Citrix Virtual Apps and Desktops

Ambienti Google Cloud

Citrix Virtual Apps and Desktops consente di effettuare il provisioning delle macchine su Google Cloud e gestirle. Questo articolo illustra l’utilizzo di Machine Creation Services (MCS) per il provisioning di macchine virtuali nella distribuzione del servizio Citrix Virtual Apps o Citrix Virtual Desktops.

Requisiti

  • Account Citrix Cloud. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
  • Sottoscrizione a Citrix DaaS. Per ulteriori informazioni, consultare Per iniziare.
  • Un progetto Google Cloud. Il progetto memorizza tutte le risorse di elaborazione associate al catalogo delle macchine. Può essere un progetto esistente o nuovo.
  • Abilitare quattro API nel progetto Google Cloud. Per i dettagli, consultare Abilitare le API di Google Cloud.
  • Account del servizio Google Cloud. L’account del servizio si autentica su Google Cloud per consentire l’accesso al progetto. Per i dettagli, consultare Configurare l’account del servizio Google Cloud.
  • Abilitare l’accesso privato di Google. Per i dettagli, consultare Abilitare l’accesso privato di Google.

Abilitare le API di Google Cloud

Per utilizzare la funzionalità Google Cloud tramite l’interfaccia Full Configuration (Configurazione completa) di Citrix Virtual Apps and Desktops, abilitare queste API nel progetto Google Cloud:

  • API di Compute Engine
  • API di Cloud Resource Manager
  • API di Gestione delle identità e degli accessi (IAM)
  • API Cloud Build

Dalla console di Google Cloud, completare questi passaggi:

  1. Nel menu in alto a sinistra, selezionare API e servizi > Dashboard.

    Immagine della selezione di Dashboard > API e servizi

  2. Nella schermata Dashboard, assicurarsi che l’API Compute Engine sia abilitata. In caso contrario, attenersi alla seguente procedura:

    1. Andare ad API e servizi > Libreria.

      Immagine della libreria di API e servizi

    2. Nella casella di ricerca, digitare Compute Engine.

    3. Dai risultati della ricerca, selezionare Compute Engine API (API Compute Engine).

    4. Nella pagina Compute Engine API (API Compute Engine), selezionare Abilita.

  3. Abilitare l’API Cloud Resource Manager.

    1. Andare ad API e servizi > Libreria.

    2. Nella casella di ricerca, digitare Cloud Resource Manager.

    3. Dai risultati della ricerca, selezionare Cloud Resource Manager API (API Cloud Resource Manager).

    4. Nella pagina Cloud Resource Manager API (API Cloud Resource Manager), selezionare Abilita. Viene visualizzato lo stato dell’API.

  4. Allo stesso modo, abilitare Identity and Access Management (IAM) API (API Gestione dell’identità e degli accessi [IAM]) e Cloud Build API (API Cloud Build).

È anche possibile utilizzare Google Cloud Shell per abilitare le API. A questo scopo:

  1. Aprire la Google Console e caricare Cloud Shell.
  2. Eseguire i seguenti quattro comandi in Cloud Shell:

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
  3. Fare clic su Authorize se richiesto da Cloud Shell.

Configurare e aggiornare gli account di servizio

Nota:

CP introdurrà modifiche del comportamento predefinito di Cloud Build Service e dell’uso degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account di servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si intende ottenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API Cloud Build. Di conseguenza, il contenuto che segue è diviso in due: prima del 29 aprile 2024 e dopo il 29 aprile 2024. Se si imposta il nuovo criterio dell’organizzazione, seguire la sezione Prima del 29 aprile 2024.

Prima del 29 aprile 2024

Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:

  • Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio esegue l’autenticazione su Google Cloud utilizzando una chiave generata da Google Cloud.

    È necessario creare questo account di servizio manualmente come indicato qui. Per ulteriori informazioni, vedere Creare un account Citrix Cloud Service.

    È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Account del servizio Cloud Build: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud). Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministratore > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google.

    È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild. Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

    Verificare se all’account di servizio sono stati assegnati i ruoli che seguono. Se è necessario aggiungere ruoli, seguire i passaggi descritti in Aggiungere ruoli all’account di servizio Cloud Build.

    • Account del servizio Cloud Build
    • Amministratore istanze Compute
    • Utente account di servizio
  • Account di servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un ruolo di Amministratore archiviazione che richiede le seguenti autorizzazioni:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

Creare un account Citrix Cloud Service

Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
  2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
  3. Nella pagina Crea account di servizio, immettere le informazioni richieste e quindi selezionare CREA E CONTINUA.
  4. Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.

    Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:

    • Amministratore Compute
    • Amministratore archiviazione
    • Editor Cloud Build
    • Utente account di servizio
    • Utente di Cloud Datastore
    • Operatore crittografico Cloud KMS

    L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

  5. Fare clic su CONTINUE (Continua).
  6. Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
  7. Fare clic su DONE (Fine).
  8. Accedere alla console principale di IAM.
  9. Identificare l’account di servizio creato.
  10. Confermare che i ruoli sono stati assegnati correttamente.

Considerazioni:

Quando si crea l’account di servizio, tendere in considerazione quanto segue:

  • I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
  • Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.

Chiave dell’account Citrix Cloud Service

La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration di Citrix non può analizzarla.

Per creare una chiave dell’account di servizio, accedere a IAM e Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Accertarsi di aver selezionato selezionare JSON come tipo di chiave.

Suggerimento:

Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account Citrix Cloud Service

Per aggiungere ruoli all’account Citrix Cloud Service:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
  2. Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.

    Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
  4. Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).

Aggiungere ruoli all’account di servizio Cloud Build

Per aggiungere ruoli all’account di servizio Cloud Build:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
  2. Nella pagina IAM, individuare l’account di servizio Cloud Build, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild.

    Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
  4. Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli.

