Citrix Virtual Apps and Desktops Service

Google Cloud Platform-Virtualisierungsumgebungen

Der Citrix Virtual Apps and Desktops Service ermöglicht das Provisioning und Verwalten von Maschinen auf der Google Cloud Platform (GCP). Dieser Artikel erläutert, wie Sie mit den Maschinenerstellungsdiensten (Machine Creation Services, MCS) virtuelle Maschinen in Citrix Virtual Apps oder Citrix Virtual Desktops bereitstellen.

Anforderungen

  • Citrix Cloud-Konto. Das in diesem Artikel beschriebene Feature ist nur in Citrix Cloud verfügbar.
  • Citrix Virtual Apps and Desktops-Serviceabonnement. Einzelheiten finden Sie unter Erste Schritte.
  • Ein GCP-Projekt. Das Projekt umfasst alle Rechenressourcen, die dem Maschinenkatalog zugeordnet sind. Dies kann ein bestehendes oder ein neues Projekt sein.
  • Aktivieren Sie vier APIs in Ihrem Google Cloud-Projekt. Einzelheiten finden Sie unter Aktivieren von Google Cloud-APIs.
  • GCP-Dienstkonto. Das Dienstkonto dient zur Authentifizierung bei Google Cloud, um Zugriff auf das Projekt zu erhalten. Einzelheiten finden Sie unter Konfigurieren des Google Cloud-Dienstkontos.
  • Aktivieren des privaten Google-Zugriffs Einzelheiten finden Sie unter Enable-private-google-access.

Aktivieren von Google Cloud-APIs

Um die Google Cloud-Funktionalität über die Oberfläche “Vollständige Konfiguration” von Citrix Virtual Apps and Desktops zu verwenden, müssen Sie diese APIs in Ihrem Google Cloud-Projekt aktivieren:

  • Compute Engine-API
  • Cloud Resource Manager-API
  • Identitäts- und Zugriffsverwaltung (IAM)-API
  • Cloud Build-API

Führen Sie in der GCP-Konsole die folgenden Schritte aus:

  1. Wählen Sie im oberen linken Menü APIs and Services > Dashboard.

    Bild zu APIs & Services - Dashboard

  2. Stellen Sie im Dashboard-Bildschirm sicher, dass die Compute Engine-API aktiviert ist. Wenn nicht, führen Sie folgende Schritte aus:

    1. Gehen Sie zu APIs & Services > Library.

      Bild zu APIs & Services - Library

    2. Geben Sie im Suchfeld den Begriff Compute Engine ein.

    3. Wählen Sie in den Suchergebnissen Compute Engine API.

    4. Wählen Sie Enable auf der Seite Compute Engine API.

  3. Aktivieren Sie die Cloud Resource Manager-API.

    1. Gehen Sie zu APIs & Services > Library.

    2. Geben Sie im Suchfeld den Begriff Cloud Resource Manager ein.

    3. Wählen Sie in den Suchergebnissen Cloud Resource Manager API.

    4. Wählen Sie Enable auf der Seite Cloud Resource Manager-API. Der Status der API wird angezeigt.

  4. Aktivieren Sie auch IAM-API und Cloud Build-API auf diese Weise.

Konfigurieren des Google Cloud-Dienstkontos

Mit einem Google Cloud-Dienstkonto können Sie Ressourcen in GCP-Projekten erstellen und verwalten. Ein Google Cloud-Dienstkonto ist erforderlich, um Maschinen wie in diesem Artikel beschrieben bereitzustellen und zu verwalten. Ein von Google Cloud generierter Schlüssel wird vom Google Cloud-Konto für die Authentifizierung bei der Citrix Cloud verwendet. Jedes Konto (persönlich oder Service) enthält verschiedene Rollen, die das Management des Projekts definieren.

Es wird empfohlen, ein Servicekonto zu erstellen. Führen Sie hierzu folgende Schritte aus:

  1. Gehen Sie in der GCP-Konsole zu IAM & Admin > Service accounts.

  2. Wählen Sie auf der Seite Service accounts CREATE SERVICE ACCOUNT.

  3. Geben Sie auf der Seite Create service account die erforderlichen Informationen ein und wählen Sie Create.

Beachten Sie beim Erstellen des Servicekontos Folgendes:

  • Wählen Sie bei Bedarf Abbrechen, um die Seite Service account details zu speichern und zu schließen, ohne die Zugriffsrechte auf den Seiten Grant this service account access to project und Grant users access to this service account festzulegen. Sie können diese optionalen Schritte später ausführen.

  • Wenn Sie diese optionalen Konfigurationsschritte überspringen, wird das neu erstellte Servicekonto nicht auf der Seite IAM & Admin > IAM angezeigt.

  • Um die mit dem Servicekonto verknüpften Rollen anzuzeigen, fügen Sie die Rollen hinzu, ohne die optionalen Schritte zu überspringen. Dadurch wird sichergestellt, dass Rollen für das konfigurierte Servicekonto angezeigt werden.

Wenn Sie ein Dienstkonto erstellen, können Sie einen Schlüssel für das Konto generieren. Sie benötigen diesen Schlüssel, um eine Verbindung im Citrix-Dienst zu erstellen. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Nachdem Sie den Schlüssel erstellt haben, wird die Datei automatisch heruntergeladen und im Ordner Downloads gespeichert. Stellen Sie beim Erstellen des Schlüssels sicher, dass der Schlüsseltyp auf JSON festgelegt wird. Andernfalls kann die Citrix Oberfläche “Vollständige Konfiguration” sie nicht analysieren.

