gli account utilizzati per l’autenticazione devono disporre delle autorizzazioni per assegnare ruoli nella sottoscrizione utilizzando Azure RBAC. Ad esempio, Proprietario, Amministratore del controllo degli accessi in base al ruolo o Amministratore dell’accesso utente della sottoscrizione.
• Si disponga delle autorizzazioni di amministratore globale, amministratore di applicazioni o sviluppatore di applicazioni per l’autenticazione. Queste autorizzazioni possono essere revocate dopo aver creato la connessione host. Per ulteriori informazioni sui ruoli, consultare Ruoli predefiniti di Azure AD.

Quando ci si autentica ad Azure per creare un’entità servizio, un’applicazione viene registrata in Azure. Viene creata una chiave segreta (segreto client) per l’applicazione registrata. L’applicazione registrata utilizza il segreto client per autenticarsi ad Azure AD. Assicurarsi di modificare il segreto client prima che scada. Si riceverà un avviso sulla console prima della scadenza della chiave segreta.

Per autenticarsi ad Azure per creare un’entità servizio, completare i seguenti passaggi nella procedura guidata Aggiungi connessione e risorse:

1. Nella pagina Connessione, selezionare Crea nuova connessione, il tipo di connessione Microsoft Azure e l’ambiente Azure.

2. Selezionare gli strumenti da utilizzare per creare le macchine virtuali e quindi selezionare Avanti.

3. Nella pagina Dettagli connessione, immettere l’ID della sottoscrizione di Azure e un nome per la connessione. Dopo aver immesso l’ID della sottoscrizione, il pulsante Crea nuovo viene abilitato.

   Nota:

   Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri \/;: #.?=<>|[]{}"'()'.

4. Selezionare Crea nuovo e quindi immettere il nome utente e la password dell’account Azure Active Directory.
5. Selezionare Accedi.
6. Selezionare Accetta per concedere a Citrix Virtual Apps and Desktops le autorizzazioni elencate. Citrix Virtual Apps and Desktops crea un’entità servizio che gli consente di gestire le risorse di Azure per conto dell’utente specificato.

7. Dopo aver selezionato Accetta, si tornerà alla pagina Connessione della procedura guidata.

   Nota:

   Dopo aver eseguito correttamente l’autenticazione ad Azure, i pulsanti Crea nuovo e Usa esistente scompaiono. Viene visualizzato il testo Connessione riuscita, con un segno di spunta verde, che indica la connessione riuscita alla sottoscrizione di Azure.

8. Nella pagina Dettagli connessione, selezionare Avanti.

   Nota:

   Non è possibile procedere alla pagina successiva finché non ci si autentica correttamente ad Azure e si acconsente a concedere le autorizzazioni richieste.

9. Configurare le risorse per la connessione. Le risorse comprendono la regione e la rete.

   • Nella pagina Regione, selezionare una regione.
   • Nella pagina Rete, eseguire le seguenti operazioni:
     • Digitare un nome di risorsa di 1-64 caratteri per aiutare a identificare la combinazione di regione e rete. Un nome di risorsa non può contenere solo spazi vuoti né i caratteri \/;: #.?=<>|[]{}"'()'.
     • Selezionare una coppia rete virtuale/gruppo di risorse. (Se si dispone di più reti virtuali con lo stesso nome, l’associazione del nome della rete al gruppo di risorse fornisce combinazioni uniche.) Se la regione selezionata nella pagina precedente non dispone di reti virtuali, tornare a quella pagina e selezionare una regione che disponga di reti virtuali.
10. Nella pagina Riepilogo, visualizzare un riepilogo delle impostazioni e selezionare Fine per completare la configurazione.

Utilizzare i dettagli di un’entità servizio creata in precedenza per connettersi ad Azure

Per creare manualmente un’entità servizio, connettersi alla sottoscrizione di Azure Resource Manager e utilizzare i cmdlet PowerShell forniti nelle sezioni seguenti.

Prerequisiti:

• SubscriptionId: SubscriptionID di Azure Resource Manager per la sottoscrizione in cui si desidera eseguire il provisioning dei VDA.
• ActiveDirectoryID: ID tenant dell’applicazione registrata con Azure AD.
• ApplicationName: Nome dell’applicazione da creare in Azure AD.

Per creare un’entità servizio:

1. Connettersi alla sottoscrizione di Azure Resource Manager.

   Connect-AzAccount

2. Selezionare la sottoscrizione di Azure Resource Manager in cui si desidera creare l’entità servizio.

   Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

3. Creare l’applicazione nel tenant AD.

   $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

4. Creare un’entità servizio.

   New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

5. Assegnare un ruolo all’entità servizio.

   New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

6. Dalla finestra di output della console PowerShell, annotare l’ApplicationId. Questo ID verrà fornito durante la creazione della connessione host.

Nella procedura guidata Aggiungi connessione e risorse:

1. Nella pagina Connessione, selezionare Crea nuova connessione, il tipo di connessione Microsoft Azure e l’ambiente Azure.

2. Selezionare gli strumenti da utilizzare per creare le macchine virtuali e quindi selezionare Avanti.

3. Nella pagina Dettagli connessione, immettere l’ID della sottoscrizione Azure e un nome per la connessione.

   Nota:

   Il nome della connessione può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.