Dopo il 29 aprile 2024

Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:

  • Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio esegue l’autenticazione su Google Cloud utilizzando una chiave generata da Google Cloud.

    È necessario creare questo account di servizio manualmente.

    È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Account del servizio Cloud Compute: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud). Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministratore > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Storage Admin che richiede le seguenti autorizzazioni:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

    Verificare se all’account di servizio sono stati assegnati i ruoli che seguono.

    • Account del servizio Cloud Build
    • Amministratore istanze Compute
    • Utente account di servizio

Creare un account Citrix Cloud Service

Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
  2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
  3. Nella pagina Crea account di servizio, immettere le informazioni richieste e quindi selezionare CREA E CONTINUA.
  4. Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.

    Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:

    • Amministratore Compute
    • Amministratore archiviazione
    • Editor Cloud Build
    • Utente account di servizio
    • Utente di Cloud Datastore
    • Operatore crittografico Cloud KMS

    L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

  5. Fare clic su CONTINUE (Continua).
  6. Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
  7. Fare clic su DONE (Fine).
  8. Accedere alla console principale di IAM.
  9. Identificare l’account di servizio creato.
  10. Confermare che i ruoli sono stati assegnati correttamente.

Considerazioni:

Quando si crea l’account di servizio, tendere in considerazione quanto segue:

  • I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
  • Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.

Chiave dell’account Citrix Cloud Service

La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration di Citrix non può analizzarla.

Per creare una chiave dell’account di servizio, accedere a IAM e Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Accertarsi di aver selezionato selezionare JSON come tipo di chiave.

Suggerimento:

Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account Citrix Cloud Service

Per aggiungere ruoli all’account Citrix Cloud Service:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
  2. Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.

    Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
  4. Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).

Aggiungere ruoli all’account di servizio Cloud Compute

Per aggiungere ruoli all’account di servizio Cloud Compute:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
  2. Nella pagina IAM, individuare l’account di servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola compute.

    Ad esempio, <project-id>-compute@developer.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
  4. Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli.

Permessi di archiviazione e gestione dei bucket

Citrix DaaS migliora il processo di segnalazione degli errori di compilazione del cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters} in cui i servizi Google Cloud acquisiscono le informazioni dei log di compilazione. In questo bucket è impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione abbia le autorizzazioni di Google Cloud impostate su storage.buckets.update. Se l’account del servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.

Abilitare l’accesso privato a Google

Quando una macchina virtuale non ha un indirizzo IP esterno assegnato alla relativa interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la macchina virtuale si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.

Nota:

Se l’accesso privato a Google è abilitato, tutte le macchine virtuali con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.

Per assicurare che una macchina virtuale nella subnet possa accedere alle API Google senza un indirizzo IP pubblico per il provisioning MCS:

  1. In Google Cloud, accedere alla configurazione della rete VPC.
  2. Nella schermata dei dettagli della subnet, attivare Private Google access (Accesso privato a Google).

Accesso privato a Google

Per ulteriori informazioni, consultare Configurazione dell’accesso privato a Google.

Importante:

Se la rete è configurata per impedire l’accesso delle macchine virtuali a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la macchina virtuale.

Aggiungere una connessione

Seguire le indicazioni fornite in Creare una connessione e risorse. La seguente descrizione guida l’utente nella configurazione di una connessione di hosting:

  1. Da Manage > Configuration (Gestisci > Configurazione), selezionare Hosting nel riquadro di sinistra.

  2. Selezionare Add Connections and Resources (Aggiungi connessioni e risorse) nella barra delle azioni.

  3. Nella pagina Connection (Connessione), selezionare Create a new Connection (Crea una nuova connessione) e Citrix provisioning tools (Strumenti di provisioning Citrix), quindi selezionare Next (Avanti).

    • Tipo di connessione. Selezionare Google Cloud dal menu.
    • Nome connessione. Digitare un nome per la connessione.
  4. Nella pagina Region (Regione), selezionare un nome di progetto dal menu, selezionare una regione contenente le risorse che si desidera utilizzare, quindi selezionare Next (Avanti).

  5. Nella pagina Network (Rete) digitare un nome per le risorse, selezionare una rete virtuale dal menu, selezionare un sottoinsieme e quindi selezionare Next (Avanti). Il nome della risorsa aiuta a identificare la regione e la combinazione di rete. Le reti virtuali con il suffisso (Shared) (Condivisa) aggiunto al loro nome rappresentano i VPC condivisi. Se si configura un ruolo IAM a livello di subnet per un VPC condiviso, nell’elenco delle subnet vengono visualizzate solo le subnet specifiche del VPC condiviso.

    Nota:

    • Il nome della risorsa può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).
  6. Nella pagina Summary (Riepilogo), confermare le informazioni e quindi selezionare Finish (Fine) per uscire dalla finestra Add Connection and Resources (Aggiungi connessione e risorse).

Dopo aver creato la connessione e le risorse, vengono elencate la connessione e le risorse create. Per configurare la connessione, selezionare la connessione e quindi selezionare l’opzione applicabile nella barra delle azioni.

Allo stesso modo, è possibile eliminare, rinominare o testare le risorse create con la connessione. A tale scopo, selezionare la risorsa sotto la connessione e quindi selezionare l’opzione applicabile nella barra delle azioni.

Preparare un’istanza di macchina virtuale master e un disco persistente

Suggerimento:

“Disco persistente” è il termine Google Cloud per il disco virtuale.

Per preparare l’istanza della macchina virtuale master, creare e configurare un’istanza di macchina virtuale con proprietà che corrispondono alla configurazione desiderata per le istanze VDA clonate nel catalogo delle macchine pianificato. La configurazione non si applica solo alle dimensioni e al tipo di istanza. Include anche attributi di istanza come metadati, tag, assegnazioni GPU, tag di rete e proprietà degli account di servizio.