Tipp:

Erstellen Sie Schlüssel auf der Seite Service accounts in der GCP-Konsole. Es wird empfohlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie stellen der Citrix Virtual Apps and Desktops-Anwendung neue Schlüssel durch Bearbeiten einer vorhandenen GCP-Verbindung bereit.

Außerdem müssen Sie Ihrem Dienstkonto die erforderlichen Zugriffsrechte für Ihr GCP-Projekt erteilen:

  1. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM. Suchen Sie auf der Seite IAM das erstellte Dienstkonto und wählen Sie das Bleistiftsymbol, um das Dienstkonto zu bearbeiten.

  2. Wählen Sie auf der Seite Edit permissions die Option Add another role, um Ihrem Dienstkonto die folgenden Rollen nacheinander hinzuzufügen. Wählen Sie dann Save.

    • Compute-Administrator
    • Speicher-Administrator
    • Cloud Build-Editor
    • Dienstkontobenutzer
    • Cloud-Datenspeicherbenutzer
  3. Aktualisieren Sie die Rollen, die dem Cloud Build-Dienstkonto Ihres Projekts zugewiesen sind.

    1. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM.
    2. Suchen Sie auf der Seite IAM das Cloud Build-Dienstkonto und wählen Sie das Bleistiftsymbol, um das Dienstkonto zu bearbeiten. Sie erkennen das Cloud Build-Dienstkonto am Benutzernamen, der folgendes Format hat: <your_gcp_project_ID_number>@cloudbuild.gserviceaccount.com.
    3. Wählen Sie auf der Seite Edit permissions die Option Add another role, um Ihrem Cloud Build-Dienstkonto die folgenden Rollen nacheinander hinzuzufügen. Wählen Sie dann Save.
      • Cloud Build-Dienstkonto
      • Compute Instance-Administrator
      • Dienstkontobenutzer

Aktivieren des privaten Google-Zugriffs

Wenn der Netzwerkschnittstelle einer VM keine externe IP-Adresse zugewiesen ist, werden Pakete nur an andere interne IP-Adressenziele gesendet. Wenn Sie den privaten Zugriff aktivieren, stellt die VM eine Verbindung zu den von der Google-API und den zugehörigen Diensten verwendeten externen IP-Adressen her. Damit eine VM im Subnetz ohne öffentliche IP-Adresse für das MCS-Provisioning auf die Google-APIs zugreifen kann, führen Sie folgende Schritte aus:

  1. Rufen Sie in GCP VPC network configuration auf.
  2. Aktivieren Sie im Fenster “Subnet details” die Option Private Google access.

Privater Google-Zugriff

Weitere Informationen finden Sie unter Konfigurieren des privaten Google-Zugriffs.

Wichtig:

Wenn Ihr Netzwerk so konfiguriert ist, dass der VM-Zugriff auf das Internet unterbunden wird, stellen Sie sicher, dass Ihre Organisation das mit der Aktivierung des privaten Google-Zugriffs für das Subnetz der VMs verbundene Risiko einzugehen bereit ist.

Hinzufügen einer Verbindung

Folgen Sie in der Oberfläche “Vollständige Konfiguration” den Anweisungen unter Erstellen einer Verbindung und von Ressourcen. Die folgende Beschreibung erläutert, wie Sie eine Hostverbindung einrichten:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Hosting.

  2. Wählen Sie in der Aktionsleiste Verbindung und Ressourcen hinzufügen.

  3. Wählen Sie auf der Seite Verbindung die Optionen Neue Verbindung erstellen und Studio-Tools und wählen Sie Weiter.

    • Verbindungstyp. Wählen Sie im Menü die Option Google Cloud Platform.
    • Dienstkontoschlüssel. Importieren Sie den Schlüssel, der in Ihrer Anmeldeinformationsdatei (.json) enthalten ist. Suchen Sie hierfür die Anmeldeinformationsdatei, öffnen Sie die Datei mit Notepad (oder einem anderen Texteditor) und kopieren Sie den Inhalt. Kehren Sie anschließend zur Seite Verbindung zurück, wählen Sie Schlüssel importieren, fügen Sie den Inhalt ein und wählen Sie Speichern.
    • Dienstkonto-ID. Dieses Feld wird automatisch mit Informationen aus dem importierten Schlüssel ausgefüllt.
    • Verbindungsname. Geben Sie einen Verbindungsnamen ein.
  4. Wählen Sie auf der Seite Region einen Projektnamen aus dem Menü aus, wählen Sie die Region, in der sich die gewünschten Ressourcen befinden, und wählen Sie Weiter.

  5. Geben Sie auf der Seite Netzwerk einen Ressourcennamen ein, wählen Sie ein virtuelles Netzwerk aus dem Menü aus, wählen Sie einen Teilbereich (Subset) und wählen Sie Weiter. Mit dem Ressourcennamen kann diese Kombination von Region und Netzwerk identifiziert werden. Virtuelle Netzwerke mit dem Namenssuffix (Shared) sind freigegebene VPCs. Wenn Sie eine IAM-Rolle auf Subnetzebene für eine freigegebene VPC konfigurieren, werden nur bestimmte Subnetze der freigegebenen VPC in der Subnetzliste angezeigt.

    Hinweis:

    -  Der Ressourcenname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen, und folgende Zeichen sind nicht erlaubt: `\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )`.
    
  6. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und wählen Sie Fertig stellen, um das Fenster Verbindung und Ressourcen hinzufügen zu schließen.

Nach dem Erstellen der Verbindung und der Ressourcen wird die erstellte Verbindung samt Ressourcen aufgelistet. Wählen Sie zum Konfigurieren der Verbindung diese aus und wählen Sie in der Aktionsleiste die entsprechende Option.