4. Selezionare Usa esistente. Nella finestra Dettagli entità servizio esistente, immettere le seguenti impostazioni per l’entità servizio esistente. Dopo aver immesso i dettagli, il pulsante Salva viene abilitato. Selezionare Salva. Non è possibile proseguire oltre questa pagina finché non si forniscono dettagli validi.

   • ID sottoscrizione. Immettere l’ID della sottoscrizione Azure. Per ottenere l’ID della sottoscrizione, accedere al portale di Azure e passare a Sottoscrizioni > Panoramica.
   • ID Active Directory (ID tenant). Immettere l’ID della directory (tenant) dell’applicazione registrata con Azure AD.
   • ID applicazione. Immettere l’ID dell’applicazione (client) dell’applicazione registrata con Azure AD.
   • Segreto applicazione. Creare una chiave segreta (segreto client). L’applicazione registrata utilizza la chiave per l’autenticazione ad Azure AD. Si consiglia di modificare regolarmente le chiavi per motivi di sicurezza. Assicurarsi di salvare la chiave perché non sarà possibile recuperarla in seguito.

   • Data di scadenza del segreto. Immettere la data dopo la quale il segreto dell’applicazione scade. Si riceverà un avviso sulla console prima della scadenza della chiave segreta. Tuttavia, se la chiave segreta scade, si riceveranno errori.

     Nota:

     Per motivi di sicurezza, il periodo di scadenza non può superare i due anni a partire da ora.

   • URL di autenticazione. Questo campo viene popolato automaticamente e non è modificabile.
   • URL di gestione. Questo campo viene popolato automaticamente e non è modificabile.

   • Suffisso di archiviazione. Questo campo viene popolato automaticamente e non è modificabile.

     L’accesso ai seguenti endpoint è necessario per la creazione di un catalogo MCS in Azure. L’accesso a questi endpoint ottimizza la connettività tra la rete e il portale di Azure e i suoi servizi.

     • URL di autenticazione: https://login.microsoftonline.com/
     • URL di gestione: https://management.azure.com/. Questo è un URL di richiesta per le API del provider Azure Resource Manager. L’endpoint per la gestione dipende dall’ambiente. Ad esempio, per Azure Global, è https://management.azure.com/, e per Azure US Government, è https://management.usgovcloudapi.net/.
     • Suffisso di archiviazione: https://*.core.windows.net./. Questo (*) è un carattere jolly per il suffisso di archiviazione. Ad esempio, https://demo.table.core.windows.net/.

5. Dopo aver selezionato Salva, si tornerà alla pagina Dettagli connessione. Selezionare Avanti per procedere alla pagina successiva.

6. Configurare le risorse per la connessione. Le risorse comprendono la regione e la rete.

   • Nella pagina Regione, selezionare una regione.
   • Nella pagina Rete, eseguire le seguenti operazioni:
     • Digitare un nome di risorsa di 1-64 caratteri per aiutare a identificare la combinazione di regione e rete. Un nome di risorsa non può contenere solo spazi vuoti né i caratteri \/;:#.*?=<>|[]{}"'()'.
     • Selezionare una coppia rete virtuale/gruppo di risorse. (Se si dispone di più reti virtuali con lo stesso nome, l’associazione del nome della rete con il gruppo di risorse fornisce combinazioni uniche.) Se la regione selezionata nella pagina precedente non dispone di reti virtuali, tornare a quella pagina e selezionare una regione che disponga di reti virtuali.

7. Nella pagina Riepilogo, visualizzare un riepilogo delle impostazioni e selezionare Fine per completare la configurazione.

Creare un catalogo di macchine utilizzando un’immagine di Azure Resource Manager

Un’immagine può essere un disco, uno snapshot o una versione di immagine di una definizione di immagine all’interno di Azure Compute Gallery, utilizzata per creare le VM in un catalogo di macchine. Per informazioni generali sulle immagini, vedere Creare cataloghi di macchine.

Limitazione di Azure

Azure Resource Manager limita le richieste per sottoscrizioni e tenant, instradando il traffico in base a limiti definiti, adattati alle esigenze specifiche del provider. Per ulteriori informazioni, vedere Limitazione delle richieste di Resource Manager sul sito Microsoft. Esistono limiti per sottoscrizioni e tenant, dove la gestione di molte macchine può diventare problematica. Ad esempio, una sottoscrizione contenente molte macchine potrebbe riscontrare problemi di prestazioni relativi alle operazioni di alimentazione.

Suggerimento:

Per ulteriori informazioni, vedere Migliorare le prestazioni di Azure con Machine Creation Services.

Per contribuire a mitigare questi problemi, è possibile rimuovere la limitazione interna di MCS per utilizzare una maggiore quota di richieste disponibile da Azure.

Si consigliano le seguenti impostazioni ottimali per l’accensione o lo spegnimento di VM in sottoscrizioni di grandi dimensioni, ad esempio quelle contenenti 1.000 VM:

• Operazioni simultanee assolute: 500
• Numero massimo di nuove operazioni al minuto: 2000
• Concorrenza massima delle operazioni: 500

MCS supporta 500 operazioni simultanee massime per impostazione predefinita. In alternativa, è possibile utilizzare l’SDK di PowerShell remoto per impostare il numero massimo di operazioni simultanee.

Utilizzare la proprietà PowerShell, MaximumConcurrentProvisioningOperations, per specificare il numero massimo di operazioni di provisioning Azure simultanee. Quando si utilizza questa proprietà, considerare:

• Il valore predefinito di MaximumConcurrentProvisioningOperations è 500.
• Configurare il parametro MaximumConcurrentProvisioningOperations utilizzando il comando PowerShell Set-item.

