创建微软 Azure 目录

注意：

Since July 2023, Microsoft has renamed Azure Active Directory (Azure AD) to Microsoft Entra ID. In this document, any reference to Azure Active Directory, Azure AD, or AAD now refers to Microsoft Entra ID.

(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/machine-catalogs-create.html) 介绍了创建计算机目录的向导。以下信息涵盖了 Microsoft Azure Resource Manager 云环境特有的详细信息。

注意：

在创建 Microsoft Azure 目录之前，您需要完成与 Microsoft Azure 的连接创建。请参阅 (/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/connections/connection-azure-resource-manager.html)。

创建计算机目录

您可以通过两种方式创建计算机目录：

• 在 Web Studio 中使用 Azure 资源管理器映像创建计算机目录
• 使用 PowerShell 创建计算机目录(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/machine-catalogs-create/create-machine-catalog-citrix-azure.html#create-a-machine-catalog-using-powershell)

在 Web Studio 中使用 Azure 资源管理器 映像创建计算机目录

映像可以是磁盘、快照，也可以是 Azure Compute Gallery 中映像定义的映像版本，用于在计算机目录中创建 VM。在创建计算机目录之前，请在 Azure Resource Manager 中创建映像。有关映像的常规信息，请参阅 (/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/machine-catalogs-create.html)。

注意：

不再支持使用与主机连接中配置的区域不同的主映像。请使用 Azure Compute Gallery 将主映像复制到所需区域。

创建 MCS 计算机目录时，会基于原始 VM 创建一个临时 VM，以执行准备任务，例如启用 DHCP 和重新武装许可证。此临时 VM 称为准备 VM。此准备 VM 的名称遵循 Preparati-84x9n 格式，其中最后五个字符是随机生成的，以避免重复。此准备 VM 的命名约定是固定的，无法自定义。准备任务完成后，准备 VM 将被销毁。

为了断开准备虚拟机与网络的连接，会创建一个网络安全组以拒绝所有入站和出站流量。每个目录会自动创建一个网络安全组。网络安全组的名称是 Citrix-Deny-All-a3pgu-GUID，其中 GUID 是随机生成的。例如，Citrix-Deny-All-a3pgu-3f161981-28e2-4223-b797-88b04d336dd1。

在计算机目录创建向导中：

• 计算机类型和计算机管理页面不包含 Azure 特定的信息。请遵循 创建计算机目录 文章中的指导。

• 在映像页面上，选择要用作在此目录中创建计算机的模板的映像。

  如果选择主映像作为要使用的映像类型，请单击选择映像并按照以下步骤根据需要选择主映像：

  1. （仅适用于在租户内部或跨租户配置了共享映像的连接）选择映像所在的订阅。
  2. 选择资源组。
  3. 导航到 Azure VHD、Azure 计算库或 Azure 映像版本。如果需要，为所选映像添加备注。

  选择映像时，请考虑以下事项：

  • 验证映像上是否安装了 Citrix VDA。
  • 如果选择附加到虚拟机的 VHD，则必须在继续下一步之前关闭虚拟机。

  注意：

  • 目录中创建计算机的连接（主机）对应的订阅用绿点表示。其他订阅是与该订阅共享 Azure 计算库的订阅。在这些订阅中，仅显示共享库。有关如何配置共享订阅的信息，请参阅 在租户内（跨订阅）共享映像 和 跨租户共享映像。
  • 当您选择启用了受信任启动的映像或快照时，必须使用将受信任启动作为安全类型的计算机配置文件。然后，您可以通过在计算机配置文件中指定 SecureBoot 和 vTPM 的值来启用或禁用它们。共享映像库不支持受信任启动。有关 Azure 受信任启动的信息，请参阅 https://docs.microsoft.com/zh-cn/azure/virtual-machines/trusted-launch。
  • 您可以使用 Windows 上的临时 OS 磁盘和受信任启动来创建预配方案。当您选择具有受信任启动的映像时，必须选择启用了 vTPM 的受信任启动的计算机配置文件。要使用临时 OS 磁盘创建计算机目录，请参阅 如何使用临时 OS 磁盘创建计算机。
  • 映像复制正在进行时，您可以继续选择该映像作为主映像并完成设置。但是，在映像复制期间，目录创建可能需要更长时间才能完成。MCS 要求复制在目录创建开始后一小时内完成。如果复制超时，目录创建将失败。您可以在 Azure 中验证复制状态。如果复制仍在挂起或复制完成后，请重试。
  • 在 Azure 中为计算机目录选择主映像时，MCS 会根据您选择的主映像和计算机配置文件识别操作系统类型。如果 MCS 无法识别，请选择与主映像匹配的操作系统类型。
  • 您可以使用 Gen2 映像预配 Gen2 VM 目录，以提高启动时间性能。但是，不支持使用 Gen1 映像创建 Gen2 计算机目录。同样，也不支持使用 Gen2 映像创建 Gen1 计算机目录。此外，任何没有代信息的旧映像都是 Gen1 映像。

  如果您选择准备好的映像作为要使用的映像类型，请单击选择映像并根据需要选择准备好的映像。

  为确保成功创建 VM，请验证映像是否已安装 Citrix VDA 2311 或更高版本，并且 VDA 上存在 MCSIO。

  选择映像后，使用计算机配置文件（Azure Active Directory 必需）复选框会自动选中。单击选择计算机配置文件以从资源组列表中浏览到 VM 或 ARM 模板规范。目录中的 VM 可以从选定的计算机配置文件继承配置。

  验证 ARM 模板规范，以确保其可用作计算机配置文件来创建计算机目录。验证 ARM 模板规范有两种方法：

  • 从资源组列表中选择 ARM 模板规范后，单击下一步。如果 ARM 模板规范存在错误，则会显示错误消息。
  • 运行以下 PowerShell 命令之一：
    • Test-ProvInventoryItem -HostingUnitName <string> -InventoryPath <string>
    • Test-ProvInventoryItem -HostingUnitUid <Guid> -InventoryPath <string>

  VM 可以从计算机配置文件继承的配置示例包括：

  • 加速网络功能
  • 启动诊断
  • 主机磁盘缓存（与操作系统和 MCSIO 磁盘相关）
  • 机器大小（除非另有说明）
  • 放置在 VM 上的标签

  创建目录后，您可以查看映像从计算机配置文件继承的配置。在“计算机目录”节点上，选择目录以在下部窗格中查看其详细信息。然后，单击“模板属性”选项卡以查看计算机配置文件属性。“标签”部分最多显示三个标签。要查看放置在 VM 上的所有标签，请单击“查看全部”。

  如果您希望 MCS 在 Azure 专用主机上预配 VM，请启用“使用专用主机组”复选框，然后从列表中选择一个主机组。主机组是表示专用主机集合的资源。专用主机是一种服务，提供托管一个或多个 VM 的物理服务器。您的服务器专用于您的 Azure 订阅，不与其他订阅者共享。当您使用专用主机时，Azure 可确保您的 VM 是在该主机上运行的唯一计算机。此功能适用于必须满足法规或内部安全要求的场景。要了解有关主机组以及使用它们的注意事项的更多信息，请参阅 Azure 专用主机。

  重要：

  • 仅显示启用了 Azure 自动放置功能的主机组。
  • 使用主机组会更改向导后面提供的“虚拟机”页面。该页面上仅显示所选主机组包含的计算机大小。此外，可用区会自动选择，不可供选择。

• “存储和许可证类型”页面仅在使用 Azure Resource Manager 映像时显示。

  

  您可以为计算机目录使用以下存储类型：

  • 高级 SSD。提供高性能、低延迟的磁盘存储选项，适用于具有 I/O 密集型工作负载的 VM。
  • 标准 SSD。提供经济高效的存储选项，适用于需要较低 IOPS 级别下一致性能的工作负载。
  • 标准 HDD。提供可靠、低成本的磁盘存储选项，适用于运行对延迟不敏感的工作负载的 VM。
  • Azure 临时 OS 磁盘。提供经济高效的存储选项，可重复使用 VM 的本地磁盘来托管操作系统磁盘。或者，您可以使用 PowerShell 创建使用临时 OS 磁盘的计算机。有关详细信息，请参阅 Azure 临时磁盘。使用临时 OS 磁盘时，请注意以下事项：
    • Azure 临时 OS 磁盘和 MCS I/O 不能同时启用。
    • 要更新使用临时 OS 磁盘的计算机，您必须选择一个映像，其大小不得超过 VM 的缓存磁盘或临时磁盘的大小。
    • 您不能使用向导后面提供的在电源循环期间保留 VM 和系统磁盘选项。

  注意：

  无论您选择哪种存储类型，身份磁盘始终使用标准 SSD 创建。

  存储类型决定了向导的虚拟机页面上提供的计算机大小。MCS 将高级磁盘和标准磁盘配置为使用本地冗余存储 (LRS)。LRS 在单个数据中心内创建磁盘数据的多个同步副本。Azure 临时 OS 磁盘使用 VM 的本地磁盘来存储操作系统。有关 Azure 存储类型和存储复制的详细信息，请参阅以下内容：

  • https://docs.microsoft.com/zh-cn/azure/storage/common/storage-introduction/
  • https://docs.microsoft.com/zh-cn/azure/virtual-machines/premium-storage-performance/
  • https://docs.microsoft.com/zh-cn/azure/storage/common/storage-redundancy/

  选择是使用现有 Windows 许可证还是 Linux 许可证。

  • Windows 许可证：将 Windows 许可证与 Windows 映像（Azure 平台支持映像或自定义映像）结合使用，可让您以更低的成本在 Azure 中运行 Windows VM。许可证有两种类型：

    • Windows Server 许可证。允许您使用 Windows Server 或 Azure Windows Server 许可证，从而可以使用 Azure 混合权益。有关详细信息，请参阅 https://azure.microsoft.com/zh-cn/pricing/hybrid-benefit/。Azure 混合权益将 Azure 中运行 VM 的成本降低到基本计算费率，免除 Azure 库中额外 Windows Server 许可证的成本。

    • Windows 客户端许可证。允许您将 Windows 10 和 Windows 11 许可证带到 Azure，从而可以在 Azure 中运行 Windows 10 和 Windows 11 VM，而无需额外许可证。有关详细信息，请参阅客户端访问许可证和管理许可证。

  您可以通过运行以下 PowerShell 命令来验证预配的 VM 是否正在使用许可权益：Get-AzVM -ResourceGroup MyResourceGroup -Name MyVM。

  • 对于 Windows Server 许可证类型，请验证许可证类型是否为 Windows_Server。更多说明可在 https://docs.microsoft.com/zh-cn/azure/virtual-machines/windows/hybrid-use-benefit-licensing/ 处找到。

  • 对于 Windows 客户端许可证类型，请验证许可证类型是否为 Windows_Client。更多说明可在 https://docs.microsoft.com/zh-cn/azure/virtual-machines/windows/windows-desktop-multitenant-hosting-deployment/ 处找到。

  另外，您可以使用 Get-Provscheme PowerShell SDK 进行验证。例如：Get-Provscheme -ProvisioningSchemeName "My Azure Catalog"。有关此 cmdlet 的更多信息，请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/MachineCreation/Get-ProvScheme/。

  • Linux 许可证：使用自带订阅 (BYOS) Linux 许可证，您无需支付软件费用。BYOS 费用仅包含计算硬件费用。许可证有两种类型：

    • RHEL_BYOS: To use RHEL_BYOS type successfully, enable Red Hat Cloud Access on your Azure subscription.
    • SLES_BYOS：SLES 的自带许可证版本包含 SUSE 的支持。

    您可以在 New-ProvScheme 和 Set-ProvScheme 处将 LicenseType 值设置为 Linux 选项。

    在 New-ProvScheme 处将许可证类型设置为 RHEL_BYOS 的示例：

    New-ProvScheme -CleanOnBoot -ProvisioningSchemeName "azureCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /><Property xsi:type="StringProperty" Name="StorageAccountType" Value="StandardSSD_LRS" /><Property xsi:type="StringProperty" Name="ResourceGroups" Value="hu-dev-mcs" /><Property xsi:type="StringProperty" Name="OsType" Value="Linux" /><Property xsi:type="StringProperty" Name="LicenseType" Value="RHEL_BYOS" /></CustomProperties>'
    <!--NeedCopy-->
    

    Example of setting LicenseType to SLES_BYOS at Set-ProvScheme:

    Set-ProvScheme -ProvisioningSchemeName "azureCatalog" -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /><Property xsi:type="StringProperty" Name="StorageAccountType" Value="StandardSSD_LRS" /><Property xsi:type="StringProperty" Name="ResourceGroups" Value="hu-dev-mcs" /><Property xsi:type="StringProperty" Name="OsType" Value="Linux" /><Property xsi:type="StringProperty" Name="LicenseType" Value="SLES_BYOS" /></CustomProperties>'
    <!--NeedCopy-->
    