Sie können außerdem die unter der Verbindung erstellten Ressourcen löschen, umbenennen oder testen. Wählen Sie hierfür die Ressource unter der Verbindung aus und wählen Sie in der Aktionsleiste die entsprechende Option.

Vorbereiten einer Master-VM-Instanz und eines nichtflüchtigen Speichers

Tipp:

Nichtflüchtiger Speicher (Persistent Disk) ist der GCP-Begriff für den virtuellen Datenträger.

Zur Vorbereitung Ihrer Master-VM-Instanz erstellen und konfigurieren Sie zunächst eine VM-Instanz mit Eigenschaften, die der gewünschten Konfiguration für die geklonten VDA-Instanzen im geplanten Maschinenkatalog entsprechen. Die Konfiguration gilt nicht nur für Größe und Typ der Instanz. Sie umfasst auch Instanzattribute wie Metadaten, Tags, GPU-Zuweisungen, Netzwerktags und Dienstkontoeigenschaften.

MCS verwendet dann Ihre Master-VM-Instanz, um die GCP-Instanzvorlage zu erstellen. Auf der Basis der Instanzvorlage werden dann die geklonten VDA-Instanzen erstellt, die den Maschinenkatalog umfassen. Geklonte Instanzen erben die Eigenschaften der Master-VM-Instanz (mit Ausnahme der Eigenschaften für VPC, Subnetz und nichtflüchtigen Speicher), aus der die Instanzvorlage erstellt wurde.

Nachdem Sie die Eigenschaften der Master-VM-Instanz konfiguriert haben, starten Sie die Instanz und bereiten den nichtflüchtigen Speicher für die Instanz vor.

Es wird empfohlen, manuell einen Snapshot des Speichers zu erstellen. Dies ermöglicht eine aussagekräftige Benennung zum Nachverfolgen von Versionen, bietet mehr Optionen zum Verwalten früherer Versionen des Masterimages und spart Zeit beim Erstellen des Maschinenkatalogs. Wenn Sie keinen eigenen Snapshot erstellen, erstellt MCS einen Snapshot für Sie. Sie können damit das benutzerdefinierte Image in Ihrer GCP-Image-Bibliothek erstellen.

Erstellen eines Maschinenkatalogs

Hinweis:

Erstellen Sie Ihre Ressourcen, bevor Sie einen Maschinenkatalog erstellen. Verwenden Sie bei der Konfiguration von Maschinenkatalogen die von GCP festgelegten Namenskonventionen. Weitere Informationen finden Sie unter Richtlinien zur Bucket- und Objektbenennung.

Folgen Sie den Anweisungen unter Erstellen von Maschinenkatalogen. Die folgende Beschreibung gilt nur für GCP-Kataloge.

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Maschinenkataloge.

  2. Wählen Sie in der Aktionsleiste Maschinenkatalog erstellen.

  3. Wählen Sie auf der Seite Betriebssystem die Option Multisitzungs-OS und wählen Sie Weiter.

    • Der Citrix Virtual Apps and Desktops Service unterstützt auch Einzelsitzungs-OS.
  4. Wählen Sie auf der Seite Maschinenverwaltung die Optionen Maschinen mit Energieverwaltung und Citrix Maschinenerstellungsdienste und wählen Sie Weiter. Bei mehreren vorhandenen Ressourcen wählen Sie eine Ressource im Menü aus.

  5. Wählen Sie auf der Seite Masterimage eine VM und die Mindestfunktionsebene für den Katalog aus und wählen Sie Weiter. Wenn Sie die Einzelmandantenfunktion verwenden möchten, wählen Sie ein Image, dessen Knotengruppeneigenschaft korrekt konfiguriert ist. Siehe Aktivieren der Zonenauswahl.

  6. Geben Sie auf der Seite Virtuelle Maschinen an, wie viele VMs Sie erstellen möchten, zeigen Sie die Spezifikation der VMs an und wählen Sie Weiter. Wenn Sie für Maschinenkataloge Knotengruppen für einzelne Mandanten verwenden, wählen Sie ausschließlich die Zonen, in denen reservierte Knoten für einzelne Mandanten verfügbar sind. Siehe Aktivieren der Zonenauswahl.

  7. Wählen Sie auf der Seite Datenträgereinstellungen aus, ob Sie Ihren eigenen Schlüssel zum Schutz von Datenträgerinhalten verwenden möchten. Um das Feature nutzen zu können, müssen Sie zuerst eigene Verschlüsselungsschlüssel (CMEKs) erstellen. Weitere Informationen finden Sie unter Verwenden vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK).

    Hinweis:

    Dieses Feature ist als Preview verfügbar. Es ist nur über die Schnittstelle Verwalten > Vollständige Konfiguration verfügbar.

    Nachdem Sie die Schlüssel erstellt haben, können Sie einen davon aus der Liste auswählen. Sie können den Schlüssel nicht mehr ändern, wenn Sie den Katalog erstellt haben. Google Cloud Platform unterstützt keinen Wechsel von Schlüsseln für bestehende persistente Datenträger bzw. Images. Ein bereitgestellter Katalog ist daher an eine bestimmte Version des Schlüssels gebunden. Wird der Schlüssel deaktiviert oder zerstört, werden die damit verschlüsselten Instanzen und Datenträger so lange unbrauchbar, bis der Schlüssel wieder aktiviert bzw. wiederhergestellt wird.