Nell’ambito del processo di mastering, MCS utilizza l’istanza della macchina virtuale master per creare il modello di istanza di Google Cloud. Il modello di istanza viene quindi utilizzato per creare le istanze VDA clonate che costituiscono il catalogo delle macchine. Le istanze clonate ereditano le proprietà (ad eccezione delle proprietà del VPC, della subnet e del disco persistente) dell’istanza della macchina virtuale master da cui è stato creato il modello di istanza.

Dopo aver configurato le proprietà dell’istanza della macchina virtuale master in base alle proprie specifiche, avviare l’istanza e quindi preparare il disco persistente per l’istanza.

Si consiglia di creare manualmente una snapshot del disco. Ciò consente di utilizzare una convenzione di denominazione significativa per tenere traccia delle versioni, offre più opzioni per gestire le versioni precedenti dell’immagine master e consente di risparmiare tempo per la creazione del catalogo delle macchine. Se non si crea una snapshot personalizzata, MCS crea un’istantanea temporanea (che viene eliminata al termine del processo di provisioning).

Creare un catalogo di macchine

Nota:

Creare le risorse prima di creare un catalogo delle macchine. Utilizzare le convenzioni di denominazione stabilite da Google Cloud durante la configurazione dei cataloghi delle macchine. Per maggiori informazioni, consultare le Linee guida per la denominazione di bucket e oggetti.

Seguire le indicazioni in Creare cataloghi delle macchine. Attualmente Studio non supporta la creazione di cataloghi Google Cloud. Utilizzare invece PowerShell.

Gestire un catalogo di macchine

Per aggiungere macchine a un catalogo, aggiornare le macchine ed eseguire il rollback di un aggiornamento, vedere Gestire i cataloghi delle macchine.

Gestione dell’alimentazione

Citrix DaaS consente la gestione dell’alimentazione delle macchine Google Cloud. Utilizzare il nodo Search (Cerca) nel riquadro di navigazione per individuare la macchina di cui si desidera gestire l’alimentazione. Sono disponibili le seguenti azioni per l’alimentazione:

  • Delete (Elimina)
  • Start (Avvia)
  • Restart (Riavvia)
  • Force Restart (Forza riavvio)
  • Shut Down (Arresta)
  • Force Shutdown (Imponi arresto)
  • Add to Delivery Group (Aggiungi al gruppo di consegna)
  • Manage Tags (Gestisci tag)
  • Turn On Maintenance Mode (Attiva la modalità di manutenzione)

È anche possibile gestire l’alimentazione delle macchine Google Cloud utilizzando Autoscale (Scalabilità automatica). A tale scopo, aggiungere le macchine Google Cloud a un gruppo di consegna e abilitare la scalabilità automatica per tale gruppo. Per ulteriori informazioni sulla scalabilità automatica, consultare Scalabilità automatica.

Proteggersi dall’eliminazione accidentale di macchine

Citrix DaaS consente di proteggere le risorse MCS su Google Cloud per impedirne l’eliminazione accidentale. Configurare la macchina virtuale di cui è stato eseguito il provisioning impostando il flag deletionProtection su TRUE.

Per impostazione predefinita, le macchine virtuali di cui è stato eseguito il provisioning tramite MCS o il plug-in Google Cloud vengono create con InstanceProtection abilitato. L’implementazione è applicabile sia ai cataloghi persistenti che a quelli non persistenti. I cataloghi non persistenti vengono aggiornati quando le istanze vengono ricreate dal modello. Per le macchine persistenti esistenti, è possibile impostare il flag nella console di Google Cloud. Per ulteriori informazioni sull’impostazione del flag, consultare il sito della documentazione di Google. Le nuove macchine aggiunte ai cataloghi persistenti vengono create con deletionProtection abilitato.

Se si tenta di eliminare un’istanza di una macchina virtuale per la quale è stato impostato il flag deletionProtection, la richiesta non riesce. Tuttavia, se viene concessa l’autorizzazione compute.instances.setDeletionProtection o il ruolo IAM Compute Admin, è possibile reimpostare il flag per consentire l’eliminazione della risorsa.

Importare macchine di Google Cloud create manualmente

È possibile creare una connessione a Google Cloud e quindi creare un catalogo contenente macchine Google Cloud. Quindi, è possibile spegnere e riaccendere manualmente le macchine Google Cloud tramite Citrix DaaS. Con questa funzionalità, è possibile:

  • Importare macchine Google Cloud con sistema operativo multisessione create manualmente in un catalogo delle macchine di Citrix Virtual Apps and Desktops.
  • Rimuovere macchine Google Cloud con sistema operativo multisessione create manualmente da un catalogo Citrix Virtual Apps and Desktops.
  • Utilizzare le funzionalità esistenti di gestione dell’alimentazione di Citrix Virtual Apps and Desktops per gestire l’alimentazione delle macchine Google Cloud con sistema operativo multisessione Windows. Ad esempio, impostare un programma di riavvio per tali macchine.

Questa funzionalità non richiede modifiche a un flusso di lavoro di provisioning esistente di Citrix Virtual Apps and Desktops, né la rimozione di alcuna funzionalità esistente. Si consiglia di utilizzare MCS per eseguire il provisioning delle macchine nell’interfaccia Full Configuration (Configurazione completa) in Citrix DaaS anziché importare le macchine Google Cloud create manualmente.

Cloud privato virtuale condiviso

I cloud privati virtuali (VPC) condivisi comprendono un progetto host, da cui vengono rese disponibili le subnet condivise, e uno o più progetti di servizio che utilizzano la risorsa. I VPC condivisi sono desiderabili per installazioni di grandi dimensioni, perché forniscono controllo, utilizzo e amministrazione centralizzati delle risorse aziendali condivise di Google Cloud. Per ulteriori informazioni, consultare il sito della documentazione di Google.