    注意：

    如果 LicenseType 的值为空，则默认值将是 Azure Windows Server 许可证或 Azure Linux 许可证，具体取决于 OsType 的值。

    将 LicenseType 设置为空的示例：

    Set-ProvScheme -ProvisioningSchemeName "azureCatalog" -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /><Property xsi:type="StringProperty" Name="StorageAccountType" Value="StandardSSD_LRS" /><Property xsi:type="StringProperty" Name="ResourceGroups" Value="hu-dev-mcs" /><Property xsi:type="StringProperty" Name="OsType" Value="Linux" /></CustomProperties>'
    <!--NeedCopy-->
    

  请参阅以下文档以了解许可证类型及其优势：

  • https://docs.microsoft.com/zh-cn/dotnet/api/microsoft.azure.management.compute.models.virtualmachine.licensetype?view=azure-dotnet

  • https://docs.microsoft.com/zh-cn/azure/virtual-machines/linux/azure-hybrid-benefit-linux

  Azure 计算库（以前称为 Azure 共享映像库）是一个用于管理和共享映像的存储库。它允许您在整个组织中提供映像。我们建议您在创建大型非持久性计算机目录时将映像存储在 SIG 中，因为这样做可以更快地重置 VDA 操作系统磁盘。选择将准备好的映像放置在 Azure 计算库中后，将显示Azure 计算库设置部分，允许您指定更多 Azure 计算库设置：

  • 虚拟机与映像副本的比率。允许您指定 Azure 希望保留的虚拟机与映像副本的比率。默认情况下，Azure 为每 40 台非持久性计算机保留一个映像副本。对于持久性计算机，该数字默认为 1,000。

  • 最大副本数。允许您指定 Azure 要保留的最大映像副本数。默认值为 10。

  注意：

  ACG 中会创建一个库来存储映像。此库仅供 MCS 用于创建 VM，并且不会显示在选择映像页面上。

• 在虚拟机页面上，指明要创建的 VM 数量。您必须至少指定一个并选择一个计算机大小。创建目录后，可以通过编辑目录来更改计算机大小。

• NIC 页面不包含 Azure 特定的信息。请遵循创建计算机目录文章中的指导。

• 在磁盘设置页面上，选择是否启用回写式缓存。启用 MCS 存储优化功能后，您可以在创建目录时配置以下设置。这些设置适用于 Azure 和 GCP 环境。

  

  启用回写式缓存后，您可以执行以下操作：

  • 配置用于缓存临时数据的磁盘和 RAM 大小。有关详细信息，请参阅配置临时数据缓存。

  • 选择回写缓存磁盘的存储类型。可用于回写缓存磁盘的存储选项有以下几种：

    • 高级 SSD
    • 标准 SSD
    • 标准 HDD

  • 选择是否要让回写式缓存磁盘对预配的 VM 持久化。选择启用回写式缓存以使选项可用。默认情况下，选择使用非持久性回写式缓存磁盘。

  • 选择回写式缓存磁盘的类型。

    • 使用非持久性回写缓存磁盘。如果选中，回写缓存磁盘将在电源循环期间删除。重定向到它的任何数据都将丢失。如果 VM 的临时磁盘有足够的空间，它将用于托管回写缓存磁盘以降低成本。创建目录后，您可以检查预配的计算机是否使用临时磁盘。为此，请单击目录并验证“模板属性”选项卡上的信息。如果使用临时磁盘，您将看到“非持久性回写缓存磁盘”，其值为“是（使用 VM 的临时磁盘）”。否则，您将看到“非持久性回写缓存磁盘”，其值为“否（不使用 VM 的临时磁盘）”。
    • 使用持久性回写缓存磁盘。如果选中，回写缓存磁盘将为预配的 VM 持久存在。启用此选项会增加存储成本。

  • 选择是否在电源循环期间保留 VDA 的 VM 和系统磁盘。

    在电源循环期间保留 VM 和系统磁盘。当您选择“启用回写缓存”时可用。默认情况下，VM 和系统磁盘在关机时删除，并在启动时重新创建。如果您想缩短 VM 重启时间，请选择此选项。请记住，启用此选项也会增加存储成本。

  • 选择是否启用“存储成本节省”。如果启用，当 VM 关闭时，通过将存储磁盘降级为标准 HDD 来节省存储成本。VM 在重新启动时会切换回其原始设置。此选项适用于存储磁盘和回写缓存磁盘。或者，您也可以使用 PowerShell。请参阅在 VM 关闭时将存储类型更改为较低层。

    注意：

    Microsoft 对 VM 关闭期间更改存储类型施加了限制。Microsoft 也可能在未来阻止存储类型更改。有关详细信息，请参阅这篇Microsoft 文章。

  • 选择是否加密目录中预配的计算机上的数据。使用客户管理的加密密钥进行服务器端加密，可让您在托管磁盘级别管理加密并保护目录中计算机上的数据。有关详细信息，请参阅Azure 服务器端加密。

• 在“资源组”页面上，选择是创建资源组还是使用现有组。

  • 如果您选择创建资源组，请选择“下一步”。
  • 如果您选择使用现有资源组，请从“可用预配资源组”列表中选择组。请记住：选择足够的组以容纳您在目录中创建的计算机。如果您选择的组太少，将显示一条消息。如果您计划稍后向目录添加更多 VM，您可能需要选择多于最低要求的组。目录创建后，您无法向目录添加更多资源组。

  有关详细信息，请参阅Azure 资源组。

• 在“计算机身份”页面上，选择身份类型并配置此目录中计算机的身份。如果您将 VM 选择为“已加入 Azure Active Directory”，则可以将其添加到 Azure AD 安全组。详细步骤如下：

  1. 在“身份类型”字段中，选择“已加入 Azure Active Directory”。“Azure AD 安全组（可选）”选项将显示。
  2. 单击“Azure AD 安全组：新建”。
  3. 输入组名，然后单击创建。
  4. 按照屏幕上的说明登录 Azure。 如果组名在 Azure 中不存在，则会显示一个绿色图标。否则，将显示一条错误消息，要求您输入新名称。
  5. 输入用于 VM 的计算机帐户命名方案。

  目录创建后，Citrix Virtual Apps and Desktops™ 会代表您访问 Azure，并为该组创建安全组和动态成员资格规则。根据该规则，具有此目录中指定的命名方案的 VM 会自动添加到安全组中。

  将具有不同命名方案的 VM 添加到此目录需要您登录 Azure。然后，Citrix Virtual Apps and Desktops 可以访问 Azure 并根据新的命名方案创建动态成员资格规则。

  删除此目录时，从 Azure 删除安全组也需要登录 Azure。

• 域凭据和摘要页面不包含 Azure 特定信息。请遵循创建计算机目录文章中的指导。

完成向导。

Azure 临时磁盘符合用作回写缓存磁盘的条件

您只能在满足以下所有条件时，才能将 Azure 临时磁盘用作回写缓存磁盘：

• 回写缓存磁盘必须是非持久性的，因为 Azure 临时磁盘不适用于持久性数据。

• 所选的 Azure VM 大小必须包含临时磁盘。

• 无需启用临时 OS 磁盘。

• 接受将回写缓存文件放置在 Azure 临时磁盘上。

• Azure 临时磁盘大小必须大于（回写缓存磁盘大小 + 分页文件保留空间 + 1 GB 缓冲区空间）的总大小。

非持久性回写缓存磁盘场景

下表描述了在创建计算机目录时，使用临时磁盘作为回写缓存的三种不同场景。

创建 Azure 模板规范

您可以在 Azure 门户中创建 Azure 模板规范，并在 Web Studio 和 PowerShell 命令中使用它来创建或更新 MCS 计算机目录。

为现有 VM 创建 Azure 模板规范：

1. 转到 Azure 门户。选择一个资源组，然后选择 VM 和网络接口。从顶部的 … 菜单中，单击 导出模板。
2. 如果要为目录预配创建模板规范，请清除 包括参数 复选框。
3. 单击 添加到库 以便稍后修改模板规范。
4. 在 导入模板 页面上，输入所需信息，例如 名称、订阅、资源组、位置 和 版本。单击 下一步: 编辑模板。

5. 如果要预配目录，还需要一个独立的网络接口资源。因此，您必须删除模板规范中指定的任何 dependsOn。例如：

   "dependsOn": [
   "[resourceId('Microsoft.Network/networkInterfaces', 'tnic937')]"
   ],
   <!--NeedCopy-->
   

6. 创建 审核+创建 并创建模板规范。
7. 在 模板规范 页面上，验证您刚刚创建的模板规范。单击该模板规范。在左侧面板中，单击 版本。
8. 您可以通过单击 创建新版本 来创建新版本。指定新的版本号，对当前模板规范进行更改，然后单击 审核 + 创建 以创建模板规范的新版本。

您可以使用以下 PowerShell 命令获取有关模板规范和模板版本的信息：

• 要获取有关模板规范的信息，请运行：

   get-item XDHyp:\HostingUnits\East\machineprofile.folder\abc.resourcegroup\bggTemplateSpec.templatespec
   <!--NeedCopy-->
  

• 要获取有关模板规范版本的信息，请运行：

   get-item XDHyp:\HostingUnits\East\machineprofile.folder\abc.resourcegroup\bggTemplateSpec.templatespec\bgg1.0.templatespecversion
   <!--NeedCopy-->
  

在创建或更新目录时使用模板规范

您可以使用模板规范作为计算机配置文件输入来创建或更新 MCS 计算机目录。为此，您可以使用 Web Studio 或 PowerShell 命令。

• 对于网络工作室，请参阅在网络工作室中使用 Azure 资源管理器映像创建计算机目录
• 对于 PowerShell，请参阅 使用 PowerShell 在创建或更新目录时使用模板规范

Azure 服务器端加密

Citrix Virtual Apps and Desktops 通过 Azure Key Vault 支持 Azure 托管磁盘的客户管理加密密钥。借助此支持，您可以使用自己的加密密钥加密计算机目录的托管磁盘，从而管理您的组织和合规性要求。有关详细信息，请参阅 Azure 磁盘存储的服务器端加密。

当对托管磁盘使用此功能时：

• 要更改磁盘的加密密钥，请在 DiskEncryptionSet 中更改当前密钥。与该 DiskEncryptionSet 关联的所有资源都将更改为使用新密钥进行加密。

• 当您禁用或删除密钥时，使用该密钥的任何带有磁盘的 VM 将自动关闭。关闭后，除非重新启用密钥或分配新密钥，否则 VM 将无法使用。任何使用该密钥的目录都无法开机，并且您无法向其中添加 VM。

使用客户管理的加密密钥时的重要注意事项

使用此功能时，请考虑以下事项：

• 与客户管理的密钥（Azure Key Vault、磁盘加密集、VM、磁盘和快照）相关的所有资源必须位于同一订阅和区域中。

• 启用客户管理的加密密钥后，您将无法在以后禁用它。如果您想禁用或删除客户管理的加密密钥，请将所有数据复制到不使用客户管理的加密密钥的其他托管磁盘。

• 使用服务器端加密和客户管理的密钥从加密自定义映像创建的磁盘必须使用相同的客户管理的密钥进行加密。这些磁盘必须位于同一订阅中。

• 从使用服务器端加密和客户管理的密钥加密的磁盘创建的快照必须使用相同的客户管理的密钥进行加密。

• 使用客户管理的密钥加密的磁盘、快照和映像无法移动到其他资源组和订阅。

• 当前或以前使用 Azure 磁盘加密加密的托管磁盘不能使用客户管理的密钥进行加密。

• 请参阅 Microsoft 网站，了解每个区域的磁盘加密集限制。

注意：

有关配置 Azure 服务器端加密的信息，请参阅 快速入门：使用 Azure 门户创建 Key Vault。

Azure 客户管理的加密密钥

创建计算机目录时，您可以选择是否加密目录中预配的计算机上的数据。使用客户管理的加密密钥进行服务器端加密，可让您在托管磁盘级别管理加密并保护目录中计算机上的数据。磁盘加密集 (DES) 表示客户管理的密钥。要使用此功能，您必须首先在 Azure 中创建 DES。DES 采用以下格式：

• /subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

从列表中选择一个 DES。您选择的 DES 必须与您的资源位于相同的订阅和区域中。如果您的映像使用 DES 加密，则在创建计算机目录时请使用相同的 DES。创建目录后，您无法更改 DES。

