Produktdokumentation
Citrix DaaS™
PDF anzeigen

Google Cloud Platform-Katalog erstellen

March 25, 2026
Beitrag von: 
C C

Maschinenkataloge erstellen beschreibt die Assistenten, die einen Maschinenkatalog erstellen. Die folgenden Informationen behandeln Details, die spezifisch für Google Cloud-Umgebungen sind.

Hinweis:

Bevor Sie einen Google Cloud Platform (GCP)-Katalog erstellen, müssen Sie die Erstellung einer Verbindung zu GCP abgeschlossen haben. Siehe Verbindung zu Google Cloud-Umgebungen.

Master-VM-Instanz und persistente Festplatte vorbereiten

Tipp:

„Persistent disk“ ist der Google Cloud-Begriff für eine virtuelle Festplatte.

Um Ihre Master-VM-Instanz vorzubereiten, erstellen und konfigurieren Sie eine VM-Instanz mit Eigenschaften, die der Konfiguration entsprechen, die Sie für die geklonten VDA-Instanzen in Ihrem geplanten Maschinenkatalog wünschen. Die Konfiguration gilt nicht nur für die Instanzgröße und den Typ. Sie umfasst auch Instanzattribute wie Metadaten, Tags, GPU-Zuweisungen, Netzwerk-Tags und Dienstkontoeigenschaften.

Als Teil des Mastering-Prozesses verwendet MCS Ihre Master-VM-Instanz, um die Google Cloud-Instanzvorlage zu erstellen. Die Instanzvorlage wird dann verwendet, um die geklonten VDA-Instanzen zu erstellen, die den Maschinenkatalog bilden. Geklonte Instanzen erben die Eigenschaften (mit Ausnahme der VPC-, Subnetz- und persistenten Festplatten-Eigenschaften) der Master-VM-Instanz, aus der die Instanzvorlage erstellt wurde.

Nachdem Sie die Eigenschaften der Master-VM-Instanz nach Ihren Vorgaben konfiguriert haben, starten Sie die Instanz und bereiten dann die persistente Festplatte für die Instanz vor.

Wir empfehlen, manuell einen Snapshot der Festplatte oder ein Image der Festplatte zu erstellen. Dadurch können Sie eine aussagekräftige Namenskonvention verwenden, um Versionen zu verfolgen, haben mehr Optionen zur Verwaltung früherer Versionen Ihres Master-Images und sparen Zeit bei der Erstellung von Maschinenkatalogen. Wenn Sie keinen eigenen Snapshot erstellen, erstellt MCS einen temporären Snapshot für Sie (der am Ende des Bereitstellungsprozesses gelöscht wird). Das manuelle Erstellen eines multiregionalen Snapshots der OS-Festplatte oder des Images ermöglicht es Ihnen auch, dasselbe Master-Image für Maschinenkataloge in verschiedenen GCP-Regionen zu verwenden.

Zonenauswahl aktivieren

Citrix DaaS™ unterstützt die Zonenauswahl. Mit der Zonenauswahl geben Sie die Zonen an, in denen Sie VMs erstellen möchten. Mit der Zonenauswahl können Administratoren Sole-Tenant-Knoten über Zonen ihrer Wahl hinweg platzieren. Um die Sole-Tenancy zu konfigurieren, müssen Sie Folgendes in Google Cloud abschließen:

Einen Google Cloud Sole-Tenant-Knoten reservieren

Um einen Sole-Tenant-Knoten zu reservieren, lesen Sie die Google Cloud-Dokumentation.

Wichtig:

Eine Knotenvorlage wird verwendet, um Leistungsmerkmale des Systems anzugeben, das in der Knotengruppe reserviert ist. Diese Merkmale umfassen die Anzahl der vGPUs, die dem Knoten zugewiesene Speichermenge und den Maschinentyp, der für auf dem Knoten erstellte Maschinen verwendet wird. Weitere Informationen finden Sie in der Google Cloud-Dokumentation.

Das VDA-Master-Image erstellen

Um Maschinen erfolgreich auf dem Sole-Tenant-Knoten bereitzustellen, müssen Sie zusätzliche Schritte beim Erstellen eines Master-VM-Images unternehmen. Maschineninstanzen in Google Cloud haben eine Eigenschaft namens Knotenaffinitäts-Labels. Instanzen, die als Master-Images für Kataloge verwendet werden, die auf dem Sole-Tenant-Knoten bereitgestellt werden, benötigen ein Knotenaffinitäts-Label, das mit dem Namen der Zielknotengruppe übereinstimmt. Beachten Sie hierbei Folgendes:

Hinweis:

Wenn Sie Sole-Tenancy mit einer Shared VPC verwenden möchten, siehe Shared Virtual Private Cloud.

Maschinenkatalog erstellen

Hinweis:

Erstellen Sie Ihre Ressourcen, bevor Sie einen Maschinenkatalog erstellen. Verwenden Sie die von Google Cloud festgelegten Namenskonventionen bei der Konfiguration von Maschinenkatalogen. Weitere Informationen finden Sie unter Richtlinien für die Benennung von Buckets und Objekten.

Sie können einen Maschinenkatalog auf zwei Arten erstellen:

Maschinenkatalog mit Studio erstellen

Befolgen Sie die Anleitung unter Maschinenkataloge erstellen. Die folgende Beschreibung ist spezifisch für Google Cloud-Kataloge.

  1. Wählen Sie in Studio im linken Bereich Maschinenkataloge aus.
  2. Wählen Sie in der Aktionsleiste Maschinenkatalog erstellen aus.
  3. Wählen Sie auf der Seite Maschinentyp die Option Multi-session OS und dann Weiter aus. Citrix DaaS unterstützt auch Single-session OS.
  4. Wählen Sie auf der Seite Maschinenverwaltung die Optionen Maschinen, die energieverwaltet sind und Citrix Machine Creation Services™ aus und wählen Sie dann Weiter. Wenn mehrere Ressourcen vorhanden sind, wählen Sie eine aus dem Menü aus.

  5. Führen Sie auf der Seite Image die erforderlichen Schritte aus und klicken Sie dann auf Weiter.

    1. Wählen Sie das Master-Image aus. Sie können die folgenden Image-Typen auswählen:
      • Virtuelle Maschine (deren Regionen mit den ausgewählten Hosting-Einheiten übereinstimmen).
      • Snapshots (unterstützen Multi-Region-Snapshots).
      • OS-Image (unterstützen Multi-Region öffentliche und nicht-öffentliche Images). Wenn Sie die Sole-Tenancy-Funktionalität nutzen möchten, stellen Sie sicher, dass Sie ein Image auswählen, dessen Knotengruppen-Eigenschaft korrekt konfiguriert ist. Siehe Zonenauswahl aktivieren.

    2. Wählen Sie auf der Seite Maschinenprofil auswählen Ressourcen aus der Registerkarte Virtuelle Maschine oder aus der Registerkarte Instanzvorlagen aus.

      Hinweis:

      • Derzeit erben VMs in diesem Katalog die Speicher-, Maschinentyp- und Festplattenverschlüsselungseinstellungen vom ausgewählten Maschinenprofil.
      • Wenn Sie eine Instanzvorlage als Maschinenprofil auswählen, werden standardmäßig alle Zonen ausgewählt. Sie können die Zonen nach Bedarf auswählen.