Con questa funzionalità, Machine Creation Services (MCS) supporta il provisioning e la gestione dei cataloghi delle macchine distribuiti su VPC condivisi. Questo supporto, che dal punto di vista funzionale è equivalente al supporto attualmente fornito nei VPC locali, si differenzia sotto due aspetti:

  1. È necessario concedere autorizzazioni aggiuntive all’account di servizio utilizzato per creare la connessione host. Questo processo consente a MCS di accedere e utilizzare le risorse VPC condivise.
  2. È necessario creare due regole firewall, una per l’ingresso e una per l’uscita. Queste regole firewall vengono utilizzate durante il processo di mastering delle immagini.

Sono necessarie nuove autorizzazioni

Per la creazione della connessione host è necessario un account di servizio Google Cloud con autorizzazioni specifiche. Queste autorizzazioni aggiuntive devono essere concesse a tutti gli account di servizio utilizzati per creare connessioni host basate su VPC condivisi.

Suggerimento:

Queste autorizzazioni aggiuntive non sono nuove in Citrix DaaS. Sono utilizzate per facilitare l’implementazione di VPC locali. Con i VPC condivisi, queste autorizzazioni aggiuntive consentono l’accesso ad altre risorse VPC condivise.

È necessario concedere un massimo di quattro autorizzazioni aggiuntive all’account di servizio associato alla connessione host per supportare i VPC condivisi:

  1. compute.firewalls.list: questa autorizzazione è obbligatoria. Consente a MCS di recuperare l’elenco delle regole firewall presenti nel VPC condiviso.
  2. compute.networks.list: questa autorizzazione è obbligatoria. Consente a MCS di identificare le reti VPC condivise disponibili per l’account di servizio.
  3. compute.subnetworks.list: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. Consente a MCS di identificare le subnet all’interno dei VPC condivisi visibili. Questa autorizzazione è già richiesta quando si utilizzano VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.
  4. compute.subnetworks.use: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. È necessario utilizzare le risorse di subnet nei cataloghi delle macchine di cui è stato eseguito il provisioning. Questa autorizzazione è già necessaria per l’utilizzo di VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.

Quando si utilizzano queste autorizzazioni, tenere presente che esistono diversi approcci in base al tipo di autorizzazione utilizzato per creare il catalogo delle macchine:

  • Autorizzazione a livello di progetto:
    • Consente l’accesso a tutti i VPC condivisi all’interno del progetto host.
    • Richiede che le autorizzazioni 3 e 4 vengano assegnate all’account di servizio.
  • Autorizzazione a livello di subnet:
    • Consente l’accesso a subnet specifiche all’interno del VPC condiviso.
    • Le autorizzazioni 3 e 4 sono intrinseche all’assegnazione a livello di subnet e quindi non devono essere assegnate direttamente all’account di servizio.

Selezionare l’approccio più adatto alle esigenze e agli standard di sicurezza della propria azienda.

Suggerimento:

Per ulteriori informazioni sulle differenze tra le autorizzazioni a livello di progetto e di subnet, consultare la documentazione di Google Cloud.

Regole firewall

Durante la preparazione di un catalogo delle macchine, viene preparata un’immagine della macchina che funge da disco di sistema dell’immagine master per il catalogo. Quando si verifica questo processo, il disco viene temporaneamente collegato a una macchina virtuale. Questa macchina virtuale deve essere eseguita in un ambiente isolato che impedisca tutto il traffico di rete in entrata e in uscita. Ciò si ottiene attraverso una coppia di regole firewall “nega tutto”, una per il traffico in ingresso e una per il traffico in uscita. Quando si utilizzano i VCP locali di Google Cloud, MCS crea questo firewall nella rete locale e lo applica alla macchina per il mastering. Al termine del mastering, la regola firewall viene rimossa dall’immagine.

Si consiglia di ridurre al minimo il numero di nuove autorizzazioni necessarie per utilizzare i VPC condivisi. I VPC condivisi sono risorse aziendali di livello superiore e in genere dispongono di protocolli di sicurezza più rigidi. Per questo motivo, è necessario creare una coppia di regole firewall nel progetto host sulle risorse VPC condivise, una per l’ingresso e una per l’uscita. Assegnare a tali regole la massima priorità. Applicare un nuovo tag di destinazione a ciascuna di queste regole, utilizzando il valore seguente:

citrix-provisioning-quarantine-firewall

Quando MCS crea o aggiorna un catalogo delle macchine, cerca le regole del firewall contenenti questo tag di destinazione. Quindi esamina le regole per verificarne la correttezza e le applica alla macchina utilizzata per preparare l’immagine master per il catalogo. Se le regole firewall non vengono trovate o le regole vengono trovate ma non sono corrette (o le relative priorità non sono corrette), viene visualizzato un messaggio simile al seguente:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configurazione del VPC condiviso

Prima di aggiungere il VPC condiviso come connessione host nell’interfaccia Full Configuration (Configurazione completa) in Citrix DaaS, completare i seguenti passaggi per aggiungere account di servizio dal progetto in cui si intende effettuare il provisioning:

  1. Creare un ruolo IAM.
  2. Aggiungere l’account di servizio utilizzato per creare una connessione host CVAD al ruolo IAM del progetto host del VPC condiviso.
  3. Aggiungere l’account di servizio Cloud Build dal progetto di cui si intende eseguire il provisioning al ruolo IAM del progetto host del VPC condiviso.
  4. Creare regole firewall.

Creare un ruolo IAM

Determinare il livello di accesso del ruolo: accesso a livello di progetto o un modello più limitato utilizzando l’accesso a livello di subnet.

