Crear y asignar el rol RBAC

  • 3 minutos

En un grupo de hosts de Azure Virtual Desktop, los hosts de sesión deben estar conectados para que los usuarios puedan conectarse a sus sesiones. Cuantos más usuarios se registren, más hosts de sesión tendrán que estar conectados para poder alojar las sesiones de los usuarios. El problema es el hecho de mantener el host de sesión de las máquinas virtuales funcionando las 24 horas del día, puede ser muy costoso, ya que se termina pagando por los costos de procesamiento y almacenamiento durante todo el día. La escalabilidad automática es la característica de escalabilidad nativa de Azure Virtual Desktop que le permite entrar en configuraciones de escalabilidad para diferentes días de la semana y horas del día. Dada esta configuración de escalado, la escalabilidad automática activa automáticamente las máquinas virtuales según su programación y las desactiva para que no tenga que seguir pagando costes de procesamiento innecesarios.

Esta unidad explica cómo funciona la característica de la escalabilidad automática y cómo configurarla.

Crear un rol RBAC personalizado

En esta sección se explicará qué es un rol RBAC y se le guiará sobre cómo crear uno en el Azure Portal y asignarlo al principio del servicio Azure Virtual Desktop.

¿Qué es RBAC y por qué es necesario?

RBAC representa el control de acceso basado en roles y es una forma de conceder permisos de lectura, escritura y acción a Azure Virtual Desktop y Azure Compute para poder acceder a las máquinas virtuales de Azure y los grupos de hosts de la suscripción. Sin crear este rol RBAC, la escalabilidad automática no podrá, por ejemplo, realizar llamadas API al Azure compute en su nombre para iniciar o detener las máquinas virtuales. También permitirá que el servicio aplique las acciones tanto en los grupos de anfitriones como en las máquinas virtuales cuando no haya ninguna sesión de usuario activa. La creación de este rol RBAC personalizado es un paso crucial en el ajuste de la escalabilidad automática.

Crear roles RBAC personalizados

Esta unidad le ayudará a través del proceso de creación de un rol RBAC personalizado en el Azure Portal. Para obtener más información sobre los roles RBAC personalizados, visite Crear un rol personalizado

  1. Iniciar sesión en Azure Portal

  2. Vaya a Suscripciones.

  3. Seleccione el botón + en la esquina superior izquierda de la pantalla y, a continuación, seleccioneAgregar rol personalizadoen el menú desplegable, como se muestra en la siguiente captura de pantalla.

    Captura de pantalla que muestra la selección del menú para añadir un rol personalizado.

  4. A continuación, asigne un nombre al rol personalizado y añada una descripción. Se recomienda que asigne el nombre "Escalabilidad automática" al rol.

  5. En la pestaña Permisos, agrega los siguientes permisos a la suscripción a la que va a asignar el rol:

    "Microsoft.Insights/eventtypes/values/read" "Microsoft.Compute/virtualMachines/deallocate/action" "Microsoft.Compute/virtualMachines/restart/action" "Microsoft.Compute/virtualMachines/powerOff/action" "Microsoft.Compute/virtualMachines/start/action" "Microsoft.Compute/virtualMachines/read" "Microsoft.DesktopVirtualization/hostpools/read" "Microsoft.DesktopVirtualization/hostpools/write" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/read" " Microsoft.DesktopVirtualization/hostpools/sessionhosts/write" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read" "Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action"

  6. Cuando termine, seleccione Aceptar.

Asignar el rol RBAC personalizado a AVD

Después de crear el rol RBAC personalizado, debe asignarse al Windows del servicio principal de Virtual Desktop. Tenga en cuenta que el rol que acaba de crear puede tardar unos minutos en propagarse en la lista de roles.

Para poder asignar el rol personalizado para conceder acceso:

  1. En la pestaña Control de acceso (IAM), seleccione Agregar asignaciones de roles.

  2. Seleccione el rol que acaba de crear y continúe con la siguiente pantalla.

  3. Seleccione +Seleccionar miembros. En la barra de búsqueda, escriba y seleccione Windows Virtual Desktop, como se muestra en la siguiente captura de pantalla. Cuando tenga una implementación de Azure Virtual Desktop (clásica) y una implementación de Azure Virtual Desktop con Azure Resource Manager, verá dos aplicaciones con el mismo nombre. Selecciónelos a ambos.

    Captura de pantalla que muestra la selección virtual de Windows.

  4. Seleccione Revisar + asignar para completar la asignación.