  6. Wählen Sie die minimale Funktionsebene für den Katalog aus.

  7. Wählen Sie auf der Seite Speicher den Speichertyp aus, der das Betriebssystem für diesen Maschinenkatalog enthalten soll. Jede der folgenden Speicheroptionen weist einzigartige Preis- und Leistungsmerkmale auf. Eine Identitätsdisk wird immer mit der zonalen Standard-Persistent Disk erstellt.

    • Standard-Persistent Disk
    • Balanced Persistent Disk
    • SSD-Persistent Disk

    Details zu den Google Cloud-Speicheroptionen finden Sie unter Speicheroptionen.

  8. Geben Sie auf der Seite Virtuelle Maschinen an, wie viele VMs Sie erstellen möchten, zeigen Sie die detaillierte Spezifikation der VMs an, wählen Sie den Google Cloud-Maschinentyp aus und wählen Sie dann Weiter. Wenn Sie Sole-Tenant-Knotengruppen für Maschinenkataloge verwenden, stellen Sie sicher, dass Sie nur die Zonen auswählen, in denen reservierte Sole-Tenant-Knoten verfügbar sind. Siehe Zonenauswahl aktivieren.

    Hinweis:

    Der Google Cloud-Maschinentyp wird automatisch basierend auf dem ausgewählten Maschinenprofil ausgewählt. Bei Bedarf können Sie einen anderen Maschinentyp auswählen.

  9. Auf der Seite Datenträgereinstellungen können Sie die folgenden Einstellungen konfigurieren:

    • Wählen Sie, ob der Write-Back-Cache aktiviert werden soll. Nach der Aktivierung des Write-Back-Cache können Sie Folgendes tun:

      • Konfigurieren Sie die Größe des Datenträgers und des RAM, die für das Caching temporärer Daten verwendet werden. Weitere Informationen finden Sie unter Cache für temporäre Daten konfigurieren.
      • Wählen Sie den Speichertyp für den Write-Back-Cache-Datenträger aus. Die folgenden Speicheroptionen stehen für den Write-Back-Cache-Datenträger zur Verfügung:
        • Standard-Persistent Disk
        • Balanced Persistent Disk
        • SSD-Persistent Disk

        Details zu den Google Cloud-Speicheroptionen finden Sie unter Speicheroptionen.

      • Wählen Sie den Typ für den Write-Back-Cache-Datenträger aus.
        • Nicht-persistente Write-Back-Cache-Disk verwenden. Wenn diese Option ausgewählt ist, bleibt die Write-Back-Cache-Disk für die bereitgestellten VMs nicht erhalten. Die Disk wird während der Power-Zyklen gelöscht, und alle auf die Disk umgeleiteten Daten gehen verloren.
        • Persistente Write-Back-Cache-Disk verwenden. Wenn diese Option ausgewählt ist, bleibt die Write-Back-Cache-Disk für die bereitgestellten VMs erhalten. Die Aktivierung dieser Option erhöht Ihre Speicherkosten.
    • Wenn die MCS-Speicheroptimierung (MCS I/O) aktiviert ist, können Sie eine der folgenden Aktionen ausführen:
      • Wählen Sie, ob Systemdatenträger für VDAs während der Power-Zyklen beibehalten werden sollen. Weitere Informationen finden Sie unter Aktivieren von MCS-Speicheroptimierungsupdates.
      • Aktualisieren Sie die Speicher- und Disk-Cache-Größen.

    • Wählen Sie, ob Sie Ihren eigenen Schlüssel zum Schutz von Datenträgerinhalten verwenden möchten. Um diese Funktion nutzen zu können, müssen Sie zunächst Ihre eigenen kundenverwalteten Verschlüsselungsschlüssel (CMEKs) erstellen. Weitere Informationen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK) verwenden.

      Hinweis:

      Dies ist nur in der Studio-Oberfläche verfügbar.

      Nachdem Sie die Schlüssel erstellt haben, können Sie einen dieser Schlüssel aus der Liste auswählen. Sie können den Schlüssel nach dem Erstellen des Katalogs nicht mehr ändern. Google Cloud unterstützt das Rotieren von Schlüsseln auf vorhandenen Persistent Disks oder Images nicht. Daher ist ein Katalog nach der Bereitstellung an eine bestimmte Version des Schlüssels gebunden. Wenn dieser Schlüssel deaktiviert oder zerstört wird, werden die damit verschlüsselten Instanzen und Datenträger unbrauchbar, bis der Schlüssel wieder aktiviert oder wiederhergestellt wird.

      Die Einstellungen für kundenverwaltete Verschlüsselungsschlüssel (CMEK) folgen einer Prioritätsreihenfolge wie folgt:

      • Angepasste CMEK eines Katalogs hat die höchste Priorität.
      • Wenn das ausgewählte Maschinenprofil verschlüsselt ist, verwenden die CMEK-Einstellungen automatisch die CMEK des Maschinenprofils als nächste Priorität.
      • Wenn das ausgewählte Maschinenprofil nicht verschlüsselt ist, verwenden die CMEK-Einstellungen automatisch die CMEK des Master-Images.

  10. Wählen Sie auf der Seite Maschinenidentitäten ein Active Directory-Konto aus und wählen Sie dann Weiter.

    • Wenn Sie Neue Active Directory-Konten erstellen auswählen, wählen Sie eine Domäne aus und geben Sie dann die Zeichenfolge ein, die das Benennungsschema für die in Active Directory erstellten bereitgestellten VM-Computerkonten darstellt. Das Benennungsschema für Konten kann 1–64 Zeichen enthalten und darf keine Leerzeichen, Nicht-ASCII-Zeichen oder Sonderzeichen enthalten.
    • Wenn Sie Vorhandene Active Directory-Konten verwenden auswählen, wählen Sie Durchsuchen, um zu den vorhandenen Active Directory-Computerkonten für die ausgewählten Maschinen zu navigieren.

  11. Wählen Sie auf der Seite Domänenanmeldeinformationen die Option Anmeldeinformationen eingeben, geben Sie den Benutzernamen und das Kennwort ein, wählen Sie Speichern und dann Weiter.

    • Die von Ihnen eingegebenen Anmeldeinformationen müssen über Berechtigungen zum Ausführen von Active Directory-Kontovorgängen verfügen.

  12. Wählen Sie auf der Seite Bereiche Bereiche für den Maschinenkatalog aus und wählen Sie dann Weiter.

    • Sie können optionale Bereiche auswählen oder benutzerdefinierten Bereich auswählen, um Bereiche nach Bedarf anzupassen.

  13. Bestätigen Sie auf der Seite Zusammenfassung die Informationen, geben Sie einen Namen für den Katalog an und wählen Sie dann Fertig stellen.

    Hinweis:

    Der Katalogname kann 1–39 Zeichen enthalten und darf nicht nur Leerzeichen oder die Zeichen \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ) enthalten.

Die Erstellung des Maschinenkatalogs kann lange dauern. Nach Abschluss wird der Katalog aufgelistet. Sie können überprüfen, ob die Maschinen in den Zielknotengruppen in der Google Cloud Console erstellt wurden.

Manuell erstellte Google Cloud-Maschinen importieren

Mit dieser Funktion können Sie:

  • Manuell erstellte Google Cloud Multi-Session OS-Maschinen in einen Citrix DaaS-Katalog importieren.
  • Manuell erstellte Google Cloud Multi-Session OS-Maschinen aus einem Citrix DaaS-Katalog entfernen.
  • Vorhandene Citrix DaaS-Energieverwaltungsfunktionen verwenden, um Google Cloud Windows Multi-Session OS-Maschinen zu verwalten. Zum Beispiel einen Neustartplan für diese Maschinen festlegen.

