Citrix Virtual Apps and Desktops Service

Google Cloud Platform-Virtualisierungsumgebungen

Der Citrix Virtual Apps and Desktops-Dienst ermöglicht das Provisioning und Verwalten von Maschinen auf der Google Cloud Platform (GCP). Dieser Artikel erläutert, wie Sie mit den Maschinenerstellungsdiensten (Machine Creation Services, MCS) virtuelle Maschinen in Citrix Virtual Apps oder Citrix Virtual Desktops bereitstellen.

Anforderungen

  • Citrix Cloud-Konto. Das in diesem Artikel beschriebene Feature ist nur in Citrix Cloud verfügbar.
  • Citrix Virtual Apps and Desktops-Serviceabonnement. Einzelheiten finden Sie unter Erste Schritte.
  • Ein GCP-Projekt. Das Projekt umfasst alle Rechenressourcen, die dem Maschinenkatalog zugeordnet sind. Dies kann ein bestehendes oder ein neues Projekt sein.
  • Aktivieren Sie vier APIs in Ihrem Google Cloud-Projekt. Einzelheiten finden Sie unter Aktivieren von Google Cloud-APIs.
  • GCP-Dienstkonto. Das Dienstkonto dient zur Authentifizierung bei Google Cloud, um Zugriff auf das Projekt zu erhalten. Einzelheiten finden Sie unter Konfigurieren des Google Cloud-Dienstkontos.

Aktivieren von Google Cloud-APIs

Um die Google Cloud-Funktionalität mit Citrix Studio zu verwenden, müssen Sie diese APIs in Ihrem Google Cloud-Projekt aktivieren:

  • Compute Engine-API
  • Cloud Resource Manager-API
  • Identitäts- und Zugriffsverwaltung (IAM)-API
  • Cloud Build-API

Führen Sie in der GCP-Konsole die folgenden Schritte aus:

  1. Wählen Sie im oberen linken Menü APIs and Services > Dashboard.

    Bild zu APIs & Services - Dashboard

  2. Stellen Sie im Dashboard-Bildschirm sicher, dass die Compute Engine-API aktiviert ist. Wenn nicht, führen Sie folgende Schritte aus:

    1. Gehen Sie zu APIs & Services > Library.

      Bild zu APIs & Services - Library

    2. Geben Sie im Suchfeld den Begriff Compute Engine ein.

    3. Klicken Sie in den Suchergebnissen auf Compute Engine API.

    4. Klicken Sie auf der Seite Compute Engine API auf Enable.

  3. Aktivieren Sie die Cloud Resource Manager-API.

    1. Gehen Sie zu APIs & Services > Library.

    2. Geben Sie im Suchfeld den Begriff Cloud Resource Manager ein.

    3. Klicken Sie in den Suchergebnissen auf Cloud Resource Manager API.

    4. Klicken Sie auf der Seite der Cloud Resource Manager-API auf Enable. Der Status der API wird angezeigt.

  4. Aktivieren Sie auch IAM-API und Cloud Build-API auf diese Weise.

Konfigurieren des Google Cloud-Dienstkontos

Mit einem Google Cloud-Dienstkonto können Sie Ressourcen in GCP-Projekten erstellen und verwalten. Ein Google Cloud-Dienstkonto ist erforderlich, um Maschinen wie in diesem Artikel beschrieben bereitzustellen und zu verwalten. Ein von Google Cloud generierter Schlüssel wird vom Google Cloud-Konto für die Authentifizierung bei der Citrix Cloud verwendet. Jedes Konto (persönlich oder Service) enthält verschiedene Rollen, die das Management des Projekts definieren.

Es wird empfohlen, ein neues Dienstkonto zu erstellen. Führen Sie hierzu folgende Schritte aus:

  1. Gehen Sie in der GCP-Konsole zu IAM & Admin > Service accounts.

  2. Klicken Sie auf der Seite Service accounts auf CREATE SERVICEACCOUNT.

  3. Geben Sie auf der Seite Create service account die erforderlichen Informationen ein und klicken Sie auf Create.

    Tipp:

    Klicken Sie bei Bedarf auf Abbrechen, um die Seite Service account details zu speichern und zu schließen, ohne die Zugriffsrechte auf den Seiten Grant this service account access to project und Grant users access to this service account festzulegen. Es wird empfohlen, diese beiden Seiten später auszufüllen.