  8. Wählen Sie auf der Seite Maschinenidentitäten ein Active Directory-Konto aus und wählen Sie Weiter.

    • Wenn Sie Neue Active Directory-Konten erstellen auswählen, wählen Sie eine Domäne und geben Sie dann die Zeichenfolge ein, die das Benennungsschema für die bereitgestellten, in Active Directory erstellten VM-Computerkonten darstellt. Das Kontenbenennungsschema schreibt 1–64 Zeichen und ausschließlich ASCII-Zeichen vor, der Name darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
    • Bei Auswahl von Vorhandene Active Directory-Konten verwenden wählen Sie Durchsuchen, um die vorhandenen Active Directory-Computerkonten für die ausgewählten Maschinen aufzurufen.
  9. Wählen Sie auf der Seite Domänenanmeldeinformationen die Option Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, wählen Sie Speichern und dann Weiter.

    • Die eingegebene Anmeldeinformationen müssen über Berechtigungen zum Ausführen von Active Directory-Kontovorgängen verfügen.
  10. Wählen Sie auf der Seite Geltungsbereiche Geltungsbereiche für den Maschinenkatalog aus und wählen Sie Weiter.

    • Wählen Sie optionale Geltungsbereiche aus oder wählen Sie Benutzerdefinierter Geltungsbereich, um Geltungsbereiche nach Bedarf anzupassen.
  11. Überprüfen Sie die Informationen auf der Seite Zusammenfassung, geben Sie einen Namen für den Katalog ein und wählen Sie Fertig stellen.

    Hinweis:

    Der Katalogname muss aus 1–39 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen, und folgende Zeichen sind nicht erlaubt: \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

Die Erstellung des Maschinenkatalogs kann lange dauern. Wenn sie abgeschlossen ist, wird der Katalog aufgelistet. Sie können in der GCP-Konsole überprüfen, ob die Maschine auf den Zielknotengruppen erstellt wurden.

Hinzufügen von Maschinen zum Maschinenkatalog

Führen Sie folgende Schritte aus, um Maschinen zu einem Katalog hinzuzufügen:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Maschinenkataloge.

  2. Wählen Sie den Maschinenkatalog aus, dem Sie Maschinen hinzufügen möchten.

  3. Wählen Sie in der Aktionsleiste Maschinen hinzufügen.

  4. Geben Sie auf der Seite Virtuelle Maschinen die Anzahl der hinzuzufügenden Maschinen an und wählen Sie Weiter.

  5. Wählen Sie auf der Seite Computerkonten ein Active Directory-Konto aus und wählen Sie Weiter.

  6. Wählen Sie auf der Seite Domänenanmeldeinformationen die Option Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, wählen Sie Speichern und dann Weiter.

  7. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und wählen Sie Fertig stellen.

Aktualisieren von Maschinen

Dieses Feature kann nützlich sein, wenn Sie Ihr Masterimage oder die Mindestfunktionsebene aktualisieren möchten.

Führen Sie folgende Schritte aus, um Maschinen zu aktualisieren:

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Maschinenkataloge.

  2. Wählen Sie den Maschinenkatalog aus, der die zu aktualisierenden Maschinen enthält.

  3. Wählen Sie in der Aktionsleiste Maschinen aktualisieren.

  4. Wählen Sie auf der Seite Masterimage eine VM und die Mindestfunktionsebene für den Katalog aus und wählen Sie Weiter.

  5. Geben Sie auf der Seite Rolloutstrategie an, wann die Maschinen aktualisiert werden sollen und wählen Sie Weiter.

  6. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und wählen Sie Fertig stellen.

Führen Sie folgende Schritte zum Rollback eines Maschinenupdates aus:

Wichtig:

Masterimages dürfen nicht umbenannt, gelöscht oder verschoben werden. Dies würde ein Rollback des Updates verhindern.

  1. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Maschinenkataloge.

  2. Wählen Sie den Maschinenkatalog aus, für den Sie ein Rollback des Maschinenupdates ausführen möchten.

  3. Wählen Sie in der Aktionsleiste Rollback für Maschinenupdate.

  4. Überprüfen Sie die Informationen auf der Seite Übersicht und wählen Sie Weiter.

  5. Konfigurieren Sie auf der Seite Rolloutstrategie die Rolloutstrategie und wählen Sie Weiter.

  6. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und wählen Sie Fertig stellen.

Energieverwaltung

Citrix Virtual Apps and Desktops ermöglicht die Energieverwaltung von GCP-Maschinen. Mit dem Knoten Suchen im Navigationsbereich finden Sie die Maschine, für die Sie eine Energieverwaltung festlegen möchten. Folgende Energieaktionen stehen zur Verfügung:

  • Löschen
  • Starten
  • Restart
  • Neustart erzwingen
  • Herunterfahren
  • Herunterfahren erzwingen
  • Zu Bereitstellungsgruppe hinzufügen
  • Tags verwalten
  • Wartungsmodus einschalten

Sie können die Energieverwaltung für GCP-Maschinen auch mit AutoScale aktivieren. Fügen Sie hierfür die GCP-Maschinen einer Bereitstellungsgruppe hinzu und aktivieren Sie AutoScale für diese Bereitstellungsgruppe. Weitere Hinweise zu AutoScale finden Sie unter Autoscale.

Importieren manuell erstellter GCP-Maschinen

Sie können eine Verbindung zu GCP herstellen und dann einen Katalog mit GCP-Maschinen erstellen. Anschließend können Sie GCP-Maschinen manuell mit Citrix Virtual Apps and Desktops neu starten. Das Feature ermöglicht folgende Aktionen:

  • Import manuell erstellter GCP-Maschinen mit Multisitzungs-OS in einen Citrix Virtual Apps and Desktops-Maschinenkatalog
  • Entfernen manuell erstellter GCP-Maschinen mit Multisitzungs-OS aus einem Citrix Virtual Apps and Desktops-Katalog
  • Energieverwaltung von Multisitzungs-OS-Maschinen auf GCP über vorhandene Energieverwaltungsfunktionen von Citrix Virtual Apps and Desktops. Richten Sie beispielsweise einen Neustartplan für diese Maschinen ein.