Diese Funktionalität erfordert keine Änderungen an einem bestehenden Citrix DaaS-Bereitstellungsworkflow, noch die Entfernung bestehender Funktionen.

Es wird empfohlen, MCS für die Bereitstellung von Maschinen in Studio zu verwenden, anstatt manuell erstellte Google Cloud-Maschinen zu importieren.

Geteilte Virtual Private Cloud

Geteilte Virtual Private Clouds (VPCs) bestehen aus einem Host-Projekt, von dem aus die geteilten Subnetze zur Verfügung gestellt werden, und einem oder mehreren Dienstprojekten, die die Ressource nutzen. Geteilte VPCs sind wünschenswerte Optionen für größere Installationen, da sie eine zentralisierte Steuerung, Nutzung und Verwaltung von geteilten Google Cloud-Ressourcen des Unternehmens ermöglichen. Weitere Informationen finden Sie auf der Google-Dokumentationsseite.

Mit dieser Funktion unterstützt Machine Creation Services (MCS) die Bereitstellung und Verwaltung von Maschinenkatalogen, die in geteilten VPCs bereitgestellt werden. Diese Unterstützung, die funktional der derzeit in lokalen VPCs bereitgestellten Unterstützung entspricht, unterscheidet sich in zwei Bereichen:

  • Sie müssen dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, zusätzliche Berechtigungen erteilen. Dieser Prozess ermöglicht MCS den Zugriff auf und die Nutzung von geteilten VPC-Ressourcen. Siehe Neue erforderliche Berechtigungen.
  • Sie müssen zwei Firewall-Regeln erstellen, jeweils eine für eingehenden und eine für ausgehenden Datenverkehr. Diese Firewall-Regeln werden während des Image-Mastering-Prozesses verwendet. Siehe Firewall-Regeln.

Informationen zur Konfiguration der geteilten VPC finden Sie unter Die geteilte VPC konfigurieren.

Neue erforderliche Berechtigungen

Ein Google Cloud-Dienstkonto mit spezifischen Berechtigungen ist erforderlich, wenn die Hostverbindung erstellt wird. Diese zusätzlichen Berechtigungen müssen allen Dienstkonten erteilt werden, die zum Erstellen von auf geteilten VPCs basierenden Hostverbindungen verwendet werden.

Tipp:

Diese zusätzlichen Berechtigungen sind für Citrix DaaS nicht neu. Sie werden verwendet, um die Implementierung lokaler VPCs zu erleichtern. Bei geteilten VPCs ermöglichen diese zusätzlichen Berechtigungen den Zugriff auf andere geteilte VPC-Ressourcen.

Maximal vier zusätzliche Berechtigungen müssen dem Dienstkonto, das der Hostverbindung zugeordnet ist, erteilt werden, um geteilte VPCs zu unterstützen:

  • compute.firewalls.list – Diese Berechtigung ist obligatorisch. Sie ermöglicht MCS, die Liste der in der geteilten VPC vorhandenen Firewall-Regeln abzurufen.
  • compute.networks.list – Diese Berechtigung ist obligatorisch. Sie ermöglicht MCS, die dem Dienstkonto zur Verfügung stehenden geteilten VPC-Netzwerke zu identifizieren.
  • compute.subnetworks.list – Diese Berechtigung ist optional, je nachdem, wie Sie VPCs verwenden. Sie ermöglicht MCS, die Subnetze innerhalb der sichtbaren geteilten VPCs zu identifizieren. Diese Berechtigung ist bereits bei der Verwendung lokaler VPCs erforderlich, muss aber auch im Host-Projekt der geteilten VPC zugewiesen werden.
  • compute.subnetworks.use – Diese Berechtigung ist optional, je nachdem, wie Sie VPCs verwenden. Sie ist erforderlich, um Subnetzressourcen in den bereitgestellten Maschinenkatalogen zu verwenden. Diese Berechtigung ist bereits für die Verwendung lokaler VPCs erforderlich, muss aber auch im Host-Projekt der geteilten VPC zugewiesen werden.

Bei der Verwendung dieser Berechtigungen ist zu beachten, dass es unterschiedliche Ansätze gibt, basierend auf der Art der Berechtigung, die zum Erstellen des Maschinenkatalogs verwendet wird:

  • Berechtigung auf Projektebene:
    • Ermöglicht den Zugriff auf alle geteilten VPCs innerhalb des Host-Projekts.
    • Erfordert, dass die Berechtigungen compute.subnetworks.list und compute.subnetworks.use dem Dienstkonto zugewiesen werden müssen.
  • Berechtigung auf Subnetzebene:
    • Ermöglicht den Zugriff auf spezifische Subnetze innerhalb der geteilten VPC.
    • Die Berechtigungen compute.subnetworks.list und compute.subnetworks.use sind der Zuweisung auf Subnetzebene inhärent und müssen daher nicht direkt dem Dienstkonto zugewiesen werden.

Wählen Sie den Ansatz, der Ihren organisatorischen Anforderungen und Sicherheitsstandards entspricht.

Tipp:

Weitere Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie unter Service Project Admins.

Firewall-Regeln

Während der Vorbereitung eines Maschinenkatalogs wird ein Maschinen-Image als System-Master-Image-Disk für den Katalog vorbereitet. Wenn dieser Prozess stattfindet, wird die Disk temporär an eine virtuelle Maschine angehängt. Diese VM muss in einer isolierten Umgebung laufen, die jeglichen eingehenden und ausgehenden Netzwerkverkehr verhindert. Dies wird durch ein Paar von Deny-All-Firewall-Regeln erreicht; eine für eingehenden und eine für ausgehenden Datenverkehr. Bei der Verwendung von Google Cloud lokalen VPCs erstellt MCS diese Firewall im lokalen Netzwerk und wendet sie auf die Maschine für das Mastering an. Nach Abschluss des Masterings wird die Firewall-Regel vom Image entfernt.

Wir empfehlen, die Anzahl der neuen Berechtigungen, die für die Verwendung von geteilten VPCs erforderlich sind, auf ein Minimum zu beschränken. Geteilte VPCs sind Unternehmensressourcen auf höherer Ebene und haben typischerweise strengere Sicherheitsprotokolle. Aus diesem Grund erstellen Sie ein Paar von Firewall-Regeln im Host-Projekt auf den geteilten VPC-Ressourcen, eine für eingehenden und eine für ausgehenden Datenverkehr. Weisen Sie ihnen die höchste Priorität zu. Wenden Sie auf jede dieser Regeln ein neues Ziel-Tag mit dem folgenden Wert an:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewall-Regeln, die dieses Ziel-Tag enthalten. Es überprüft dann die Regeln auf Korrektheit und wendet sie auf die Maschine an, die zur Vorbereitung des Master-Images für den Katalog verwendet wird. Wenn die Firewall-Regeln nicht gefunden werden oder die Regeln gefunden werden, aber die Regeln oder ihre Prioritäten falsch sind, erscheint eine Meldung ähnlich der folgenden:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Die geteilte VPC konfigurieren

Bevor Sie die geteilte VPC als Hostverbindung in Citrix DaaS Studio hinzufügen, führen Sie die folgenden Schritte aus, um Dienstkonten aus dem Projekt hinzuzufügen, in das Sie bereitstellen möchten:

  1. Eine IAM-Rolle erstellen.
  2. Ein Dienstkonto zur IAM-Rolle des Host-Projekts hinzufügen.
  3. Das Cloud Build-Dienstkonto zur geteilten VPC hinzufügen.
  4. Firewall-Regeln erstellen.