Wenn Sie ein Dienstkonto erstellen, können Sie einen Schlüssel für das Konto generieren. Sie benötigen diesen Schlüssel, um eine Verbindung in Citrix Studio zu erstellen. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Nachdem Sie den Schlüssel erstellt haben, wird die Datei automatisch heruntergeladen und im Ordner “Downloads” gespeichert. Stellen Sie beim Erstellen des Schlüssels sicher, dass der Schlüsseltyp auf JSON festgelegt wird. Andernfalls kann Studio die Datei nicht analysieren.

Tipp:

Erstellen Sie Schlüssel auf der Seite Service accounts in der GCP-Konsole. Es wird empfohlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie stellen der Citrix Virtual Apps and Desktops-Anwendung neue Schlüssel durch Bearbeiten einer vorhandenen GCP-Verbindung bereit.

Außerdem müssen Sie Ihrem Dienstkonto die erforderlichen Zugriffsrechte für Ihr GCP-Projekt erteilen. Führen Sie hierzu folgende Schritte aus:

  1. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM.

  2. Suchen Sie auf der Seite IAM das erstellte Dienstkonto und klicken Sie auf das Bleistiftsymbol, um das Dienstkonto zu bearbeiten.

  3. Klicken Sie auf der Seite Edit permissions auf Add another role, um Ihrem Dienstkonto die folgenden Rollen nacheinander hinzuzufügen. Klicken Sie dann auf Save.

    • Compute-Administrator
    • Speicher-Administrator
    • Cloud Build-Editor
    • Dienstkontobenutzer
    • Cloud-Datenspeicherbenutzer
  4. Aktualisieren Sie die Rollen, die dem Cloud Build-Dienstkonto Ihres Projekts zugewiesen sind.

    1. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM.
    2. Suchen Sie auf der Seite IAM das Cloud Build-Dienstkonto und klicken Sie auf das Bleistiftsymbol, um das Dienstkonto zu bearbeiten. Sie erkennen das Cloud Build-Dienstkonto am Benutzernamen, der folgendes Format hat: <your_gcp_project_ID_number>@cloudbuild.gserviceaccount.com.
    3. Klicken Sie auf der Seite Edit permissions auf Add another role, um Ihrem Cloud Build-Dienstkonto die folgenden Rollen nacheinander hinzuzufügen. Klicken Sie dann auf Save.
      • Cloud Build-Dienstkonto
      • Compute Instance-Administrator
      • Dienstkontobenutzer

Hinzufügen einer Verbindung

Folgen Sie in Citrix Studio den Anweisungen unter Erstellen einer Verbindung und von Ressourcen. Die folgende Beschreibung erläutert, wie Sie eine Hostverbindung in Citrix Studio einrichten:

  1. Navigieren Sie im Studio-Navigationsbereich auf der Registerkarte Verwalten zu Konfiguration > Hosting.

  2. Klicken Sie im Aktionsbereich auf Verbindung und Ressourcen hinzufügen.

  3. Wählen Sie auf der Seite Verbindung die Optionen Neue Verbindung erstellen und Studio-Tools und klicken Sie auf Weiter.

    • Verbindungstyp. Wählen Sie im Menü die Option Google Cloud Platform.
    • Dienstkontoschlüssel. Importieren Sie den Schlüssel, der in Ihrer Anmeldeinformationsdatei (.json) enthalten ist. Suchen Sie hierfür die Anmeldeinformationsdatei, öffnen Sie die Datei mit Notepad (oder einem anderen Texteditor) und kopieren Sie den Inhalt. Kehren Sie anschließend zur Seite Verbindung zurück, klicken Sie auf Schlüssel importieren, fügen Sie den Inhalt ein und klicken Sie auf OK.
    • Dienstkonto-ID. Dieses Feld wird automatisch mit Informationen aus dem importierten Schlüssel ausgefüllt.
    • Verbindungsname. Geben Sie einen Verbindungsnamen ein.
  4. Wählen Sie auf der Seite Region einen Projektnamen aus dem Menü aus, wählen Sie die Region, in der sich die gewünschten Ressourcen befinden und klicken Sie auf Weiter.