如果您使用加密密钥创建目录，并且稍后在 Azure 中禁用相应的 DES，您将无法再启动目录中的计算机或向其中添加计算机。

请参阅使用客户管理的密钥创建计算机目录。

Azure 主机级磁盘加密

您可以创建具有主机级加密功能的 MCS 计算机目录。目前，MCS 仅支持此功能的计算机配置文件工作流。您可以使用 VM 或模板规范作为计算机配置文件的输入。

此加密方法不会通过 Azure 存储加密数据。托管 VM 的服务器会加密数据，然后加密数据流经 Azure 存储服务器。因此，此加密方法可实现端到端数据加密。

限制：

Azure 主机级磁盘加密：

• 不支持所有 Azure 计算机大小
• 与 Azure 磁盘加密不兼容

要创建具有主机级加密功能的计算机目录：

1. 检查订阅是否已启用主机级加密功能。为此，请参阅 https://learn.microsoft.com/zh-cn/rest/api/resources/features/get?tabs=HTTP/。如果未启用，则必须为订阅启用该功能。有关为订阅启用该功能的信息，请参阅 https://learn.microsoft.com/zh-cn/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/。

2. 检查特定的 Azure VM 大小是否支持主机级加密。为此，请在 PowerShell 窗口中运行以下命令之一：

   PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder>
   <!--NeedCopy-->
   

   PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder>
   <!--NeedCopy-->
   

3. 在 Azure 门户中创建已启用主机加密的 VM 或模板规范，作为计算机配置文件的输入。

   • 如果要创建 VM，请选择支持主机加密的 VM 大小。创建 VM 后，VM 属性 Encryption at host 将启用。
   • 如果要使用模板规范，请在 securityProfile 中将参数 Encryption at Host 设置为 true。

4. 通过选择 VM 或模板规范，使用计算机配置文件工作流创建 MCS 计算机目录。

   • 操作系统磁盘/数据磁盘：通过客户管理的密钥和平台管理的密钥加密
   • 临时操作系统磁盘：仅通过平台管理的密钥加密
   • 缓存磁盘：通过客户管理的密钥和平台管理的密钥加密

   您可以使用 Web Studio 或运行 PowerShell 命令来创建计算机目录。

从计算机配置文件中检索主机加密信息

当您使用 AdditionalData 参数运行 PowerShell 命令时，可以从计算机配置文件中检索主机加密信息。如果 EncryptionAtHost 参数为 True，则表示已为计算机配置文件启用主机加密。

例如：当计算机配置文件输入为 VM 时，运行以下命令：

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->

例如：当计算机配置文件输入为模板规范时，运行以下命令：

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->

托管磁盘上的双重加密

您可以创建具有双重加密的计算机目录。使用此功能创建的任何目录都将所有磁盘通过平台和客户管理的密钥进行服务器端加密。您拥有并维护 Azure Key Vault、加密密钥和磁盘加密集 (DES)。

双重加密是平台端加密（默认）和客户管理的加密 (CMEK)。因此，如果您是对安全性高度敏感的客户，担心与任何加密算法、实施或受损密钥相关的风险，则可以选择此双重加密。持久性操作系统和数据磁盘、快照和映像都使用双重加密进行静态加密。

注意：

• 您可以使用 Web Studio 和 PowerShell 命令创建和更新具有双重加密的计算机目录。有关 PowerShell 命令，请参阅创建具有双重加密的计算机目录。
• 您可以使用基于非计算机配置文件的或基于计算机配置文件的工作流来创建或更新具有双重加密的计算机目录。
• 如果您使用基于非计算机配置文件的工作流创建计算机目录，则可以重复使用存储的 DiskEncryptionSetId。
• 如果您使用计算机配置文件，则可以使用虚拟机或模板规范作为计算机配置文件输入。

限制：

• Ultra 磁盘或 Premium SSD v2 磁盘不支持双重加密。
• 对于非托管磁盘，不支持双重加密。
• 如果禁用与目录关联的 DiskEncryptionSet 密钥，则该目录的虚拟机将被禁用。
• 与客户管理的密钥（Azure Key Vault、磁盘加密集、虚拟机、磁盘和快照）相关的所有资源必须位于同一订阅和区域中。
• 每个订阅每个区域最多只能创建 50 个磁盘加密集。
• 您无法使用不同的 DiskEncryptionSetId 更新已具有 DiskEncryptionSetId 的计算机目录。

Azure 的资源组

Azure 预配资源组提供了一种预配虚拟机的方法，这些虚拟机可向用户提供应用程序和桌面。您可以在创建 MCS 计算机目录时添加现有的空 Azure 资源组，也可以为您创建新的资源组。有关 Azure 资源组的信息，请参阅 Microsoft 文档。

Azure 资源组使用情况

每个 Azure 资源组的虚拟机、托管磁盘、快照和映像数量没有限制。（每个 Azure 资源组 800 个托管磁盘对应 240 个 VM 的限制已移除。）

• 使用全范围服务主体创建计算机目录时，MCS 仅创建一个 Azure 资源组，并将该组用于目录。
• 使用窄范围服务主体创建计算机目录时，必须为目录提供一个空的、预先创建的 Azure 资源组。

Azure 临时磁盘

一个Azure 临时磁盘 允许您重新利用缓存磁盘或临时磁盘来存储启用 Azure 的虚拟机的操作系统磁盘。此功能对于需要比标准 HDD 磁盘更高性能的 SSD 磁盘的 Azure 环境非常有用。有关使用 Azure 临时磁盘创建目录的信息，请参阅使用 Azure 临时磁盘创建目录。

注意：

持久性目录不支持临时操作系统磁盘。

临时操作系统磁盘要求您的预配方案使用托管磁盘和共享映像库。

存储临时操作系统临时磁盘

您可以选择将临时操作系统磁盘存储在 VM 临时磁盘或资源磁盘上。此功能使您能够将临时操作系统磁盘与没有缓存或缓存不足的 VM 配合使用。此类 VM 具有用于存储临时操作系统磁盘的临时磁盘或资源磁盘，例如 Ddv4。

请考虑以下事项：

• 临时磁盘存储在 VM 缓存磁盘或 VM 的临时（资源）磁盘中。缓存磁盘优先于临时磁盘，除非缓存磁盘不足以容纳操作系统磁盘的内容。
• 对于更新，如果新映像大于缓存磁盘但小于临时磁盘，则会导致用 VM 的临时磁盘替换临时操作系统磁盘。

Azure 临时磁盘和计算机创建服务 (MCS) 存储优化 (MCS I/O)

Azure 临时操作系统磁盘和 MCS I/O 不能同时启用。

以下是需要考虑的重要事项：

• 不能同时启用临时 OS 磁盘和 MCS I/O 来创建计算机目录。

• 如果在 New-ProvScheme 或 Set-ProvScheme 中将 PowerShell 参数 (UseWriteBackCache 和 UseEphemeralOsDisk) 设置为 true，它们将失败并显示相应的错误消息。
• 对于已启用这两种功能而创建的现有计算机目录，您仍然可以：
  • 更新计算机目录。
  • 添加或删除 VM。
  • 删除计算机目录。

Azure 的计算库

使用 Azure 计算库（以前称为 Azure 共享映像库）作为 Azure 中 MCS 预配计算机的已发布映像存储库。您可以在库中存储已发布的映像，以加快 OS 磁盘的创建和填充，从而缩短非持久性 VM 的启动和应用程序启动时间。共享映像库包含以下三个元素：

• 库：映像存储在此处。MCS 为每个计算机目录创建一个库。
• 库映像定义：此定义包含有关已发布映像的信息（操作系统类型和状态、Azure 区域）。MCS 为为目录创建的每个映像创建一个映像定义。
• 库映像版本：共享映像库中的每个映像可以有多个版本，每个版本可以在不同区域有多个副本。每个副本都是已发布映像的完整副本。

注意：

共享映像库的功能仅与托管磁盘兼容。此功能不适用于旧版计算机目录。

有关详细信息，请参阅 Azure 计算库概述。

有关使用 PowerShell 创建或更新使用 Azure 计算库映像的计算机目录的信息，请参阅使用 Azure 计算库映像创建或更新计算机目录。

Azure 机密虚拟机

Azure 机密计算 VM 可确保您的虚拟桌面在内存中加密并在使用中受到保护。

您可以使用 MCS 创建包含 Azure 机密 VM 的目录。您必须使用计算机配置文件工作流来创建此类目录。您可以将 VM 和 ARM 模板规范都用作计算机配置文件输入。

机密 VM 的重要注意事项

支持的 VM 大小以及使用机密 VM 创建计算机目录的重要注意事项如下：

• 支持的 VM 大小：机密 VM 支持以下 VM 大小：

  • DCasv5-series
  • DCadsv5 系列虚拟机
  • ECasv5 系列虚拟机
  • ECadsv5-series

• 使用机密 VM 创建计算机目录。

  • 您可以使用 Web Studio 和 PowerShell 命令创建包含 Azure 机密 VM 的计算机目录。
  • 您必须使用基于计算机配置文件的工作流来创建包含 Azure 机密 VM 的计算机目录。您可以将 VM 或模板规范用作计算机配置文件输入。

  • 主映像和计算机配置文件输入都必须启用相同的机密安全类型。安全类型包括：

    • VMGuestStateOnly：仅对虚拟机客户机状态进行加密的机密虚拟机
    • DiskWithVMGuestState：操作系统磁盘和虚拟机客户机状态均已加密的机密虚拟机，使用平台管理的密钥或客户管理的密钥。普通和临时操作系统磁盘均可加密。

  • 您可以使用 AdditionalData 参数获取各种资源类型的机密虚拟机信息，例如托管磁盘、快照、Azure 计算库映像、虚拟机和 ARM 模板规范。例如：

     PS C:\Users\username> (get-item XDHyp:\HostingUnits\mynetwork\image.folder\username-dev-testing-rg.resourcegroup\username-dev-tsvda.vm).AdditionalData
     <!--NeedCopy-->
    

    附加数据字段包括：

    • 磁盘安全类型
    • 机密虚拟机磁盘加密集ID
    • 磁盘安全配置文件

    要获取计算机大小的机密计算属性，请运行以下命令：(Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\abc.serviceoffering").AdditionalData

    附加数据字段为 ConfidentialComputingType。

  • 您无法将主映像或计算机配置文件从机密安全类型更改为非机密安全类型，也无法从非机密安全类型更改为机密安全类型。
  • 针对任何不正确的配置，您会收到相应的错误消息。

准备主映像和计算机配置文件

在创建一组机密虚拟机之前，请按照以下步骤为它们准备主映像和计算机配置文件：

1. 在 Azure 门户中，创建机密虚拟机并指定以下设置：
   • 安全类型：机密虚拟机
   • 机密操作系统磁盘加密：已启用。
   • 密钥管理：使用平台管理的密钥进行机密磁盘加密 有关创建机密 VM 的更多信息，请参阅这篇 Microsoft 文章。

2. 在创建的 VM 上准备主映像。在创建的 VM 上安装必要的应用程序和 VDA。

   注意：

   不支持使用 VHD 创建机密 VM。相反，请为此目的使用 Azure 计算库、托管磁盘或快照。

3. 使用以下任一方式创建计算机配置文件：

   • 如果步骤 1 中创建的现有 VM 具有所需的计算机属性，则使用该 VM。

   • 如果选择 ARM 模板规范作为计算机配置文件，请根据需要创建模板规范。具体来说，配置满足机密 VM 要求的参数，例如 SecurityEncryptionType 和 diskEncryptionSet（用于客户管理的密钥）。有关更多信息，请参阅(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/machine-catalogs-create/create-machine-catalog-citrix-azure#create-an-azure-template-spec)。

     注意：

     • 确保主映像和计算机配置文件具有相同的安全密钥类型。
     • 要创建需要使用客户管理的密钥进行机密操作系统磁盘加密的机密 VM，请确保主映像和计算机配置文件中的磁盘加密集 ID 相同。

使用 Web 工作室 或 PowerShell 命令创建机密虚拟机

要创建一组机密 VM，请使用主映像和从所需机密 VM 派生的计算机配置文件创建计算机目录。

要使用 Web Studio 创建目录，请按照(/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/machine-catalogs-create)中描述的步骤操作。请记住以下注意事项：

• 在映像页面上，选择为主机密 VM 创建准备的主映像和计算机配置文件。计算机配置文件选择是强制性的，并且只有与所选主映像具有相同安全加密类型的配置文件才可供选择。
• 在虚拟机页面上，只有支持机密虚拟机的计算机大小才会显示以供选择。
• 在磁盘设置页面上，您无法指定磁盘加密集，因为它继承自所选的计算机配置文件。

Azure 应用商店

Citrix Virtual Apps and Desktops 支持在 Azure 上使用包含计划信息的主映像来创建计算机目录。有关详细信息，请参阅 Microsoft Azure 应用商店。

提示：

Azure 应用商店上的一些映像（例如标准 Windows Server 映像）不附加计划信息。Citrix Virtual Apps and Desktops 功能适用于付费映像。

