创建Microsoft Azure目录

创建机器目录描述创建计算机目录的向导。以下信息涵盖特定于Microsoft Azure Resource Manager云环境的详细信息。

注意:

在创建Microsoft Azure目录之前，您需要完成创建到Microsoft Azure的连接。看到连接到Microsoft Azure。

Azure按需供应

对于Azure按需发放，只有在发放完成后，Citrix虚拟应用程序和桌面启动上电操作时，才会创建虚拟机。

当您使用MCS在Azure资源管理器中创建机器目录时，Azure按需配置功能:

• 降低存储成本
• 提供更快的目录创建

创建MCS目录时，Azure门户会显示资源组中的网络安全组、网络接口、基本映像和标识磁盘。

Azure门户不会显示虚拟机，直到Citrix虚拟应用程序和桌面启动它的开机操作。此时，虚拟机在“全配置”界面的状态变为在。有两种类型的机器，它们的区别如下:

• 对于池机，操作系统磁盘和回写缓存只有在虚拟机存在时才存在。在控制台中关闭合用机器时，VM在Azure门户中不可见。如果您经常关闭机器(例如，在工作时间之外)，则可以节省大量存储成本。
• 对于专用机，首次上电时创建操作系统磁盘。在删除计算机标识之前，Azure门户中的VM将保持在存储中。当您在控制台中关闭专用计算机时，VM在Azure门户中仍然可见。

使用Azure资源管理器映像创建机器目录

此信息是对指南的补充创建机器目录。

镜像是用于在机器目录中创建虚拟机的模板。在创建机器目录之前，请在Azure资源管理器中创建映像。有关映像的一般信息，请参见创建机器目录。

提示:

不支持使用非托管磁盘发放虚拟机。

在镜像制作过程中，会在原虚拟机的基础上创建一个准备虚拟机。该准备虚拟机网络断开。为了断开准备虚拟机与网络的连接，需要创建网络安全组，阻断所有进出网络的流量。每个目录自动创建一次网络安全组。网络安全组的名称为Citrix-Deny-All-a3pgu-GUID，其中随机生成GUID。例如,citrix -否认所有a3pgu - 3 - f161981 - 28 - e2 - 4223 b797 - 88 b04d336dd1。

在机器目录创建向导中:

• 的机器类型和机管理页面不包含特定于azure的信息。的指导创建机器目录篇文章。

• 在主形象页，选择要用作目录中所有计算机的主映像的映像。的选择一个图像向导。选择映像所在的订阅，选择资源组，然后导航到Azure VHD或Azure计算库(以前称为共享映像库)或Azure映像版本。

  在选择图片时，请考虑以下几点:

  • 检查镜像上是否安装了Citrix VDA。
  • 如果选择的是虚拟机绑定的VHD，则必须关闭虚拟机，才能进行下一步操作。

  注意:

  • 与在目录中创建机器的连接(主机)相对应的订阅用绿点表示。其他订阅是那些与该订阅共享Azure计算库的订阅。在这些订阅中，只显示共享的图库。有关如何配置共享订阅的信息，请参见使用完整配置使用共享映像创建或更新机器目录。
  • 使用可信启动为的机器配置文件安全类型在选择启用了可信启动的映像或快照时是必选的。然后，您可以通过在机器配置文件中指定它们的值来启用或禁用SecureBoot和vTPM。有关Azure可信启动的信息，请参见https://docs.microsoft.com/en-us/azure/virtual-machines/trusted-launch。
  • 您可以在具有可信启动的Windows操作系统上使用临时操作系统磁盘创建发放方案。当您选择具有可信启动的映像时，您必须选择具有可信启动的机器配置文件，该配置文件是通过vTPM启用的。要使用临时操作系统磁盘创建机器目录，请参见如何使用临时操作系统磁盘创建机器。
  • 当映像复制正在进行时，您可以继续并选择该映像作为主映像并完成设置。但是，在复制映像时，完成目录创建可能需要更长的时间。MCS要求从创建目录开始的一个小时内完成复制。如果复制超时，则创建目录失败。您可以在Azure中验证复制状态。如果复制仍然挂起或在复制完成后重试。
  • 在Azure中为机器目录选择主映像时，MCS会根据所选择的主映像和机器配置文件识别操作系统类型。如果MCS无法识别，请选择与主映像匹配的操作系统类型。

  选择是否希望目录中的虚拟机从计算机配置文件继承配置。默认情况下，使用机器配置文件(Azure Active Directory必须使用)复选框。点击选择机器配置文件从资源组列表中浏览到虚拟机或ARM模板规格。

  验证ARM模板规范，以确保它是否可以用作创建机器目录的机器配置文件。有关创建Azure模板规范的信息，请参见创建Azure模板规范。有两种方法可以验证ARM模板规范:

  • 在资源组列表中选择ARM模板规格后，单击下一个。如果ARM模板规范有错误，则会出现错误消息。
  • 运行以下PowerShell命令之一:
    • Test-ProvInventoryItem -HostingUnitName -InventoryPath
    • Test-ProvInventoryItem -HostingUnitUid -InventoryPath

  vm可以从机器配置文件继承的配置示例包括:

  • 加速网络
  • 引导诊断
  • 主机磁盘缓存(与操作系统和MCSIO磁盘相关)
  • 机器尺寸(除非另有说明)
  • 虚拟机的标签

  创建目录之后，您可以查看映像从机器概要文件继承的配置。在机目录节点，选择目录以在下面的窗格中查看其详细信息。然后，单击模板属性选项卡查看机器配置文件属性。的标签节最多显示三个标记。单击，查看该虚拟机的所有标签查看所有。

  如果您希望MCS在Azure专用主机上发放虚拟机，请启用使用主机组复选框，在列表中选择主机组。主机组是一组专用主机的集合。专用主机是一种提供物理服务器的服务，这些物理服务器可以承载一个或多个虚拟机。您的服务器专用于您的Azure订阅，不能与其他订阅用户共享。当您使用专用主机时，Azure确保您的虚拟机是该主机上唯一运行的机器。该特性适用于需要满足法规要求或内部安全要求的场景。要了解有关主机组的更多信息以及使用它们时的注意事项，请参见Azure专用主机。

  重要的是:

  • 只显示启用了Azure自动放置的主机组。
  • 使用主机组将改变虚拟机页面稍后在向导中提供。该页面上只显示所选主机组包含的机器大小。另外，可用区是自动选择的，不可选择。

• 的存储和License类型页仅在使用Azure资源管理器映像时显示。

  

  您可以为机器目录使用以下存储类型:

  • 溢价SSD。提供高性能、低延迟的磁盘存储选项，适用于I/ o密集型工作负载的虚拟机。
  • 标准的固态硬盘。提供具有成本效益的存储选项，适用于需要在较低IOPS水平下保持一致性能的工作负载。
  • 标准硬盘。为运行延迟不敏感工作负载的虚拟机提供可靠、低成本的磁盘存储选项。
  • Azure临时操作系统磁盘。提供一种低成本的存储选择，可以重用虚拟机的本地磁盘来承载操作系统磁盘。或者，您可以使用PowerShell创建使用临时操作系统磁盘的机器。有关更多信息，请参见Azure临时磁盘。使用临时操作系统磁盘时，请注意以下事项:
    • Azure临时操作系统磁盘和MCS I/O不能同时启用。
    • 当更新使用临时磁盘的虚拟机时，必须选择不超过虚拟机缓存磁盘或临时磁盘大小的镜像。
    • 你不能使用在电源周期中保留系统盘选项，稍后在向导中提供。

  注意:

  无论您选择哪种存储类型，始终使用标准SSD创建标识磁盘。

  存储类型决定了提供的机器大小虚拟机向导的页面。MCS将高级和标准磁盘配置为使用本地冗余存储(LRS)。LRS在单个数据中心内生成磁盘数据的多个同步副本。Azure临时操作系统磁盘使用虚拟机的本地磁盘来存储操作系统。有关Azure存储类型和存储复制的详细信息，请参见以下内容:

  • https://docs.microsoft.com/en-us/azure/storage/common/storage-introduction/
  • https://docs.microsoft.com/en-us/azure/virtual-machines/premium-storage-performance/
  • https://docs.microsoft.com/en-us/azure/storage/common/storage-redundancy/

  选择使用现有的Windows license还是Linux license。

  • Windows许可证:使用Windows许可证和Windows映像(Azure平台支持映像或自定义映像)可以让您以较低的成本在Azure中运行Windows vm。有两种类型的许可证:

    • Windows Server许可证。允许您使用Windows Server或Azure Windows Server许可证，从而允许您使用Azure混合收益。有关详情，请参阅https://azure.microsoft.com/en-us/pricing/hybrid-benefit/。Azure混合效益将在Azure中运行vm的成本降低到基本计算率，从而免除了Azure库的额外Windows Server许可证的成本。