Eine IAM-Rolle erstellen

Bestimmen Sie die Zugriffsebene der Rolle:

  • Zugriff auf Projektebene, oder
  • Ein restriktiveres Modell mit Zugriff auf Subnetzebene.

Projektweiter Zugriff für IAM-Rolle. Für die IAM-Rolle auf Projektebene schließen Sie die folgenden Berechtigungen ein:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

So erstellen Sie eine IAM-Rolle auf Projektebene:

  1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Rollen.
  2. Wählen Sie auf der Seite Rollen die Option ROLLE ERSTELLEN.
  3. Geben Sie auf der Seite Rolle erstellen den Rollennamen an. Wählen Sie BERECHTIGUNGEN HINZUFÜGEN.
    1. Fügen Sie auf der Seite Berechtigungen hinzufügen der Rolle einzeln Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie den Namen der Berechtigung in das Feld Tabelle filtern ein. Wählen Sie die Berechtigung und dann HINZUFÜGEN.
    2. Wählen Sie ERSTELLEN.

IAM-Rolle auf Subnetzebene. Diese Rolle lässt das Hinzufügen der Berechtigungen compute.subnetworks.list und compute.subnetworks.use nach der Auswahl von ROLLE ERSTELLEN weg. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list und compute.networks.list auf die neue Rolle angewendet werden.

So erstellen Sie eine IAM-Rolle auf Subnetzebene:

  1. Navigieren Sie in der Google Cloud Console zu VPC-Netzwerk > Shared VPC. Die Seite Shared VPC wird angezeigt und zeigt die Subnetze der Shared VPC-Netzwerke an, die das Hostprojekt enthält.
  2. Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
  3. Wählen Sie oben rechts MITGLIED HINZUFÜGEN, um ein Dienstkonto hinzuzufügen.
  4. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
    1. Geben Sie im Feld Neue Mitglieder den Namen Ihres Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
    2. Wählen Sie das Feld Rolle auswählen und dann Compute Network User.
    3. Wählen Sie SPEICHERN.
  5. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Rollen.
  6. Wählen Sie auf der Seite Rollen die Option ROLLE ERSTELLEN.
  7. Geben Sie auf der Seite Rolle erstellen den Rollennamen an. Wählen Sie BERECHTIGUNGEN HINZUFÜGEN.
    1. Fügen Sie auf der Seite Berechtigungen hinzufügen der Rolle einzeln Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie den Namen der Berechtigung in das Feld Tabelle filtern ein. Wählen Sie die Berechtigung und dann HINZUFÜGEN.
    2. Wählen Sie ERSTELLEN.

Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Nachdem Sie eine IAM-Rolle erstellt haben, führen Sie die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:

  1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu IAM & Admin > IAM.
  2. Wählen Sie auf der Seite IAM die Option HINZUFÜGEN, um ein Dienstkonto hinzuzufügen.
  3. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
    1. Geben Sie im Feld Neue Mitglieder den Namen Ihres Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
    2. Wählen Sie ein Rollenfeld aus, geben Sie die von Ihnen erstellte IAM-Rolle ein und wählen Sie dann die Rolle im Menü aus.
    3. Wählen Sie SPEICHERN.

Das Dienstkonto ist nun für das Hostprojekt konfiguriert.

Hinzufügen des Cloud Build-Dienstkontos zur Shared VPC

Jedes Google Cloud-Abonnement verfügt über ein Dienstkonto, das nach der Projekt-ID-Nummer benannt ist, gefolgt von cloudbuild.gserviceaccount. Beispiel: 705794712345@cloudbuild.gserviceaccount.

Sie können die Projekt-ID-Nummer für Ihr Projekt ermitteln, indem Sie in der Google Cloud Console zu Cloud-Übersicht > Dashboard navigieren. Die Projekt-ID und Projektnummer werden auf der Projekt-Dashboard-Infokarte angezeigt:

Führen Sie die folgenden Schritte aus, um das Cloud Build-Dienstkonto zur Shared VPC hinzuzufügen:

  1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu IAM & Admin > IAM.
  2. Wählen Sie auf der Seite Berechtigungen die Option HINZUFÜGEN, um ein Konto hinzuzufügen.
  3. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
    1. Geben Sie im Feld Neue Mitglieder den Namen des Cloud Build-Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
    2. Wählen Sie das Feld Rolle auswählen, geben Sie Computer Network User ein und wählen Sie dann die Rolle im Menü aus.
    3. Wählen Sie SPEICHERN.

Firewallregeln erstellen

Im Rahmen des Mastering-Prozesses kopiert MCS das ausgewählte Maschinenimage und verwendet es, um die Systemfestplatte des Master-Images für den Katalog vorzubereiten. Während des Masterings hängt MCS die Festplatte an eine temporäre virtuelle Maschine an, die dann Vorbereitungsskripte ausführt. Diese VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkverkehr untersagt.

Um eine isolierte Umgebung zu erstellen, benötigt MCS zwei Alles verweigern-Firewallregeln (eine Ingress-Regel und eine Egress-Regel). Erstellen Sie daher zwei Firewallregeln (Ingress und Egress) im Hostprojekt wie folgt:

  1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu VPC-Netzwerk > Firewall.
  2. Wählen Sie auf der Seite Firewall die Option FIREWALLREGEL ERSTELLEN.
  3. Füllen Sie auf der Seite Firewallregel erstellen Folgendes aus:
    • Name. Geben Sie einen Namen für die Regel ein.
    • Netzwerk. Wählen Sie das Shared VPC-Netzwerk aus, für das die Ingress-Firewallregel gilt.
    • Priorität. Je kleiner der Wert, desto höher die Priorität der Regel. Wir empfehlen einen kleinen Wert (z. B. 10).
    • Verkehrsrichtung. Wählen Sie Ingress.
    • Aktion bei Übereinstimmung. Wählen Sie Verweigern.
    • Ziele. Verwenden Sie die Standardeinstellung Angegebene Ziel-Tags.
    • Ziel-Tags. Geben Sie citrix-provisioning-quarantine-firewall ein.
    • Quellfilter. Verwenden Sie die Standardeinstellung IP-Bereiche.
    • Quell-IP-Bereiche. Geben Sie einen Bereich ein, der dem gesamten Datenverkehr entspricht. Geben Sie 0.0.0.0/0 ein.
    • Protokolle und Ports. Wählen Sie Alles verweigern.
  4. Wählen Sie ERSTELLEN, um die Regel zu erstellen.
  5. Wiederholen Sie die Schritte, um eine weitere Regel zu erstellen. Wählen Sie für Verkehrsrichtung die Option Egress.

Verwenden von kundenverwalteten Verschlüsselungsschlüsseln (CMEK)

Hinweis:

Die Unterstützung für CMEK in GCP befindet sich derzeit in der Vorschauphase.

Sie können kundenverwaltete Verschlüsselungsschlüssel (CMEK) für MCS-Kataloge verwenden. Bei Verwendung dieser Funktionalität weisen Sie dem Compute Engine-Dienst-Agent die Rolle CryptoKey Encrypter/Decrypter des Google Cloud Key Management Service zu. Das Citrix DaaS-Konto muss über die richtigen Berechtigungen in dem Projekt verfügen, in dem der Schlüssel gespeichert ist. Siehe Berechtigungen für das Citrix DaaS-Konto zuweisen. Weitere Informationen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.