确保在共享映像库中创建的映像包含 Azure 计划信息

使用本节中的过程在 Web Studio 中查看共享映像库映像。这些映像可以选择用作主映像。要将映像放入共享映像库，请在库中创建映像定义。

在发布选项页面上，验证购买计划信息。

购买计划信息字段最初为空。使用用于映像的购买计划信息填充这些字段。未能填充购买计划信息可能导致计算机目录过程失败。

验证购买计划信息后，在定义中创建映像版本。此版本用作主映像。单击添加版本：

在版本详细信息部分中，选择映像快照或托管磁盘作为源：

使用 PowerShell 创建计算机目录

本节详细介绍了如何使用 PowerShell 创建目录：

• 创建具有非持久性回写缓存磁盘的目录
• 创建具有持久性回写缓存磁盘的目录
• 使用 MCSIO 提高启动性能
• 使用 PowerShell 创建或更新目录时使用模板规范
• 具有受信任启动的计算机目录
• 使用计算机配置文件属性值
• 创建具有客户管理加密密钥的计算机目录
• 创建具有双重加密的计算机目录
• 创建具有 Azure 临时磁盘的目录
• Azure 专用主机
• 使用 Azure 计算库映像创建或更新计算机目录
• 配置共享映像库
• 将计算机预配到指定的可用区
• 存储类型
• 页面文件位置
• 更新页面文件设置
• 使用 Azure 现成虚拟机创建目录(#create-a-catalog-using-azure-spot-vms)
• 配置备份 VM 大小
• 复制所有资源上的标签
• 预配已安装 Azure 监控代理的目录 VM(#provision-catalog-vms-with-azure-monitor-agent-installed)

创建具有非持久性回写缓存磁盘的目录

要配置具有非持久性回写缓存磁盘的目录，请使用 PowerShell 参数 New-ProvScheme CustomProperties。自定义属性 UseTempDiskForWBC 指示您是否接受使用 Azure 临时存储来存储回写缓存文件。如果要在运行 New-ProvScheme 时使用临时磁盘作为回写缓存磁盘，则必须将其配置为 true。如果未指定此属性，则该参数默认设置为 False。

例如，使用 CustomProperties 参数将 UseTempDiskForWBC 设置为 true：

-CustomProperties '<CustomProperties xmlns=" http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi=" http://www.w3.org/2001/XMLSchema-instance"> `
<Property xsi:type="StringProperty" Name="PersistWBC" Value="false"/> `
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="false"/> `
<Property xsi:type="StringProperty" Name="PersistVm" Value="false"/> `
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS"/> `
<Property xsi:type="StringProperty" Name="WBCDiskStorageType" Value="Premium_LRS"/> `
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client"/> `
<Property xsi:type="StringProperty" Name="UseTempDiskForWBC" Value="true"/> `
</CustomProperties>'
<!--NeedCopy-->

注意：

将计算机目录提交为使用 Azure 本地临时存储作为回写缓存文件后，以后无法将其更改为使用 VHD。

创建具有持久性回写缓存磁盘的目录

要配置具有持久性回写缓存磁盘的目录，请使用 PowerShell 参数 New-ProvScheme CustomProperties。此参数支持一个额外的属性 PersistWBC，用于确定回写缓存磁盘如何为 MCS 预配的计算机持久化。属性 PersistWBC 仅在指定 UseWriteBackCache 参数且 WriteBackCacheDiskSize 参数设置为指示已创建磁盘时使用。

在支持 PersistWBC 之前，CustomProperties 参数中发现的属性示例包括：

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
</CustomProperties>
<!--NeedCopy-->

使用这些属性时，请注意，如果 CustomProperties 参数中省略了这些属性，它们将包含默认值。PersistWBC 属性有两个可能的值：true 或 false。

将 PersistWBC 属性设置为 true 时，当 Citrix Virtual Apps and Desktops 管理员使用 Web Studio 关闭计算机时，不会删除回写缓存磁盘。

将 PersistWBC 属性设置为 false 时，当 Citrix 虚拟应用和桌面 管理员使用 Web Studio 关闭计算机时，将删除回写缓存磁盘。

注意：

如果省略 PersistWBC 属性，则该属性默认为 false，并且当使用 Web Studio 关闭计算机时，将删除回写缓存。

例如，使用 CustomProperties 参数将 PersistWBC 设置为 true：

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
<!--NeedCopy-->

重要：

PersistWBC 属性只能使用 New-ProvScheme PowerShell cmdlet 进行设置。在创建后尝试更改预配方案的 CustomProperties 对计算机目录以及计算机关闭时回写缓存磁盘的持久性没有影响。

例如，设置 New-ProvScheme 以使用回写缓存，同时将 PersistWBC 属性设置为 true：

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

使用 MCSIO 提高启动性能

启用 MCSIO 后，可以提高 Azure 和 GCP 托管磁盘的启动性能。在 New-ProvScheme 命令中使用 PowerShell PersistOSDisk 自定义属性来配置此功能。与 New-ProvScheme 相关的选项包括：