Accesso a livello di progetto per il ruolo IAM. Per il ruolo IAM a livello di progetto, includere le seguenti autorizzazioni:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Per creare un ruolo IAM a livello di progetto:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
  2. Nella pagina Ruoli, selezionare CREA RUOLO.
  3. Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
    1. Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione e quindi selezionare AGGIUNGI.
    2. Selezionare CREA.

Ruolo IAM a livello di subnet. Questo ruolo omette l’aggiunta delle autorizzazioni compute.subnetworks.list e compute.subnetworks.use dopo aver selezionato CREA RUOLO. Per questo livello di accesso IAM, le autorizzazioni compute.firewalls.list e compute.networks.list devono essere applicate al nuovo ruolo.

Per creare un ruolo IAM a livello di subnet:

  1. Nella console di Google Cloud, andare a Rete VPC > VPC condiviso. Viene visualizzata la pagina VPC condiviso, in cui sono visualizzate le subnet delle reti VPC condivise contenute nel progetto host.
  2. Nella pagina VPC condiviso, selezionare la subnet a cui si desidera accedere.
  3. Nell’angolo in alto a destra, selezionare AGGIUNGI MEMBRO per aggiungere un account di servizio.
  4. Nella pagina Aggiungi membri, completare questi passaggi:
    1. Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
    2. Selezionare il campo Seleziona un ruolo e quindi Utente di rete Compute.
    3. Selezionare SALVA.
  5. Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
  6. Nella pagina Ruoli, selezionare CREA RUOLO.
  7. Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
    1. Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione, quindi seleziona AGGIUNGI.
    2. Selezionare CREA.

Aggiungere un account di servizio al ruolo IAM del progetto host

Dopo aver creato un ruolo IAM, per aggiungere un account di servizio per il progetto host, procedere come segue:

  1. Nella console di Google Cloud, accedere al progetto host e quindi a IAM e amministrazione > IAM.
  2. Nella pagina IAM, selezionare AGGIUNGI per aggiungere un account di servizio.
  3. Nella pagina Aggiungi membri:
    1. Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
    2. Selezionare un campo ruolo, digitare il ruolo IAM creato e quindi selezionare il ruolo nel menu.
    3. Selezionare SALVA.

L’account di servizio è ora configurato per il progetto host.

Aggiungere l’account del servizio di compilazione cloud al VPC condiviso

Ogni sottoscrizione a Google Cloud ha un account di servizio che prende il nome dal numero ID del progetto, seguito da cloudbuild.gserviceaccount. Ad esempio: 705794712345@cloudbuild.gserviceaccount.

È possibile determinare qual è il numero ID del progetto per il proprio progetto selezionando Home page e Dashboard nella console di Google Cloud:

Pannello di navigazione della console Google Cloud

Trovare il numero del progetto sotto l’area Informazioni sul progetto dello schermo.

Eseguire i seguenti passaggi per aggiungere l’account del servizio Cloud Build al VPC condiviso:

  1. Nella console di Google Cloud, accedere al progetto host e quindi a IAM e amministrazione > IAM.
  2. Nella pagina Autorizzazioni, selezionare AGGIUNGI per aggiungere un account.
  3. Nella pagina Aggiungi membri, completare questi passaggi:
    1. Nel campo Nuovi membri, digitare il nome dell’account di servizio Cloud Build, quindi selezionare il proprio account di servizio nel menu.
    2. Selezionare il campo Seleziona un ruolo, digitare Computer Network User, quindi selezionare il ruolo nel menu.
    3. Selezionare SALVA.

Creare regole firewall

Come parte del processo di mastering, MCS copia l’immagine della macchina selezionata e la utilizza per preparare il disco di sistema dell’immagine master per il catalogo. Durante il processo di mastering, MCS collega il disco a una macchina virtuale temporanea, che in seguito esegue gli script di preparazione. Questa macchina virtuale deve essere eseguita in un ambiente isolato che vieti tutto il traffico di rete in entrata e in uscita. Per creare un ambiente isolato, MCS richiede due regole firewall “nega tutto” (una regola di ingresso e una regola di uscita). Pertanto, creare due regole firewall nel progetto host come segue:

  1. Nella console di Google Cloud, andare al progetto host e quindi a Rete VPC > Firewall.
  2. Nella pagina Firewall, selezionare CREA REGOLA FIREWALL.
  3. Nella pagina Crea una regola firewall, completare quanto segue:
    • Name. Digitare un nome per la regola.
    • Rete. Selezionare la rete VPC condivisa a cui applicare la regola firewall in ingresso.
    • Priorità. Più piccolo è il valore, maggiore è la priorità della regola. Si consiglia un valore piccolo (ad esempio, 10).
    • Direzione del traffico. Selezionare In entrata.
    • Azione in caso di corrispondenza. Selezionare Nega.
    • Destinazioni. Utilizzare l’opzione predefinita, Tag di destinazione specificati.
    • Tag di destinazione. Digitare citrix-provisioning-quarantine-firewall.
    • Filtro di origine. Utilizzare l’opzione predefinita, Intervalli IP.
    • Intervalli IP di origine. Digitare un intervallo che corrisponda a tutto il traffico. Digitare 0.0.0.0/0.
    • Protocolli e porte. Selezionare Nega tutto.
  4. Selezionare CREA per creare la regola.
  5. Ripetere i passaggi da 1 a 4 per creare un’altra regola. Per Direzione del traffico, selezionare In uscita.

Aggiungere una connessione

Aggiungere una connessione agli ambienti cloud di Google. Vedere Aggiungere una connessione.

Abilitare la selezione delle zone

Citrix Virtual Apps and Desktops supporta la selezione delle zone. Con la selezione delle zone, è possibile specificare le zone in cui si desidera creare macchine virtuali. Con la selezione delle zone, gli amministratori possono posizionare nodi single-tenant nelle zone di loro scelta. Per configurare la single-tenancy, è necessario completare quanto segue su Google Cloud:

  • Prenotare un nodo single-tenant di Google Cloud
  • Creare l’immagine master VDA

Prenotazione di un nodo single-tenant di Google Cloud

Per prenotare un nodo single-tenant, consultare la documentazione di Google Cloud.