  5. Geben Sie auf der Seite Netzwerk einen Ressourcennamen ein, wählen Sie ein virtuelles Netzwerk aus dem Menü aus, wählen Sie einen Teilbereich (Subset) aus und klicken Sie auf Weiter. Mit dem Ressourcennamen kann diese Kombination von Region und Netzwerk in Studio identifiziert werden. Virtuelle Netzwerke mit dem Namenssuffix (Shared) sind freigegebene VPCs. Wenn Sie eine IAM-Rolle auf Subnetzebene für eine freigegebene VPC konfigurieren, werden nur bestimmte Subnetze der freigegebenen VPC in der Subnetzliste angezeigt.

    Hinweis:

    -  Der Ressourcenname muss aus 1–64 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen, und folgende Zeichen sind nicht erlaubt: `\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )`.
    
  6. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und klicken Sie auf Fertig stellen, um das Fenster Verbindung und Ressourcen hinzufügen zu schließen.

Nach dem Erstellen der Verbindung und der Ressourcen listet Studio die erstellte Verbindung samt Ressourcen auf. Wählen Sie zum Konfigurieren der Verbindung diese aus und klicken Sie im Aktionsbereich auf die entsprechende Option.

Sie können außerdem die unter der Verbindung erstellten Ressourcen löschen, umbenennen oder testen. Wählen Sie hierfür die Ressource unter der Verbindung aus und klicken Sie im Aktionsbereich auf die entsprechende Option.

Vorbereiten einer Master-VM-Instanz und eines nichtflüchtigen Speichers

Tipp:

Nichtflüchtiger Speicher (Persistent Disk) ist der GCP-Begriff für den virtuellen Datenträger.

Zur Vorbereitung Ihrer Master-VM-Instanz erstellen und konfigurieren Sie zunächst eine VM-Instanz mit Eigenschaften, die der gewünschten Konfiguration für die geklonten VDA-Instanzen im geplanten Maschinenkatalog entsprechen. Die Konfiguration gilt nicht nur für Größe und Typ der Instanz. Sie umfasst auch Instanzattribute wie Metadaten, Tags, GPU-Zuweisungen, Netzwerktags und Dienstkontoeigenschaften.

MCS verwendet dann Ihre Master-VM-Instanz, um die GCP-Instanzvorlage zu erstellen. Auf der Basis der Instanzvorlage werden dann die geklonten VDA-Instanzen erstellt, die den Maschinenkatalog umfassen. Geklonte Instanzen erben die Eigenschaften der Master-VM-Instanz (mit Ausnahme der Eigenschaften für VPC, Subnetz und nichtflüchtigen Speicher), aus der die Instanzvorlage erstellt wurde.

Nachdem Sie die Eigenschaften der Master-VM-Instanz konfiguriert haben, starten Sie die Instanz und bereiten den nichtflüchtigen Speicher für die Instanz vor.

Es wird empfohlen, manuell einen Snapshot des Speichers zu erstellen. Dies ermöglicht eine aussagekräftige Benennung zum Nachverfolgen von Versionen, bietet mehr Optionen zum Verwalten früherer Versionen des Masterimages und spart Zeit beim Erstellen des Maschinenkatalogs. Wenn Sie keinen eigenen Snapshot erstellen, erstellt MCS einen Snapshot für Sie. Sie können damit das benutzerdefinierte Image in Ihrer GCP-Image-Bibliothek erstellen.

Erstellen eines Maschinenkatalogs

Hinweis:

Erstellen Sie Ihre Ressourcen, bevor Sie einen Maschinenkatalog erstellen. Verwenden Sie bei der Konfiguration von Maschinenkatalogen die von GCP festgelegten Namenskonventionen. Weitere Informationen finden Sie unter Richtlinien zur Bucket- und Objektbenennung.

Folgen Sie in Citrix Studio den Anweisungen unter Erstellen von Maschinenkatalogen. Die folgende Beschreibung gilt nur für GCP-Kataloge.

  1. Wählen Sie im Studio-Navigationsbereich auf der Registerkarte Verwalten die Option Maschinenkataloge.

  2. Klicken Sie im Aktionsbereich auf Maschinenkatalog erstellen.

  3. Wählen Sie auf der Seite Betriebssystem die Option Multisitzungs-OS und klicken Sie auf Weiter.

    • Der Citrix Virtual Apps and Desktops-Dienst unterstützt auch Einzelsitzungs-OS.
  4. Wählen Sie auf der Seite Maschinenverwaltung die Optionen Maschinen mit Energieverwaltung und Citrix Maschinenerstellungsdienste und klicken Sie auf Weiter. Bei mehreren vorhandenen Ressourcen wählen Sie eine Ressource im Menü aus.

