Erstellen und Zuweisen der RBAC-Rolle

  • 3 Minuten

In einem Azure Virtual Desktop-Hostpool müssen die Sitzungshosts eingeschaltet sein, damit Benutzer eine Verbindung zu ihren Sitzungen herstellen können. Je mehr Benutzer sich anmelden, desto mehr Sitzungshosts müssen eingeschaltet sein, um die Benutzersitzungen aufzunehmen. Das Problem ist, dass es sehr teuer werden kann, wenn man die VMs des Sitzungshosts rund um die Uhr laufen lässt, da man am Ende sowohl für Rechen- als auch für Speicherkosten rund um die Uhr bezahlen muss. Die automatische Skalierung ist das native Skalierungsfeature von Azure Virtual Desktops, mit dem Sie Skalierungskonfigurationen für verschiedene Wochentage und Tageszeiten eingeben können. Bei dieser Skalierungskonfiguration schaltet die automatische Skalierung VMs automatisch gemäß Ihrem Zeitplan ein und aus, sodass Sie nicht länger für unnötige Rechenkosten aufkommen müssen.

In dieser Lerneinheit wird beschrieben, wie das Feature „Autoskalierung“ funktioniert und wie sie eingerichtet wird.

Erstellen Sie eine benutzerdefinierte RBAC-Rolle

In diesem Abschnitt wird erläutert, was eine RBAC-Rolle ist, und Sie werden durch das Erstellen einer Rolle im Azure-Portal und deren Zuweisung zum Azure Virtual Desktop-Dienstprinzip geführt.

Was ist RBAC und warum ist es notwendig?

RBAC steht für rollenbasierte Zugriffssteuerung und bietet Ihnen die Möglichkeit, Azure Virtual Desktop und Azure Compute Lese-, Schreib- und Aktionsberechtigungen zu erteilen, um auf die Azure-VMs und Hostpools in Ihrem Abonnement zuzugreifen. Ohne das Erstellen dieser RBAC-Rolle kann die automatische Skalierung beispielsweise keine API-Aufrufe an Azure Compute in Ihrem Namen durchführen, um die VMs zu starten oder zu beenden. Außerdem kann der Dienst Aktionen sowohl auf Hostpools als auch auf VMs anwenden, wenn keine aktiven Benutzersitzungen vorhanden sind. Das Erstellen dieser benutzerdefinierten RBAC-Rolle ist ein entscheidender Schritt beim Einrichten der automatischen Skalierung.

Erstellen Sie benutzerdefinierte RBAC-Rollen

Diese Einheit führt Sie durch den Prozess zum Erstellen einer benutzerdefinierten RBAC-Rolle im Azure-Portal. Weitere Informationen zu benutzerdefinierten RBAC-Rollen finden Sie unter Erstellen einer benutzerdefinierten Rolle.

  1. Melden Sie sich beim Azure-Portal an

  2. Wechseln Sie zu Abonnements.

  3. Wählen Sie die Schaltfläche „+“ in der oberen linken Ecke des Bildschirms und dann aus dem Dropdown-Menü die Option Benutzerdefinierte Rolle hinzufügen aus, wie im folgenden Screenshot gezeigt.

    Screenshot, der die Auswahl im Menü „Hinzufügen“ für „Benutzerdefinierte Rolle hinzufügen“ zeigt.

  4. Benennen Sie als Nächstes die benutzerdefinierte Rolle und fügen Sie eine Beschreibung hinzu. Wir empfehlen, die Rolle „Autoscale“ zu benennen.

  5. Fügen Sie auf der Registerkarte Berechtigungen dem Abonnement, dem Sie die Rolle zuweisen, die folgenden Berechtigungen hinzu:

    "Microsoft.Insights/eventtypes/values/read" "Microsoft.Compute/virtualMachines/deallocate/action" "Microsoft.Compute/virtualMachines/restart/action" "Microsoft.Compute/virtualMachines/powerOff/action" "Microsoft.Compute/virtualMachines/start" /action" "Microsoft.Compute/virtualMachines/read" "Microsoft.DesktopVirtualization/hostpools/read" "Microsoft.DesktopVirtualization/hostpools/write" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/read" " Microsoft.DesktopVirtualization/hostpools/sessionhosts/write" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action"

  6. Wenn Sie fertig sind, wählen Sie OK aus.

Weisen Sie AVD die benutzerdefinierte RBAC-Rolle zu

Nachdem Sie die benutzerdefinierte RBAC-Rolle erstellt haben, muss sie dem Windows Virtual Desktop-Dienstprinzip zugewiesen werden. Beachten Sie, dass es einige Minuten dauern kann, bis die Rolle, die Sie gerade erstellt haben, in der Rollenliste propagiert wird.

So weisen Sie die benutzerdefinierte Rolle zum Gewähren des Zugriffs zu:

  1. Wählen Sie auf der Registerkarte Zugriffssteuerung (IAM) die Option Rollenzuweisungen hinzufügen aus.

  2. Wählen Sie die soeben erstellte Rolle aus und fahren Sie mit dem nächsten Bildschirm fort.

  3. Wählen Sie „+Mitglieder auswählen“ aus. Geben Sie in der Suchleiste Windows Virtual Desktop ein und wählen Sie es aus, wie im folgenden Screenshot gezeigt. Wenn Sie sowohl über eine Bereitstellung von Azure Virtual Desktop (klassisch) als auch über eine Bereitstellung von Azure Virtual Desktop mit Azure Resource Manager verfügen, sehen Sie zwei Apps mit demselben Namen. Wählen Sie beide aus.

    Screenshot, der die virtuelle Windows-Auswahl zeigt.

  4. Wählen Sie „Überprüfen + zuweisen“ aus, um die Aufgabe abzuschließen.