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource <!--NeedCopy-->
``````<!--NeedCopy-->
<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->

要启用此功能，请将 PersistOSDisk 自定义属性设置为 true。例如：

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

使用 PowerShell 创建或更新目录时使用模板规范

您可以使用模板规范作为计算机配置文件输入来创建或更新 MCS 计算机目录。为此，您可以使用 Web Studio 或 PowerShell 命令。

对于 Web Studio，请参阅使用 Web Studio 中的 Azure 资源管理器 映像创建计算机目录

使用 PowerShell 命令进行操作：

1. 打开 PowerShell 命令行窗口。
2. 运行 asnp citrix*。
3. 创建或更新目录。
   • 要创建目录：

     1. 使用 New-ProvScheme 命令，并将模板规范用作计算机配置文件输入。例如：

        New-ProvScheme -MasterImageVM "XDHyp:/HostingUnits/azure/image.folder/fgthj.resourcegroup/nab-ws-vda_OsDisk_1_xxxxxxxxxxa.manageddisk"
        MachineProfile "XDHyp:/HostingUnits/azure/machineprofile.folder/fgthj.resourcegroup/test.templatespec/V1.templatespecversion"
        -ProvisioningSchemeName <String>
        -HostingUnitName <String>
        -IdentityPoolName <String>
        [-ServiceOffering <String>][-CustomProperties <String>
        [-LoggingId <Guid>]
        [-BearerToken <String>][-AdminAddress <String>]
        [<CommonParameters>]
        <!--NeedCopy-->
        

     2. 完成目录创建。

   • 要更新目录，请使用 Set-ProvScheme 命令，并将模板规范用作计算机配置文件输入。例如：

      Set-ProvScheme -MasterImageVm 'XDHyp://Connections/Azure/East Us.region/vm.folder/MasterDisk.vm'
      MachineProfile 'XDHyp:/HostingUnits/azure/machineprofile.folder/fgthj.resourcegroup/testing.templatespec/V1.templatespecversion'
      [-ProvisioningSchemeName] <String>
      [-CustomProperties <String>][-ServiceOffering <String>] [-PassThru]
      [-LoggingId <Guid>] [-BearerToken <String>][-AdminAddress <String>] [<CommonParameters>]
      <!--NeedCopy-->
     

具有受信任启动的计算机目录

要成功创建具有受信任启动的计算机目录，请使用：

• 具有受信任启动的计算机配置文件
• 支持受信任启动的 VM 大小
• 支持受信任启动的 Windows 虚拟机版本。目前，Windows 10、Windows 11、Windows Server 2016、2019 和 2022 支持受信任启动。

重要：

MCS 支持创建启用受信任启动的 VM 的新目录。但是，要更新现有持久目录和现有 VM，您必须使用 Azure 门户。您无法更新非持久目录的受信任启动。有关详细信息，请参阅 Microsoft 文档 在现有 Azure VM 上启用受信任启动。

要查看 Citrix Virtual Apps and Desktops 提供的清单项，并确定 VM 大小是否支持受信任启动，请运行以下命令：

1. 打开一个 PowerShell 的窗口。
2. Run asnp citrix* to load the Citrix-specific PowerShell modules.

3. 运行以下命令：

   $s = (ls XDHyp:\HostingUnits\<name of hosting unit>\serviceoffering.folder\"<VM size>.serviceoffering)
   <!--NeedCopy-->
   

4. 运行 $s | select -ExpandProperty Additionaldata

5. 检查 SupportsTrustedLaunch 属性的值。

   • 如果 SupportsTrustedLaunch 为 True，则 VM 大小支持受信任启动。
   • 如果 SupportsTrustedLaunch 为 False，则 VM 大小不支持受信任启动。

根据 Azure 的 PowerShell，您可以使用以下命令确定支持受信任启动的 VM 大小：

(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq "<VM size>") })[0].Capabilities
<!--NeedCopy-->

以下示例说明了运行 Azure PowerShell 命令后 VM 大小是否支持受信任启动。

• 示例 1：如果 Azure VM 仅支持第 1 代，则该 VM 不支持受信任启动。因此，运行 Azure PowerShell 命令后，不会显示 TrustedLaunchDisabled 功能。
• 示例 2：如果 Azure VM 仅支持第 2 代，并且 TrustedLaunchDisabled 功能为 True，则不支持第 2 代 VM 大小进行受信任启动。
• 示例 3：如果 Azure VM 仅支持第 2 代，并且运行 PowerShell 命令后未显示 TrustedLaunchDisabled 功能，则支持第 2 代 VM 大小进行受信任启动。

有关 Azure 虚拟机受信任启动的详细信息，请参阅 Microsoft 文档 Azure 虚拟机受信任启动。

创建具有受信任启动的计算机目录

1. 创建启用了受信任启动的主映像。请参阅 Microsoft 文档 受信任启动 VM 映像。
2. 创建安全类型为受信任启动虚拟机的 VM 或模板规范。有关创建 VM 或模板规范的更多信息，请参阅 Microsoft 文档 部署受信任启动 VM。

3. Create a machine catalog using the Web Studio or PowerShell commands.

   • 如果要使用 Web Studio，请参阅 在 Web Studio 中使用 Azure 资源管理器映像创建计算机目录。

   • 如果要使用 PowerShell 命令，请使用 New-ProvScheme 命令，并将 VM 或模板规范作为计算机配置文件输入。有关创建目录的完整命令列表，请参阅 创建目录。

     New-ProvScheme 以 VM 作为计算机配置文件输入的示例：

      New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
      -MasterImageVM "XDHyp:/HostingUnits/azure/image.folder/fgthj.resourcegroup/nab-ws-vda_OsDisk_1_xxxxxxxxxxa.manageddisk"
      -MachineProfile "XDHyp:\HostingUnits\<adnet>\machineprofile.folder\<def.resourcegroup>\<machine profile vm.vm>"
      -ProvisioningSchemeName <String>
      -HostingUnitName <String>
      -IdentityPoolName <String>
      [-ServiceOffering <String>][-CustomProperties <String>]
      [<CommonParameters>]
      <!--NeedCopy-->
     

     New-ProvScheme 以模板规范作为计算机配置文件输入的示例：

      New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
      -MasterImageVM "XDHyp:/HostingUnits/azure/image.folder/fgthj.resourcegroup/nab-ws-vda_OsDisk_1_xxxxxxxxxxa.manageddisk"
      MachineProfile "XDHyp:/HostingUnits/azure/machineprofile.folder/fgthj.resourcegroup/test.templatespec/V1.templatespecversion"
      -ProvisioningSchemeName <String>
      -HostingUnitName <String>
      -IdentityPoolName <String>
      [-ServiceOffering <String>][-CustomProperties <String>]
      [<CommonParameters>]
      <!--NeedCopy-->
     

创建具有受信任启动的计算机目录时出错

在以下场景中创建具有受信任启动的计算机目录时，您会收到相应的错误：

使用计算机配置文件属性值

计算机目录使用以下属性，这些属性在自定义属性中定义：

• 可用性区域
• 专用主机组 ID
• 磁盘加密集 ID
• 操作系统类型
• 许可证类型
• 存储类型

如果未明确定义这些自定义属性，则属性值将从 ARM 模板规范或 VM（以用作计算机配置文件者为准）中设置。此外，如果 ServiceOffering 未指定，则会从计算机配置文件中设置。

注意：

如果计算机配置文件中缺少某些属性，并且未在自定义属性中定义，则在适用的情况下，将采用属性的默认值。

以下部分描述了 New-ProvScheme 和 Set-ProvScheme 中的一些场景，其中 CustomProperties 定义了所有属性或值是从 MachineProfile 派生的。

• New-ProvScheme 命令的各种应用场景

  • 机器配置文件包含所有属性，且未定义自定义属性。例如：

    New-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpA.vm"

    以下值将作为目录的自定义属性进行设置：

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="OSType" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="DedicatedHostGroupId" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="Zones" Value="<mpA-value>"/>
     </CustomProperties>
     <!--NeedCopy-->
    

  • 机器配置文件包含一些属性，且未定义自定义属性。例如：机器配置文件仅包含许可证类型和操作系统类型。

    New-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpA.vm"

    以下值将作为目录的自定义属性进行配置：

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="OSType" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<mpA-value>"/>
     </CustomProperties>
     <!--NeedCopy-->
    

  • 机器配置文件和自定义属性都定义了所有属性。示例：

    New-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpA.vm" -CustomProperties $CustomPropertiesA

    自定义属性具有优先权。以下值被设置为此目录的自定义属性：

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="OSType" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="DedicatedHostGroupId" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="Zones" Value="<CustomPropertiesA-value>"/>
     </CustomProperties>
     <!--NeedCopy-->
    

  • 部分属性在 MachineProfile 中定义，而另一些属性则在 CustomProperties 中定义。例如：
    • 自定义属性定义许可证类型和存储账户类型
    • 机器配置文件定义许可证类型、操作系统类型和区域

    New-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpA.vm" -CustomProperties $CustomPropertiesA

    以下值将作为目录的自定义属性进行设置：

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="OSType" Value="<mpA-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<CustomPropertiesA-value>"/>
     <Property xsi:type="StringProperty" Name="Zones" Value="<mpA-value>"/>
     </CustomProperties>
     <!--NeedCopy-->
    

  • 某些属性在 MachineProfile 中进行了定义，另一些属性则在 CustomProperties 中进行了定义。此外，ServiceOffering 未被定义。例如：

    • 自定义属性定义存储类型
    • 机器配置文件 定义 许可证类型

     New-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mp.vm"
     -ServiceOffering "XDHyp:\HostingUnits\azureunit\serviceoffering.folder\<explicit-machine-size>.serviceoffering"
     <!--NeedCopy-->
    

    以下值将作为目录的自定义属性进行设置：

     Get-ProvScheme | select ServiceOffering
     serviceoffering.folder\<explicit-machine-size>.serviceoffering
    
     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="explicit-storage-type"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="value-from-machineprofile"/>
     </CustomProperties>
     <!--NeedCopy-->
    

  • 如果 操作系统类型 既不在 自定义属性 中也不在 机器配置文件 中，则：
    • 该值从主映像中读取。
    • 如果主映像是未托管磁盘，则 OsType 设置为 Windows。示例：

    New-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpA.vm" -MasterImageVM "XDHyp:\HostingUnits\azureunit\image.folder\linux-master-image.manageddisk"

    主映像中的值将写入自定义属性，在本例中为 Linux。

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="OSType" Value="Linux"/>
     </CustomProperties>
     <!--NeedCopy-->
    

• Set-ProvScheme Scenarios

  • 具有以下内容的现有目录：

    • 自定义属性，用于 StorageAccountType 和 OsType
    • 定义区域的机器配置文件 mpA.vm

  • 更新：

    • 定义存储帐户类型的机器配置文件 mpB.vm
    • 一组新的自定义属性 $CustomPropertiesB，用于定义许可证类型和操作系统类型

    Set-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpB.vm" -CustomProperties $CustomPropertiesB

    以下值将作为目录的自定义属性进行设置：

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="<mpB-value>"/>
     <Property xsi:type="StringProperty" Name="OSType" Value="<CustomPropertiesB-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<CustomPropertiesB-value>"/>
         </CustomProperties>
     <!--NeedCopy-->
    

  • 具有以下内容的现有目录：
    • 自定义属性，用于 StorageAccountType 和 OsType
    • 机器配置文件 mpA.vm 定义了存储帐户类型和许可证类型
  • 更新：
    • 一组新的自定义属性 $CustomPropertiesB，它定义了存储帐户类型和操作系统类型。

    Set-ProvScheme -CustomProperties $CustomPropertiesB

    以下值将作为目录的自定义属性进行设置：

     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="<CustomPropertiesB-value>"/>
     <Property xsi:type="StringProperty" Name="OSType" Value="<CustomPropertiesB-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<mp-A-value>"/>
     </CustomProperties>
     <!--NeedCopy-->
    

  • 具有以下内容的现有目录：
    • 用于 StorageAccountType 和 OsType 的自定义属性
    • 计算机配置文件 mpA.vm，用于定义区域
  • 更新：
    • 一个定义存储账户类型和许可证类型的机器配置文件 mpB.vm
    • ServiceOffering 未指定

    Set-ProvScheme -MachineProfile "XDHyp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mpB.vm"

    以下值将作为目录的自定义属性进行设置：

     Get-ProvScheme | select ServiceOffering
     serviceoffering.folder\<value-from-machineprofile>.serviceoffering
    
     Get-ProvScheme | select CustomProperties