    • Windows客户端许可证。允许您将Windows 10和Windows 11许可证带到Azure，允许您在Azure中运行Windows 10和Windows 11虚拟机，而无需额外的许可证。有关详情，请参阅客户端接入license和管理license。

  执行以下PowerShell命令可以验证发放的虚拟机是否使用了授权优势:Get-AzVM -ResourceGroup MyResourceGroup -Name MyVM。

  • 对于Windows Server license类型，请确认license类型为Windows_Server。更多说明可在https://docs.microsoft.com/en-us/azure/virtual-machines/windows/hybrid-use-benefit-licensing/。

  • 对于Windows Client的license类型，请确认license类型为Windows_Client。更多说明可在https://docs.microsoft.com/en-us/azure/virtual-machines/windows/windows-desktop-multitenant-hosting-deployment/。

  或者，您可以使用Get-ProvschemePowerShell SDK来做验证。例如:Get-Provscheme -ProvisioningSchemeName“我的Azure目录”。有关此cmlet的更多信息，请参见https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/MachineCreation/Get-ProvScheme/。

  • Linux许可证:使用自带订阅(BYOS) Linux许可证，您不必为软件付费。BYOS费用仅包括计算硬件费用。有两种类型的许可证:

    • RHEL_BYOS要成功使用RHEL_BYOS类型，请在Azure订阅上启用Red Hat Cloud Access。
    • SLES_BYOS: SLES的BYOS版本包含了SUSE的支持。

    可以将“LicenseType”的值设置为“Linux options”New-ProvScheme和Set-ProvScheme。

    使用实例将LicenseType设置为RHEL_BYOS atNew-ProvScheme：

    New-ProvScheme -CleanOnBoot -ProvisioningSchemeName "azureCatalog" - runasynchronous -Scope @() -SecurityGroup @() -CustomProperties ' 

    使用实例将LicenseType设置为SLES_BYOS atSet-ProvScheme：

    Set-ProvScheme -ProvisioningSchemeName "azureCatalog" -CustomProperties '' 

    注意:

    如果LicenseType值为空，则根据OsType的值，默认值为“Azure Windows Server License”或“Azure Linux License”。

    使用实例将LicenseType设置为空。

    Set-ProvScheme -ProvisioningSchemeName "azureCatalog" -CustomProperties '' 

  请参考以下文档了解License的类型和各自的好处:

  • https://docs.microsoft.com/en-us/dotnet/api/microsoft.azure.management.compute.models.virtualmachine.licensetype?view=azure-dotnet

  • https://docs.microsoft.com/en-us/azure/virtual-machines/linux/azure-hybrid-benefit-linux

  Azure共享图像库(SIG)是一个用于管理和共享图像的存储库。它使您可以在整个组织中使用您的映像。我们建议您在创建大型非持久性机器目录时将映像存储在SIG中，因为这样做可以更快地重置VDA OS磁盘。选择之后将图像放在Azure共享图像库中,Azure共享图像库设置部分出现，允许您指定更多SIG设置:

  • 虚拟机与映像副本的比率。允许您指定希望Azure保留的虚拟机与映像副本的比例。默认情况下，Azure为每40台非持久化机器保留一个映像副本。对于持久化机器，该数字默认为1,000。

  • 最大副本数。允许您指定希望Azure保留的映像副本的最大数量。默认值是10。

• 在虚拟机页面中，指定需要创建的虚拟机数量。您必须至少指定一个并选择计算机大小。创建目录后，可以通过编辑目录来更改计算机大小。

• 的网卡页不包含特定于azure的信息。的指导创建机器目录篇文章。

• 在磁盘设置页，选择是否启用回写缓存。启用MCS存储优化特性后，您可以在创建目录时配置以下设置。这些设置适用于Azure和GCP环境。

  

  启用回写缓存后，您可以执行以下操作:

  • 配置用于缓存临时数据的磁盘大小和内存大小。有关更多信息，请参见为临时数据配置缓存。

  • 选择回写缓存盘的存储类型。可用于回写缓存磁盘的存储选项如下:

    • 溢价SSD
    • 标准的固态硬盘
    • 标准硬盘

  • 选择是否为发放的虚拟机保留回写缓存盘。选择启用回写缓存使选项可用。默认情况下,使用非持久化回写缓存盘被选中。

  • https://docs.microsoft.com/en-us/azure/storage/common/storage-introduction/
  • https://docs.microsoft.com/en-us/azure/virtual-machines/premium-storage-performance/

  • https://docs.microsoft.com/en-us/azure/storage/common/storage-redundancy/

  • 选择回写缓存盘的类型。

    • 使用非持久化回写缓存盘。选中后，回写缓存盘将在电源周期内被删除。任何重定向到它的数据都将丢失。如果虚拟机的临时磁盘有足够的空间，则可以使用临时磁盘托管回写缓存磁盘，以降低成本。创建目录之后，可以检查所配置的计算机是否使用临时磁盘。为此，请单击目录并验证目录上的信息模板属性选项卡。如果使用了临时磁盘，可以看到非持久回写缓存盘它的值是是(使用虚拟机临时磁盘)。如果不是，你看非持久回写缓存盘它的值是否(不使用虚拟机的临时磁盘)。
    • 使用持久回写缓存磁盘。选中后，发放的虚拟机将保留回写缓存盘。启用该选项会增加存储成本。

  • 选择是否在电源周期内为vda保留系统盘。

    • 在电源周期中保留系统盘。默认情况下，系统盘在关机时删除，在启动时重新创建。这样可以确保磁盘始终处于干净状态，但会导致VM重新启动时间更长。如果系统写操作被重定向到RAM缓存，并且溢出到缓存盘，则系统盘保持不变。启用此选项会增加存储成本，但会减少VM重启时间。选择启用回写缓存使此选项可用。
      • 跨电源周期保留虚拟机。选择此选项可保留VM自定义并启用通过Azure门户启动VM。

  • 选择是否启用存储成本节约。开启后，可在虚拟机关闭时将存储磁盘降级为标准硬盘，节省存储成本。重启虚拟机时，虚拟机将恢复到原有设置。该选项适用于存储和回写缓存磁盘。或者，您也可以使用PowerShell。看到该任务指导管理员在虚拟机关闭后，修改存储类型为低级存储。

  • 选择是否加密编目中供应的机器上的数据。使用客户管理的加密密钥进行服务器端加密使您可以在托管磁盘级别管理加密，并保护目录中机器上的数据。有关更多信息，请参见Azure服务器端加密。

• 在资源组页，选择是创建资源组还是使用现有资源组。

  • 如果选择创建资源组，请选择下一个。
  • 如果选择使用现有资源组，请从可用的发放资源组列表。还记得:选择足够的组来容纳您在目录中创建的机器。如果您选择的数量太少，则会显示一条消息。如果您计划稍后向目录添加更多虚拟机，您可能希望选择比所需的最小值更多的选项。创建目录后，不能向目录添加更多资源组。

  有关更多信息，请参见Azure资源组。

• 在机身份页，选择标识类型并为此目录中的计算机配置标识。如果选择虚拟机为Azure Active Directory加入，您可以将它们添加到Azure AD安全组。具体步骤如下:

  1. 从身份类型字段中,选择Azure Active Directory加入。的Azure AD安全组(可选)选项出现。
  2. 点击Azure AD安全组:新建。
  3. 输入组名，然后单击创建。
  4. 按照屏幕上的说明登录到Azure。如果该组名称在Azure中不存在，则会显示一个绿色图标。否则，将出现一条错误消息，要求您输入新名称。
  5. 选择，将安全组加入到已分配的安全组中作为成员加入指定的安全组，然后点击选择组选择要加入的指定组。
  6. 输入虚拟机的机器帐号命名方案。

  创建目录后，Citrix DaaS代表您访问Azure，并为该组创建安全组和动态成员规则。该规则将自动将目录中指定命名方案的虚拟机加入到安全组中。

  向此目录添加具有不同命名方案的vm需要登录到Azure。然后，Citrix DaaS可以访问Azure，并基于新的命名方案创建动态成员规则。

  删除此编目时，从Azure中删除安全组也需要登录到Azure。

  注意:

  要在创建目录后重命名Azure AD安全组，请编辑目录并转到Azure AD安全组从左侧导航。Azure AD安全组的名称不能包含以下字符:@ " \ /;: #。* ？= < > | [] () '。

• 的域凭据和总结页面不包含特定于azure的信息。的指导创建机器目录篇文章。

完成向导。

Azure临时磁盘符合回写缓存磁盘条件

只有满足以下所有条件，才能将Azure临时磁盘用作回写缓存磁盘:

• 回写缓存磁盘必须非持久化，因为Azure临时磁盘不适合持久化数据。

• 所选Azure虚拟机大小必须包括临时磁盘。

• 操作系统暂存盘不需要开启。

• 接受将回写缓存文件放在Azure临时磁盘上。

• Azure临时磁盘大小必须大于(回写缓存磁盘大小+分页文件保留空间+ 1 GB缓冲空间)的总大小。

使用PowerShell创建具有非持久性回写缓存磁盘的目录

要配置具有非持久回写缓存磁盘的目录，请使用PowerShell参数New-ProvScheme CustomProperties。自定义属性是:

• UseTempDiskForWBC。此属性指示您是否接受使用Azure临时存储来存储回写缓存文件。运行时必须将其配置为trueNew-ProvScheme如果您希望将临时磁盘用作回写缓存磁盘。如果未指定此属性，则默认将该参数设置为False。

例如，使用CustomProperties要设置的参数UseTempDiskForWBC正确的:

-CustomProperties ' '< Property xsi:type="StringProperty" Name="PersistWBC" Value="false"/> '< Property xsi:type="StringProperty" Name="PersistOsDisk" Value="false"/> '< Property xsi:type="StringProperty" Name="PersistOsDisk" Value="false"/> '< Property xsi:type="StringProperty" Name="PersistVm" Value="false"/> '< Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS"/> '< Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS"/> '< Property xsi:type="StringProperty" Name=" http://schemas.citrix.com/2014/xd/machinecreation"Name="WBCDiskStorageType" Value="Premium_LRS"/> '  '  ' ' 

注意:

在将机器编目提交为回写缓存文件使用Azure本地临时存储后，以后不能将其更改为使用VHD。

非持久化回写缓存盘场景

下表描述了在创建机器目录时将临时磁盘用作回写缓存的三种不同场景。

使用PowerShell创建具有持久回写缓存磁盘的目录

要配置具有持久回写缓存磁盘的目录，请使用PowerShell参数New-ProvScheme CustomProperties。

提示:

使用PowerShell参数New-ProvScheme CustomProperties仅适用于基于云的托管连接。如果您希望为本地解决方案(例如，Citrix Hypervisor)提供使用持久回写缓存磁盘的机器，则不需要PowerShell，因为磁盘会自动持久。

这个参数支持一个额外的属性，PersistWBC，用于确定MCS配置的计算机的回写缓存磁盘如何持续存在。的PersistWBC属性时才使用UseWriteBackCache参数指定时，当WriteBackCacheDiskSize参数表示创建磁盘成功。

注意:

此行为适用于Azure和GCP，其中在电源循环时删除并重新创建默认的MCSIO回写缓存磁盘。您可以选择持久化磁盘，以避免删除和重新创建MCSIO回写缓存磁盘。

中的属性示例CustomProperties支持前参数PersistWBC包括:

注意:

此示例仅适用于Azure。这些属性在GCP环境中是不同的。

属性中省略这些属性时，请考虑它们包含默认值CustomProperties参数。的PersistWBC属性有两个可能的值:真正的或假。

设置PersistWBC财产真正的当Citrix虚拟应用程序和桌面系统管理员从管理界面关闭计算机时，不删除回写缓存磁盘。

设置PersistWBC财产假当Citrix虚拟应用程序和桌面系统管理员从管理界面关闭计算机时，删除回写缓存磁盘。

注意:

如果PersistWBC属性省略时，该属性默认为假当机器从管理界面关闭时，回写缓存将被删除。

例如，使用CustomProperties要设置的参数PersistWBC正确的:

重要的是:

的PersistWBC属性只能使用New-ProvSchemePowerShell cmdlet。试图改变CustomProperties在机器关闭时，配置方案的创建对机器编目和回写缓存磁盘的持久性没有影响。

例如，设置New-ProvScheme属性时使用回写缓存PersistWBC属性为true:

New-ProvScheme -CleanOnBoot -CustomProperties“< CustomProperties xmlns = " http://schemas.citrix.com/2014/xd/machinecreation " xmlns: xsi = " http://www.w3.org/2001/XMLSchema-instance " > <财产xsi: type = " StringProperty”Name = " UseManagedDisks”价值=“真正的”/ > <房地产xsi: type = '“StringProperty StorageAccountType”“Name = ' Value = " Premium_LRS”/ > <财产xsi: type = " StringProperty”Name = " ResourceGroups”Value = " benvaldev5RG3”/ > <财产xsi: type = " StringProperty”Name = " PersistWBC”Value=`"true`" /> " -HostingUnitName "adSubnetScale1" -IdentityPoolName "BV-WBC1-CAT1" -MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"} -ProvisioningSchemeName "BV-WBC1-CAT1" -ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering" -UseWriteBackCache -WriteBackCacheDiskSize 127 -WriteBackCacheMemorySize 256 

提高启动性能与MCSIO

当启用MCSIO时，您可以提高Azure和GCP管理磁盘的启动性能。使用PowerShellPersistOSDisk的自定义属性。New-ProvScheme命令，配置该特性。的相关选项New-ProvScheme包括:

要启用该特性，请设置PersistOSDisk自定义属性真正的。例如:

New-ProvScheme -CleanOnBoot -CustomProperties "" -HostingUnitName "adSubnetScale1" -IdentityPoolName "BV-WBC1-CAT1" -MasterImageVM " xdhp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3。manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"} -ProvisioningSchemeName "BV-WBC1-CAT1" -ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3. "serviceoffering" -UseWriteBackCache -WriteBackCacheDiskSize 127 -WriteBackCacheMemorySize 256 

创建Azure模板规范

您可以在Azure门户中创建Azure模板规范，并在完整的配置接口和PowerShell命令来创建或更新MCS机器目录。

要为现有VM创建Azure模板规范:

1. 转到Azure门户。选择资源组，选择虚拟机和网络接口。从…菜单上，点击导出模板。
2. 清晰的包括参数如果要为目录供应创建模板规范，请选中复选框。
3. 点击添加到库稍后修改模板规范。
4. 在导入模板页，输入所需信息，如名字，订阅，资源组，位置,版本。点击下一步:编辑模板。

5. 如果希望提供目录，还需要一个网络接口作为独立资源。因此，您必须删除任何取决于在模板规格中指定，例如:

   "dependsOn": ["[resourceId('Microsoft。网络/网络接口'，'tnic937')]"， 

6. 创建回顾+创建然后创建模板规范。
7. 在模板规格页面，验证您刚刚创建的模板规范。2 .单击模板规格，在左侧面板单击版本。
8. 您可以通过单击创建一个新版本创建新版本。指定新的版本号，对当前模板规范进行更改，然后单击回顾+创建创建新版本的模板规范。

您可以使用以下PowerShell命令获取模板规格和模板版本信息:

• 要获取有关模板规格的信息，可以运行:

  获取项目XDHyp: \ HostingUnits \ \ machineprofile.folder \ abc.resourcegroup \ bggTemplateSpec东部。templatespec < !——NeedCopy >

• 要获取有关模板规范版本的信息，请运行:

  获取项目XDHyp: \ HostingUnits \ \ machineprofile.folder \东部abc.resourcegroup \ bggTemplateSpec.templatespec \ bgg1.0。templatespecversion < !——NeedCopy >

在创建或更新目录时使用模板规范

您可以使用模板规范作为机器配置文件输入来创建或更新MCS机器目录。要做到这一点，可以使用完整的配置interface或PowerShell命令。

使用完整的配置接口:看使用Azure资源管理器映像创建机器目录。

使用PowerShell命令:

1. 打开PowerShell窗口。
2. 运行asnp citrix *。
3. 创建或更新目录。
   • 创建目录。

     1. 使用New-ProvScheme命令，将模板规范作为机器配置文件输入。例如:

        New-ProvScheme -MasterImageVM "XDHyp:/HostingUnits/azure/image.folder/fgthj.resourcegroup/nab-ws-vda_OsDisk_1_xxxxxxxxxxa. net "manageddisk" MachineProfile " xdhp:/HostingUnits/azure/ MachineProfile .folder/fgthj.resourcegroup/test.templatespec/V1。templatespecversion" -ProvisioningSchemeName  -HostingUnitName  -IdentityPoolName  [-ServiceOffering ][-CustomProperties  [- logingid ] [-BearerToken ][-AdminAddress ][] 

     2. 完成目录的创建。

   • 要更新目录，请使用Set-ProvScheme命令，将模板规范作为机器配置文件输入。例如:

     Set-ProvScheme -MasterImageVm 'XDHyp://Connections/Azure/East Us.region/vm.folder/MasterDisk。XDHyp:/HostingUnits/azure/ MachineProfile .folder/fgthj.resourcegroup/testing.templatespec/V1. vm' MachineProfile 'XDHyp:/HostingUnits/azure/ MachineProfile .foldertemplatespecversion' [-ProvisioningSchemeName]  [-CustomProperties ][-ServiceOffering ][-PassThru] [-LoggingId ] [-BearerToken ][-AdminAddress ][] 

具有可信启动的机器目录

要成功创建具有可信启动的机器目录，请使用:

• 具有可信启动的机器配置文件
• 支持可信启动的虚拟机大小
• 支持可信启动的Windows虚拟机版本。目前，Windows 10、2016、2019和2022支持可信启动。

重要的是:

可信启动需要创建新的虚拟机。无法在初始创建时没有启用可信启动的现有虚拟机上启用可信启动。

要查看Citrix DaaS提供的库存项目，并确定虚拟机大小是否支持可信启动，请运行以下命令:

1. 打开PowerShell窗口。
2. 运行asnp citrix*加载citrix特定的PowerShell模块。

3. 执行如下命令:

   $s = (ls XDHyp:\HostingUnits\<主机单元名称>\serviceoffering。文件夹\"<虚拟机大小>.serviceoffering) 

4. 运行$s | select -ExpandProperty附加数据

5. 的值SupportsTrustedLaunch属性。

   • 如果SupportsTrustedLaunch是真正的，虚拟机大小支持可信启动。
   • 如果SupportsTrustedLaunch是假，该虚拟机大小不支持可信启动。

根据Azure的PowerShell，您可以使用以下命令来确定支持可信启动的VM大小:

{$_. locations . contains ($region)和($_. locations)Name -eq "<虚拟机大小>")})[0]。功能< !——NeedCopy >

以下示例描述了运行Azure PowerShell命令后虚拟机大小是否支持可信启动。

• 示例1:如果Azure VM只支持第1代，则该VM不支持可信启动。因此,TrustedLaunchDisabled执行Azure PowerShell命令后，capability不显示。
• 示例2:如果Azure虚拟机只支持第2代和第2代TrustedLaunchDisabled能力是真正的，第2代虚拟机大小不支持可信启动。
• 示例3:如果Azure虚拟机只支持第2代和第2代TrustedLaunchDisabled执行PowerShell命令后，不显示“capability”，表示受信任启动时支持的是第二代虚拟机大小。

有关Azure虚拟机的可信启动的详细信息，请参阅Microsoft文档Azure虚拟机的可信启动。

使用可信启动创建机器目录时出现错误

在使用可信启动创建机器目录时，在以下情况下会出现适当的错误:

使用机器配置文件属性值

机器目录使用以下自定义属性中定义的属性:

• 可用性区域
• 专用主机组Id
• 磁盘加密集Id
• 操作系统类型
• 许可类型
• 存储类型

如果没有显式地定义这些自定义属性，则从ARM模板规范或VM设置属性值，两者都用作机器配置文件。此外，如果ServiceOffering未指定，则从机器配置文件设置。

注意:

如果机器概要文件中缺少某些属性，并且没有在自定义属性中定义，那么这些属性的默认值将在适用的任何地方出现。

下面的部分描述了一些场景New-ProvScheme和Set-ProvScheme当CustomProperties要么定义所有属性，要么从MachineProfile派生值。

• New-ProvScheme场景

  • MachineProfile具有所有属性，而CustomProperties没有定义。例子:

    New-ProvScheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpA.vm"

    以下值被设置为目录的自定义属性:

    gets - provscheme | select CustomProperties           

  • MachineProfile有一些属性，而CustomProperties没有定义。例如:MachineProfile只有LicenseType和OsType。

    New-ProvScheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpA.vm"

    以下值被设置为目录的自定义属性:

    get_provscheme | select CustomProperties     

  • MachineProfile和CustomProperties都定义了所有属性。例子:

    New-ProvScheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpA.vm"-CustomProperties $CustomPropertiesA

    自定义属性优先。以下值被设置为目录的自定义属性:

    gets - provscheme | select CustomProperties          

  • 有些属性在MachineProfile中定义，有些属性在CustomProperties中定义。例子:
    • CustomProperties定义LicenseType和StorageAccountType
    • MachineProfile定义LicenseType、OsType和Zones

    New-ProvScheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpA.vm"-CustomProperties $CustomPropertiesA

    以下值被设置为目录的自定义属性:

    gets - provscheme | select CustomProperties       

  • 有些属性在MachineProfile中定义，有些属性在CustomProperties中定义。另外，ServiceOffering没有定义。例子:

    • CustomProperties定义storage_type
    • 定义LicenseType

    “xdhp:\HostingUnits\azureunit\machineprofile.folder\azure.resourcegroup\mp. conf”。xdhp:\HostingUnits\azureunit\serviceoffering.folder\。serviceoffering“< !——NeedCopy >

    以下值被设置为目录的自定义属性:

    select serviceoffered .folder\。serviceoffering gets - provscheme | select CustomProperties     

  • 如果OsType既不在CustomProperties中也不在MachineProfile中，则:
    • 该值是从主映像中读取的。
    • 如果主映像是一个非托管磁盘，则OsType设置为Windows。例子:

    New-ProvScheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpA.vm"-MasterImageVM "XDHyp:\HostingUnits\azureunit\image.folder\linux-master-image.manageddisk"

    主映像中的值被写入自定义属性，在本例中是Linux。

    get_provscheme | select CustomProperties    

• Set-ProvScheme场景

  • 现有目录，包含:

    • CustomProperties为StorageAccountType和OsType
    • MachineProfilempA.vm它定义了区域

  • 更新:

    • MachineProfile产甲烷。定义storage_accounttype的虚拟机
    • 一组新的自定义属性$CustomPropertiesB，用于定义LicenseType和OsType

    设置proproscheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpB.vm"-CustomProperties $CustomPropertiesB

    以下值被设置为目录的自定义属性:

    get_provscheme | select CustomProperties      

  • 现有目录，包含:
    • S的定制属性torageAccountType和OsType
    • MachineProfilempA.vm其中定义了storage_accounttype和LicenseType
  • 更新:
    • 一组新的自定义属性$CustomPropertiesB，它定义了StorageAccountType和OsType。

    Set-ProvScheme -CustomProperties $CustomPropertiesB

    以下值被设置为目录的自定义属性:

    get_provscheme | select CustomProperties      

  • 现有目录，包含:
    • CustomProperties为StorageAccountType和OsType
    • MachineProfilempA.vm来定义区域
  • 更新:
    • A MachineProfile mpB。vm中定义了storage_accounttype和LicenseType
    • ServiceOffering未指定

    设置proproscheme - machine - profile " xdhp:\HostingUnits\azureunit\machine - profile.folder\azure.resourcegroup\mpB.vm"

    以下值被设置为目录的自定义属性:

    select serviceoffered .folder\。serviceoffering gets - provscheme | select CustomProperties      

使用PowerShell启用Azure虚拟机扩展

选择ARM模板规范后，运行以下PowerShell命令来使用Azure VM扩展:

• 查看受支持的Azure VM扩展列表:Get-ProvMetadataConfiguration

• 添加更多虚拟机扩展:Add-ProvMetadataConfiguration。例如,Add-ProvMetadataConfiguration -PluginType "AzureRM" -ConfigurationName "Extension" -ConfigurationValue "CustomScriptExtension"

  如果您尝试添加以下任何一个，该命令将失败并显示错误消息:

  • Citrix定义的扩展。
  • 现有用户定义的扩展。
  • 不支持的配置密钥。目前支持的配置密钥为扩展。
• 从列表中删除扩展名:Remove-ProvMetadataConfiguration。您可以删除添加的扩展。

页面文件位置

在Azure环境中，页面文件位置是在首次创建VM时设置的。页面文件设置的格式为:页面文件位置 [最小大小][最大大小] (以MB为单位)。有关更多信息，请参见如何确定合适的页面文件大小。

在映像准备过程中，在创建发放方案时，MCS根据一定的规则确定页面文件的位置。创建发放方案后，不能进行以下操作:

• 修改虚拟机大小
• 更新机器配置文件
• 修改EOS和MCS I/O属性

页面文件位置确定

像EOS和MCS I/O这样的功能有自己预期的页面文件位置，并且彼此是排他性的。下表显示了每个特性的预期页面文件位置:

注意:

即使您将映像准备与配置方案创建分离，MCS也可以正确地确定页面文件位置。默认的页面文件位置在操作系统磁盘上。

页面文件设置场景

下表描述了镜像准备和发放方案更新过程中页面文件设置的一些可能场景:

更新页面文件设置

使用PowerShell命令，您可以指定页面文件设置，包括位置和大小。这将覆盖由MCS确定的页面文件设置。您可以通过运行下面的 来实现这一点New-ProvScheme创建机器目录时的命令:

New-ProvScheme -CleanOnBoot ' -HostingUnitName "zijinnet" ' -IdentityPoolName "PageFileSettingExample" ' -ProvisioningSchemeName "PageFileSettingExample" ' -InitialBatchSizeHint 1 ' -MasterImageVM " xdhp:\HostingUnits\zijinnet\image.folder\neal-zijincloud-resources.resourcegroup\CustomWin10VDA_OsDisk_1_9473d7c8a6174b2c8284c7d3efeea88f。manageddisk" ' -NetworkMapping @{"0"=" xdhp:\\HostingUnits\\zijinnet\\ virtualprivatcloud。\\virtualprivatecloud.folder\\ \neal- zijinclude -resources.resourcegroup\\neal- zijinclude -resources-vnet.virtualprivatecloud\\default.network"} ' -ServiceOffering " xdhp:\\HostingUnits\\zijinnet\\serviceoffering.folder\\Standard_B2ms。serviceoffering" ' -CustomProperties ' '< Property xsi:type="StringProperty" Name="PersistOsDisk" Value="false"/> '< Property xsi:type="StringProperty" Name="PersistVm" Value="false"/> '< Property xsi:type="StringProperty" Name="PageFileDiskDriveLetterOverride" Value="d"/> '< Property xsi:type="StringProperty" Name="InitialPageFileSizeInMB" Value="2048"/> ' '  '  ' ' 

有关如何使用Remote PowerShell SDK创建目录的信息，请参见使用PowerShell创建目录。

约束:

• 创建配置方案时，才能更新页面文件设置New-ProvScheme 命令。以后不能更改页面文件设置。
• 您必须提供所有自定义属性(' PageFileDiskDriveLetterOverride '， ' InitialPageFileSizeInMB '和' MaxPageFileSizeInMB ')New-ProvScheme 命令，或者都不使用。
• Citrix Studio不支持此功能。
• 初始页面文件大小必须在16mb ~ 16777216 MB之间。
• 最大页面文件大小必须大于等于初始页面文件大小，且小于16777216 MB。
• 您可以将初始页面文件大小和最大页面文件大小同时设置为零。

自定义存储类型更改失败时的上电行为

在打开电源时，由于Azure上的故障，托管磁盘的存储类型可能无法更改为所需的类型。在这些场景中，VM将保持关闭状态，并向您发送失败消息。当存储不能恢复到配置的存储类型时，可以选择将虚拟机上电或关闭虚拟机。

• 如果您配置自定义属性FailSafeStorageType作为真正的(默认设置)，或者不要在New-ProvScheme或Set-ProvScheme命令:

  • 上电，虚拟机上电时存储类型错误。
  • 关机时，虚拟机保持关闭状态，存储类型不正确。

• 如果您配置自定义属性FailSafeStorageType作为假在New-ProvScheme或Set-ProvScheme命令:

  • 上电后，虚拟机处于关机状态，且存储类型不正确。
  • 关机时，虚拟机保持关闭状态，存储类型不正确。

创建机器目录。

1. 打开PowerShell窗口。
2. 运行asnp citrix *来加载citrix特有的PowerShell模块。
3. 如果尚未创建标识池，请创建标识池。

4. 添加自定义属性New-ProvScheme。例如:

   新- provscheme -HostingUnitName "Azure-Resources-1" -IdentityPoolName "name" -InitialBatchSizeHint 1 -MasterImageVM "XDHyp:\HostingUnits\Azure-Resources-1\image.folder\abc.resourcegroup\def。" -NetworkMapping @{"0"=" xdhp:\HostingUnits\Azure-Resources-1\ right .folder\abc.resourcegroup\abc-vnet. virtualprivatcloud \default.network"} -ProvisioningSchemeName "name" -ServiceOffering " xdhp:\HostingUnits\Azure-Resources-1\serviceoffering.folder\Standard_DS2_v2. "serviceoffering" -CustomProperties "    " 

5. 创建机器目录。有关如何使用Remote PowerShell SDK创建目录的信息，请参见https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。

更新现有的机器目录，以便包括FailSafeStorageType自定义属性。本次更新不影响已存在的虚拟机。

1. 中更新自定义属性Set-ProvScheme命令。例如:

Set-ProvScheme -ProvisioningSchemeName <字符串> -CustomProperties“< CustomProperties xmlns = " http://schemas.citrix.com/2014/xd/machinecreation " xmlns: xsi = " http://www.w3.org/2001/XMLSchema-instance " > <房地产xsi: type = '“StringProperty StorageType”“Name = ' Value = " Premium_LRS”/ > <财产xsi: type = " StringProperty”Name = " IdentityDiskStorageType”Value = " Premium_LRS”/ > <财产xsi: type = " StringProperty”Name = " FailSafeStorageType”价值= '“假" / > < / CustomProperties > " < !——NeedCopy >

要将Set-ProvScheme中的更改应用于现有虚拟机，请运行Request-ProvVMUpdate命令。

1. 执行Request-ProvVMUpdate命令。例如:

   Request-ProvVMUpdate -ProvisioningSchemeName  -VMName  

2. 重启虚拟机。

Azure资源组

Azure配置资源组提供了一种方式来配置向用户提供应用程序和桌面的虚拟机。您可以在创建MCS计算机目录时添加现有的空Azure资源组，也可以让人为您创建新的资源组。有关Azure资源组的信息，请参阅微软文档。

Azure资源组使用情况

每个Azure资源组对虚拟机、托管磁盘、快照和映像的数量没有限制。(取消了每个Azure资源组每800个托管磁盘240个虚拟机的限制。)

• 当使用全作用域服务主体创建计算机目录时，MCS仅创建一个Azure资源组，并将该组用于该目录。
• 当使用窄范围服务主体创建计算机目录时，必须为该目录提供预先创建的空Azure资源组。

Azure临时磁盘

一个Azure临时磁盘允许您重新使用缓存磁盘或临时磁盘来存储启用azure的虚拟机的操作系统磁盘。此功能对于需要比标准HDD磁盘更高性能的SSD磁盘的Azure环境非常有用。要使用临时磁盘，必须设置自定义属性UseEphemeralOsDisk来真正的运行时New-ProvScheme。

注意:

如果自定义属性UseEphemeralOsDisk设为假或者不指定，所有发放的vda继续使用发放的操作系统磁盘。

以下是在配置方案中使用的自定义属性的示例集:

"CustomProperties": [{"Name": "UseManagedDisks"， "Value": "true"}， {"Name": "StorageType"， "Value": "Standard_LRS"}， {"Name": "UseSharedImageGallery"， "Value": "true"}， {"Name": "SharedImageGalleryReplicaRatio"， "Value": "40"}， {"Name": " sharedimagegalleryreplicammaximum "， "Value": "10"}， {"Name": "LicenseType"， "Value": "Windows_Server"}， {"Name": "UseEphemeralOsDisk"， "Value": "true"}]， 

如何使用临时操作系统磁盘创建机器

操作系统暂存在盘的控制基于UseEphemeralOsDisk的财产CustomProperties参数。

关于临时磁盘的重要注意事项

来发放临时操作系统磁盘New-ProvScheme，考虑以下约束条件:

• 用于目录的虚拟机大小必须支持临时操作系统磁盘。
• 与虚拟机大小关联的缓存或临时磁盘必须大于或等于操作系统磁盘的大小。
• 临时磁盘的大小必须大于缓存磁盘的大小。

在以下情况下也要考虑这些问题:

• 创建供应方案。
• 修改发放方案。
• 更新映像。

Azure临时磁盘和机器创建服务(MCS)存储优化(MCS I/O)

Azure临时操作系统磁盘和MCS I/O不能同时启用。

重要的考虑因素如下:

• 不能在同时启用临时操作系统磁盘和MCS I/O的情况下创建机器目录。

• 在机器目录设置向导，如果您选择Azure临时操作系统磁盘在存储和License类型页上的回写缓存磁盘设置选项磁盘设置页面。

  

  

• PowerShell参数(UseWriteBackCache和UseEphemeralOsDisk)设为真正的在New-ProvScheme或Set-ProvScheme失败并显示正确的错误消息。
• 对于启用这两个特性创建的现有机器目录，您仍然可以:
  • 更新机器目录。
  • 添加或删除虚拟机。
  • 删除机器目录。

Azure服务器端加密

Citrix DaaS通过Azure密钥库支持Azure托管磁盘的客户管理加密密钥。有了这种支持，您可以使用自己的加密密钥加密机器目录的托管磁盘，从而管理您的组织和遵从性需求。有关更多信息，请参见Azure磁盘存储的服务器端加密。

对托管磁盘使用该特性时:

• 要更改用于加密磁盘的密钥，请更改文件中的当前密钥DiskEncryptionSet。所有与之相关的资源DiskEncryptionSet更改为使用新密钥加密。

• 当您禁用或删除密钥时，使用该密钥的磁盘的任何虚拟机都会自动关闭。关闭后，除非重新启用密钥或重新分配密钥，否则虚拟机将不可用。使用该密钥的目录不能上电，也不能添加虚拟机。

使用客户管理的加密密钥时的重要注意事项

在使用此功能时，请考虑以下几点:

• 与客户管理的密钥(Azure密钥库、磁盘加密集、虚拟机、磁盘和快照)相关的所有资源必须驻留在相同的订阅和区域中。

• 一旦启用了客户管理的加密密钥，以后就不能禁用它了。如果要禁用或删除客户托管加密密钥，请将所有数据复制到未使用客户托管加密密钥的其他托管磁盘。

• 使用服务器端加密和客户管理密钥从加密的自定义映像创建的磁盘必须使用相同的客户管理密钥进行加密。这些磁盘必须在同一个订阅中。

• 从使用服务器端加密和客户管理密钥加密的磁盘创建的快照必须使用相同的客户管理密钥加密。

• 使用客户管理密钥加密的磁盘、快照和映像不能移动到另一个资源组和订阅。

• 当前或以前使用Azure磁盘加密加密的托管磁盘不能使用客户管理的密钥加密。

• 参考微软网站有关每个区域的磁盘加密集的限制。

注意:

看到快速入门:使用Azure门户创建密钥保管库有关配置Azure服务器端加密的信息。

Azure客户管理的加密密钥

在创建机器编目时，可以选择是否对编目中供应的机器上的数据进行加密。使用客户管理的加密密钥进行服务器端加密使您可以在托管磁盘级别管理加密，并保护目录中机器上的数据。磁盘加密集(DES)表示客户管理的密钥。要使用此功能，必须首先在Azure中创建DES。DES的格式如下:

• /订阅/ 12345678-1234-1234-1234-123456789012 / resourceGroups / Sample-RG /供应商/微软。计算/ diskEncryptionSets / SampleEncryptionSet

从列表中选择一个DES。您选择的DES必须与您的资源位于相同的订阅和区域中。如果您的映像是用DES加密的，那么在创建机器目录时使用相同的DES。创建目录后不能更改DES。

如果使用加密密钥创建目录，然后在Azure中禁用相应的DES，则无法再启动目录中的机器或向其添加机器。

如果您想使用PowerShell命令创建一个机器目录，其中加密密钥是客户管理的密钥，请执行以下操作:

1. 打开PowerShell窗口。
2. 运行asnp citrix *来加载citrix特有的PowerShell模块。
3. 输入cd xdhyp: /。
4. 输入cd .\HostingUnits\(您的主机单元)。
5. 输入cd diskencryptionset.folder。
6. 输入dir获取磁盘加密集列表。
7. 复制磁盘加密集的Id。

8. 创建自定义属性字符串以包含磁盘加密集的Id。例如:

   $customProperties = "< customProperties xmlns= "http://schemas.citrix.com/2014/xd/machinecreation " " xmlns:xsi= "http://www.w3.org/2001/XMLSchema-instance ">       

9. 如果尚未创建标识池，请创建标识池。例如:

   -NamingScheme ms## -Domain def.local -NamingSchemeType Numeric 

10. 执行New-ProvScheme命令。示例:

    新- provscheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1 -MasterImageVM "XDHyp:\HostingUnits\azure-res2\image.folder\def.resourcegroup\def。" -NetworkMapping @{"0"=" xdhp:\HostingUnits\azure-res2\\virtualprivatecloud.folder\def.resourcegroup\def-vnet.virtualprivatecloud\subnet1.network"} -ProvisioningSchemeName "name" -ServiceOffering " xdhp:\HostingUnits\azure-res2\serviceoffering.folder\Standard_DS2_v2. "xdhp:\HostingUnits\\machineprofile.folder\\" -CustomProperties $customProperties 

11. 完成创建机器目录。

主机上的Azure磁盘加密

您可以创建具有主机加密功能的MCS机器目录。目前，MCS仅支持此功能的机器配置文件工作流。您可以使用虚拟机或模板规范作为机器配置文件的输入。

此加密方法不通过Azure存储加密数据。托管虚拟机的服务器对数据进行加密，然后加密的数据流经Azure存储服务器。因此，这种加密方法对数据进行端到端加密。

限制:

主机上的Azure磁盘加密为:

• 并非所有Azure机器大小都支持
• 与Azure磁盘加密不兼容

创建具有主机功能加密的机器目录:

1. 检查订阅是否启用了主机加密功能。要做到这一点，请看https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/。如果未启用，则必须为订阅启用该特性。有关为订阅启用该功能的信息，请参见https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/。

2. 检查特定的Azure虚拟机大小是否支持主机加密。要做到这一点，在PowerShell窗口中，运行以下命令之一:

   PS xdhp:\连接\<您的连接>\east us.region\serviceoffering。文件夹> < !——NeedCopy >

   PS xdhp:\HostingUnits\<您的主机单元>\serviceoffering文件夹> < !——NeedCopy >

3. 在启用主机加密的Azure门户中创建虚拟机或模板规范，作为机器配置文件的输入。

   • 如果创建虚拟机，请选择支持主机加密的虚拟机大小。虚拟机创建完成后，虚拟机属性主机加密启用。
   • 如果您想使用模板规范，请分配该参数主机加密作为真正的内部securityProfile。

4. 通过选择VM或模板规范，创建具有机器配置文件工作流的MCS机器目录。

   • 操作系统盘/数据盘:通过客户管理密钥和平台管理密钥加密
   • 临时操作系统磁盘:仅通过平台管理密钥进行加密
   • 缓存磁盘:通过客户管理的密钥和平台管理的密钥进行加密

   您可以使用Full Configuration界面或运行PowerShell命令创建机器目录。

对托管磁盘进行双重加密

您可以创建具有双重加密的机器目录。使用此特性创建的任何目录都使用平台和客户管理的密钥对所有磁盘服务器端进行加密。您拥有并维护Azure密钥库、加密密钥和磁盘加密集(DES)。

双重加密是平台端加密(默认)和客户管理的加密(CMEK)。因此，如果您是对安全性高度敏感的客户，并且关心与任何加密算法、实现或泄露密钥相关的风险，则可以选择这种双重加密。持久操作系统和数据磁盘、快照和映像都使用双重加密进行静态加密。

注意:

• 您可以使用Full Configuration界面和PowerShell命令创建和更新具有双重加密的机器目录。
• 您可以使用非基于机器配置文件的工作流或基于机器配置文件的工作流来创建或更新具有双重加密的机器目录。
• 如果使用非基于机器概要文件的工作流来创建机器目录，则可以重用存储的DiskEncryptionSetId。
• 如果使用机器配置文件，则可以使用VM或模板规范作为机器配置文件输入。

限制:

• “Ultra Disks”和“Premium SSD v2”不支持双加密。
• 非托管磁盘不支持双重加密。
• 如果禁用磁盘加密集与目录关联的密钥，则该目录下的虚拟机将被禁用。
• 与客户管理的密钥(Azure密钥库、磁盘加密集、虚拟机、磁盘和快照)相关的所有资源必须位于相同的订阅和区域中。
• 每个订阅区域最多只能创建50个磁盘加密集。
• 您无法更新已经具有DiskEncryptionSetId用不同的DiskEncryptionSetId。

创建具有双重加密的机器目录

1. 使用平台管理和客户管理的密钥创建Azure密钥库和DES。有关如何创建Azure密钥保管库和DES的信息，请参见使用Azure门户为托管磁盘启用静态双重加密。
2. 浏览主机连接中可用的磁盘加密集:
   1. 打开一个PowerShell窗口。
   2. 执行以下PowerShell命令:
      1. asnp citrix *
      2. cd xdhyp:
      3. cd HostingUnits
      4. cd YourHostingUnitName(例如azure-east)
      5. cd diskencryptionset.folder
      6. dir

   的IdDiskEncryptionSet使用自定义属性创建或更新目录。

3. 如果您希望使用机器配置文件工作流，请创建VM或模板规范作为机器配置文件输入。
   • 如果您想使用虚拟机作为机器配置文件输入:
     1. 在Azure Portal中创建VM。
     2. 导航到磁盘>密钥管理直接使用any加密虚拟机DiskEncryptionSetID。
   • 如果你想使用模板规格作为机器配置文件输入:
     1. 在模板下属性> storageProfile > osDisk > managedDisk,添加diskEncryptionSet参数，并添加双加密DES的id。
4. 创建机器目录。
   • 如果使用Web Studio，除了本文中的步骤之外，还需要执行以下操作之一创建机器目录。
     • 如果不使用基于机器配置文件的工作流，则在磁盘设置页面,选择使用以下密钥加密每台机器上的数据。然后，从下拉菜单中选择您的双重加密DES。继续创建目录。
     • 如果使用机器配置文件工作流，就可以主形象页，选择主映像和机器配置文件。确保机器配置文件在其属性中具有磁盘加密集id。