Gruppi di risorse Azure

I gruppi di risorse di provisioning Azure forniscono un modo per eseguire il provisioning delle VM che forniscono applicazioni e desktop agli utenti. È possibile aggiungere gruppi di risorse Azure vuoti esistenti quando si crea un catalogo di macchine MCS, oppure far creare nuovi gruppi di risorse. Per informazioni sui gruppi di risorse Azure, consultare la documentazione Microsoft.

Utilizzo dei gruppi di risorse Azure

Non esiste alcun limite al numero di macchine virtuali, dischi gestiti, snapshot e immagini per gruppo di risorse Azure. (Il limite di 240 VM per 800 dischi gestiti per gruppo di risorse Azure è stato rimosso.)

• Quando si utilizza un’entità servizio con ambito completo per creare un catalogo di macchine, MCS crea un solo gruppo di risorse Azure e utilizza tale gruppo per il catalogo.
• Quando si utilizza un’entità servizio con ambito ristretto per creare un catalogo di macchine, è necessario fornire un gruppo di risorse Azure vuoto e pre-creato per il catalogo.

Dischi effimeri di Azure

Un disco effimero di Azure consente di riutilizzare il disco cache o il disco temporaneo per archiviare il disco del sistema operativo per una macchina virtuale abilitata per Azure. Questa funzionalità è utile per gli ambienti Azure che richiedono un disco SSD con prestazioni superiori rispetto a un disco HDD standard. Per utilizzare i dischi effimeri, è necessario impostare la proprietà personalizzata UseEphemeralOsDisk su true durante l’esecuzione di New-ProvScheme.

Nota:

Se la proprietà personalizzata UseEphemeralOsDisk è impostata su false o non viene specificato un valore, tutti i VDA di cui è stato eseguito il provisioning continuano a utilizzare un disco del sistema operativo di cui è stato eseguito il provisioning.

Di seguito è riportato un esempio di set di proprietà personalizzate da utilizzare nello schema di provisioning:

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],
<!--NeedCopy-->

Come creare macchine utilizzando dischi del sistema operativo effimeri

I dischi del sistema operativo effimeri sono controllati in base alla proprietà UseEphemeralOsDisk nel parametro CustomProperties.

Considerazioni importanti per i dischi effimeri

Per eseguire il provisioning di dischi del sistema operativo effimeri utilizzando New-ProvScheme, considerare i seguenti vincoli:

• La dimensione della VM utilizzata per il catalogo deve supportare i dischi del sistema operativo effimeri.
• La dimensione della cache o del disco temporaneo associato alla dimensione della VM deve essere maggiore o uguale alla dimensione del disco del sistema operativo.
• La dimensione del disco temporaneo deve essere maggiore della dimensione del disco cache.

Considerare anche questi problemi quando:

• Si crea lo schema di provisioning.
• Si modifica lo schema di provisioning.
• Si aggiorna l’immagine.

Disco effimero di Azure e ottimizzazione dell’archiviazione di Machine Creation Services (MCS I/O)

Il disco del sistema operativo effimero di Azure e MCS I/O non possono essere abilitati contemporaneamente.

Le considerazioni importanti sono le seguenti:

• Non è possibile creare un catalogo di macchine con disco del sistema operativo effimero e MCS I/O abilitati contemporaneamente.

• I parametri PowerShell (UseWriteBackCache e UseEphemeralOsDisk) impostati su true in New-ProvScheme o Set-ProvScheme falliscono con un messaggio di errore appropriato.
• Per i cataloghi di macchine esistenti creati con entrambe le funzionalità abilitate, è comunque possibile:
  • aggiornare un catalogo di macchine.
  • aggiungere o eliminare VM.
  • eliminare un catalogo di macchine.

Crittografia lato server di Azure

Citrix Virtual Apps and Desktops e Citrix DaaS supportano le chiavi di crittografia gestite dal cliente per i dischi gestiti di Azure tramite Azure Key Vault. Con questo supporto è possibile gestire i requisiti organizzativi e di conformità crittografando i dischi gestiti del catalogo di macchine utilizzando la propria chiave di crittografia. Per ulteriori informazioni, vedere Crittografia lato server di Archiviazione su disco di Azure.

Quando si utilizza questa funzionalità per i dischi gestiti:

• Per modificare la chiave con cui il disco è crittografato, si modifica la chiave corrente nel DiskEncryptionSet. Tutte le risorse associate a tale DiskEncryptionSet vengono modificate per essere crittografate con la nuova chiave.

• Quando si disabilita o si elimina la chiave, tutte le VM con dischi che utilizzano tale chiave si spengono automaticamente. Dopo lo spegnimento, le VM non sono utilizzabili a meno che la chiave non venga riabilitata o non si assegni una nuova chiave. Qualsiasi catalogo che utilizza la chiave non può essere avviato e non è possibile aggiungervi VM.

Considerazioni importanti quando si utilizzano chiavi di crittografia gestite dal cliente

Considerare quanto segue quando si utilizza questa funzionalità:

• Tutte le risorse correlate alle chiavi gestite dal cliente (Azure Key Vault, set di crittografia del disco, VM, dischi e snapshot) devono risiedere nella stessa sottoscrizione e regione.