Ihr Compute Engine-Dienst-Agent hat das folgende Format: service-<Projekt _Nummer>@compute-system.iam.gserviceaccount.com. Dieses Format unterscheidet sich vom Standard-Compute Engine-Dienstkonto.

Hinweis:

Dieses Compute Engine-Dienstkonto wird möglicherweise nicht in der Google Console-Anzeige IAM-Berechtigungen angezeigt. Verwenden Sie in solchen Fällen den gcloud-Befehl, wie unter Ressourcen mit Cloud KMS-Schlüsseln schützen beschrieben.

Berechtigungen für das Citrix DaaS-Konto zuweisen

Google Cloud KMS-Berechtigungen können auf verschiedene Arten konfiguriert werden. Sie können entweder KMS-Berechtigungen auf Projektebene oder KMS-Berechtigungen auf Ressourcenebene bereitstellen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

KMS-Berechtigungen auf Projektebene

Eine Möglichkeit besteht darin, dem Citrix DaaS-Konto Berechtigungen auf Projektebene zum Durchsuchen von Cloud KMS-Ressourcen zu erteilen. Erstellen Sie dazu eine benutzerdefinierte Rolle und fügen Sie die folgenden Berechtigungen hinzu:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Weisen Sie diese benutzerdefinierte Rolle Ihrem Citrix DaaS-Konto zu. Dadurch können Sie regionale Schlüssel im entsprechenden Projekt im Inventar durchsuchen.

Berechtigungen auf Ressourcenebene für KMS

Für die andere Option, Berechtigungen auf Ressourcenebene, navigieren Sie in der Google Cloud Console zu dem cryptoKey, den Sie für die MCS-Bereitstellung verwenden. Fügen Sie das Citrix DaaS-Konto einem Schlüsselbund oder einem Schlüssel hinzu, den Sie für die Katalogbereitstellung verwenden.

Tipp:

Mit dieser Option können Sie keine regionalen Schlüssel für Ihr Projekt im Inventar durchsuchen, da das Citrix DaaS-Konto keine Listenberechtigungen auf Projektebene für die Cloud KMS-Ressourcen besitzt. Sie können jedoch weiterhin einen Katalog mit CMEK bereitstellen, indem Sie die korrekte cryptoKeyId in den benutzerdefinierten Eigenschaften des ProvScheme angeben. Siehe Katalog mit CMEK unter Verwendung benutzerdefinierter Eigenschaften erstellen.

Kundenverwaltete Schlüssel rotieren

Google Cloud unterstützt das Rotieren von Schlüsseln auf vorhandenen persistenten Datenträgern oder Images nicht. Sobald eine Maschine bereitgestellt ist, ist sie an die zum Zeitpunkt ihrer Erstellung verwendete Schlüsselversion gebunden. Es kann jedoch eine neue Version des Schlüssels erstellt werden, und dieser neue Schlüssel wird für neu bereitgestellte Maschinen oder Ressourcen verwendet, die erstellt werden, wenn ein Katalog mit einem neuen Master-Image aktualisiert wird.

Wichtige Überlegungen zu Schlüsselbunden

Schlüsselbunde können weder umbenannt noch gelöscht werden. Außerdem können bei der Konfiguration unvorhergesehene Kosten entstehen. Beim Löschen oder Entfernen eines Schlüsselbunds zeigt Google Cloud eine Fehlermeldung an:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Tipp:

Weitere Informationen finden Sie unter Bearbeiten oder Löschen eines Schlüsselbunds über die Konsole.

Kompatibilität mit einheitlichem Zugriff auf Bucket-Ebene

Citrix DaaS ist mit der Richtlinie für den einheitlichen Zugriff auf Bucket-Ebene in Google Cloud kompatibel. Diese Funktionalität erweitert die Verwendung der IAM-Richtlinie, die einem Dienstkonto Berechtigungen zur Bearbeitung von Ressourcen, einschließlich Speicher-Buckets, erteilt. Mit der Zugriffssteuerung auf einheitlicher Bucket-Ebene ermöglicht Citrix DaaS die Verwendung einer Zugriffssteuerungsliste (ACL), um den Zugriff auf Speicher-Buckets oder darin gespeicherte Objekte zu steuern. Eine Übersicht über den einheitlichen Zugriff auf Bucket-Ebene in Google Cloud finden Sie unter Einheitlicher Zugriff auf Bucket-Ebene. Informationen zur Konfiguration finden Sie unter Einheitlichen Zugriff auf Bucket-Ebene anfordern.

PowerShell verwenden

Dieser Abschnitt beschreibt, wie Sie die folgenden Aufgaben mit PowerShell ausführen:

Katalog mit persistentem Write-Back-Cache-Datenträger erstellen

Um einen Katalog mit einem persistenten Write-Back-Cache-Datenträger zu konfigurieren, verwenden Sie den PowerShell-Befehl New-ProvScheme CustomProperties.

Tipp:

Verwenden Sie den PowerShell-Parameter New-ProvScheme CustomProperties nur für cloudbasierte Hosting-Verbindungen. Wenn Sie Maschinen mit einem persistenten Write-Back-Cache-Datenträger für eine lokale Lösung (z. B. XenServer®) bereitstellen möchten, ist PowerShell nicht erforderlich, da der Datenträger automatisch persistent ist.

Dieser Befehl unterstützt eine zusätzliche Eigenschaft, PersistWBC, die verwendet wird, um zu bestimmen, wie der Write-Back-Cache-Datenträger für MCS-bereitgestellte Maschinen persistent ist. Die Eigenschaft PersistWBC wird nur verwendet, wenn der Parameter UseWriteBackCache angegeben ist und wenn der Parameter WriteBackCacheDiskSize so eingestellt ist, dass ein Datenträger erstellt wird.

Hinweis:

Dieses Verhalten gilt sowohl für Azure als auch für GCP, wo der standardmäßige MCSIO-Write-Back-Cache-Datenträger beim Aus- und Einschalten gelöscht und neu erstellt wird. Sie können den Datenträger persistent machen, um das Löschen und Neuerstellen des MCSIO-Write-Back-Cache-Datenträgers zu vermeiden.

Beispiele für Eigenschaften, die im Parameter CustomProperties vor der Unterstützung von PersistWBC gefunden wurden, sind:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
</CustomProperties>
<!--NeedCopy-->

Hinweis:

Dieses Beispiel gilt nur für Azure. Die Eigenschaften sind in der GCP-Umgebung unterschiedlich.

Bei der Verwendung dieser Eigenschaften ist zu beachten, dass sie Standardwerte enthalten, wenn die Eigenschaften im Parameter CustomProperties weggelassen werden. Die Eigenschaft PersistWBC hat zwei mögliche Werte: true oder false.

Wenn die Eigenschaft PersistWBC auf true gesetzt wird, wird der Write-Back-Cache-Datenträger nicht gelöscht, wenn der Citrix DaaS-Administrator die Maschine über die Verwaltungsoberfläche herunterfährt.

Wenn die Eigenschaft PersistWBC auf false gesetzt wird, wird der Write-Back-Cache-Datenträger gelöscht, wenn der Citrix DaaS-Administrator die Maschine über die Verwaltungsoberfläche herunterfährt.

Hinweis:

Wird die Eigenschaft PersistWBC weggelassen, ist der Standardwert der Eigenschaft false, und der Write-Back-Cache wird gelöscht, wenn die Maschine über die Verwaltungsoberfläche heruntergefahren wird.