Hierfür ist es nicht erforderlich, vorhandene Bereitstellungsworkflows für Citrix Virtual Apps and Desktops zu ändern oder vorhandene Features zu entfernen. Es wird empfohlen, Maschinen mit MCS in der Oberfläche “Vollständige Konfiguration” des Citrix-Diensts bereitzustellen, anstatt manuell erstellte GCP-Maschinen zu importieren.

Freigegebene virtuelle private Cloud

Freigegebene VPCs umfassen ein Hostprojekt, aus dem die freigegebenen Subnetze zur Verfügung gestellt werden, sowie mindestens ein Dienstprojekt, das die Ressource verwendet. Freigegebene VPCs sind gute Optionen für größere Installationen, da sie eine zentrale Steuerung, Nutzung und Verwaltung gemeinsam genutzter Google-Cloud-Ressourcen bieten. Weitere Informationen siehe Google-Dokumentation.

Mit diesem Feature unterstützt Maschinenerstellungsdienste (MCS) das Provisioning und die Verwaltung von Maschinenkatalogen, die in freigegebenen VPCs bereitgestellt werden. Diese Unterstützung entspricht funktional der derzeitigen für lokale VPCs, weist aber in zwei Bereichen Unterschiede auf:

  1. Sie müssen dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, zusätzliche Berechtigungen erteilen. Dadurch kann MCS auf freigegebene VPC-Ressourcen zugreifen und diese nutzen.
  2. Sie müssen zwei Firewallregeln (eine für den eingehenden und eine für den ausgehenden Datenverkehr) erstellen. Die Firewallregeln werden beim Imagemastering verwendet.

Neue Berechtigungen erforderlich

Beim Erstellen der Hostverbindung ist ein GCP-Dienstkonto mit bestimmten Berechtigungen erforderlich. Diese zusätzlichen Berechtigungen müssen allen Dienstkonten erteilt werden, die zum Erstellen von Hostverbindungen für die freigegebene VPC verwendet werden.

Tipp:

Die zusätzlichen Berechtigungen sind für Citrix Virtual Apps and Desktops Service nicht neu. Sie werden verwendet, um die Verwendung lokaler VPCs zu erleichtern. Bei freigegebenen VPCs ermöglichen die zusätzlichen Berechtigungen den Zugriff auf andere freigegebene VPC-Ressourcen.

Dem Dienstkonto, das der Hostverbindung zugeordnet ist, müssen bis zu vier zusätzliche Berechtigungen erteilt werden, um eine freigegebene VPC zu unterstützen:

  1. compute.firewalls.list: Diese Berechtigung ist obligatorisch. Mit ihr kann MCS die Liste der Firewallregeln auf der freigegebenen VPC abrufen.
  2. compute.networks.list: Diese Berechtigung ist obligatorisch. Damit kann MCS die freigegebenen VPC-Netzwerke identifizieren, die dem Dienstkonto zur Verfügung stehen.
  3. compute.subnetworks.list: Diese Berechtigung ist je nach Verwendung der VPCs optional. Damit kann MCS die Subnetze der sichtbaren, freigegebenen VPCs identifizieren. Diese Berechtigung ist für die Verwendung lokaler VPCs erforderlich, muss aber auch im Hostprojekt für freigegebene VPCs zugewiesen werden.
  4. compute.subnetworks.use: Diese Berechtigung ist je nach Verwendung der VPCs optional. Sie ist zur Verwendung von Subnetzressourcen in den bereitgestellten Maschinenkatalogen erforderlich. Diese Berechtigung ist für die Verwendung lokaler VPCs erforderlich, muss aber auch im Hostprojekt für freigegebene VPCs zugewiesen werden.

Berücksichtigen Sie bei der Verwendung dieser Berechtigungen, dass es, basierend auf dem Berechtigungstyp, verschiedene Ansätze zum Erstellen des Maschinenkatalogs gibt:

  • Berechtigung auf Projektebene:
    • Ermöglicht Zugriff auf alle freigegebenen VPCs im Hostprojekt.
    • Erfordert, dass dem Dienstkonto die Berechtigungen 3 und 4 zugewiesen sind.
  • Berechtigung auf Subnetzebene:
    • Ermöglicht den Zugriff auf einzelne Subnetze in der freigegebenen VPC.
    • Die Berechtigungen 3 und 4 gehören zur Zuweisung auf Subnetzebene und müssen daher dem Dienstkonto nicht direkt zugewiesen werden.

Wählen Sie das Konzept aus, der Ihren Anforderungen und Sicherheitsstandards entspricht.

Tipp:

Weitere Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie in der Google Cloud-Dokumentation.

Firewallregeln

Bei der Vorbereitung eines Maschinenkatalogs wird ein Maschinenabbild vorbereitet, das als Masterimage-Systemdatenträger für den Katalog dient. Bei diesem Vorgang wird der Datenträger vorübergehend an eine virtuelle Maschine angefügt. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert. Dies wird durch zwei Alles-abweisen-Firewallregeln verwirklicht: eine für eingehenden und eine für ausgehenden Datenverkehr. Bei Verwendung GCP-lokaler VCPs erstellt MCS diese Firewall im lokalen Netzwerk und wendet sie für das Mastering auf die Maschine an. Nach Abschluss des Masterings werden die Firewallregeln aus dem Image entfernt.