• Una volta abilitata la chiave di crittografia gestita dal cliente, non è possibile disabilitarla in seguito. Se si desidera disabilitare o rimuovere la chiave di crittografia gestita dal cliente, copiare tutti i dati su un disco gestito diverso che non utilizzi la chiave di crittografia gestita dal cliente.

• I dischi creati da immagini personalizzate crittografate utilizzando la crittografia lato server e le chiavi gestite dal cliente devono essere crittografati utilizzando le stesse chiavi gestite dal cliente. Questi dischi devono trovarsi nella stessa sottoscrizione.

• Gli snapshot creati da dischi crittografati con crittografia lato server e chiavi gestite dal cliente devono essere crittografati con le stesse chiavi gestite dal cliente.

• Dischi, snapshot e immagini crittografati con chiavi gestite dal cliente non possono essere spostati in un altro gruppo di risorse e sottoscrizione.

• I dischi gestiti attualmente o precedentemente crittografati utilizzando Azure Disk Encryption non possono essere crittografati utilizzando chiavi gestite dal cliente.

• Per le limitazioni sui set di crittografia del disco per regione, fare riferimento al sito Microsoft.

Nota:

Per informazioni sulla configurazione della crittografia lato server di Azure, vedere Guida rapida: Creare un Key Vault usando il portale di Azure.

Chiave di crittografia gestita dal cliente di Azure

Quando si crea un catalogo di macchine, è possibile scegliere se crittografare i dati sulle macchine di cui è stato effettuato il provisioning nel catalogo. La crittografia lato server con una chiave di crittografia gestita dal cliente consente di gestire la crittografia a livello di disco gestito e di proteggere i dati sulle macchine nel catalogo. Un set di crittografia del disco (DES) rappresenta una chiave gestita dal cliente. Per utilizzare questa funzionalità, è necessario creare prima il DES in Azure. Un DES ha il seguente formato:

• /subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Selezionare un DES dall’elenco. Il DES selezionato deve trovarsi nella stessa sottoscrizione e regione delle risorse. Se l’immagine è crittografata con un DES, utilizzare lo stesso DES durante la creazione del catalogo di macchine. Non è possibile modificare il DES dopo aver creato il catalogo.

Se si crea un catalogo con una chiave di crittografia e in seguito si disabilita il DES corrispondente in Azure, non sarà più possibile accendere le macchine nel catalogo o aggiungervi macchine.

Host dedicati di Azure

È possibile utilizzare MCS per effettuare il provisioning di VM su host dedicati di Azure. Prima di effettuare il provisioning di VM su host dedicati di Azure:

• Creare un gruppo host.
• Creare host in quel gruppo host.
• Assicurarsi che sia riservata una capacità host sufficiente per la creazione di cataloghi e macchine virtuali.

È possibile creare un catalogo di macchine con la tenancy dell’host definita tramite il seguente script PowerShell:

New-ProvScheme <otherParameters> -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="HostGroupId" Value="myResourceGroup/myHostGroup" />
 ...other Custom Properties...
 </CustomProperties>
<!--NeedCopy-->

Quando si utilizza MCS per effettuare il provisioning di macchine virtuali su host dedicati di Azure, considerare quanto segue:

• Un host dedicato è una proprietà del catalogo e non può essere modificato una volta creato il catalogo. La tenancy dedicata non è attualmente supportata su Azure.
• Un gruppo host di Azure preconfigurato, nella regione dell’unità di hosting, è richiesto quando si utilizza il parametro HostGroupId.
• È richiesto il posizionamento automatico di Azure. Questa funzionalità effettua una richiesta per l’onboarding della sottoscrizione associata al gruppo host. Per maggiori informazioni, vedere Set di scalabilità di VM su host dedicati di Azure - Anteprima pubblica. Se il posizionamento automatico non è abilitato, MCS genera un errore durante la creazione del catalogo.

Azure Shared Image Gallery

Utilizzare Azure Shared Image Gallery come repository di immagini pubblicate per le macchine di cui è stato effettuato il provisioning tramite MCS in Azure. È possibile archiviare un’immagine pubblicata nella galleria per accelerare la creazione e l’idratazione dei dischi del sistema operativo, migliorando i tempi di avvio e di lancio delle applicazioni per le VM non persistenti. La galleria di immagini condivise contiene i seguenti tre elementi:

• Galleria: Le immagini sono archiviate qui. MCS crea una galleria per ogni catalogo di macchine.
• Definizione immagine della galleria: Questa definizione include informazioni (tipo e stato del sistema operativo, regione di Azure) sull’immagine pubblicata. MCS crea una definizione di immagine per ogni immagine creata per il catalogo.
• Versione immagine della galleria: Ogni immagine in una Shared Image Gallery può avere più versioni, e ogni versione può avere più repliche in diverse regioni. Ogni replica è una copia completa dell’immagine pubblicata.

Nota:

La funzionalità Shared Image Gallery funziona solo con i dischi gestiti. Non è disponibile per i cataloghi di macchine legacy.

Per maggiori informazioni, vedere Panoramica di Azure Shared Image Gallery.

Configurare Azure Shared Image Gallery

Utilizzare il comando New-ProvScheme per creare uno schema di provisioning con supporto per Shared Image Gallery. Utilizzare il comando Set-ProvScheme per abilitare o disabilitare questa funzionalità per uno schema di provisioning e per modificare il rapporto di replica e i valori massimi di replica.