Importante:

Un modello di nodo viene utilizzato per indicare le caratteristiche prestazionali del sistema riservato nel gruppo di nodi. Tali caratteristiche includono il numero di vGPU, la quantità di memoria allocata al nodo e il tipo di macchina utilizzato per le macchine create sul nodo. Per ulteriori informazioni, consultare la documentazione di Google Cloud.

Creazione dell’immagine master VDA

Per distribuire correttamente le macchine sul nodo single-tenant, è necessario eseguire ulteriori passaggi durante la creazione di un’immagine master della macchina virtuale. Le istanze delle macchine su Google Cloud hanno una proprietà chiamata etichette di affinità nodo. Le istanze utilizzate come immagini master per i cataloghi distribuiti nel nodo single-tenant richiedono un’etichetta di affinità nodo che corrisponda al nome del gruppo di nodi di destinazione. Per raggiungere questo obiettivo, tenere presente quanto segue:

Nota:

Se si intende utilizzare la single-tenancy con un VPC condiviso, consultare Cloud privato virtuale condiviso.

Impostare un’etichetta di affinità nodo durante la creazione di un’istanza

Per impostare l’etichetta di affinità nodo:

  1. Nella console di Google Cloud, andare a Compute Engine > Istanze VM.

  2. Nella pagina Istanze VM, selezionare Crea istanza.

  3. Nella pagina Creazione istanza, digitare o configurare le informazioni richieste e quindi selezionare Gestione, sicurezza, dischi, networking, single-tenancy per aprire il pannello delle impostazioni.

  4. Nella scheda Single-tenancy, selezionare Sfoglia per visualizzare i gruppi di nodi disponibili nel progetto corrente. Viene visualizzata la pagina Nodo single-tenant, che mostra un elenco dei gruppi di nodi disponibili.

  5. Nella pagina Nodo single-tenant, selezionare il gruppo di nodi applicabile dall’elenco, quindi selezionare Seleziona per tornare alla scheda Single-tenancy. Il campo delle etichette di affinità nodo viene compilato con le informazioni selezionate. Questa impostazione garantisce che i cataloghi delle macchine creati dall’istanza vengano distribuiti nel gruppo di nodi selezionato.

  6. Selezionare Crea per creare l’istanza.

Impostare un’etichetta di affinità nodo per un’istanza esistente

Per impostare l’etichetta di affinità nodo:

  1. Nella finestra del terminale di Google Cloud Shell, utilizzare il comando gcloud compute instances per impostare un’etichetta di affinità nodo. Includere le seguenti informazioni nel comando gcloud:

    • Nome della macchina virtuale. Ad esempio, utilizzare una macchina virtuale esistente denominata s*2019-vda-base.*
    • Nome del gruppo di nodi. Utilizzare il nome del gruppo di nodi creato in precedenza. Ad esempio, mh-sole-tenant-node-group-1.
    • La zona in cui risiede l’istanza. Ad esempio, la macchina virtuale risiede nella zona *us-east-1b* zone.

    Ad esempio, digitare il seguente comando nella finestra del terminale:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Per ulteriori informazioni sul comando gcloud compute instances, consultare la documentazione di Google Developer Tools all’indirizzo https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Passare alla pagina Dettagli istanza VM dell’istanza e verificare che il campo Affinità del nodo venga compilato con l’etichetta.

Creare un catalogo di macchine

Dopo aver impostato l’etichetta di affinità nodo, configurare il catalogo delle macchine.

Anteprima: utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

È possibile utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i cataloghi MCS. Quando si utilizza questa funzionalità, si assegna il ruolo CryptoKey Encrypter/Decrypter di Google Cloud Key Management Service all’agente del servizio Compute Engine. L’account Citrix DaaS deve disporre delle autorizzazioni corrette nel progetto in cui è memorizzata la chiave. Per ulteriori informazioni, consultare Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.

L’agente del servizio Compute Engine ha il seguente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Questo formato è diverso dall’account predefinito del servizio Compute Engine.

Nota:

Questo account del servizio Compute Engine potrebbe non essere visualizzato nella schermata IAM/Autorizzazioni di Google Cloud Console. In questi casi, utilizzare il comando gcloud come descritto in Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.

Assegnazione delle autorizzazioni all’account Citrix DaaS

Le autorizzazioni di Google Cloud KMS possono essere configurate in vari modi. È possibile fornire autorizzazioni KMS a livello di progetto o autorizzazioni KMS a livello di risorsa. Vedere Autorizzazioni e ruoli per ulteriori informazioni.

Autorizzazioni a livello di progetto

Un’opzione è fornire all’account Citrix DaaS autorizzazioni a livello di progetto per esplorare le risorse di Cloud KMS. A tale scopo, creare un ruolo personalizzato e aggiungere le seguenti autorizzazioni:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Assegnare questo ruolo personalizzato all’account Citrix DaaS. Questo consente di sfogliare le chiavi regionali nel progetto pertinente nell’inventario.

Autorizzazioni a livello di risorsa

Per l’altra opzione, le autorizzazioni a livello di risorsa, nella console di Google Cloud selezionare la cryptoKey utilizzata per il provisioning MCS. Aggiungere un account Citrix DaaS a un portachiavi o a una chiave utilizzata per il provisioning del catalogo.

Suggerimento:

Con questa opzione non è possibile sfogliare le chiavi regionali per il progetto nell’inventario perché l’account Citrix DaaS non dispone delle autorizzazioni elenco a livello di progetto per le risorse Cloud KMS. Tuttavia, è comunque possibile eseguire il provisioning di un catalogo utilizzando CMEK specificando l’cryptoKeyId nelle proprietà personalizzate ProvScheme, come descritto di seguito.