Es wird empfohlen, die Anzahl der neuen Berechtigungen, die für die Verwendung freigegebener VPCs erforderlich sind, auf ein Minimum zu beschränken. Freigegebene VPCs sind wichtige Unternehmensressourcen, für die in der Regel strenge Sicherheitsprotokolle gelten. Erstellen Sie daher im Hostprojekt zwei Firewallregeln für die freigegebenen VPC-Ressourcen: eine für eingehenden und eine für ausgehenden Datenverkehr. Weisen Sie diesen die höchste Priorität zu. Wenden Sie auf beide Regeln mithilfe des folgenden Werts ein neues Ziel-Tag an:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln mit diesem Ziel-Tag. Es prüft die Regeln auf Richtigkeit und wendet sie auf die Maschine an, die zur Vorbereitung des Masterimages für den Katalog verwendet wird. Werden die Firewall-Regeln nicht gefunden oder die gefundenen Regeln haben die falsche Priorität, wird folgende Meldung (oder eine mit ähnlichem Wortlaut) angezeigt:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Konfigurieren der freigegebenen VPC

Führen Sie vor dem Hinzufügen der freigegebenen VPC als Hostverbindung in der Oberfläche “Vollständige Konfiguration” des Citrix-Diensts die folgenden Schritte aus, um die Dienstkonten aus dem betreffenden Projekt hinzuzufügen:

  1. Erstellen Sie eine IAM-Rolle.
  2. Fügen Sie der IAM-Rolle des Hostprojekts für die freigegebene VPC das Dienstkonto hinzu, das zum Erstellen einer CVAD-Hostverbindung verwendet wird.
  3. Fügen Sie der IAM-Rolle des Hostprojekts für die freigegebene VPC das Cloud Build-Dienstkonto aus dem Projekt hinzu, das Sie bereitstellen möchten.
  4. Erstellen Sie Firewallregeln.

Erstellen einer IAM-Rolle

Wählen Sie die Zugriffsebene der Rolle: Projektebene oder (eingeschränkter) Subnetzebene.

Zugriff auf Projektebene für die IAM-Rolle. Weisen Sie einer IAM-Rolle auf Projektebene die folgenden Berechtigungen zu:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Führen Sie zum Erstellen einer IAM-Rolle auf Projektebene folgende Schritte aus:

  1. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM > Roles.
  2. Wählen Sie CREATE ROLE auf der Seite Roles.
  3. Geben Sie auf der Seite Create Roll einen Rollennamen ein. Wählen Sie ADD PERMISSIONS.
    1. Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und wählen Sie ADD.
    2. Wählen Sie CREATE.

IAM-Rolle auf Subnetzebene. Bei dieser Rolle werden die Berechtigungen compute.subnetworks.list und compute.subnetworks.use nach Auswahl von CREATE ROLE ausgelassen. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list und computer.networks.list auf die neue Rolle angewendet werden.

Führen Sie zum Erstellen einer IAM-Rolle auf Subnetzebene folgende Schritte aus:

  1. Navigieren Sie in der GCP-Konsole zu VPC network > Shared VPC. Auf der Seite Shared VPC werden die Subnetze der freigegebenen VPC-Netzwerke des Hostprojekts angezeigt.
  2. Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
  3. Wählen Sie oben rechts ADD MEMBER, um ein Dienstkonto hinzuzufügen.
  4. Führen Sie auf der Seite Add members die folgenden Schritte aus:
    1. Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
    2. Wählen Sie das Feld Select a Roll und dann Compute Network User.
    3. Wählen Sie Speichern.
  5. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM > Roles.
  6. Wählen Sie CREATE ROLE auf der Seite Roles.
  7. Geben Sie auf der Seite Create Roll einen Rollennamen ein. Wählen Sie ADD PERMISSIONS.
    1. Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und wählen Sie ADD.
    2. Wählen Sie CREATE.

Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Führen Sie nach dem Erstellen einer IAM-Rolle die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:

  1. Gehen Sie in der GCP-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
  2. Wählen Sie ADD auf der Seite IAM, um ein Dienstkonto hinzuzufügen.
  3. Führen Sie auf der Seite Add members folgende Schritte aus:
    1. Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
    2. Wählen Sie das Feld “Select Role”, geben Sie die erstellte IAM-Rolle ein und wählen Sie dann im Menü die Rolle.
    3. Wählen Sie Speichern.

Das Dienstkonto ist damit für das Hostprojekt konfiguriert.

Hinzufügen des Cloud Build-Dienstkontos zur freigegebenen VPC

Jedes Google Cloud-Abonnement hat über ein Dienstkonto, dessen Name die Projekt-ID gefolgt von cloudbuild.gserviceaccount ist. Beispiel: 705794712345@cloudbuild.gserviceaccount.

Die Projekt-ID Ihres Projekts ermitteln Sie, indem Sie in der Google Cloud-Konsole Home und Dashboard auswählen:

Navigationsbereich der Google Cloud-Konsole

Die ID wird im Bereich Project Info unter Project Number angezeigt.

Zum Hinzufügen des Cloud Build-Dienstkontos zur freigegebenen VPC führen Sie folgende Schritte aus:

  1. Gehen Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
  2. Wählen Sie ADD auf der Seite Permissions, um ein Konto hinzuzufügen.
  3. Führen Sie auf der Seite Add members die folgenden Schritte aus:
    1. Geben Sie im Feld New members den Namen des Cloud Build-Kontos ein und wählen Sie dann im Menü das Dienstkonto aus.
    2. Wählen Sie das Feld Select a role, geben Sie Computer Network User ein und wählen Sie dann im Menü die Rolle.
    3. Wählen Sie Speichern.

