Maschinenkataloge erstellen

Freigegebene VPC konfigurieren

September 15, 2025

Beitrag von:

Führen Sie vor dem Hinzufügen der freigegebenen VPC als Hostverbindung in der Oberfläche “Vollständige Konfiguration” von Citrix DaaS die folgenden Schritte aus, um die Dienstkonten aus dem betreffenden Projekt hinzuzufügen:

IAM-Rolle erstellen.
Ein Dienstkonto zur IAM-Rolle des Hostprojekts hinzufügen
Fügen Sie das Cloud-Build-Dienstkonto zur gemeinsamen VPC hinzu.
Firewallregeln erstellen.

IAM-Rolle erstellen

Ermitteln Sie die Zugriffsebene der Rolle:

Zugriff auf Projektebene oder
Ein eingeschränkteres Modell, das Zugriff auf Subnetzebene verwendet.

Zugriff auf Projektebene für die IAM-Rolle. Weisen Sie einer IAM-Rolle auf Projektebene die folgenden Berechtigungen zu:

compute.firewalls.list
compute.networks.list
compute.subnetworks.list
compute.subnetworks.use

Führen Sie zum Erstellen einer IAM-Rolle auf Projektebene folgende Schritte aus:

Navigieren Sie in der Google Cloud-Konsole zu IAM & Admin > Roles.
Wählen Sie CREATE ROLE auf der Seite Roles.
Geben Sie auf der Seite Create Role einen Rollennamen ein. Wählen Sie ADD PERMISSIONS.
1. Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und wählen Sie ADD.
2. Wählen Sie CREATE.

IAM-Rolle auf Subnetzebene. Bei dieser Rolle werden die Berechtigungen compute.subnetworks.list und compute.subnetworks.use nicht hinzugefügt, nachdem CREATE ROLE ausgewählt wurde. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list und compute.networks.list auf die neue Rolle angewendet werden.

Führen Sie zum Erstellen einer IAM-Rolle auf Subnetzebene folgende Schritte aus:

Navigieren Sie in der Google Cloud-Konsole zu VPC network > Shared VPC. Auf der Seite Shared VPC werden die Subnetze der freigegebenen VPC-Netzwerke des Hostprojekts angezeigt.
Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
Wählen Sie oben rechts ADD MEMBER, um ein Dienstkonto hinzuzufügen.
Führen Sie auf der Seite Add members die folgenden Schritte aus:
1. Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
2. Wählen Sie das Feld Select a Roll und dann Compute Network User.
3. Wählen Sie SAVE.
Navigieren Sie in der Google Cloud-Konsole zu IAM & Admin > Roles.
Wählen Sie CREATE ROLE auf der Seite Roles.
Geben Sie auf der Seite Create Role einen Rollennamen ein. Wählen Sie ADD PERMISSIONS.
1. Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und wählen Sie ADD.
2. Wählen Sie CREATE.

Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Führen Sie nach dem Erstellen einer IAM-Rolle die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:

Navigieren Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
Wählen Sie auf der Seite IAM die Option ADD, um ein Dienstkonto hinzuzufügen.
Führen Sie auf der Seite Add members folgende Schritte aus:
1. Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
2. Wählen Sie ein Rollenfeld, geben Sie die erstellte IAM-Rolle ein und wählen Sie dann im Menü die Rolle.
3. Wählen Sie SAVE.

Das Dienstkonto ist damit für das Hostprojekt konfiguriert.

Cloud Build-Dienstkonto zur freigegebenen VPC hinzufügen

Jedes Google Cloud-Abonnement hat über ein Dienstkonto, dessen Name die Projekt-ID gefolgt von cloudbuild.gserviceaccount ist. Beispiel: 705794712345@cloudbuild.gserviceaccount.

Sie können die Projekt-ID-Nummer für Ihr Projekt ermitteln, indem Sie in der Google Cloud-Konsole zu Cloud Overview > Dashboard navigieren. Die Projekt-ID und die Projektnummer werden auf der Projektinfokarte des Projekt-Dashboards angezeigt:

Zum Hinzufügen des Cloud Build-Dienstkontos zur freigegebenen VPC führen Sie folgende Schritte aus:

Navigieren Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
Wählen Sie ADD auf der Seite Permissions, um ein Konto hinzuzufügen.
Führen Sie auf der Seite Add members die folgenden Schritte aus:
1. Geben Sie im Feld New members den Namen des Cloud Build-Kontos ein und wählen Sie dann im Menü das Dienstkonto aus.
2. Wählen Sie das Feld Select a role aus, geben Sie Computer network user ein und wählen Sie dann die Rolle im Menü aus.
3. Wählen Sie SAVE.

Erstellen von Firewallregeln

Beim Mastering kopiert MCS das ausgewählte Maschinenabbild und bereitet damit den Masterimage-Systemdatenträger für den Katalog vor. Beim Masterings fügt MCS den Datenträger an eine temporäre virtuelle Maschine an und führt dann Vorbereitungsskripts aus. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert.

Um eine isolierte Umgebung zu erstellen, erfordert MCS zwei Alles-abweisen-Firewallregeln (eine Eingangsregel und eine Ausgangregel). Erstellen Sie daher zwei Firewallregeln (eingehend und ausgehend) im Hostprojekt:

Navigieren Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu VPC-Netzwerk > Firewall.
Wählen Sie auf der Seite Firewall die Option CREATE FIREWALL RULE.
Führen Sie auf der Seite Create a firewall rule die folgenden Schritte aus:
- Name. Geben Sie einen Namen für die Regel ein.
- Network. Wählen Sie das freigegebene VPC-Netzwerk aus, für das die Firewallregel für eingehenden Datenverkehr gilt.
- Priority. Je kleiner der Wert ist, desto höher ist die Priorität der Regel. Citrix empfiehlt einen kleinen Wert (z. B. 10).
- Direction of traffic. Wählen Sie Ingress.
- Action on match. Wählen Sie Deny.
- Targets. Verwenden Sie die Standardeinstellung Specified target tags.
- Target tags. Geben Sie citrix-provisioning-quarantine-firewall ein.
- Source filter. Verwenden Sie die Standardeinstellung IP ranges.
- Source IP ranges. Geben Sie einen Bereich ein, der den gesamten Datenverkehr abdeckt. Geben Sie 0.0.0.0/0 ein.
- Protocols and ports. Wählen Sie Deny all.
Wählen Sie CREATE, um die Regel zu erstellen.
Wiederholen Sie die Schritte, um eine weitere Regel zu erstellen. Wählen Sie für Direction of traffic die Option Egress.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Freigegebene VPC konfigurieren

September 15, 2025

Beitrag von:

September 15, 2025

Beitrag von:

In diesem Artikel

IAM-Rolle erstellen
Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts
Cloud Build-Dienstkonto zur freigegebenen VPC hinzufügen
Erstellen von Firewallregeln

War dieser Artikel hilfreich?