Provisioning con CMEK utilizzando le proprietà personalizzate

Quando si crea lo schema di provisioning tramite PowerShell, specificare una proprietà CryptoKeyId in ProvScheme CustomProperties. Ad esempio:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

L’cryptoKeyId deve essere specificato nel seguente formato:

projectId:location:keyRingName:cryptoKeyName

Ad esempio, se si desidera utilizzare la chiave my-example-key nel keyring my-example-key-ring nella regione us-east1 e nel progetto con ID my-example-project-1, le impostazioni personalizzate ProvScheme saranno simili a:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Tutti i dischi e le immagini di cui è stato eseguito il provisioning tramite MCS relativi a questo schema di provisioning utilizzano questa chiave di crittografia gestita dal cliente.

Suggerimento:

Se si utilizzano le chiavi globali, la posizione delle proprietà del cliente deve indicare global e non il nome della regione, che nell’esempio precedente è us-east1. Ad esempio: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotazione delle chiavi gestite dal cliente

Google Cloud non supporta la rotazione delle chiavi su dischi o immagini persistenti esistenti. Una volta eseguito il provisioning di una macchina, questa viene associata alla versione della chiave in uso al momento della creazione. Tuttavia, è possibile creare una nuova versione della chiave e tale nuova chiave viene utilizzata per le macchine o le risorse di cui è stato recentemente eseguito il provisioning create quando un catalogo viene aggiornato con una nuova immagine master.

Considerazioni importanti sui keyring

I keyring non possono essere rinominati o eliminati. Inoltre, si potrebbero ricevere addebiti imprevisti quando vengono configurati. Quando si elimina o si rimuove un keyring, Google Cloud visualizza un messaggio di errore:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Suggerimento:

Per ulteriori informazioni, consultare Modificare o eliminare un keyring dalla console.

Compatibilità dell’accesso uniforme a livello di bucket

Citrix DaaS è compatibile con criteri uniformi di controllo degli accessi a livello di bucket su Google Cloud. Questa funzionalità espande l’uso del criterio IAM che concede autorizzazioni a un account di servizio per consentire la manipolazione delle risorse, inclusi i bucket di archiviazione. Con un controllo dell’accesso uniforme a livello di bucket, Citrix DaaS consente di utilizzare un elenco di controllo degli accessi (ACL) per controllare l’accesso ai bucket di archiviazione o agli oggetti memorizzati in essi. Consultare Accesso uniforme a livello di bucket per informazioni generali sull’accesso uniforme a livello di bucket di Google Cloud. Per informazioni sulla configurazione, vedere Richiedere un accesso uniforme a livello di bucket.

URL dell’endpoint del servizio

È necessario avere accesso ai seguenti URL:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Progetti Google Cloud

Esistono fondamentalmente due tipi di progetti Google Cloud:

  • Progetto di provisioning: in questo caso, l’account amministratore corrente possiede i computer forniti nel progetto. Questo progetto viene anche definito progetto locale.
  • Progetto VPC condiviso: progetto in cui le macchine create nel progetto di provisioning utilizzano il VPC del progetto Shared VPC. L’account amministratore utilizzato per il progetto di provisioning ha autorizzazioni limitate in questo progetto, in particolare solo autorizzazioni per utilizzare il VPC.

Autorizzazioni GCP richieste

Questa sezione contiene l’elenco completo delle autorizzazioni GCP. Usare il set completo di autorizzazioni indicato nella sezione per il corretto funzionamento della funzionalità.

Nota:

GCP introdurrà modifiche del comportamento predefinito di Cloud Build Service e dell’uso degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account di servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si intende ottenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API. Se si imposta il nuovo criterio dell’organizzazione, è comunque possibile seguire le autorizzazioni esistenti in questa sezione e gli elementi contrassegnati da Prima della modifica dell’account di servizio Cloud Build. In caso contrario, seguire le autorizzazioni e gli elementi esistenti contrassegnati da Dopo la modifica dell’account di servizio Cloud Build.

Creazione di una connessione host

  • Autorizzazioni minime richieste per Citrix Cloud Service Account nel progetto Provisioning:

     compute.instanceTemplates.list
     compute.instances.list
     compute.networks.list
     compute.projects.get
     compute.regions.list
     compute.subnetworks.list
     compute.zones.list
     resourcemanager.projects.get
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Amministratore Compute
    • Utente di Cloud Datastore
  • Autorizzazioni aggiuntive richieste per Shared VPC for Citrix Cloud Service Account nel progetto Shared VPC:

     compute.networks.list
     compute.subnetworks.list
     resourcemanager.projects.get
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Utente di rete Compute

Gestione dell’alimentazione delle macchine virtuali

Autorizzazioni minime richieste per Citrix Cloud Service Account nel progetto Provisioning in caso di cataloghi solo ad alimentazione gestita:

compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->

I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Amministratore Compute
  • Utente di Cloud Datastore