Beispiel: Verwenden des Parameters CustomProperties, um PersistWBC auf true zu setzen:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
<!--NeedCopy-->

Wichtig:

Die Eigenschaft PersistWBC kann nur mit dem PowerShell-Cmdlet New-ProvScheme festgelegt werden. Der Versuch, die CustomProperties eines Bereitstellungsschemas nach der Erstellung zu ändern, hat keine Auswirkungen auf den Maschinenkatalog und die Persistenz des Write-Back-Cache-Datenträgers, wenn eine Maschine heruntergefahren wird.

Beispiel: Legen Sie New-ProvScheme so fest, dass der Write-Back-Cache verwendet wird, während die Eigenschaft PersistWBC auf true gesetzt wird:

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

Startleistung mit MCSIO verbessern

Sie können die Startleistung für von Azure und GCP verwaltete Datenträger verbessern, wenn MCSIO aktiviert ist. Verwenden Sie die PowerShell-Eigenschaft PersistOSDisk in dem Befehl New-ProvScheme, um diese Funktion zu konfigurieren. Zu den Optionen, die mit New-ProvScheme verbunden sind, gehören:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource<!--NeedCopy-->
``````<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->

Um diese Funktion zu aktivieren, setzen Sie die benutzerdefinierte Eigenschaft PersistOSDisk auf true. Beispiel:

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

Erstellen eines Katalogs mit CMEK unter Verwendung benutzerdefinierter Eigenschaften

Beim Erstellen Ihres Bereitstellungsschemas über PowerShell geben Sie eine CryptoKeyId-Eigenschaft in den ProvScheme CustomProperties an. Beispiel:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

Die cryptoKeyId muss im folgenden Format angegeben werden:

projectId:location:keyRingName:cryptoKeyName

Wenn Sie beispielsweise den Schlüssel my-example-key im Schlüsselring my-example-key-ring in der Region us-east1 und im Projekt mit der ID my-example-project-1 verwenden möchten, würden Ihre benutzerdefinierten ProvScheme-Einstellungen wie folgt aussehen:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Alle von MCS bereitgestellten Datenträger und Images, die mit diesem Bereitstellungsschema zusammenhängen, verwenden diesen vom Kunden verwalteten Verschlüsselungsschlüssel.

Tipp:

Wenn Sie globale Schlüssel verwenden, muss der Speicherort der Kundeneigenschaften global und nicht der Regionsname lauten, der im obigen Beispiel us-east1 ist. Beispiel: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Erstellen eines Maschinenkatalogs mit einem Maschinenprofil

Wenn Sie einen Katalog zur Bereitstellung von Maschinen mit Machine Creation Services (MCS) erstellen, können Sie ein Maschinenprofil verwenden, um die Hardwareeigenschaften einer virtuellen Maschine zu erfassen und auf neu bereitgestellte VMs im Katalog anzuwenden. Wenn der Parameter MachineProfile nicht verwendet wird, werden die Hardwareeigenschaften von der Master-Image-VM oder dem Snapshot erfasst. Einige Eigenschaften, die Sie explizit definieren, z. B. StorageType, CatalogZones und CryptoKeyId, werden vom Maschinenprofil ignoriert.

  • Um einen Katalog mit einem Maschinenprofil zu erstellen, verwenden Sie den Befehl New-ProvScheme. Beispiel: New-ProvScheme –MachineProfile “path to VM”. Wenn Sie den Parameter MachineProfile nicht angeben, werden die Hardwareeigenschaften von der Master-Image-VM erfasst.
  • Um einen Katalog mit einem neuen Maschinenprofil zu aktualisieren, verwenden Sie den Befehl Set-ProvScheme. Beispiel: Set-ProvScheme –MachineProfile “path to new VM”. Dieser Befehl ändert nicht das Maschinenprofil der vorhandenen VMs im Katalog. Nur die neu erstellten VMs, die dem Katalog hinzugefügt werden, erhalten das neue Maschinenprofil.

  • Sie können auch das Master-Image aktualisieren. Wenn Sie jedoch das Master-Image aktualisieren, werden die Hardwareeigenschaften nicht aktualisiert. Wenn Sie die Hardwareeigenschaften aktualisieren möchten, müssen Sie das Maschinenprofil mit dem Befehl Set-ProvScheme aktualisieren. Diese Änderungen gelten nur für die neuen Maschinen im Katalog. Um die Hardwareeigenschaften einer vorhandenen Maschine zu aktualisieren, können Sie den Befehl Set-ProvVMUpdateTimeWindow mit den Parametern -StartsNow und -DurationInMinutes -1 verwenden.

    Hinweis:

    • StartsNow gibt an, dass die geplante Startzeit die aktuelle Zeit ist.
    • DurationInMinutes mit einer negativen Zahl (z. B. –1) bedeutet keine Obergrenze für das Zeitfenster des Zeitplans.

Erstellen eines Maschinenkatalogs mit Maschinenprofil als Instanzvorlage

Sie können eine GCP-Instanzvorlage als Eingabe für das Maschinenprofil auswählen. Instanzvorlagen sind in GCP schlanke Ressourcen und daher sehr kostengünstig.

Erstellen eines neuen Maschinenkatalogs mit Maschinenprofil als Instanzvorlage

  1. Öffnen Sie ein PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
  3. Suchen Sie eine Instanzvorlage in Ihrem GCP-Projekt mit dem folgenden Befehl:
    cd XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder
    <!--NeedCopy-->

  1. Erstellen Sie einen neuen Maschinenkatalog mit Maschinenprofil als Instanzvorlage mithilfe des Befehls NewProvScheme:

    New-ProvScheme -ProvisioningSchemeName <CatalogName>  -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM
XDHyp:\HostingUnits\<HostingUnitName>\Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder\mytemplate.template
<!--NeedCopy-->

    Weitere Informationen zum Befehl New-ProvScheme finden Sie unter https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.

  2. Schließen Sie die Erstellung des Maschinenkatalogs mithilfe von PowerShell-Befehlen ab.

Aktualisieren eines Maschinenkatalogs, um eine Instanzvorlage als Maschinenprofil zu verwenden

  1. Öffnen Sie ein PowerShell-Fenster.
  2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

  3. Führen Sie den folgenden Befehl aus:

    Set-ProvScheme -ProvisioningSchemeName  <CatalogName> -MachineProfile XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder\<TemplateName>.template
<!--NeedCopy-->

    Informationen zum Befehl Set-ProvScheme finden Sie unter https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.

Erstellen eines Katalogs mit abgeschirmter VM

Sie können einen MCS-Maschinenkatalog mit abgeschirmten VM-Eigenschaften erstellen. Eine abgeschirmte virtuelle Maschine wird durch eine Reihe von Sicherheitskontrollen gehärtet, die eine überprüfbare Integrität Ihrer Compute Engine-Instanzen gewährleisten, indem sie erweiterte Plattform-Sicherheitsfunktionen wie Secure Boot, ein virtuelles Trusted Platform Module, UEFI-Firmware und Integritätsüberwachung nutzen.