     <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="StorageAccountType" Value="<mpB-value>"/>
     <Property xsi:type="StringProperty" Name="OSType" Value="<prior-CustomProperties-value>"/>
     <Property xsi:type="StringProperty" Name="LicenseType" Value="<mpB-value>"/>
     </CustomProperties>
     <!--NeedCopy-->
    

预配已安装 Azure 监控代理 的目录虚拟机

Azure 监视是一项服务，可用于收集、分析和处理来自您的 Azure 和本地环境的遥测数据。

Azure Monitor Agent (AMA) 收集来自虚拟机等计算资源的监视数据，并将数据传送到 Azure 监视器。它目前支持收集事件日志、Syslog 和性能指标，并将其发送到 Azure Monitor Metrics 和 Azure Monitor Logs 数据源。

为了通过唯一标识监视数据中的 VM 来启用监视，您可以预配已安装 AMA 作为扩展的 MCS 计算机目录的 VM。

必备条件

• 权限：确保您拥有 (/zh-cn/citrix-virtual-apps-desktops/2402-ltsr/install-configure/connections/connection-azure-resource-manager#required-azure-permissions) 中指定的最低 Azure 权限以及使用 Azure Monitor 的以下权限：

  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Insights/DataCollectionRuleAssociations/Read
  • Microsoft.Insights/dataCollectionRuleAssociations/write
  • Microsoft.Insights/DataCollectionRules/Read
• 数据收集规则：在 Azure 门户中设置数据收集规则。有关设置 DCR 的信息，请参阅创建数据收集规则。DCR 是特定于平台的（Windows 或 Linux）。确保根据所需的平台创建 DCR。 AMA 使用数据收集规则 (DCR) 来管理资源（例如 VM）与数据源（例如 Azure Monitor 指标和 Azure Monitor 日志）之间的映射。
• 默认工作区：在 Azure 门户中创建工作区。有关创建工作区的信息，请参阅创建 Log Analytics 工作区。收集日志和数据时，信息存储在工作区中。工作区具有唯一的工作区 ID 和资源 ID。工作区名称对于给定的资源组必须是唯一的。创建工作区后，配置数据源和解决方案以将其数据存储在工作区中。
• 已将监视器扩展列入白名单：扩展 AzureMonitorWindowsAgent 和 AzureMonitorLinuxAgent 是 Citrix 定义的白名单扩展。要查看白名单扩展列表，请使用 PoSH 命令 Get-ProvMetadataConfiguration。
• 主映像：Microsoft 建议在从现有计算机创建新计算机之前，先从现有计算机中删除扩展。如果不删除扩展，可能会导致残留文件和意外行为。有关详细信息，请参阅如果从现有 VM 重新创建 VM。

要预配启用 AMA 的目录 VM：

1. 设置计算机配置文件模板。

   • 如果要使用 VM 作为计算机配置文件模板：

     1. 在 Azure 门户上创建 VM。
     2. 启动 VM。
     3. 在“资源”下将 VM 添加到数据收集规则。这将调用在模板 VM 上安装代理。

   注意：

   如果必须创建 Linux 目录，请设置 Linux 计算机。

   • 如果您想使用模板规范作为计算机配置文件模板：

     1. 设置模板规范。

     2. 将以下扩展和数据收集规则关联添加到生成的模板规范中：

        {
        "type": "Microsoft.Compute/virtualMachines/extensions",
        "apiVersion": "2022-03-01",
        "name": "<vm-name>/AzureMonitorWindowsAgent",
        "dependsOn": [
            "Microsoft.Compute/virtualMachines/<vm-name>"
        ],
        "location": "<azure-region>",
        "properties": {
            "publisher": "Microsoft.Azure.Monitor",
            "type": "AzureMonitorWindowsAgent",
            "typeHandlerVersion": "1.0",
            "autoUpgradeMinorVersion": true,
            "enableAutomaticUpgrade": true
        }
        },
         {
            "type": "Microsoft.Insights/dataCollectionRuleAssociations",
            "apiVersion": "2021-11-01",
            "name": "<associatio-name>",
            "scope": "Microsoft.Compute/virtualMachines/<vm-name>",
            "dependsOn": [
             "Microsoft.Compute/virtualMachines/<vm-name>",
            "Microsoft.Compute/virtualMachines/<vm-name>/extensions/AzureMonitorWindowsAgent"
            ],
            "properties": {
               "description": "Association of data collection rule. Deleting this association will break the data collection for this Arc server.",
             "dataCollectionRuleId": "/subscriptions/<azure-subscription>/resourcegroups/<azure-resource-group>/providers/microsoft.insights/datacollectionrules/<azure-data-collection-rule>"
             }
            }
        <!--NeedCopy-->
        

2. 创建或更新现有 MCS 计算机目录。

   • 要创建新的 MCS 目录：

     1. 在 Web Studio 中选择该 VM 或模板规范作为计算机配置文件。
     2. 继续执行后续步骤以创建目录。

   • 要更新现有 MCS 目录，请使用以下 PoSH 命令：

     • 要让新 VM 获取更新的计算机配置文件模板，请运行以下命令：

        Set-ProvScheme -ProvisioningSchemeName "name"
        -MachineProfile "XDHyp:\HostingUnits\Unit1\machineprofile.folder\abc.resourcegroup\ab-machine-profile.vm"
        <!--NeedCopy-->
       

     • 要使用更新的计算机配置文件模板更新现有 VM：

        Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -StartsNow -DurationInMinutes -1
        <!--NeedCopy-->
       

3. 启动目录 VM。
4. 转到 Azure 门户，检查监视器扩展是否已安装在 VM 上，以及 VM 是否显示在 DCR 的资源下。几分钟后，监视数据将显示在 Azure Monitor 上。

故障排除

有关 Azure Monitor Agent 故障排除指南的信息，请参阅以下内容：

• https://learn.microsoft.com/zh-cn/azure/azure-monitor/agents/azure-monitor-agent-troubleshoot-windows-vm/
• https://learn.microsoft.com/zh-cn/azure/azure-resource-manager/troubleshooting/create-troubleshooting-template/

使用客户管理的加密密钥创建计算机目录

使用客户管理的加密密钥创建计算机目录的详细步骤如下：

1. 打开 PowerShell 命令行窗口。
2. 运行 asnp citrix* 以加载思杰特定的 PowerShell 模块。
3. 输入 cd xdhyp:/。
4. 输入 cd .\HostingUnits\(your hosting unit)。
5. 输入 cd diskencryptionset.folder。
6. 输入 dir 以获取磁盘加密集列表。
7. 复制磁盘加密集的 ID。

8. 创建一个自定义属性字符串以包含磁盘加密集的 ID。例如：

   $customProperties = "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
   <Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Standard_LRS`" />
   <Property xsi:type=`"StringProperty`" Name=`"persistWBC`" Value=`"False`" />
   <Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"false`" />
   <Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" />
   <Property xsi:type=`"StringProperty`" Name=`"DiskEncryptionSetId`" Value=`"/subscriptions/0xxx4xxx-xxb-4bxx-xxxx-xxxxxxxx/resourceGroups/abc/providers/Microsoft.Compute/diskEncryptionSets/abc-des`"/>
   </CustomProperties>
   <!--NeedCopy-->
   

9. 如果尚未创建身份池，请创建一个。例如：

   New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain def.local -NamingSchemeType Numeric
   <!--NeedCopy-->
   

10. 运行 New-ProvScheme 命令，具体示例如下：

    New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
    -MasterImageVM "XDHyp:\HostingUnits\azure-res2\image.folder\def.resourcegroup\def.snapshot"
    -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-res2\\virtualprivatecloud.folder\def.resourcegroup\def-vnet.virtualprivatecloud\subnet1.network"}
    -ProvisioningSchemeName "name"
    -ServiceOffering "XDHyp:\HostingUnits\azure-res2\serviceoffering.folder\Standard_DS2_v2.serviceoffering"
    -MachineProfile "XDHyp:\HostingUnits\<adnet>\machineprofile.folder\<def.resourcegroup>\<machine profile vm.vm>"
    -CustomProperties $customProperties
    <!--NeedCopy-->
    

11. 完成计算机目录的创建。

创建具有双重加密的计算机目录

您可以使用 Web Studio 和 PowerShell 命令创建和更新具有双重加密的计算机目录。

创建具有双重加密的计算机目录的详细步骤如下：

1. 使用平台管理和客户管理的密钥创建 Azure Key Vault 和 DES。有关如何创建 Azure Key Vault 和 DES 的信息，请参阅使用 Azure 门户为托管磁盘启用静态双重加密。
2. 要浏览您的托管连接中可用的 DiskEncryptionSets：
   1. Open a PowerShell window.
   2. Run the following PowerShell commands:
      1. asnp citrix*
      2. cd xdhyp:
      3. cd HostingUnits
      4. cd YourHostingUnitName (ex. azure-east)
      5. cd diskencryptionset.folder
      6. dir

   您可以使用 DiskEncryptionSet 的 ID 通过自定义属性创建或更新目录。

3. 如果要使用计算机配置文件工作流，请创建 VM 或模板规范作为计算机配置文件输入。
   • 如果要使用 VM 作为计算机配置文件输入：
     1. 在 Azure 门户中创建 VM。
     2. 导航到 磁盘>密钥管理，以使用任何 DiskEncryptionSetID 直接加密 VM。
   • 如果要使用模板规范作为计算机配置文件输入：
     1. 在模板中，在 properties>storageProfile>osDisk>managedDisk 下，添加 diskEncryptionSet 参数并添加双重加密 DES 的 ID。
4. 创建计算机目录。
   • 如果使用 Web Studio，除了 创建计算机目录 中的步骤外，请执行以下操作之一。
     • 如果不使用基于计算机配置文件的流程，请在 磁盘设置 页面上，选择 使用以下密钥加密每台计算机上的数据。然后，从下拉列表中选择您的双重加密 DES。继续创建目录。
     • 如果使用计算机配置文件流程，请在 映像 页面上，选择一个主映像和一个计算机配置文件。确保计算机配置文件在其属性中具有磁盘加密集 ID。

     目录中创建的所有计算机都将通过您选择的 DES 关联的密钥进行双重加密。

   • 如果使用 PowerShell 命令，请执行以下操作之一：

     • 如果不使用基于计算机配置文件的流程，请在 New-ProvScheme 命令中添加自定义属性 DiskEncryptionSetId。例如：

        New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
        <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
        <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
        <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
        </CustomProperties>'
        -HostingUnitName "Redacted"
        -IdentityPoolName "Redacted"
        -InitialBatchSizeHint 1
        -MasterImageVM "Redacted"
        -NetworkMapping @{"0"="Redacted"}
        -ProvisioningSchemeName "Redacted"
        -ServiceOffering "Redacted"
        <!--NeedCopy-->
       

     • 如果使用基于计算机配置文件的流程，请在 New-ProvScheme 命令中使用计算机配置文件输入。例如：

        New-ProvScheme -CleanOnBoot
        -HostingUnitName azure-east
        -IdentityPoolName aio-ip
        -InitialBatchSizeHint 1
        -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot
        -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"}
        -ProvisioningSchemeName aio-test
        -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion
        <!--NeedCopy-->
       

5. 使用远程 PowerShell SDK 完成目录创建。有关如何使用远程 PowerShell SDK 创建目录的信息，请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。目录中创建的所有计算机都将通过您选择的 DES 关联的密钥进行双重加密。

将未加密的目录转换为使用双重加密

仅当目录以前未加密时，您才能更新计算机目录的加密类型（使用自定义属性或计算机配置文件）。

• 如果不使用基于计算机配置文件的流程，请在 Set-ProvScheme 命令中添加自定义属性 DiskEncryptionSetId。例如：

   Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
   -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
   <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
   </CustomProperties>'
   <!--NeedCopy-->
  

• 如果使用基于计算机配置文件的流程，请在 Set-ProvScheme 命令中使用计算机配置文件输入。例如：

   Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
   <!--NeedCopy-->
  

成功后，您在目录中添加的所有新 VM 都将通过与您选择的 DES 关联的密钥进行双重加密。

验证目录是否已双重加密

• In the Web Studio:

  1. 导航到 计算机目录。
  2. 选择要验证的目录。单击屏幕底部附近的 Template Properties 选项卡。
  3. 在 Azure Details 下，验证 Disk Encryption Set 中的磁盘加密集 ID。如果目录的 DES ID 为空，则表示目录未加密。
  4. 在 Azure 门户中，验证与 DES Id 关联的 DES 的加密类型是平台管理的密钥和客户管理的密钥。

• Using PowerShell command:

  1. 打开 PowerShell 命令行窗口。
  2. 运行 asnp citrix* 命令，以加载 Citrix 专用的 PowerShell 模块。

  3. 使用 Get-ProvScheme 获取计算机目录的信息。例如：

     Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     <!--NeedCopy-->
     

  4. 检索计算机目录的 DES Id 自定义属性。例如：

     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     <!--NeedCopy-->
     

  5. 在 Azure 门户中，验证与 DES Id 关联的 DES 的加密类型是平台管理的密钥和客户管理的密钥。