Tre proprietà personalizzate sono state aggiunte agli schemi di provisioning per supportare la funzionalità Shared Image Gallery:

UseSharedImageGallery

• Definisce se utilizzare la Shared Image Gallery per archiviare le immagini pubblicate. Se impostato su True, l’immagine viene archiviata come immagine di Shared Image Gallery; altrimenti, l’immagine viene archiviata come snapshot.
• I valori validi sono True e False.
• Se la proprietà non è definita, il valore predefinito è False.

SharedImageGalleryReplicaRatio

• Definisce il rapporto tra macchine e repliche della versione dell’immagine della galleria.
• I valori validi sono numeri interi maggiori di 0.
• Se la proprietà non è definita, vengono utilizzati i valori predefiniti. Il valore predefinito per i dischi del sistema operativo persistenti è 1000 e il valore predefinito per i dischi del sistema operativo non persistenti è 40.

SharedImageGalleryReplicaMaximum

• Definisce il numero massimo di repliche per ogni versione dell’immagine della galleria.
• I valori validi sono numeri interi maggiori di 0.
• Se la proprietà non è definita, il valore predefinito è 10.
• Azure attualmente supporta fino a 10 repliche per una singola versione di immagine della galleria. Se la proprietà è impostata su un valore superiore a quello supportato da Azure, MCS tenta di utilizzare il valore specificato. Azure genera un errore, che MCS registra e quindi lascia invariato il conteggio delle repliche corrente.

Suggerimento:

Quando si utilizza Shared Image Gallery per archiviare un’immagine pubblicata per i cataloghi di cui è stato effettuato il provisioning tramite MCS, MCS imposta il conteggio delle repliche della versione dell’immagine della galleria in base al numero di macchine nel catalogo, al rapporto di replica e al numero massimo di repliche. Il conteggio delle repliche viene calcolato dividendo il numero di macchine nel catalogo per il rapporto di replica (arrotondando per eccesso al valore intero più vicino) e quindi limitando il valore al conteggio massimo delle repliche. Ad esempio, con un rapporto di replica di 20 e un massimo di 5, 0-20 macchine avranno una replica creata, 21-40 avranno 2 repliche, 41-60 avranno 3 repliche, 61-80 avranno 4 repliche, 81+ avranno 5 repliche.

Caso d’uso: Aggiornamento del rapporto di replica e del numero massimo di repliche di Shared Image Gallery

Il catalogo di macchine esistente utilizza Shared Image Gallery. Utilizzare il comando Set-ProvScheme per aggiornare le proprietà personalizzate per tutte le macchine esistenti nel catalogo e per le macchine future:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Caso d’uso: Conversione di un catalogo snapshot in un catalogo Shared Image Gallery

Per questo caso d’uso:

1. Eseguire Set-ProvScheme con il flag UseSharedImageGallery impostato su True. Includere facoltativamente le proprietà SharedImageGalleryReplicaRatio e SharedImageGalleryReplicaMaximum.
2. Aggiornare il catalogo.
3. Riavviare le macchine per forzare un aggiornamento.

Ad esempio:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

Suggerimento:

I parametri SharedImageGalleryReplicaRatio e SharedImageGalleryReplicaMaximum non sono obbligatori. Dopo il completamento del comando Set-ProvScheme, l’immagine di Shared Image Gallery non è ancora stata creata. Una volta che il catalogo è configurato per utilizzare la galleria, la successiva operazione di aggiornamento del catalogo archivia l’immagine pubblicata nella galleria. Il comando di aggiornamento del catalogo crea la galleria, l’immagine della galleria e la versione dell’immagine. Il riavvio delle macchine le aggiorna, a quel punto il conteggio delle repliche viene aggiornato, se appropriato. Da quel momento, tutte le macchine non persistenti esistenti vengono ripristinate utilizzando l’immagine di Shared Image Gallery e tutte le macchine di cui è stato effettuato il provisioning vengono create utilizzando l’immagine. Il vecchio snapshot viene pulito automaticamente entro poche ore.

Caso d’uso: Conversione di un catalogo Shared Image Gallery in un catalogo snapshot

Per questo caso d’uso:

1. Eseguire Set-ProvScheme con il flag UseSharedImageGallery impostato su False o non definito.
2. Aggiornare il catalogo.
3. Riavviare le macchine per forzare un aggiornamento.

Ad esempio:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'
<!--NeedCopy-->

Suggerimento:

A differenza dell’aggiornamento da uno snapshot a un catalogo Shared Image Gallery, i dati personalizzati per ogni macchina non sono ancora stati aggiornati per riflettere le nuove proprietà personalizzate. Eseguire il seguente comando per visualizzare le proprietà personalizzate originali di Shared Image Gallery: Get-ProvVm -ProvisioningSchemeName catalog-name. Dopo il completamento del comando Set-ProvScheme, lo snapshot dell’immagine non è ancora stato creato. Una volta che il catalogo è configurato per non utilizzare la galleria, la successiva operazione di aggiornamento del catalogo archivia l’immagine pubblicata come snapshot. Da quel momento, tutte le macchine non persistenti esistenti vengono ripristinate utilizzando lo snapshot e tutte le macchine di cui è stato effettuato il provisioning vengono create dallo snapshot. Il riavvio delle macchine le aggiorna, a quel punto i dati personalizzati della macchina vengono aggiornati per riflettere che UseSharedImageGallery è impostato su False. Le vecchie risorse di Shared Image Gallery (galleria, immagine e versione) vengono pulite automaticamente entro poche ore.