MCS unterstützt die Katalogerstellung mithilfe des Maschinenprofil-Workflows. Wenn Sie den Maschinenprofil-Workflow verwenden, müssen Sie die abgeschirmten VM-Eigenschaften einer VM-Instanz aktivieren. Sie können diese VM-Instanz dann als Maschinenprofil-Eingabe verwenden.

Erstellen eines MCS-Maschinenkatalogs mit abgeschirmter VM

  1. Aktivieren Sie die Optionen für abgeschirmte VMs einer VM-Instanz in der Google Cloud Console. Siehe Quickstart: Enable Shielded VM options.
  2. Erstellen Sie einen MCS-Maschinenkatalog mit Maschinenprofil-Workflow, indem Sie die VM-Instanz verwenden.
    1. Öffnen Sie ein PowerShell-Fenster
    2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
    3. Erstellen Sie einen Identitätspool, falls noch nicht geschehen.

    4. Führen Sie den Befehl New-ProvScheme aus. Zum Beispiel:

      New-ProvScheme -ProvisioningSchemeName <catalog-name>
-HostingUnitName gcp-hostint-unit
-MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda.vm
-MachineProfile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine.vm
<!--NeedCopy-->
  3. Schließen Sie die Erstellung des Maschinenkatalogs ab.

Aktualisieren eines Maschinenkatalogs mit einem neuen Maschinenprofil

  1. Führen Sie den Befehl Set-ProvScheme aus. Zum Beispiel:

    Set-ProvScheme -ProvisioningSchemeName <catalog-name>
-MasterImageVM XDHyp:\HostingUnits\<hostin-unit>\catalog-vda.vm
-MachineProfile "DHyp:\HostingUnits\<hostin-unit>\catalog-machine.vm
<!--NeedCopy-->

Um die in Set-ProvScheme vorgenommene Änderung auf die vorhandenen VMs anzuwenden, führen Sie den Befehl Set-ProvVMUpdateTimeWindow aus.

  1. Führen Sie den Befehl Set-ProvVMUpdateTimeWindow aus. Zum Beispiel:

    Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
<!--NeedCopy-->

  2. Starten Sie die VMs neu.

Erstellen von Windows 11 VMs auf dem Sole-Tenant-Knoten

Sie können Windows 11 VMs in GCP erstellen. Wenn Sie Windows 11 jedoch auf dem Master-Image installieren, müssen Sie vTPM während des Master-Image-Erstellungsprozesses aktivieren. Außerdem müssen Sie vTPM auf der Maschinenprofilquelle (VM oder Instanzvorlage) aktivieren.

Die wichtigsten Schritte zum Erstellen von Windows 11 VMs auf dem Sole-Tenant-Knoten sind:

  1. Richten Sie die Google Cloud-Virtualisierungsumgebungen ein. Weitere Informationen finden Sie unter Google Cloud environments.
  2. Installieren Sie VDA. Siehe Install VDAs.
  3. Stellen Sie eine Verbindung zu Google Cloud-Umgebungen her. Weitere Informationen finden Sie unter Connection to Google cloud environments.
  4. Erstellen Sie ein Windows 11 Bring Your Own License (BYOL) Master-Image und importieren Sie das Image in Google Cloud. Siehe Create a Windows 11 BYOL master image.
  5. Erstellen Sie die Maschinenprofilquelle: Stellen Sie eine VM auf dem Sole-Tenant-Knoten bereit und aktivieren Sie das vTPM des Quell-Maschinenprofils. Siehe Provision VM on sole-tenant node.
  6. Erstellen Sie einen MCS-Maschinenkatalog unter Verwendung der Windows 11 Maschinenprofilquelle, die mit vTPM aktiviert ist. Die Maschinenprofilquelle muss denselben Instanztyp haben, wie im Sole-Tenant-Knoten beschrieben. Siehe Create an MCS machine catalog using the Windows 11 machine profile source.

Erstellen eines Windows 11 BYOL Master-Images

Es gibt zwei Möglichkeiten, ein Windows 11 BYOL-Master-Image zu erstellen und das Master-Image in Google Cloud zu importieren:

  • Google Cloud Build Tools verwenden
  • Das Master-Image auf einem beliebigen anderen Hypervisor erstellen

Google Cloud Build Tools verwenden

  1. Laden Sie die Installationsdateien für Windows 11 ISO, GCP SDK, .NET Framework und PowerShell in den GCP-Speicher-Bucket hoch.
  2. Geben Sie den Dateispeicherort in der Cloud Build-.yaml-Datei als Parameter an.

  3. Führen Sie den folgenden Cloud Build über die Befehlszeile aus, um das endgültige Windows 11-Image zu erstellen. GCP bootet und erstellt das Master-Image im ausgewählten Projekt mithilfe des Daisy-Workflows in GCP, und das Master-Image wird in GCP importiert.

    gcloud compute instances import INSTANCE-NAME--source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE
<!--NeedCopy-->

    Hinweis:

    Ersetzen Sie alle großgeschriebenen Texte durch die tatsächlichen Ressourcendetails.

Vollständige Informationen finden Sie unter Benutzerdefinierte Windows BYOL-Images erstellen.

Das Master-Image auf einem beliebigen anderen Hypervisor erstellen

  1. Erstellen Sie das Windows 11-Master-Image mit einem beliebigen anderen Hypervisor.
  2. Exportieren Sie das Master-Image im OVF-Format auf den lokalen Computer.

  3. Laden Sie die OVF-Dateien mit der lokalen gcloud CLI in den GCP-Speicher-Bucket hoch.

    gsutil cp LOCAL_IMAGE_PATH_OVF_FILES gs://BUCKET_NAME/
<!--NeedCopy-->

  4. Führen Sie den folgenden Cloud Build über die Befehlszeile aus, um das endgültige Windows 11-Image zu erstellen. GCP bootet und erstellt das Master-Image im ausgewählten Projekt mithilfe des Daisy-Workflows in GCP, und das Master-Image wird in GCP importiert.

    gcloud compute instances import INSTANCE-NAME --source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE
<!--NeedCopy-->

    Hinweis:

    Ersetzen Sie alle großgeschriebenen Texte durch die tatsächlichen Ressourcendetails.

VM auf Sole-Tenant-Knoten bereitstellen

Verwenden Sie Sole-Tenant-Knoten, um Ihre VMs physisch von VMs in anderen Projekten zu trennen oder Ihre VMs auf derselben Host-Hardware zu gruppieren. Informationen zum Sole-Tenant-Knoten finden Sie im GCP-Dokument Sole-Tenancy-Übersicht.

Informationen zur Bereitstellung einer VM (Maschinenprofilquelle) auf dem Sole-Tenant-Knoten finden Sie im GCP-Dokument VMs auf Sole-Tenant-Knoten bereitstellen.

Hinweis:

  • Wählen Sie denselben Instanztyp und dieselbe Region wie die Knotengruppe aus.
  • Aktivieren Sie vTPM im Abschnitt „Shielded VM“. Weitere Informationen finden Sie unter Schnellstart: Shielded VM-Optionen aktivieren.
  • Deaktivieren Sie BitLocker auf der Quell-VM.

MCS-Maschinenkatalog mit der Windows 11-Maschinenprofilquelle erstellen

Sie können einen MCS-Maschinenkatalog erstellen, um Windows 11-VMs mithilfe von Studio- oder PowerShell-Befehlen zu erstellen.

Hinweis:

  • Wählen Sie für das Master-Image den Windows 11-Snapshot oder die VM aus.
  • Wählen Sie für die Maschinenprofilquelle die Windows 11-VM als Maschinenprofil aus. Die Maschinenprofilquelle muss denselben Instanztyp aufweisen, wie im Sole-Tenant-Knoten beschrieben.

Informationen zur Verwendung von Studio finden Sie unter Maschinenkatalog mit Studio erstellen.

Informationen zu PowerShell-Befehlen finden Sie unter Maschinenkatalog mit einem Maschinenprofil erstellen.

Nachdem Sie den Katalog erstellt und die VMs eingeschaltet haben, können Sie die Windows 11-VMs, die auf dem Sole-Tenant-Knoten ausgeführt werden, in der Google Cloud Console sehen.