  5. Wählen Sie auf der Seite Masterimage eine VM und die Mindestfunktionsebene für den Katalog aus und klicken Sie auf Weiter. Wenn Sie die Einzelmandantenfunktion verwenden möchten, wählen Sie ein Image, dessen Knotengruppeneigenschaft korrekt konfiguriert ist. Siehe Aktivieren der Einzelmandantenfähigkeit.

  6. Geben Sie auf der Seite Virtuelle Maschinen an, wie viele VMs Sie erstellen möchten, zeigen Sie die Spezifikation der VMs an und klicken Sie auf Weiter. Wenn Sie für Maschinenkataloge Knotengruppen für einzelne Mandanten verwenden, wählen Sie ausschließlich die Zonen, in denen reservierte Knoten für einzelne Mandanten verfügbar sind. Siehe Aktivieren der Einzelmandantenfähigkeit.

  7. Wählen Sie auf der Seite Computerkonten ein Active Directory-Konto aus und klicken Sie auf Weiter.

    • Wenn Sie Neue Active Directory-Konten erstellen auswählen, wählen Sie eine Domäne und geben Sie dann die Zeichenfolge ein, die das Benennungsschema für die bereitgestellten, in Active Directory erstellten VM-Computerkonten darstellt. Das Kontenbenennungsschema schreibt 1–64 Zeichen und ausschließlich ASCII-Zeichen vor, der Name darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
    • Bei Auswahl von Vorhandene Active Directory-Konten verwenden klicken Sie auf Durchsuchen, um die vorhandenen Active Directory-Computerkonten für die ausgewählten Maschinen aufzurufen.
  8. Klicken Sie auf der Seite Domänenanmeldeinformationen auf Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, klicken Sie auf OK und dann auf Weiter.

    • Die eingegebene Anmeldeinformationen müssen über Berechtigungen zum Ausführen von Active Directory-Kontovorgängen verfügen.
  9. Wählen Sie auf der Seite Geltungsbereiche Geltungsbereiche für den Maschinenkatalog aus und klicken Sie auf Weiter.

    • Wählen Sie optionale Geltungsbereiche aus oder klicken Sie auf Benutzerdefinierter Geltungsbereich, um Geltungsbereiche nach Bedarf anzupassen.
  10. Überprüfen Sie die Informationen auf der Seite Zusammenfassung, geben Sie einen Namen für den Katalog ein und klicken Sie auf Fertig stellen.

    Hinweis:

    Der Katalogname muss aus 1–39 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen, und folgende Zeichen sind nicht erlaubt: \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

Die Erstellung des Maschinenkatalogs kann lange dauern. Anschließend listet Studio den von Ihnen erstellten Katalog auf. Sie können in der GCP-Konsole überprüfen, ob die Maschine auf den Zielknotengruppen erstellt wurden.

Hinzufügen von Maschinen zum Maschinenkatalog

Führen Sie folgende Schritte aus, um Maschinen zu einem Katalog hinzuzufügen:

  1. Wählen Sie im Studio-Navigationsbereich die Option Maschinenkataloge.

  2. Wählen Sie den Maschinenkatalog aus, dem Sie Maschinen hinzufügen möchten.

  3. Klicken Sie im Aktionsbereich auf Maschinen hinzufügen.

  4. Geben Sie auf der Seite Virtuelle Maschinen die Anzahl der hinzuzufügenden Maschinen an und klicken Sie auf Weiter.

  5. Wählen Sie auf der Seite Computerkonten ein Active Directory-Konto aus und klicken Sie auf Weiter.

  6. Klicken Sie auf der Seite Domänenanmeldeinformationen auf Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, klicken Sie auf OK und dann auf Weiter.

  7. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und klicken Sie auf Fertig stellen.

Aktualisieren von Maschinen

Dieses Feature kann nützlich sein, wenn Sie Ihr Masterimage oder die Mindestfunktionsebene aktualisieren möchten.