Effettuare il provisioning delle macchine in zone di disponibilità specificate

È possibile effettuare il provisioning delle macchine in zone di disponibilità specifiche negli ambienti Azure. È possibile ottenere ciò utilizzando PowerShell.

Nota:

Se non vengono specificate zone, MCS consente ad Azure di posizionare le macchine all’interno della regione. Se viene specificata più di una zona, MCS distribuisce casualmente le macchine tra di esse.

Configurazione delle zone di disponibilità tramite PowerShell

Utilizzando PowerShell, è possibile visualizzare gli elementi dell’inventario dell’offerta usando Get-Item. Ad esempio, per visualizzare l’offerta di servizio Standard_B1ls della regione Eastern US:

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"
<!--NeedCopy-->

Per visualizzare le zone, utilizzare il parametro AdditionalData per l’elemento:

$serviceOffering.AdditionalData

Se le zone di disponibilità non sono specificate, non vi è alcuna modifica nel modo in cui le macchine vengono sottoposte a provisioning.

Per configurare le zone di disponibilità tramite PowerShell, utilizzare la proprietà personalizzata Zones disponibile con l’operazione New-ProvScheme. La proprietà Zones definisce un elenco di zone di disponibilità in cui eseguire il provisioning delle macchine. Tali zone possono includere una o più zone di disponibilità. Ad esempio, <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/> per le zone 1 e 3.

Utilizzare il comando Set-ProvScheme per aggiornare le zone per uno schema di provisioning.

Se viene fornita una zona non valida, lo schema di provisioning non viene aggiornato e viene visualizzato un messaggio di errore che fornisce istruzioni su come correggere il comando non valido.

Suggerimento:

Se si specifica una proprietà personalizzata non valida, lo schema di provisioning non viene aggiornato e viene visualizzato un messaggio di errore pertinente.

Disco effimero di Azure

I dischi effimeri di Azure consentono di riutilizzare la cache o il disco temporaneo per archiviare il disco del sistema operativo per una macchina virtuale abilitata per Azure. Questa funzionalità è utile per gli ambienti Azure che richiedono un disco SSD con prestazioni più elevate rispetto a un disco HDD standard.

Nota:

I cataloghi persistenti non supportano i dischi del sistema operativo effimeri.

I dischi del sistema operativo effimeri richiedono che lo schema di provisioning utilizzi dischi gestiti e una Shared Image Gallery. Per ulteriori informazioni, vedere Galleria di immagini condivise di Azure.

Utilizzo di PowerShell per configurare un disco effimero

Per configurare un disco del sistema operativo effimero di Azure per un catalogo, utilizzare il parametro UseEphemeralOsDisk in Set-ProvScheme. Impostare il valore del parametro UseEphemeralOsDisk su true.

Nota:

Per utilizzare questa funzionalità, è necessario abilitare anche i parametri UseManagedDisks e UseSharedImageGallery.

Ad esempio:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'
<!--NeedCopy-->

Archiviazione di un disco temporaneo del sistema operativo effimero

È possibile archiviare un disco del sistema operativo effimero sul disco temporaneo della VM o su un disco di risorse. Questa funzionalità consente di utilizzare un disco del sistema operativo effimero con una VM che non dispone di una cache o che ha una cache insufficiente. Tali VM dispongono di un disco temporaneo o di risorse per archiviare un disco del sistema operativo effimero, come Ddv4.

Considerare quanto segue:

• Un disco effimero viene archiviato nel disco della cache della VM o nel disco temporaneo (risorsa) della VM. Il disco della cache è preferito rispetto al disco temporaneo, a meno che il disco della cache non sia sufficientemente grande da contenere il contenuto del disco del sistema operativo.
• Per gli aggiornamenti, una nuova immagine più grande del disco della cache ma più piccola del disco temporaneo comporta la sostituzione del disco del sistema operativo effimero con il disco temporaneo della VM.

Conservazione di una macchina virtuale sottoposta a provisioning durante il ciclo di alimentazione

Scegliere se conservare una macchina virtuale sottoposta a provisioning durante il ciclo di alimentazione. Utilizzare il parametro PowerShell New-ProvScheme CustomProperties. Questo parametro supporta una proprietà aggiuntiva, PersistVm, utilizzata per determinare se una macchina virtuale sottoposta a provisioning persiste quando viene riavviata. Impostare la proprietà PersistVm su true per rendere persistente una macchina virtuale quando viene spenta, oppure impostare la proprietà su false per garantire che la macchina virtuale non venga conservata quando viene spenta.

Nota:

La proprietà PersistVm si applica solo a uno schema di provisioning con le proprietà CleanOnBoot e UseWriteBackCache abilitate. Se la proprietà PersistVm non è specificata per le macchine virtuali non persistenti, queste vengono eliminate dall’ambiente Azure quando vengono spente.