Erstellen von Firewallregeln

Beim Mastering kopiert MCS das ausgewählte Maschinenabbild und bereitet damit den Masterimage-Systemdatenträger für den Katalog vor. Beim Masterings fügt MCS den Datenträger an eine temporäre virtuelle Maschine an und führt dann Vorbereitungsskripts aus. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert. Um eine isolierte Umgebung zu erstellen, erfordert MCS zwei Alles-abweisen-Firewallregeln (eine Eingangsregel und eine Ausgangregel). Erstellen Sie daher zwei Firewallregeln im Hostprojekt:

  1. Gehen Sie in der GCP-Konsole zum Hostprojekt und dann zu VPC network > Firewall.
  2. Wählen Sie auf der Seite Firewall die Option CREATE FIREWALL RULE.
  3. Führen Sie auf der Seite Create a firewall rule die folgenden Schritte aus:
    • Name. Geben Sie einen Namen für die Regel ein.
    • Network. Wählen Sie das freigegebene VPC-Netzwerk aus, für das die Firewallregel für eingehenden Datenverkehr gilt.
    • Priority. Je kleiner der Wert ist, desto höher ist die Priorität der Regel. Citrix empfiehlt einen kleinen Wert (z. B. 10).
    • Direction of traffic. Wählen Sie Ingress.
    • Action on match. Wählen Sie Deny.
    • Targets. Verwenden Sie die Standardeinstellung Specified target tags.
    • Target tags. Geben Sie citrix-provisioning-quarantine-firewall ein.
    • Source filter. Verwenden Sie die Standardeinstellung IP ranges.
    • Source IP ranges. Geben Sie einen Bereich ein, der den gesamten Datenverkehr abdeckt. Geben Sie 0.0.0.0/0 ein.
    • Protocols and ports. Wählen Sie Deny all.
  4. Wählen Sie CREATE, um die Regel zu erstellen.
  5. Wiederholen Sie die Schritte 1 bis 4, um eine weitere Regel zu erstellen. Wählen Sie für Direction of traffic die Option Egress.

Hinzufügen einer Verbindung

Nach dem Hinzufügen der Netzwerkschnittstellen zur Cloud Connector-Instanz fügen Sie eine Verbindung hinzu.

Aktivieren der Zonenauswahl

Citrix Virtual Apps and Desktops Service unterstützt die Zonenauswahl. Bei der Zonenauswahl geben Sie die Zonen an, in denen VMs erstellt werden sollen. Mithilfe der Zonenauswahl können Administratoren die Einzelmandantenknoten in Zonen ihrer Wahl platzieren. Um die Einzelmandantenfähigkeit zu konfigurieren, müssen Sie folgende Schritte auf GCP ausführen:

  • Reservieren eines Google Cloud Platform-Einzelmandantenknotens
  • Erstellen des VDA-Masterimages

Reservieren eines Google Cloud Platform-Einzelmandantenknotens

Informationen zum Reservieren eines Einzelmandantenknotens finden Sie in der Dokumentation zu Google Cloud Platform.

Wichtig:

Eine Knotenvorlage wird zur Bezeichnung der Leistungsmerkmale des Systems verwendet, das in der Knotengruppe reserviert ist. Zu diesen Merkmalen gehören die Anzahl der virtuellen GPUs, der dem Knoten zugewiesene Arbeitsspeicher und der für die auf dem Knoten erstellten Maschinen verwendete Maschinentyp. Weitere Informationen finden Sie in der Dokumentation zur Google Cloud Platform.

Erstellen des VDA-Masterimages

Um Maschinen auf dem Knoten für einzelne Mandanten erfolgreich bereitzustellen, müssen Sie beim Erstellen eines Master-VM-Images zusätzliche Schritte ausführen. Maschineninstanzen auf GCP besitzen die Eigenschaft node affinity labels. Bei Instanzen, die als Masterimage für auf Knoten für einzelne Mandanten bereitgestellte Kataloge verwendet werden, muss das Knotenaffinitätslabel mit dem Namen der Zielknotengruppe übereinstimmen. Um dies zu erreichen, beachten Sie Folgendes:

Hinweis:

Wenn Sie die Einzelmandantenfähigkeit mit einer freigegebenen VPC verwenden möchten, lesen Sie den Abschnitt Freigegebene virtuelle private Cloud.

Festlegen des Knotenaffinitätslabels beim Erstellen einer Instanz

Zum Festlegen des Knotenaffinitätslabels führen Sie folgende Schritte aus:

  1. Navigieren Sie in der GCP-Konsole zu Compute Engine > VM instances.

  2. Wählen Sie auf der Seite VM instances die Option Create instance.

  3. Geben Sie auf der Seite Instance creation die erforderlichen Informationen an und wählen Sie management, security, disks, networking, sole tenancy, um das Einstellungsfenster zu öffnen.

  4. Wählen Sie Browse auf der Registerkarte Sole tenancy, um die verfügbaren Knotengruppen im aktuellen Projekt anzuzeigen. Die Seite Sole-tenant node wird mit einer Liste der verfügbaren Knotengruppen angezeigt.

  5. Wählen Sie auf der Seite Sole-tenant node die gewünschte Knotengruppe aus der Liste aus und wählen Sie Select, um zur Registerkarte Sole tenancy zurückzukehren. Das Feld “node affinity labels” wird mit den ausgewählten Informationen ausgefüllt. Mit dieser Einstellung wird sichergestellt, dass aus der Instanz erstellte Maschinenkataloge für die ausgewählte Knotengruppe bereitgestellt werden.