Führen Sie folgende Schritte aus, um Maschinen zu aktualisieren:

  1. Wählen Sie im Studio-Navigationsbereich die Option Maschinenkataloge.

  2. Wählen Sie den Maschinenkatalog aus, der die zu aktualisierenden Maschinen enthält.

  3. Klicken Sie im Aktionsbereich auf Maschinen hinzufügen.

  4. Wählen Sie auf der Seite Masterimage eine VM und die Mindestfunktionsebene für den Katalog aus und klicken Sie auf Weiter.

  5. Geben Sie auf der Seite Rolloutstrategie an, wann die Maschinen aktualisiert werden sollen und klicken Sie auf Weiter.

  6. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und klicken Sie auf Fertig stellen.

Führen Sie folgende Schritte zum Rollback eines Maschinenupdates aus:

Wichtig:

Masterimages dürfen nicht umbenannt, gelöscht oder verschoben werden. Dies würde ein Rollback des Updates verhindern.

  1. Wählen Sie im Studio-Navigationsbereich die Option Maschinenkataloge.

  2. Wählen Sie den Maschinenkatalog aus, für den Sie ein Rollback des Maschinenupdates ausführen möchten.

  3. Klicken Sie im Aktionsbereich auf Rollback für Maschinenupdate.

  4. Überprüfen Sie die Informationen auf der Seite Übersicht und klicken Sie auf Weiter.

  5. Konfigurieren Sie auf der Seite Rolloutstrategie die Rolloutstrategie und klicken Sie auf Weiter.

  6. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und klicken Sie auf Fertig stellen.

Energieverwaltung

Citrix Virtual Apps and Desktops ermöglicht die Energieverwaltung von GCP-Maschinen. Mit dem Knoten Suchen im Navigationsbereich finden Sie die Maschine, für die Sie eine Energieverwaltung festlegen möchten. Folgende Energieaktionen stehen zur Verfügung:

  • Löschen
  • Starten
  • Neu starten:
  • Neustart erzwingen
  • Herunterfahren
  • Herunterfahren erzwingen
  • Zu Bereitstellungsgruppe hinzufügen
  • Tags verwalten
  • Wartungsmodus einschalten

Sie können die Energieverwaltung für GCP-Maschinen auch mit AutoScale aktivieren. Fügen Sie hierfür die GCP-Maschinen einer Bereitstellungsgruppe hinzu und aktivieren Sie AutoScale für diese Bereitstellungsgruppe. Weitere Hinweise zu AutoScale finden Sie unter Autoscale.

Importieren manuell erstellter GCP-Maschinen

Sie können eine Verbindung zu GCP herstellen und dann einen Katalog mit GCP-Maschinen erstellen. Anschließend können Sie GCP-Maschinen manuell mit Citrix Virtual Apps and Desktops neu starten. Das Feature ermöglicht folgende Aktionen:

  • Import manuell erstellter GCP-Maschinen mit Multisitzungs-OS in einen Citrix Virtual Apps and Desktops-Maschinenkatalog
  • Entfernen manuell erstellter GCP-Maschinen mit Multisitzungs-OS aus einem Citrix Virtual Apps and Desktops-Katalog
  • Energieverwaltung von Multisitzungs-OS-Maschinen auf GCP über vorhandene Energieverwaltungsfunktionen von Citrix Virtual Apps and Desktops. Richten Sie beispielsweise einen Neustartplan für diese Maschinen ein.

Hierfür ist es nicht erforderlich, vorhandene Bereitstellungsworkflows für Citrix Virtual Apps and Desktops zu ändern oder vorhandene Features zu entfernen. Es wird empfohlen, Maschinen mit MCS in Studio bereitzustellen, anstatt manuell erstellte GCP-Maschinen zu importieren.

Freigegebene virtuelle private Cloud

Freigegebene VPCs umfassen ein Hostprojekt, aus dem die freigegebenen Subnetze zur Verfügung gestellt werden, sowie mindestens ein Dienstprojekt, das die Ressource verwendet. Freigegebene VPCs sind gute Optionen für größere Installationen, da sie eine zentrale Steuerung, Nutzung und Verwaltung gemeinsam genutzter Google-Cloud-Ressourcen bieten. Weitere Informationen siehe Google-Dokumentation.