     在目录中创建的所有计算机都使用与您选择的DES相关联的密钥进行双重加密。

   • 如果使用PowerShell命令，执行以下命令之一:

     • 如果不使用基于机器配置文件的工作流，请添加自定义属性DiskEncryptionSetId在New-ProvScheme命令。例如:

       New-ProvScheme -CleanOnBoot -CustomProperties '    ' -HostingUnitName "Redacted" -IdentityPoolName "Redacted" -InitialBatchSizeHint 1 -MasterImageVM "Redacted" -NetworkMapping @{"0"="Redacted"} -ProvisioningSchemeName "Redacted" -ServiceOffering "Redacted" 

     • 如果使用基于机器配置文件的工作流，请使用机器配置文件输入New-ProvScheme命令。例如:

       新- provscheme -CleanOnBoot -HostingUnitName - azure-east -IdentityPoolName aio-ip -InitialBatchSizeHint 1 -MasterImageVM xdhp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot。快照-NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"} -ProvisioningSchemeName aio-test - machine - profile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0。templatespecversion < !——NeedCopy >

     使用远程powershell sdk创建目录。有关如何使用Remote PowerShell SDK创建目录的信息，请参见https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。在目录中创建的所有计算机都使用与您选择的DES相关联的密钥进行双重加密。

将未加密的目录转换为使用双重加密

只有当目录以前未加密时，才能更新机器目录的加密类型(使用自定义属性或机器配置文件)。

• 如果不使用基于机器配置文件的工作流，请在Set-ProvScheme命令。例如:

  Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName" -CustomProperties '  ' 

• 如果使用基于机器配置文件的工作流，请使用机器配置文件输入Set-ProvScheme命令。例如:

  XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0。templatespecversion < !——NeedCopy >

一旦成功，您在目录中添加的所有新vm都将通过与您选择的DES关联的密钥进行双重加密。

验证目录是双重加密的

• 在Web Studio中:

  1. 导航到机目录。
  2. 选择要验证的目录。单击模板属性位于屏幕底部附近的选项卡。
  3. 下Azure的细节，验证中的“磁盘加密集ID”磁盘加密集。如果目录的DES Id为空，则未对目录进行加密。
  4. 在Azure Portal中，验证与DES Id关联的DES的加密类型是平台管理的密钥和客户管理的密钥。

• 使用PowerShell命令:

  1. 打开PowerShell窗口。
  2. 运行asnp citrix *来加载citrix特有的PowerShell模块。

  3. 使用Get-ProvScheme获取您的机器目录信息。例如:

     Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName" 

  4. 检索机器编目的DES Id自定义属性。例如:

     <属性xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft。Compute/diskEncryptionSets/SampleEncryptionSet" /> 

  5. 在Azure Portal中，验证与DES Id关联的DES的加密类型是平台管理的密钥和客户管理的密钥。

Azure专用主机

您可以使用MCS在Azure专用主机上发放虚拟机。在Azure专用主机上发放虚拟机之前:

• 创建主机组
• 在该主机组中创建主机。
• 确保有足够的主机容量用于创建目录和虚拟机。

您可以通过以下PowerShell脚本创建具有主机租赁定义的机器目录:

New-ProvScheme  -CustomProperties ' …其他自定义属性…< / CustomProperties > < !——NeedCopy >

当使用MCS在Azure专用主机上配置虚拟机时，请考虑:

• 一个专用主机是编目属性，一旦创建了编目就不能更改。Azure目前不支持专用租赁。
• 在托管单元的区域中需要预先配置的Azure主机组HostGroupId参数。
• 需要Azure自动放置。此功能请求装载与主机组关联的订阅。有关更多信息，请参见在Azure专用主机上设置虚拟机规模-公开预览。如果未启用自动放置，MCS将在创建目录期间抛出错误。

Azure共享图库

使用Azure共享映像库作为Azure中MCS配置的机器的发布映像存储库。您可以将发布的映像存储在图库中，以加快操作系统磁盘的创建和水合，改善非持久化虚拟机的启动和应用程序启动时间。共享图片库包含以下三个元素:

• 画廊。图像存储在这里。MCS为每个机器目录创建一个图库。
• 画廊图像定义。这个定义包括关于发布映像的信息(操作系统类型和状态、Azure区域)。MCS为为目录创建的每个映像创建一个映像定义。
• 画廊图像版本。共享图片库中的每个图像可以有多个版本，每个版本可以在不同区域拥有多个副本。每个副本都是已发布图像的完整副本。Citrix DaaS为每个映像创建一个Standard_LRS映像版本(版本1.0.0)，并根据目录中的机器数量、配置的副本比率和配置的副本最大值，在目录区域中创建适当数量的副本。

注意:

共享映像库功能仅与托管磁盘兼容。它不适用于遗留机器目录。

有关更多信息，请参见Azure共享图像库概述。

从Azure共享图像库访问图像

在选择要用于创建机器目录的映像时，您可以选择在Azure共享映像库中创建的映像。中的图像列表中显示了这些图像主形象“机器目录设置”向导的屏幕。

要显示这些图像，您必须:

1. 配置Citrix虚拟应用和桌面站点
2. 连接到Azure资源管理器。
3. 在Azure门户中，创建资源组。有关详情，请参阅使用门户创建Azure共享映像库。
4. 在资源组中创建共享图库。
5. 在“共享图片库”中，创建图像定义。
6. 在映像定义中，创建映像版本。

配置共享图片库

使用New-ProvScheme命令创建具有共享图片库支持的配置方案。使用Set-ProvScheme命令，用于启用或禁用分配方案的该特性，并修改副本比率和副本最大值。

三个自定义属性被添加到配置方案中，以支持共享图片库功能:

UseSharedImageGallery

• 定义是否使用共享图像库来存储发布的图像。如果设置为真正的，图像存储为共享图片库图像，否则图像存储为快照。
• 有效值是真正的和假。
• 如果未定义该属性，则默认值为假。

SharedImageGalleryReplicaRatio

• 定义机器与库映像版本副本的比率。
• 有效值是大于0的整数。
• 如果未定义该属性，则使用默认值。持久性操作系统磁盘默认值为1000，非持久性操作系统磁盘默认值为40。

SharedImageGalleryReplicaMaximum

• 定义每个图库图像版本的最大副本数。
• 有效值是大于0的整数。
• 如果未定义该属性，则默认值为10。
• Azure目前支持一个图库图像的单个版本最多10个副本。如果该属性设置为大于Azure支持的值，MCS将尝试使用指定的值。Azure生成一个错误，MCS记录该错误，然后保持当前副本计数不变。

提示:

当使用Shared Image Gallery为MCS提供的目录存储已发布的映像时，MCS会根据目录中的机器数量、副本比率和副本最大值设置库映像版本副本计数。通过将目录中的机器数量除以副本比率(四舍五入到最接近的整数值)，然后以最大副本计数为上限来计算副本计数。例如，复制比例为20，最多为5,0-20台机器创建1个副本，21-40台创建2个副本，41-60台创建3个副本，61-80台创建4个副本，81+台创建5个副本。

用例:更新共享图片库副本比率和副本最大值

现有的机器目录使用共享图像库。使用Set-ProvScheme命令更新目录中所有现有机器和任何未来机器的自定义属性:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '     ' 

用例:将快照目录转换为共享图像库目录

对于这个用例:

1. 运行Set-ProvScheme与UseSharedImageGallery标志设置为真正的。可选地包括SharedImageGalleryReplicaRatio和SharedImageGalleryReplicaMaximum属性。
2. 更新目录。
3. 启动机器以强制更新。

例如:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '     ' 

提示:

的参数SharedImageGalleryReplicaRatio和SharedImageGalleryReplicaMaximum不是必需的。后Set-ProvScheme命令完成共享图片库映像尚未创建。将目录配置为使用图库后，下一个目录更新操作将发布的映像存储在图库中。catalog update命令创建图库、图库映像和映像版本。对机器进行电源循环更新它们，如果合适的话，此时将更新副本计数。从那时起，使用Shared Image Gallery映像重置所有现有的非持久性机器，并使用该映像创建所有新配置的机器。旧快照会在几个小时内自动清理。

用例:将共享图像库目录转换为快照目录

对于这个用例:

1. 运行Set-ProvScheme与UseSharedImageGallery标志设置为假或者没有定义。
2. 更新目录。
3. 启动机器以强制更新。

例如:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '   ' 