使用 Azure 临时磁盘创建目录

要使用临时磁盘，在运行 New-ProvScheme 时，必须将自定义属性 UseEphemeralOsDisk 设置为 true。

注意：

如果自定义属性 UseEphemeralOsDisk 设置为 false 或未指定值，则所有预配的 VDA 将继续使用预配的操作系统磁盘。

以下列出的是在预配方案中使用的自定义属性示例集：

"CustomProperties": [
            {
                "Name": "UseManagedDisks",
                "Value": "true"
            },
            {
                "Name": "StorageType",
                "Value": "Standard_LRS"
            },
            {
                "Name": "UseSharedImageGallery",
                "Value": "true"
            },
            {
                "Name": "SharedImageGalleryReplicaRatio",
                "Value": "40"
            },
            {
                "Name": "SharedImageGalleryReplicaMaximum",
                "Value": "10"
            },
            {
                "Name": "LicenseType",
                "Value": "Windows_Server"
            },
            {
                "Name": "UseEphemeralOsDisk",
                "Value": "true"
            }
        ],
<!--NeedCopy-->

为目录配置一个临时磁盘

要为目录配置 Azure 临时操作系统磁盘，请在 Set-ProvScheme 中使用 UseEphemeralOsDisk 参数。将 UseEphemeralOsDisk 参数的值设置为 true。

注意：

要使用此功能，您还必须启用参数 UseManagedDisks 和 UseSharedImageGallery。

例如：

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties <CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="true" />
<Property xsi:type="StringProperty" Name="UseEphemeralOsDisk" Value="true" />
</CustomProperties>'
<!--NeedCopy-->

临时磁盘的重要注意事项

要使用 New-ProvScheme 预配临时操作系统磁盘，请考虑以下限制：

• 用于目录的 VM 大小必须支持临时操作系统磁盘。
• 与 VM 大小关联的缓存或临时磁盘的大小必须大于或等于操作系统磁盘的大小。
• 临时磁盘大小必须大于缓存磁盘大小。

在以下情况下，也请考虑这些问题：

• 预配方案的创建工作。
• 预配方案的修改工作。
• 更新映像时。

Azure 专用主机

您可以使用 MCS 在 Azure 专用主机上预配 VM。在 Azure 专用主机上预配 VM 之前，请执行以下操作：

• 创建主机组。
• 在该主机组中创建主机。
• 确保有足够的已预留主机容量，用于创建目录和虚拟机。

您可以通过以下 PowerShell 脚本创建具有主机租用定义的计算机目录：

New-ProvScheme <otherParameters> -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="HostGroupId" Value="myResourceGroup/myHostGroup" />
 ...other Custom Properties...
 </CustomProperties>
<!--NeedCopy-->

使用 MCS 在 Azure 专用主机上预配虚拟机时，请考虑：

• 专用主机是目录属性，创建目录后无法更改。Azure 当前不支持专用租用。
• 使用 HostGroupId 参数时，需要一个在托管单元区域中预配置的 Azure 主机组。
• 需要 Azure 自动放置。此功能会发出请求以载入与主机组关联的订阅。有关详细信息，请参阅 Azure 专用主机上的 VM 规模集 - 公共预览版。如果未启用自动放置，MCS 会在目录创建期间引发错误。

使用 Azure 计算库映像创建或更新计算机目录

当选择用于创建计算机目录的映像时，您可以选择在 Azure 计算库中创建的映像。

要使这些映像显示，您必须：

1. 配置 Citrix 虚拟应用和桌面 站点。
2. 连接到 Azure 资源管理器。
3. 在 Azure 门户中，创建资源组。有关详细信息，请参阅使用门户创建 Azure 计算库。
4. 在资源组中，创建 Azure 计算库。
5. 在 Azure 计算库中，创建映像定义。
6. 在映像定义中，创建映像版本。

使用以下 PowerShell 命令，通过 Azure 计算库中的映像创建或更新计算机目录：

1. 打开 PowerShell 命令行窗口。
2. 运行 asnp citrix* 命令，以加载那些专门用于 Citrix 的 PowerShell 模块。

3. 选择一个资源组，然后列出该资源组的所有库。

   Get-ChildItem -LiteralPath @("XDHyp:\HostingUnits\testresource\image.folder\sharedImageGalleryTest.resourcegroup")
   <!--NeedCopy-->
   

4. 选择一个库，然后列出该库的所有映像定义。

   Get-ChildItem -LiteralPath @("XDHyp:\HostingUnits\testresource\image.folder\sharedImageGalleryTest.resourcegroup\sharedImageGallery.sharedimagegallery")
   <!--NeedCopy-->
   

5. 选择一个映像定义，然后列出该映像定义的所有映像版本。

   Get-ChildItem -LiteralPath @("XDHyp:\HostingUnits\testresource\image.folder\sharedImageGalleryTest.resourcegroup\sharedImageGallery.sharedimagegallery\sigtestimage.imagedefinition")
   <!--NeedCopy-->
   

6. 使用以下元素创建和更新 MCS 目录：
   • 资源群组
   • 库
   • Azure 计算库映像定义
   • Azure 计算库映像版本

   有关如何使用远程 PowerShell SDK 创建目录的信息，请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。

配置共享映像库的设置

使用 New-ProvScheme 命令创建支持共享映像库的预配方案。使用 Set-ProvScheme 命令启用或禁用预配方案的此功能，并更改副本比率和副本最大值。

已向预配方案添加了三个自定义属性以支持共享映像库功能：

UseSharedImageGallery

• 定义是否使用共享映像库存储已发布的映像。如果设置为 True，则映像存储为共享映像库映像，否则映像存储为快照。
• 有效值为 真 和 假。
• 如果未定义该属性，则默认值为 False。

SharedImageGalleryReplicaRatio

• 定义计算机与库映像版本副本的比率。
• 有效值为大于 0 的整数。
• 如果未定义该属性，则使用默认值。持久性操作系统磁盘的默认值为 1000，非持久性操作系统磁盘的默认值为 40。

SharedImageGalleryReplicaMaximum

• 定义每个共享映像库映像版本的最大副本数量。
• 有效值为大于 0 的整数。
• 如果未定义该属性，则默认值为 10。
• Azure 目前支持每个库映像单个版本最多 10 个副本。如果该属性设置为大于 Azure 支持的值，MCS 会尝试使用指定值。Azure 会生成一个错误，MCS 会记录该错误，然后保持当前副本计数不变。

提示：

当使用共享映像库存储 MCS 预配目录的已发布映像时，MCS 会根据目录中的计算机数量、副本比率和最大副本数来设置库映像版本副本计数。副本计数是通过将目录中的计算机数量除以副本比率（向上取整到最接近的整数值），然后将该值限制为最大副本数来计算的。例如，如果副本比率为 20，最大副本数为 5，则 0-20 台计算机创建一个副本，21-40 台计算机创建 2 个副本，41-60 台计算机创建 3 个副本，61-80 台计算机创建 4 个副本，81 台以上计算机创建 5 个副本。

用例：更新共享映像库副本比率和最大副本数

现有计算机目录使用共享映像库。使用 Set-ProvScheme 命令更新目录中所有现有计算机和任何未来计算机的自定义属性：

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

用例：将基于快照的目录转换为基于共享映像库的目录

对于此用例：

1. 运行 Set-ProvScheme，并将 UseSharedImageGallery 标志设置为 True。可以选择包含 SharedImageGalleryReplicaRatio 和 SharedImageGalleryReplicaMaximum 属性。
2. 更新目录。
3. 对计算机进行电源循环以强制更新。

例如：

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="True"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaRatio" Value="30"/> <Property xsi:type="IntProperty" Name="SharedImageGalleryReplicaMaximum" Value="20"/></CustomProperties>'
<!--NeedCopy-->

提示：

参数 SharedImageGalleryReplicaRatio 和 SharedImageGalleryReplicaMaximum 不是必需的。在 Set-ProvScheme 命令完成后，共享映像库映像尚未创建。一旦目录配置为使用该库，下一次目录更新操作会将发布的映像存储在该库中。目录更新命令会创建库、库映像和映像版本。重新启动计算机将更新它们，此时（如果适用）副本计数也会更新。从那时起，所有现有的非持久性计算机都将使用共享映像库映像进行重置，所有新预配的计算机都将使用该映像创建。旧快照将在几小时内自动清理。

使用案例：将一个共享映像库目录转换为一个快照目录

对于此用例：

1. 运行 Set-ProvScheme，并将 UseSharedImageGallery 标志设置为 False 或未定义。
2. 更新目录。
3. 重新启动计算机以强制更新。

例如：

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="StorageType" Value="Standard_LRS"/> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="True"/> <Property xsi:type="StringProperty" Name="UseSharedImageGallery" Value="False"/></CustomProperties>'
<!--NeedCopy-->

提示：

与从快照更新到共享映像库目录不同，每台计算机的自定义数据尚未更新以反映新的自定义属性。运行以下命令以查看原始共享映像库自定义属性：Get-ProvVm -ProvisioningSchemeName catalog-name。在 Set-ProvScheme 命令完成后，映像快照尚未创建。一旦目录配置为不使用该库，下一次目录更新操作会将发布的映像存储为快照。从那时起，所有现有的非持久性计算机都将使用快照进行重置，所有新预配的计算机都将从快照创建。重新启动计算机将更新它们，此时自定义计算机数据将更新以反映 UseSharedImageGallery 设置为 False。旧的共享映像库资产（库、映像和版本）将在几小时内自动清理。

将计算机预配到指定的可用性区域

您可以在 Azure 环境中将计算机预配到特定的可用性区域。您可以使用 PowerShell 实现此目的。

注意：

如果未指定区域，MCS 将允许 Azure 在区域内放置计算机。如果指定了多个区域，MCS 将在这些区域之间随机分发计算机。

通过 PowerShell 配置可用性区域

使用 PowerShell，您可以通过 Get-Item 查看产品库存项。例如，要查看 美国东部区域 的 Standard_B1ls 服务产品：

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\serviceoffering.folder\Standard_B1ls.serviceoffering"
<!--NeedCopy-->

要查看区域，请对该项使用 AdditionalData 参数：

$serviceOffering.AdditionalData

如果未指定可用性区域，则计算机的预配方式不会改变。

要通过 PowerShell 配置可用性区域，请使用 New-ProvScheme 操作提供的 Zones 自定义属性。Zones 属性定义了用于预配计算机的可用性区域列表。这些区域可以包含一个或多个可用性区域。例如，对于区域 1 和 3，使用 <Property xsi:type="StringProperty" Name="Zones" Value="1, 3"/>。

使用 Set-ProvScheme 命令更新预配方案的区域。

如果提供了无效区域，则不会更新预配方案，并且会显示一条错误消息，提供有关如何修复无效命令的说明。

提示：

如果指定了无效的自定义属性，则不会更新预配方案，并且会显示相关的错误消息。

存储类型

为使用 MCS 的 Azure 环境中的虚拟机选择不同的存储类型。对于目标 VM，MCS 支持：

• 操作系统磁盘：高级 SSD、SSD 或 HDD
• 回写缓存磁盘：高级 SSD、SSD 或 HDD

使用这些存储类型时，请考虑以下事项：

• 确保您的虚拟机支持所选的存储类型。
• 如果您的配置使用 Azure 临时磁盘，则无法获得回写缓存磁盘设置选项。

提示：

StorageType 配置用于操作系统类型和存储帐户。WBCDiskStorageType 配置用于回写缓存存储类型。对于普通目录，需要 StorageType。如果未配置 WBCDiskStorageType，则 StorageType 将用作 WBCDiskStorageType 的默认值。

If WBCDiskStorageType is not configured, then StorageType is used as the default for WBCDiskStorageType

配置存储类型

要为虚拟机配置存储类型，请在 New-ProvScheme 中使用 StorageType 参数。将 StorageType 参数的值设置为其中一种支持的存储类型。

以下是预配方案中 CustomProperties 参数的示例集：

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client" />
</CustomProperties>'
<!--NeedCopy-->

启用区域冗余存储

您可以在目录创建期间选择区域冗余存储。它将您的 Azure 托管磁盘同步复制到多个可用区，从而允许您通过利用其他区域的冗余来从一个区域的故障中恢复。

您可以在存储类型自定义属性中指定 Premium_ZRS 和 StandardSSD_ZRS。ZRS 存储可以使用现有自定义属性或通过 MachineProfile 模板进行设置。ZRS 存储还支持带 -StartsNow 和 -DurationInMinutes -1 参数的 Set-ProvVMUpdateTimeWindow 命令，并且您可以将现有计算机从 LRS 存储更改为 ZRS 存储。

限制：

• 仅适用于托管磁盘
• 仅支持高级和标准固态硬盘 (SSD)
• 不支持 StorageTypeAtShutdown
• 仅在特定区域可用。
• 大规模创建 ZRS 磁盘时，Azure 的性能会下降。因此，首次开机时，请分小批量（每次少于 300 台计算机）开启计算机。

将区域冗余存储设置为磁盘存储类型

您可以在初始目录创建期间选择区域冗余存储，也可以在现有目录中更新存储类型。

使用 PowerShell 命令选择区域冗余存储

在 Azure 中使用 New-ProvScheme PowerShell 命令创建新目录时，请在 StorageAccountType 中使用 Standard_ZRS 作为值。 例如:

<Property xsi:type="StringProperty" Name="StorageAccountType" Value="StandardSSD_ZRS" />
<!--NeedCopy-->

设置此值时，动态 API 会对其进行验证，以确定其是否可以正确使用。如果 ZRS 的使用对您的目录无效，则可能会出现以下异常：

• 关机时存储类型不支持 ZRS 磁盘：StorageTypeAtShutdown 自定义属性不能与 ZRS 存储一起使用。
• 区域中不支持存储帐户类型：如果您尝试在不支持 ZRS 的 Azure 区域中使用 ZRS 存储，则会发生此异常。
• ZrsRequiresManagedDisks：区域冗余存储只能与托管磁盘一起使用。

您可以使用以下自定义属性设置磁盘存储类型：

• StorageType
• WBCDiskStorageType
• IdentityDiskStorageType

注意：

在目录创建期间，如果未设置自定义属性，则使用计算机配置文件的操作系统磁盘 StorageType。

从计算机配置文件捕获虚拟机和网卡的诊断设置

您可以在创建计算机目录、更新现有计算机目录以及更新现有虚拟机时，从计算机配置文件捕获虚拟机和网卡的诊断设置。

您可以创建虚拟机或模板规范作为计算机配置文件源。

关键步骤

1. 在 Azure 中设置所需的 ID。您必须在模板规范中提供这些 ID。

   • 存储帐户
   • 日志分析工作区
   • 采用标准层定价的事件中心命名空间
2. 创建计算机配置文件源。
3. 创建新的计算机目录、更新现有目录或更新现有虚拟机。

在 Azure 中设置所需的 ID

在 Azure 中设置以下其中一项：

• 存储帐户
• 日志分析工作区
• 事件中心命名空间，采用标准层定价

设置存储帐户

在 Azure 中创建标准存储帐户。在模板规范中，将存储帐户的完整 resourceId 指定为 storageAccountId。

一旦虚拟机设置为将数据记录到存储帐户，数据可以在 insights-metrics-pt1m 容器下找到。

设置日志分析工作区

创建日志分析工作区。在模板规范中，将日志分析工作区的完整 resourceId 指定为 workspaceId。

一旦虚拟机设置为将数据记录到工作区，就可以在 Azure 的“日志”下查询数据。您可以在 Azure 的“日志”下运行以下命令，以显示资源记录的所有指标的计数：

AzureMetrics | summarize Count=count() by ResourceId

设置事件中心

在 Azure 门户中设置事件中心，请执行以下操作：

1. 创建采用标准层定价的事件中心命名空间。
2. 在该命名空间下创建事件中心。
3. 导航到事件中心下的 捕获。打开开关以使用 Avro 输出类型进行捕获。
4. 在现有存储帐户中创建新容器以捕获日志。
5. 在模板规范中，按以下格式指定 eventHubAuthorizationRuleId：/subscriptions/093f4c12-704b-4b1d-8339-f339e7557f60/resourcegroups/matspo/providers/Microsoft.EventHub/namespaces/matspoeventhub/authorizationrules/RootManageSharedAccessKey
6. 指定事件中心的名称。

一旦虚拟机设置为将数据记录到事件中心，数据就会被捕获到配置的存储容器中。

创建计算机配置文件源

您可以创建虚拟机或模板规范作为计算机配置文件源。

创建基于虚拟机的带诊断设置的计算机配置文件