VMs und Datenträger mit geerbten Labels

MCS-Maschinenkatalog-VMs und -Datenträger (Identitätsdatenträger, Write-Cache-Back-Datenträger und Betriebssystemdatenträger) können die Labels einer Maschinenprofilquelle (GCP-VM-Instanz oder Instanzvorlage) erben. Sie können die Labels verwenden, um Instanzen zu unterscheiden, die verschiedenen Teams gehören (z. B. team:research und team:analytics), und sie weiter für die Kostenrechnung oder Budgetierung nutzen. Weitere Informationen zu Labels finden Sie im GCP-Dokument Ressourcen mit Labels organisieren.

Sie können einen neuen Katalog erstellen, einen vorhandenen Katalog aktualisieren und vorhandene VMs aktualisieren, um die Labels mithilfe der Maschinenprofilquelle zu erben.

Diese Funktion ist für persistente und nicht-persistente MCS-Maschinenkataloge anwendbar.

Sie können Folgendes tun:

Katalog mit geerbten Labels erstellen

Um einen MCS-Maschinenkatalog zu erstellen, bei dem VMs und Datenträger Labels von der Maschinenprofilquelle erben, gehen Sie wie folgt vor:

  1. Erstellen Sie eine Maschinenprofilquelle (VM-Instanz oder Instanzvorlage) mit Labels. Informationen zum Erstellen von VMs mit Labels finden Sie im GCP-Dokument Ressourcen mit Labels erstellen. Eine Instanzvorlage wird aus der VM erstellt und übernimmt die in der VM definierten Labels.
  2. Erstellen Sie einen MCS-Katalog mit Studio oder PowerShell-Befehlen.
  3. Wenn Sie Studio verwenden, wählen Sie auf der Seite Image die Option Maschinenprofil verwenden und dann die VM oder Vorlage aus.

  4. Wenn Sie PowerShell-Befehle verwenden, gehen Sie wie folgt vor:

    1. Öffnen Sie das PowerShell-Fenster.
    2. Führen Sie asnp citrix* aus.
    3. Erstellen Sie einen Identitätspool. Der Identitätspool ist ein Container für die Active Directory (AD)-Konten der zu erstellenden VMs.
    4. Erstellen Sie die erforderlichen AD-Computerkonten in Active Directory.

    5. Führen Sie den Befehl New-ProvScheme aus, um einen Katalog zu erstellen. Zum Beispiel:

      New-ProvScheme mit Vorlage als Maschinenprofil-Eingabe (persistenter Katalog):

      New-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
<!--NeedCopy-->

      New-ProvScheme mit Instanzvorlage als Maschinenprofil-Eingabe (nicht-persistenter Katalog):

      New-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
-CleanOnBoot
<!--NeedCopy-->

      New-ProvScheme mit VM-Instanz als Maschinenprofil-Eingabe (persistenter Katalog):

      New-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
<!--NeedCopy-->

      New-ProvScheme mit VM-Instanz als Maschinenprofil-Eingabe (nicht-persistenter Katalog):

      New-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
-MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
-CleanOnBoot
<!--NeedCopy-->
    6. Registrieren Sie das Bereitstellungsschema als Broker-Katalog.
    7. Fügen Sie VMs zum Katalog hinzu.

Vorhandenen Katalog mit geerbten Labels aktualisieren

Um einen vorhandenen Katalog mit einem neuen Maschinenprofil zu aktualisieren, führen Sie den Befehl Set-ProvScheme aus. Nachdem Sie den Befehl ausgeführt haben, verfügen alle neuen VMs, die dem Katalog hinzugefügt werden, über die Labels der neuen Maschinenprofilquelle. Der nicht-persistente Katalog wird beim nächsten Einschalten aktualisiert.

Zum Beispiel:

Set-ProvScheme mit Instanzvorlage als Maschinenprofil-Eingabe:


Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `

<!--NeedCopy-->

Set-ProvScheme mit VM-Instanz als Maschinenprofil-Eingabe:


Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `

<!--NeedCopy-->

Vorhandene VMs mit geerbten Labels aktualisieren

Um vorhandene VMs mit der aktualisierten Maschinenprofilquelle zu aktualisieren, führen Sie die folgenden Befehle aus:

  1. Set-ProvScheme

  2. Set-ProvVMUpdateTimeWindow. Zum Beispiel:

    Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
<!--NeedCopy-->
  3. Starten Sie die VMs neu.

Informationen zu VM- und Boot-Disk-Labels abrufen

Nachdem Sie die VMs erstellt haben, können Sie die Informationen des VM- und Boot-Disk-Labels mit dem Befehl Get-Item und dem Parameter AdditionalData abrufen.

Für das Abrufen von Informationen des VM-Labels führen Sie den folgenden Befehl aus:


(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm).AdditionalData.Tags

<!--NeedCopy-->

Für das Abrufen von Informationen des Boot-Datenträger-Labels führen Sie den folgenden Befehl aus:


(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm\bootdisk-name.attacheddisk).AdditionalData.Tags

<!--NeedCopy-->

Hinweis:

Um die Konsistenz über die verschiedenen Hypervisoren hinweg zu wahren, haben wir den Begriff Tags verwendet, um GCP-Labels anzuzeigen.

VM entfernen

Sie können eine VM aus einem Katalog entfernen, die VM aber nicht aus der GCP löschen. In diesem Fall werden die Citrix-Labels nur von der VM entfernt. Alle anderen hinzugefügten Labels werden nicht von der VM gelöscht. Sie können eine VM aus Studio entfernen oder PowerShell-Befehle verwenden.

Verwenden von Studio

  1. Wählen Sie die VM aus und klicken Sie mit der rechten Maustaste darauf.
  2. Klicken Sie auf Löschen.
  3. Wählen Sie Die virtuellen Maschinen aus dem Katalog entfernen, aber die virtuellen Maschinen nicht löschen.

Verwenden von PowerShell-Befehlen

Führen Sie Remove-ProvVM mit dem Parameter ForgetVM aus. Weitere Informationen finden Sie in der SDK-Dokumentation Remove-ProvVM.

Google Cloud Marketplace

Sie können Bilder, die von Citrix auf dem Google Cloud Marketplace angeboten werden, durchsuchen und auswählen, um Maschinenkataloge zu erstellen. Derzeit unterstützt MCS für diese Funktion nur den Workflow für Maschinenprofile.

Um nach Citrix VDA VM-Produkten über den Google Cloud Marketplace zu suchen, rufen Sie https://console.cloud.google.com/marketplace/ auf.

Sie können ein benutzerdefiniertes Image oder ein Citrix ready® Image auf dem Google Cloud Marketplace verwenden, um ein Image eines Maschinenkatalogs zu aktualisieren.

Hinweis:

Wenn das Maschinenprofil keine Informationen zum Speichertyp enthält, wird der Wert aus benutzerdefinierten Eigenschaften abgeleitet.

Die unterstützten Google Cloud Marketplace-Images sind:

  • Windows 2019 Einzelsitzung
  • Windows 2019 Mehrfachsitzung
  • Ubuntu

Beispiel für die Verwendung eines Citrix ready Images als Quelle zum Erstellen eines Maschinenkatalogs:


New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm

<!--NeedCopy-->

Nächste Schritte

Weitere Informationen

Google Cloud Platform-Katalog erstellen
March 25, 2026
Beitrag von: 
C C
March 25, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.