Nell’esempio seguente, il parametro New-ProvScheme CustomProperties imposta la proprietà PersistVm su true:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="false" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
<Property xsi:type="StringProperty" Name="PersistVm" Value="true" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="demo-resourcegroup" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>
<!--NeedCopy-->

Nell’esempio seguente, il parametro New-ProvScheme CustomProperties conserva la cache di write-back impostando PersistVM su true:

 New-ProvScheme
 -AzureAdJoinType "None"
 -CleanOnBoot
 -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"Standard_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"false`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"PersistVm`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"demo-resourcegroup`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Client`" /></CustomProperties>"
 -HostingUnitName "demo"
 -IdentityPoolName "NonPersistent-MCSIO-PersistVM"
 -MasterImageVM "XDHyp:\HostingUnits\demo\image.folder\scale-test.resourcegroup\demo-snapshot.snapshot"
 -NetworkMapping @ {"0"="XDHyp:\HostingUnits\demo\\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\ji-test.resourcegroup\jitest-vnet.virtualprivatecloud\default.network"}
-ProvisioningSchemeName "NonPersistent-MCSIO-PersistVM"
 -ServiceOffering "XDHyp:\HostingUnits\demo\serviceoffering.folder\Standard_B2ms.serviceoffering" -UseWriteBackCache
 -WriteBackCacheDiskSize 127
 -WriteBackCacheMemorySize 256
 <!--NeedCopy-->

Suggerimento:

La proprietà PersistVm determina se conservare una macchina virtuale sottoposta a provisioning. La proprietà PersistOsdisk determina se rendere persistente il disco del sistema operativo. Per conservare una macchina virtuale sottoposta a provisioning, conservare prima il disco del sistema operativo. Non è possibile eliminare il disco del sistema operativo senza prima eliminare la macchina virtuale. È possibile utilizzare la proprietà PersistOsdisk senza specificare il parametro PersistVm.

Tipi di archiviazione

Selezionare diversi tipi di archiviazione per le macchine virtuali negli ambienti Azure che utilizzano MCS. Per le VM di destinazione, MCS supporta:

• Disco del sistema operativo: SSD Premium, SSD o HDD
• Disco della cache di write-back: SSD Premium, SSD o HDD

Quando si utilizzano questi tipi di archiviazione, considerare quanto segue:

• Assicurarsi che la VM supporti il tipo di archiviazione selezionato.
• Se la configurazione utilizza un disco effimero di Azure, non sarà disponibile l’opzione per l’impostazione del disco della cache di write-back.

Suggerimento:

StorageType è configurato per un tipo di sistema operativo e un account di archiviazione. WBCDiskStorageType è configurato per il tipo di archiviazione della cache di write-back. Per un catalogo normale, StorageType è obbligatorio. Se WBCDiskStorageType non è configurato, StorageType viene utilizzato come predefinito per WBCDiskStorageType.

Se WBCDiskStorageType non è configurato, StorageType viene utilizzato come predefinito per WBCDiskStorageType.

Configurazione dei tipi di archiviazione

Per configurare i tipi di archiviazione per la VM, utilizzare il parametro StorageType in New-ProvScheme. Impostare il valore del parametro StorageType su uno dei tipi di archiviazione supportati.

Di seguito è riportato un esempio di set del parametro CustomProperties in uno schema di provisioning:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>'
<!--NeedCopy-->

Recupero di informazioni per VM Azure, snapshot, disco del sistema operativo e definizione dell’immagine della galleria

È possibile visualizzare le informazioni per una VM Azure, inclusi il disco e il tipo di sistema operativo, lo snapshot e la definizione dell’immagine della galleria. Queste informazioni vengono visualizzate per le risorse sull’immagine master quando viene assegnato un catalogo di macchine. Utilizzare questa funzionalità per visualizzare e selezionare un’immagine Linux o Windows. Una proprietà PowerShell, TemplateIsWindowsTemplate, è stata aggiunta al parametro AdditionDatafield. Questo campo contiene informazioni specifiche di Azure: tipo di VM, disco del sistema operativo, informazioni sull’immagine della galleria e informazioni sul tipo di sistema operativo. L’impostazione di TemplateIsWindowsTemplate su True indica che il tipo di sistema operativo è Windows; l’impostazione di TemplateIsWindowsTemplate su False indica che il tipo di sistema operativo è Linux.

Suggerimento:

Le informazioni visualizzate dalla proprietà PowerShell TemplateIsWindowsTemplate derivano dall’API di Azure. In alcuni casi, questo campo potrebbe essere vuoto. Ad esempio, uno snapshot da un disco dati non contiene il campo TemplateIsWindowsTemplate perché il tipo di sistema operativo non può essere recuperato da uno snapshot.

Ad esempio, impostare il parametro AdditionData della VM Azure su True per il tipo di sistema operativo Windows utilizzando PowerShell:

PS C:\Users\username> (get-item XDHyp:\HostingUnits\mynetwork\image.folder\username-dev-testing-rg.resourcegroup\username-dev-tsvda.vm).AdditionalData
Key Value
ServiceOfferingDescription Standard_B2ms
HardDiskSizeGB 127
ResourceGroupName FENGHUAJ-DEV-TESTING-RG
ServiceOfferingMemory 8192
ServiceOfferingCores 2
TemplateIsWindowsTemplate True
ServiceOfferingWithTemporaryDiskSizeInMb 16384
SupportedMachineGenerations Gen1,Gen2
<!--NeedCopy-->

Azure Marketplace

Citrix Virtual Apps and Desktops e Citrix DaaS supportano l’utilizzo di un’immagine master su Azure che contiene informazioni sul piano per creare un catalogo di macchine. Per ulteriori informazioni, vedere Microsoft Azure Marketplace.

Suggerimento:

Alcune immagini trovate su Azure Marketplace, come l’immagine standard di Windows Server, non aggiungono informazioni sul piano. La funzionalità Citrix DaaS™ è per le immagini a pagamento.