提示:

与从快照更新到共享图像库目录不同，尚未更新每台机器的自定义数据以反映新的自定义属性。运行以下命令查看原始共享图片库自定义属性:Get-ProvVm -ProvisioningSchemeName catalogname。后Set-ProvScheme命令完成尚未创建的映像快照。将编目配置为不使用库后，下一个编目更新操作将发布的映像存储为快照。从那时起，使用快照重置所有现有的非持久性机器，并从快照创建所有新配置的机器。对机器进行断电循环会更新它们，此时将更新自定义机器数据以反映这一点UseSharedImageGallery设为假。旧的共享图库资源(图库、图像和版本)将在几个小时内自动清理。

将机器配置到指定的可用区域

您可以将计算机配置到Azure环境中的特定可用区。您可以使用Full Configuration界面或PowerShell来实现这一点。

注意:

如果没有指定区域，MCS允许Azure将机器放置在该区域内。如果指定了多个区域，MCS将随机地在其中分配机器。

在“Full Configuration”界面配置可用分区

在创建机器目录时，您可以指定要将机器供应到其中的可用区。在虚拟机页面，选择一个或多个要在其中创建机器的可用区。

没有可用区有两个原因:区域没有可用区或选择的机器大小不可用。

通过PowerShell配置可用分区

使用PowerShell，您可以通过以下命令查看提供库存项目的Citrix DaaS获取项目。例如，查看美国东部地区Standard_B1ls服务提供:

$serviceOffering = Get-Item -path "XDHyp:\Connections\my-connection-name\East US.region\ serviceOffering .folder\Standard_B1ls。serviceoffering“< !——NeedCopy >

要查看分区，请使用AdditionalData该项的参数:

serviceOffering美元。AdditionalData

如果没有指定可用区，机器的供应方式就不会改变。

通过PowerShell配置可用分区，请使用区属性提供自定义属性New-ProvScheme操作。的区属性定义要将计算机配置到的可用区列表。这些分区可以包括一个或多个可用分区。例如,用于1区和3区。

使用Set-ProvScheme命令，更新资源分配方案的资源分区。

如果提供了无效的区域，则不会更新配置方案，并出现一条错误消息，提供有关如何修复无效命令的说明。

提示:

如果指定无效的自定义属性，则不会更新配置方案，并显示相关的错误消息。

同时使用主机组和Azure可用性区域

根据自定义属性中指定的可用性区域和主机组的区域，有一个飞行前检查来评估机器目录的创建是否成功。如果可用分区自定义属性与主机组的分区不匹配，则创建目录失败。

有关通过PowerShell配置可用区的信息，请参见通过PowerShell配置可用分区。

有关Azure专用主机的信息，请参见Azure专用主机。

下表描述了可用区域和主机组区域的各种组合，以及哪些组合会导致创建机器目录的成功或失败。

Azure临时磁盘

Azure临时磁盘允许您重新使用缓存或临时磁盘来存储启用azure的虚拟机的操作系统磁盘。此功能对于需要比标准HDD磁盘更高性能的SSD磁盘的Azure环境非常有用。

注意:

持久编目不支持临时操作系统磁盘。

临时操作系统磁盘要求您的配置方案使用托管磁盘和共享映像库。有关更多信息，请参见Azure共享图片库。

使用PowerShell配置临时磁盘

要为目录配置Azure临时操作系统磁盘，请使用UseEphemeralOsDisk参数Set-ProvScheme。的值UseEphemeralOsDisk参数真正的。

注意:

要使用该特性，还必须启用这些参数UseManagedDisks和UseSharedImageGallery。

例如:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties     ' 

存储临时操作系统临时磁盘

操作系统临时磁盘可以存储在虚拟机的临时磁盘上，也可以存储在资源磁盘上。此功能允许您将临时操作系统磁盘与没有缓存或缓存不足的虚拟机一起使用。虚拟机有临时磁盘或资源磁盘，用于存放临时操作系统磁盘，如Ddv4。

考虑以下几点:

• 临时磁盘存储在虚拟机的缓存磁盘或虚拟机的临时(资源)磁盘中。缓存盘优先于临时盘，除非缓存盘不够大，无法容纳操作系统磁盘的内容。
• 对于更新，一个比缓存磁盘大但比临时磁盘小的新映像会将临时操作系统磁盘替换为虚拟机的临时磁盘。

存储类型

为使用MCS的Azure环境中的虚拟机选择不同的存储类型。对于目标虚拟机，MCS支持:

• 操作系统磁盘:高级SSD、SSD或HDD
• 回写缓存盘:高级SSD、SSD或HDD

在使用这些存储类型时，请考虑以下事项:

• 请确保虚拟机支持所选的存储类型。
• 如果您的配置使用Azure临时磁盘，则无法获得回写缓存磁盘设置的选项。

提示:

StorageType已配置操作系统类型和存储帐户。WBCDiskStorageType配置回写缓存存储类型。对于一个普通的目录，StorageType是必需的。如果WBCDiskStorageType未配置StorageType的默认值WBCDiskStorageType。

如果未配置“WBCDiskStorageType”，则“WBCDiskStorageType”默认为“StorageType”

配置存储类型

配置虚拟机的存储类型，请使用StorageType参数New-ProvScheme。的值StorageType参数设置为支持的存储类型之一。

的示例集CustomProperties发放方案参数:

Set-ProvScheme -ProvisioningSchemeName catalog-name -CustomProperties '    ' 

启用分区冗余存储

您可以在创建目录时选择区域冗余存储。它跨多个可用性区域同步复制Azure托管磁盘，这允许您通过利用其他区域的冗余从一个区域的故障中恢复。

你可以指定Premium_ZRS和StandardSSD_ZRS在存储类型自定义属性中。ZRS存储可以使用现有的自定义属性或通过MachineProfile模板。还支持ZRS存储Set-ProvVMUpdateTimeWindow命令-StartsNow和-DurationInMinutes 1参数。您可以将现有机器从LRS存储更改为ZRS存储。

注意:

• StartsNow表示计划的开始时间为当前时间。
• DurationInMinutes如果是负数(例如-1)，则表示计划的时间窗口没有上限。

限制:

• 仅支持管理磁盘
• 仅支持高级和标准固态硬盘(SSD)
• 不支持StorageTypeAtShutdown
• 仅在某些地区可用。
• 在大规模创建ZRS磁盘时，Azure的性能会下降。因此，第一次开机时，要小批量开机(一次少于300台)。

磁盘存储类型设置为分区冗余存储

您可以在初始目录创建期间选择区域冗余存储，也可以在现有目录中更新存储类型。

使用PowerShell命令选择分区冗余存储

在Azure中创建新目录时New-ProvSchemePowershell命令，使用Standard_ZRS中的值StorageAccountType。例如:

设置此值时，动态API将对其进行验证，以确定是否可以正确使用该值。如果使用ZRS对您的目录无效，可能会出现以下例外情况:

• StorageTypeAtShutdownNotSupportedForZrsDisks: StorageTypeAtShutdown自定义属性不能用于ZRS存储。
• StorageAccountTypeNotSupportedInRegion:如果尝试在不支持ZRS的Azure区域中使用ZRS存储，则会出现此异常
• ZrsRequiresManagedDisks:只支持管理磁盘使用分区冗余存储。

可通过以下自定义属性设置磁盘的存储类型:

• StorageType
• WBCDiskStorageType
• IdentityDiskStorageType

注意:

在创建目录期间，机器概要文件的操作系统磁盘StorageType如果未设置自定义属性，则使用。

Azure市场

Citrix DaaS支持在Azure上使用包含计划信息的主映像来创建机器目录。有关更多信息，请参见微软Azure市场。

提示:

在Azure市场中找到的某些映像(如标准Windows Server映像)不附加计划信息。Citrix DaaS功能适用于付费镜像。

确保在共享映像库中创建的映像包含Azure计划信息

使用本节中的过程可以在Citrix Studio中查看共享图片库中的图像。这些映像可以选择性地用于主映像。若要将图像放入共享图库，请在图库中创建图像定义。

在发布选项页面，验证购买计划信息。

购买计划信息字段最初为空。用用于图像的购买计划信息填充这些字段。未能填充购买计划信息可能导致机器目录流程失败。

验证购买计划信息后，在定义内创建映像版本。这被用作主映像。点击添加版本：

在版本信息，选择镜像快照或托管磁盘作为源:

下一步该去哪里?

• 如果这是创建的第一个目录，将引导您执行创建交付组。
• 要查看整个配置过程，请参见计划并构建部署。
• 要管理目录，请参见管理机器目录和管理Microsoft Azure目录。

更多的信息

• 人脉和资源
• 连接到Microsoft Azure资源管理器
• 创建机器目录