如果要创建虚拟机作为计算机配置文件，则首先在模板虚拟机本身上设置诊断设置。您可以参考 Microsoft 文档 Azure Monitor 中的诊断设置 中提供的详细说明。

您可以运行以下命令来验证虚拟机或网卡上现在是否已存在诊断设置：

az monitor diagnostic-settings list --resource-group matspo --resource matspo-tog-cc2659 --resource-type microsoft.network/networkInterfaces
<!--NeedCopy-->

az monitor diagnostic-settings list --resource-group matspo --resource matspo-tog-cc2 --resource-type microsoft.compute/virtualMachines
<!--NeedCopy-->

创建基于模板规范的带诊断设置的计算机配置文件

如果您想使用已启用诊断设置的虚拟机并将其导出到 ARM 模板规范中，这些设置将不会自动包含在模板中。您必须在 ARM 模板中手动添加或修改诊断设置。

但是，如果您希望将虚拟机作为计算机配置文件，MCS 会确保准确捕获关键诊断设置并将其应用于 MCS 目录中的资源。

1. 创建定义虚拟机和网卡（一个或多个）的标准模板规范。

2. 根据规范添加其他资源以部署诊断设置：Microsoft.Insights diagnosticSettings。对于范围，通过名称和部分 ID 引用模板中的虚拟机或网卡。例如，要在模板规范中为名为 test-VM 的虚拟机创建诊断设置，请将范围指定为：

   "scope": "microsoft.compute/virtualMachines/test-VM",
   <!--NeedCopy-->
   

3. 使用模板规范作为计算机配置文件源。

创建或更新带诊断设置的目录

创建计算机配置文件源后，您现在可以使用 New-ProvScheme 命令创建计算机目录，使用 Set-ProvScheme 命令更新现有计算机目录，并使用 Request-ProvVMUpdate 命令更新现有虚拟机。

页面文件位置

在 Azure 环境中，首次创建 VM 时，页面文件会设置到适当的位置。页面文件设置的配置格式为 <page file location>[min size] [max size]（大小以 MB 为单位）。有关详细信息，请参阅 Microsoft 文档 如何确定适当的页面文件。

在映像准备期间创建 ProvScheme 时，MCS 会根据某些规则确定页面文件位置。创建 ProvScheme 后：

• 如果传入的 VM 大小导致页面文件设置不同，则会阻止 VM 大小更改。
• 如果服务产品因计算机配置文件更新而更改，导致页面文件设置不同，则会阻止计算机配置文件更新。
• 临时 OS 磁盘 (EOS) 和 MCSIO 属性无法更改。

页面文件位置确定

EOS 和 MCSIO 等功能都有其各自预期的页面文件位置，并且彼此互斥。下表显示了每个功能的预期页面文件位置：

注意：

即使映像准备与预配方案创建分离，MCS 也能正确确定页面文件位置。默认页面文件位置在操作系统磁盘上。

页面文件设置方案

下表描述了在映像准备和预配方案更新期间页面文件设置的一些可能方案：

更新页面文件设置

您还可以使用 PowerShell 命令显式指定页面文件设置，包括位置和大小。这会覆盖 MCS 确定的值。您可以通过运行 New-ProvScheme 命令并包含以下自定义属性来完成此操作：

• PageFileDiskDriveLetterOverride：页面文件位置磁盘驱动器号
• InitialPageFileSizeInMB：初始页面文件大小（MB）
• MaxPageFileSizeInMB：最大页面文件大小（MB）

使用自定义属性的示例：

-CustomProperties '<CustomProperties xmlns=" http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi=" http://www.w3.org/2001/XMLSchema-instance"> `
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="false"/> `
<Property xsi:type="StringProperty" Name="PersistVm" Value="false"/> `
<Property xsi:type="StringProperty" Name="PageFileDiskDriveLetterOverride" Value="d"/> `
<Property xsi:type="StringProperty" Name="InitialPageFileSizeInMB" Value="2048"/> `
<Property xsi:type="StringProperty" Name="MaxPageFileSizeInMB" Value="8196"/> `
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS"/> `
<Property xsi:type="StringProperty" Name="LicenseType" Value="Windows_Client"/> `
</CustomProperties>'
<!--NeedCopy-->

限制：

• 只能在通过运行 New-ProvScheme 命令创建预配方案时更新页面文件设置，并且页面文件设置以后无法更改。
• 在自定义属性中提供所有与页面文件设置相关的属性（PageFileDiskDriveLetterOverride、InitialPageFileSizeInMB 和 MaxPageFileSizeInMB），或者不提供任何属性。
• 初始页面文件大小必须介于 16 MB 和 16777216 MB 之间。
• 最大页面文件大小必须大于或等于初始页面文件大小，且小于 16777216 MB。
• Web Studio 不支持此功能。

使用 Azure 现货虚拟机创建目录

Azure Spot VM 允许您利用 Azure 未使用的计算容量，从而显著节省成本。但是，分配 Azure Spot VM 的能力取决于当前的容量和定价。因此，Azure 可能会根据驱逐策略 驱逐正在运行的 VM、无法创建 VM 或无法启动 VM。因此，Azure Spot VM 适用于某些非关键应用程序和桌面。有关详细信息，请参阅使用 Azure Spot 虚拟机。

局限性

• 并非所有 VM 大小都支持 Azure Spot VM。有关详细信息，请参阅 限制。

  您可以运行以下 PowerShell 命令来检查 VM 大小是否支持 Spot VM。如果 VM 大小支持 Spot VM，则 SupportsSpotVM 为 True。

   (Get-Item "XDHyp:\HostingUnits\azure-res-conn2\serviceoffering.folder\Standard_D2ds_v4.serviceoffering"). AdditionalData
   <!--NeedCopy-->
  

• 目前，Azure 现货虚拟机不支持休眠。

所需条件

为 Azure Spot VM 目录创建计算机配置文件源（VM 或模板规范）时，您必须选择 Azure Spot 实例（如果使用 VM）或将 priority 设置为 Spot（如果使用模板规范）。

使用 Azure Spot VM 创建目录的步骤

1. 创建计算机配置文件源（VM 或启动模板）。

   • 有关使用 Azure 门户创建 VM 的信息，请参阅 使用 Azure 门户部署 Azure Spot 虚拟机。

   • 要创建模板规范，请在模板规范中，于 资源 > 类型: Microsoft.Compute/虚拟机 > 属性 下添加以下属性。例如：

      "priority": "Spot",
      "evictionPolicy": "Deallocate",
      "billingProfile": {
      "maxPrice": 0.01
      }
      <!--NeedCopy-->
     

   注意：

   • 逐出策略可以是 解除分配 或 删除。
     • 对于非持久性 VM，MCS 始终将逐出策略设置为 删除。如果 VM 被逐出，它将与任何非持久性磁盘（例如，操作系统磁盘）一起被删除。任何持久性磁盘（例如，身份磁盘）都不会被删除。但是，如果目录类型是持久性的，或者 PersistOsDisk 自定义属性设置为 True，则操作系统磁盘是持久性的。同样，如果 PersistWbc 自定义属性设置为 True，则 WBC 磁盘是持久性的。
     • 对于持久性 VM，MCS 始终将逐出策略设置为解除分配。如果 VM 被逐出，它将被解除分配。磁盘不会发生任何更改。
   • 最高价格是您每小时愿意支付的价格。如果您使用的是 仅容量，则此值为 -1。最高价格只能为 null、-1 或大于零的小数。有关详细信息，请参阅 定价。

2. 您可以运行以下 PowerShell 命令来检查计算机配置文件是否启用了 Azure 现成 VM。如果 SpotEnabled 参数为 True 且 SpotEvictionPolicy 设置为 解除分配 或 删除，则计算机配置文件已启用 Azure 现成 VM。例如，

   • 如果计算机配置文件源是 VM，请运行以下命令：

      (Get-Item "XDHyp:\HostingUnits\azure-res-conn2\machineprofile.folder\fifthcolumn.resourcegroup\kb-spot-delete.vm"). AdditionalData
      <!--NeedCopy-->
     

   • 如果计算机配置文件源是模板规范，请运行以下命令：

      (Get-Item "XDHyp:\HostingUnits\azure-res-conn2\machineprofile.folder\fifthcolumn.resourcegroup\fc-aeh-templatespec.templatespec\14.0.0-spot-delete.templatespecversion").AdditionalData
      <!--NeedCopy-->
     

3. 使用具有 New-ProvScheme PowerShell 命令的计算机配置文件创建计算机目录。

您可以使用 Set-ProvScheme 命令更新目录。您还可以使用 PowerShell 命令 Set-ProvVmUpdateTimeWindow 更新现有 VM。计算机配置文件将在下次开机时更新。

正在运行的 Azure 现成 VM 上的逐出

如果计算容量不可用或每小时价格高于配置的最高价格，Azure 会逐出正在运行的现成 VM。默认情况下，您不会收到逐出通知。VM 只是冻结，然后被逐出。Microsoft 建议使用计划事件来监视逐出。请参阅 持续监视逐出。您还可以从 VM 内部运行脚本，以便在逐出之前收到通知。例如，Microsoft 在 Python 中有一个轮询脚本 ScheduledEvents.cs。

故障排除

• 您可以使用 Get-ProvVM 命令在预配的 VM 的 customMachineData 中查看现成 VM 属性。如果优先级字段设置为 Spot，则表示正在使用现成 VM。

• 您可以在 Azure 门户中检查 VM 是否正在使用现成 VM：

  1. 在 Azure 门户中找到 VM。
  2. 转到“概述”页面。

  3. 滚动到底部并找到“Azure Spot”部分。

     • 如果未使用 Spot，则此字段为空。
     • 如果正在使用 Spot，则会设置“Azure Spot”和“Azure Spot 逐出策略”字段。

1. 您可以在“配置”页面上查看 VM 的计费配置文件或每小时最高价格。

配置备份 VM 大小

公有云有时可能会耗尽特定 VM 大小的容量。此外，如果您使用 Azure Spot VM，则 VM 会根据 Azure 的容量需求随时被逐出。在 Azure 容量不足或 Spot VM 启动失败的情况下，MCS 会回退到备份 VM 大小。在创建或更新 MCS 计算机目录时，您可以使用自定义属性 BackupVmConfiguration 提供备份 VM 大小列表。MCS 会按照您在列表中提供的顺序尝试回退到备份 VM 大小。

当 MCS 为 VM 使用特定的备份配置时，它会继续使用该配置直到下次关机。在下次开机时，MCS 会尝试启动主 VM 配置。如果失败，MCS 会再次尝试按照列表启动备份 VM 大小配置。

此功能支持以下情况：

• 使用计算机配置文件的目录
• 持久和非持久 MCS 计算机目录
• 当前的 Azure 环境

重要注意事项

• 您可以在列表中提供多个备份 VM 大小。
• 列表必须是唯一的。
• 您可以为列表中的每个 VM 添加实例类型属性。类型可以是 Spot 或 Regular。如果未指定类型，则 MCS 会将 VM 视为 Regular。
• 您可以使用 Set-ProvScheme PowerShell 命令更改现有目录的备份 VM 大小列表。
• 您可以使用 Set-ProvVMUpdateTimeWindow 命令更新从与目录关联的预配方案创建的现有 VM。
• 您可以使用 Set-ProvVM 命令为选定数量的现有 MCS VM 配置备份 VM 大小列表。但是，要应用更新，请使用 Set-ProvVMUpdateTimeWindow 为 VM 设置更新时间窗口，并在该窗口内启动 VM。如果在 VM 上使用 Set-ProvVm 命令，则即使预配方案上的列表稍后更新，VM 仍会继续使用在该特定 VM 上设置的备份 VM 大小列表。您可以使用 Set-ProvVM 和 -RevertToProvSchemeConfiguration 使 VM 使用预配方案上的备份列表。

创建具有备份 VM 大小的目录

注意：

为解决 Studio UI 冻结问题，请在运行 PowerShell 命令时将所有单引号替换为 "。

1. 打开一个 PowerShell 命令行窗口。
2. 运行 asnp citrix* 以加载 思杰 特定的 PowerShell 模块。
3. 创建 Broker 目录。此目录将填充即将创建的计算机。
4. 创建身份池。这将成为为即将创建的计算机创建的 AD 帐户的容器。
5. 使用计算机配置文件创建预配方案。请参阅 如何配置备份配置。
6. 使用预配方案的唯一 ID 更新 BrokerCatalog。
7. 创建 VM 并将其添加到目录。

更新现有的目录

您可以使用 Set-ProvScheme 命令更新预配方案。请参阅 如何配置备份配置。

更新现有 VM

您可以使用 Set-ProvVMUpdateTimeWindow PowerShell 命令更新目录中的现有 VM。该命令会在给定时间窗口内下次开机时更新从与目录关联的预配方案创建的 VM。例如：

• Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName azure-catalog -StartTimeInUTC "3/12/2022 3am" -DurationInMinutes 60
• Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName azure-catalog -StartsNow -DurationInMinutes 60

注意：

StartsNow 指示计划的开始时间。DurationInMinutes 是计划的时间窗口。

您可以使用 Set-ProvVM 命令为选定数量的现有 MCS VM 配置备份 VM 大小列表。但是，要应用更新，请使用 Set-ProvVMUpdateTimeWindow 为 VM 设置更新时间窗口，并在该窗口内启动 VM。例如：

1. 运行 Set-ProvVM 命令，为选定的现有 MCS VM 配置备份 VM 大小列表。例如：

   Set-ProvVM -ProvisioningSchemeName "name" -VMName "Vm-001"
   -CustomProperties
   "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`"xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
   <Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" />
   <Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" />
   <Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`"/>
   <Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`"/>
   <Property xsi:type=`"StringProperty`" Name=`"BackupVmConfiguration`" Value=`"[{&quot;ServiceOffering&quot;: &quot;Standard_D2as_v4&quot;, &quot;Type&quot;: &quot;Spot&quot;}, {&quot;ServiceOffering&quot;: &quot;Standard_D2s_v3&quot;, &quot;Type&quot;: &quot;Regular&quot;}, {&quot;ServiceOffering&quot;: &quot;Standard_D2s_v3&quot;, &quot;Type&quot;: &quot;Spot&quot;}]`"/>
   </CustomProperties>"
   <!--NeedCopy-->
   

2. 运行 Set-ProvVMUpdateTimeWindow 命令以应用更新。例如：

   Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName azure-catalog -StartsNow -DurationInMinutes 60
   <!--NeedCopy-->
   

复制所有资源上的标签

您可以将计算机配置文件中指定的标签复制到新 VM 或计算机目录中现有 VM 的所有资源，例如多个 NIC 和磁盘（操作系统磁盘、身份磁盘和回写式缓存磁盘）。计算机配置文件源可以是 VM 或 ARM 模板规范。

注意：

您必须添加标签策略（请参阅 分配标签合规性策略定义）或在计算机配置文件源中添加标签，以保留资源上的标签。

先决条件

创建计算机配置文件源（VM 或 ARM 模板规范），以便在该 VM 的 VM、磁盘和 NIC 上具有标签。

• 如果要将 VM 作为计算机配置文件输入，则在 Azure 门户中将标签应用于 VM 和所有资源。请参阅 使用 Azure 门户应用标签。

• 如果要将 ARM 模板规范作为计算机配置文件输入，则在每个资源下添加以下标签块。

    "tags": {
   "TagC": "Value3"
   },
   <!--NeedCopy-->
  

注意：

模板规范中最多可以有一个磁盘，并且至少有一个 NIC。

将标签复制到新计算机目录中 VM 的资源

1. 创建非持久性或持久性目录，以 VM 或 ARM 模板规范作为计算机配置文件输入。

2. 将 VM 添加到目录并将其开机。您应该会看到计算机配置文件中指定的标签已复制到该 VM 的相应资源。

   注意：

   如果计算机配置文件中提供的 NIC 数量与您希望 VM 使用的 NIC 数量不匹配，您会收到错误。

修改现有 VM 资源上的标签

1. 创建计算机配置文件，并在所有资源上添加标签。

2. 使用更新的计算机配置文件更新现有计算机目录。例如：

   Set-ProvScheme -ProvisioningSchemeName <YourCatalogName> -MachineProfile <PathToYourMachineProfile>
   <!--NeedCopy-->
   

3. 关闭您希望在其上应用更新的虚拟机。

4. 请求 VM 的计划更新。例如：

   Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName <YourCatalogName>  -VMName machine1 -StartsNow -DurationInMinutes -1
   <!--NeedCopy-->
   

5. 打开 VM。
6. 您必须看到计算机配置文件中指定的标签已复制到相应的资源。

注意：

如果计算机配置文件中提供的 NIC 数量与 Set-ProvScheme 中提供的 NIC 数量不匹配，则会收到错误。

下一步操作

• 如果这是创建的第一个目录，Web Studio 会引导您创建交付组
• 要查看整个配置过程，请参阅安装和配置
• 要管理目录，请参阅管理计算机目录和管理 Microsoft Azure 目录

更多信息

• 创建和管理连接和资源
• 连接到 微软 Azure 资源管理器
• 创建计算机目录