  6. Wählen Sie Create, um die Instanz zu erstellen.

Festlegen des Knotenaffinitätslabels für eine bestehende Instanz

Zum Festlegen des Knotenaffinitätslabels führen Sie folgende Schritte aus:

  1. Legen Sie im Google Cloud Shell-Terminalfenster ein Knotenaffinitätslabel mit dem Befehl gcloud compute instances fest. Der gcloud-Befehl muss die folgenden Informationen enthalten:

    • Name der VM. Verwenden Sie beispielsweise eine bestehende VM namens s*2019-vda-base.*
    • Name der Knotengruppe. Verwenden Sie den zuvor erstellten Knotengruppennamen. Beispiel: mh-sole-tenant-node-group-1.
    • Die Zone, in der sich die Instanz befindet. Die VM kann sich beispielsweise in *us-east-1b* zone befinden.

    Geben Sie beispielsweise den folgenden Befehl im Terminalfenster ein:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Weitere Informationen zum Befehl gcloud compute instances finden Sie in der Google Developer Tools-Dokumentation unter https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Navigieren Sie zu der Seite VM instance details der Instanz und prüfen Sie, ob das Feld Node Affinities das Label enthält.

Erstellen eines Maschinenkatalogs

Nach dem Festlegen des Knotenaffinitätslabels fahren Sie mit dem Konfigurieren des Maschinenkatalogs fort.

Preview: Verwenden vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK)

Sie können vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) für MCS-Kataloge verwenden. Wenn Sie das Feature verwenden, weisen Sie dem Compute Engine Service-Agent die Google Cloud Key Management Service CryptoKey Encrypter/Decrypter-Rolle zu. Weitere Informationen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.

Ihr Compute Engine Service Agent folgt folgendem Format: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Dieses unterscheidet sich von dem standardmäßigen Compute Engine Service-Konto.

Hinweis:

Dieses Compute Engine Service-Konto wird möglicherweise nicht in den IAM-Berechtigungen der Google-Konsole angezeigt. Verwenden Sie in diesem Fall den Befehl gcloud (siehe Ressourcen mit Cloud KMS-Schlüsseln schützen).

Zuweisen von Berechtigungen zum Citrix Virtual Apps and Desktops Service-Konto

Berechtigungen für GCP Cloud KMS können auf verschiedene Art und Weise konfiguriert werden. Sie können entweder die KMS-Berechtigungen auf Projektebene oder auf Ressourcenebene bereitstellen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Berechtigungen auf Projektebene

Sie können dem Citrix Virtual Apps and Desktops Service-Konto Berechtigungen auf Projektebene zum Durchsuchen von Cloud KMS-Ressourcen zuweisen. Erstellen Sie dazu eine benutzerdefinierte Rolle und fügen Sie die folgenden Berechtigungen hinzu:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Weisen Sie die benutzerdefinierte Rolle Ihrem Citrix Virtual Apps and Desktops Service-Konto zu. Dadurch können Sie regionale Schlüssel im relevanten Projekt im Bestand durchsuchen.

Berechtigungen auf Ressourcenebene

Gehen Sie für die zweite Option – Berechtigungen auf Ressourcenebene – in der GCP-Konsole zu dem cryptoKey, den Sie für die MCS-Bereitstellung verwenden. Fügen Sie das Citrix Virtual Apps and Desktops Service-Konto einem Schlüsselbund oder Schlüssel hinzu, den Sie für die Katalogbereitstellung verwenden.

Tipp:

Mit dieser Option können Sie keine regionalen Schlüssel für Ihr Projekt im Bestand durchsuchen, da das Citrix Virtual Apps and Desktops Service-Konto keine Listenberechtigungen auf Projektebene für die Cloud KMS-Ressourcen hat. Sie können jedoch Kataloge mit CMEK bereitstellen, indem Sie die korrekte cryptoKeyId in den benutzerdefinierten Eigenschaften für ProvScheme angeben wie unten beschrieben.

Provisioning mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) mit benutzerdefinierte Eigenschaften

Beim Erstellen eines Provisioningschemas über PowerShell geben Sie die Eigenschaft CryptoKeyId in ProvScheme CustomProperties an. Beispiel:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

Die cryptoKeyId muss im folgenden Format angegeben werden:

projectId:location:keyRingName:cryptoKeyName

Wenn Sie beispielsweise den Schlüssel my-example-key im Schlüsselbund my-example-key-ring in der Region us-east1 und Projekt-ID my-example-project-1 verwenden möchten, sehen die benutzerdefinierten ProvScheme-Einstellungen in etwa so aus:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Alle zu dem Provisioningschema gehörenden, per MCS bereitgestellten Datenträger und Images verwenden diesen kundenverwalteten Verschlüsselungsschlüssel.

Tipp:

Wenn Sie globale Schlüssel verwenden, muss der Kundeneigenschaftenort anstelle des Namens der Region (im obigen Beispiel us-east1) global sein. Beispiel: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Wechsel vom Kunden verwalteter Schlüssel

GCP unterstützt keinen Wechsel von Schlüsseln auf bestehenden persistenten Datenträgern und Images. Sobald eine Maschine bereitgestellt ist, ist sie an die zum Zeitpunkt ihrer Erstellung verwendete Schlüsselversion gebunden. Es kann jedoch eine neue Schlüsselversion erstellt werden, die dann für neu bereitgestellte Maschinen bzw. Ressourcen verwendet, die erstellt werden, wenn ein Katalog mit einem neuen Masterimage aktualisiert wird.

Wichtige Überlegungen zu Schlüsselbunden

Schlüsselbunde können nicht umbenannt oder gelöscht werden. Außerdem können bei ihrer Konfiguration unerwartete Gebühren anfallen. Wenn Sie einen Schlüsselbund löschen, zeigt GCP eine Fehlermeldung an:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Tipp:

Weitere Informationen finden Sie unter Bearbeiten oder Löschen eines Schlüsselbunds von der Konsole.

Weitere Informationen