Assicurarsi che l’immagine creata nella Shared Image Gallery contenga le informazioni sul piano di Azure

Utilizzare la procedura in questa sezione per visualizzare le immagini della Shared Image Gallery in Citrix Studio. Queste immagini possono essere facoltativamente utilizzate per un’immagine master. Per inserire l’immagine in una Shared Image Gallery, creare una definizione di immagine in una galleria.

Nella pagina Opzioni di pubblicazione, verificare le informazioni sul piano di acquisto.

I campi delle informazioni sul piano di acquisto sono inizialmente vuoti. Compilare tali campi con le informazioni sul piano di acquisto utilizzate per l’immagine. La mancata compilazione delle informazioni sul piano di acquisto può causare l’errore del processo del catalogo macchine.

Dopo aver verificato le informazioni sul piano di acquisto, creare una versione dell’immagine all’interno della definizione. Questa viene utilizzata come immagine master. Fare clic su Aggiungi versione:

Nella sezione Dettagli versione, selezionare lo snapshot dell’immagine o il disco gestito come origine:

Informazioni sulle autorizzazioni di Azure

Questa sezione contiene le autorizzazioni minime e generali richieste per Azure.

Autorizzazioni minime

Le autorizzazioni minime offrono un migliore controllo della sicurezza. Tuttavia, le nuove funzionalità che richiedono autorizzazioni aggiuntive non funzioneranno a causa dell’utilizzo delle sole autorizzazioni minime.

Creazione di una connessione host

Aggiungere una nuova connessione host utilizzando le informazioni ottenute da Azure.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gestione dell’alimentazione delle VM

Accendere o spegnere le istanze della macchina.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Creazione, aggiornamento o eliminazione di VM

Creare un catalogo macchine, quindi aggiungere, eliminare, aggiornare le macchine ed eliminare il catalogo macchine.

Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è un disco gestito o gli snapshot si trovano nella stessa regione della connessione di hosting.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Sono necessarie le seguenti autorizzazioni aggiuntive, basate sulle autorizzazioni minime, per le seguenti funzionalità:

• Se l’immagine master è un VHD in un account di archiviazione situato nella stessa regione della connessione di hosting:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   <!--NeedCopy-->
  

• Se l’immagine master è una ImageVersion dalla Shared Image Gallery:

   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   <!--NeedCopy-->
  

• Se l’immagine master è un disco gestito. Gli snapshot o il VHD si trovano in una regione diversa dalla regione della connessione di hosting:

   "Microsoft.Storage/storageAccounts/read",
   "Microsoft.Storage/storageAccounts/listKeys/action",
   "Microsoft.Storage/storageAccounts/write",
   "Microsoft.Storage/storageAccounts/delete",
   <!--NeedCopy-->
  

• Se si utilizza un gruppo di risorse gestito da Citrix:

   "Microsoft.Resources/subscriptions/resourceGroups/write",
   "Microsoft.Resources/subscriptions/resourceGroups/delete",
   <!--NeedCopy-->
  

• Se si inserisce l’immagine master nella Shared Image Gallery:

   "Microsoft.Compute/galleries/write",
   "Microsoft.Compute/galleries/images/write",
   "Microsoft.Compute/galleries/images/versions/write",
   "Microsoft.Compute/galleries/read",
   "Microsoft.Compute/galleries/images/read",
   "Microsoft.Compute/galleries/images/versions/read",
   "Microsoft.Compute/galleries/delete",
   "Microsoft.Compute/galleries/images/delete",
   "Microsoft.Compute/galleries/images/versions/delete",
   <!--NeedCopy-->
  

• Se si utilizza il supporto host dedicato di Azure:

   "Microsoft.Compute/hostGroups/read",
   "Microsoft.Compute/hostGroups/write",
   "Microsoft.Compute/hostGroups/hosts/read",
   <!--NeedCopy-->
  

• Se si utilizza la crittografia lato server (SSE) con chiavi gestite dal cliente (CMK):

   "Microsoft.Compute/diskEncryptionSets/read",
   <!--NeedCopy-->
  

• Se si distribuiscono VM utilizzando modelli ARM (profilo macchina):

   "Microsoft.Resources/deployments/write",
   "Microsoft.Resources/deployments/operationstatuses/read",
   "Microsoft.Resources/deployments/read",
   "Microsoft.Resources/deployments/delete",
   <!--NeedCopy-->
  

• Se si utilizza la specifica del modello di Azure come profilo macchina:

   "Microsoft.Resources/templateSpecs/read",
   "Microsoft.Resources/templateSpecs/versions/read",
   <!--NeedCopy-->
  

Creazione, aggiornamento ed eliminazione di macchine con disco non gestito

Di seguito è riportato l’elenco delle autorizzazioni minime richieste quando l’immagine master è un VHD e si utilizza un gruppo di risorse fornito dall’amministratore:

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Autorizzazione generale

Il ruolo Collaboratore ha pieno accesso per gestire tutte le risorse. Questo set di autorizzazioni non impedisce di ottenere nuove funzionalità.

Il seguente set di autorizzazioni offre la migliore compatibilità futura, sebbene includa più autorizzazioni del necessario con il set di funzionalità attuale:

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Ulteriori informazioni

• Connessioni e risorse
• Creare cataloghi macchine
• CTX219211: Configurare un account Microsoft Azure Active Directory
• CTX219243: Concedere a XenApp e XenDesktop l’accesso alla sottoscrizione di Azure
• CTX219271: Distribuire un cloud ibrido utilizzando una VPN da sito a sito