Creazione, aggiornamento o eliminazione di macchine virtuali

  • Autorizzazioni minime richieste per Citrix Cloud Service Account nel progetto Provisioning:

     cloudbuild.builds.create
     cloudbuild.builds.get
     cloudbuild.builds.list
     compute.acceleratorTypes.list
     compute.diskTypes.get
     compute.diskTypes.list
     compute.disks.create
     compute.disks.createSnapshot
     compute.disks.delete
     compute.disks.get
     compute.disks.list
     compute.disks.setLabels
     compute.disks.use
     compute.disks.useReadOnly
     compute.firewalls.create
     compute.firewalls.delete
     compute.firewalls.list
     compute.globalOperations.get
     compute.images.create
     compute.images.delete
     compute.images.get
     compute.images.list
     compute.images.setLabels
     compute.images.useReadOnly
     compute.instanceTemplates.create
     compute.instanceTemplates.delete
     compute.instanceTemplates.get
     compute.instanceTemplates.list
     compute.instanceTemplates.useReadOnly
     compute.instances.attachDisk
     compute.instances.create
     compute.instances.delete
     compute.instances.detachDisk
     compute.instances.get
     compute.instances.list
     compute.instances.reset
     compute.instances.resume
     compute.instances.setDeletionProtection
     compute.instances.setLabels
     compute.instances.setMetadata
     compute.instances.setServiceAccount
     compute.instances.setTags
     compute.instances.start
     compute.instances.stop
     compute.instances.suspend
     compute.machineTypes.get
     compute.machineTypes.list
     compute.networks.list
     compute.networks.updatePolicy
     compute.nodeGroups.list
     compute.nodeTemplates.get
     compute.projects.get
     compute.regions.list
     compute.snapshots.create
     compute.snapshots.delete
     compute.snapshots.list
     compute.snapshots.get
     compute.snapshots.setLabels
     compute.snapshots.useReadOnly
     compute.subnetworks.get
     compute.subnetworks.list
     compute.subnetworks.use
     compute.zoneOperations.get
     compute.zoneOperations.list
     compute.zones.get
     compute.zones.list
     iam.serviceAccounts.actAs
     resourcemanager.projects.get
     storage.buckets.create
     storage.buckets.delete
     storage.buckets.get
     storage.buckets.list
     storage.buckets.update
     storage.objects.create
     storage.objects.delete
     storage.objects.get
     storage.objects.list
     compute.networks.get
     compute.resourcePolicies.use
    
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Amministratore Compute
    • Amministratore archiviazione
    • Editor Cloud Build
    • Utente account di servizio
    • Utente di Cloud Datastore
  • Autorizzazioni aggiuntive necessarie per Shared VPC for Citrix Cloud Service Account nel progetto Shared VPC per creare un’unità di hosting utilizzando VPC e una sottorete del progetto Shared VPC:

     compute.firewalls.list
     compute.networks.list
     compute.projects.get
     compute.regions.list
     compute.subnetworks.get
     compute.subnetworks.list
     compute.subnetworks.use
     compute.zones.list
     resourcemanager.projects.get
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Utente di rete Compute
    • Utente di Cloud Datastore
  • (Prima della modifica dell’account di servizio Cloud Build): autorizzazioni minime richieste per l’account di servizio Cloud Build nel progetto Provisioning richieste dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:

  • (Dopo la modifica dell’account di servizio Cloud Build): autorizzazioni minime richieste per l’account di servizio Cloud Compute nel progetto Provisioning richieste dal servizio Google Cloud Compute quando si scarica il disco di istruzioni di preparazione su MCS:

     compute.disks.create
     compute.disks.delete
     compute.disks.get
     compute.disks.list
     compute.disks.setLabels
     compute.disks.use
     compute.disks.useReadOnly
     compute.images.get
     compute.images.list
     compute.images.useReadOnly
     compute.instances.create
     compute.instances.delete
     compute.instances.get
     compute.instances.getSerialPortOutput
     compute.instances.list
     compute.instances.setLabels
     compute.instances.setMetadata
     compute.instances.setServiceAccount
     compute.machineTypes.list
     compute.networks.get
     compute.networks.list
     compute.projects.get
     compute.subnetworks.list
     compute.subnetworks.use
     compute.subnetworks.useExternalIp
     compute.zoneOperations.get
     compute.zones.list
     iam.serviceAccounts.actAs
     logging.logEntries.create
     pubsub.topics.publish
     resourcemanager.projects.get
     source.repos.get
     source.repos.list
     storage.buckets.create
     storage.buckets.get
     storage.buckets.list
     storage.objects.create
     storage.objects.delete
     storage.objects.get
     storage.objects.list
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Account del servizio Cloud Build (dopo la modifica dell’account del servizio Cloud Build, è l’account di servizio Cloud Compute)
    • Amministratore istanze Compute
    • Utente account di servizio
  • Autorizzazioni minime richieste per l’account Cloud Compute Service nel progetto Provisioning richieste dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:

     resourcemanager.projects.get
     storage.objects.create
     storage.objects.get
     storage.objects.list
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Utente di rete Compute
    • Utente dell’account di archiviazione
    • Utente di Cloud Datastore
  • (Prima della modifica dell’account di servizio Cloud Build): autorizzazioni aggiuntive richieste per il VPC condiviso per l’account di servizio Cloud Build nel progetto Provisioning richieste dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:
  • (Dopo la modifica dell’account di servizio Cloud Build): autorizzazioni aggiuntive richieste per il VPC condiviso per l’account di servizio Cloud Compute nel progetto Provisioning richieste dal servizio Google Cloud Compute quando si scarica il disco di istruzioni di preparazione su MCS:

     compute.firewalls.list
     compute.networks.list
     compute.subnetworks.list
     compute.subnetworks.use
     resourcemanager.projects.get
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Utente di rete Compute
    • Utente dell’account di archiviazione
    • Utente di Cloud Datastore
  • Autorizzazioni aggiuntive richieste per Cloud Key Management Service (KMS) per Citrix Cloud Service Account nel progetto Provisioning:

     cloudkms.cryptoKeys.get
     cloudkms.cryptoKeys.list
     cloudkms.keyRings.get
     cloudkms.keyRings.list
     <!--NeedCopy-->
    

    I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

    • Visualizzatore KMS Compute

Autorizzazioni generali

Di seguito sono riportate le autorizzazioni per Citrix Cloud Service Account nel progetto di Provisioning per tutte le funzionalità supportate in MCS. Queste autorizzazioni garantiscono la migliore compatibilità in futuro:

resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
<!--NeedCopy-->

Ulteriori informazioni