Mit diesem Feature unterstützt Maschinenerstellungsdienste (MCS) das Provisioning und die Verwaltung von Maschinenkatalogen, die in freigegebenen VPCs bereitgestellt werden. Diese Unterstützung entspricht funktional der derzeitigen für lokale VPCs, weist aber in zwei Bereichen Unterschiede auf:

  1. Sie müssen dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, zusätzliche Berechtigungen erteilen. Dadurch kann MCS auf freigegebene VPC-Ressourcen zugreifen und diese nutzen.
  2. Sie müssen zwei Firewallregeln (eine für den eingehenden und eine für den ausgehenden Datenverkehr) erstellen. Die Firewallregeln werden beim Imagemastering verwendet.

Neue Berechtigungen erforderlich

Beim Erstellen der Hostverbindung ist ein GCP-Dienstkonto mit bestimmten Berechtigungen erforderlich. Diese zusätzlichen Berechtigungen müssen allen Dienstkonten erteilt werden, die zum Erstellen von Hostverbindungen für die freigegebene VPC verwendet werden.

Tipp:

Die zusätzlichen Berechtigungen sind für Citrix Virtual Apps and Desktops Service nicht neu. Sie werden verwendet, um die Verwendung lokaler VPCs zu erleichtern. Bei freigegebenen VPCs ermöglichen die zusätzlichen Berechtigungen den Zugriff auf andere freigegebene VPC-Ressourcen.

Dem Dienstkonto, das der Hostverbindung zugeordnet ist, müssen bis zu vier zusätzliche Berechtigungen erteilt werden, um freigegebene VPCs zu unterstützen:

  1. compute.firewalls.list: Diese Berechtigung ist obligatorisch. Mit ihr kann MCS die Liste der Firewallregeln auf der freigegebenen VPC abrufen.
  2. compute.networks.list: Diese Berechtigung ist obligatorisch. Damit kann MCS die freigegebenen VPC-Netzwerke identifizieren, die dem Dienstkonto zur Verfügung stehen.
  3. compute.subnetworks.list: Diese Berechtigung ist je nach Verwendung der VPCs optional. Damit kann MCS die Subnetze der sichtbaren, freigegebenen VPCs identifizieren. Diese Berechtigung ist für die Verwendung lokaler VPCs erforderlich, muss aber auch im Hostprojekt für freigegebene VPCs zugewiesen werden.
  4. compute.subnetworks.use: Diese Berechtigung ist je nach Verwendung der VPCs optional. Sie ist zur Verwendung von Subnetzressourcen in den bereitgestellten Maschinenkatalogen erforderlich. Diese Berechtigung ist für die Verwendung lokaler VPCs erforderlich, muss aber auch im Hostprojekt für freigegebene VPCs zugewiesen werden.

Berücksichtigen Sie bei der Verwendung dieser Berechtigungen, dass es, basierend auf dem Berechtigungstyp, verschiedene Ansätze zum Erstellen des Maschinenkatalogs gibt:

  • Berechtigung auf Projektebene:
    • Ermöglicht Zugriff auf alle freigegebenen VPCs im Hostprojekt.
    • Erfordert, dass dem Dienstkonto die Berechtigungen 3 und 4 zugewiesen sind.
  • Berechtigung auf Subnetzebene:
    • Ermöglicht den Zugriff auf einzelne Subnetze in der freigegebenen VPC.
    • Die Berechtigungen 3 und 4 gehören zur Zuweisung auf Subnetzebene und müssen daher dem Dienstkonto nicht direkt zugewiesen werden.

Wählen Sie das Konzept aus, der Ihren Anforderungen und Sicherheitsstandards entspricht.

Tipp:

Weitere Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie in der Google Cloud-Dokumentation.

Firewallregeln

Bei der Vorbereitung eines Maschinenkatalogs wird ein Maschinenabbild vorbereitet, das als Masterimage-Systemdatenträger für den Katalog dient. Bei diesem Vorgang wird der Datenträger vorübergehend an eine virtuelle Maschine angefügt. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert. Dies wird durch zwei Alles-abweisen-Firewallregeln verwirklicht: eine für eingehenden und eine für ausgehenden Datenverkehr. Bei Verwendung GCP-lokaler VCPs erstellt MCS diese Firewall im lokalen Netzwerk und wendet sie für das Mastering auf die Maschine an. Nach Abschluss des Masterings werden die Firewallregeln aus dem Image entfernt.

Es wird empfohlen, die Anzahl der neuen Berechtigungen, die für die Verwendung freigegebener VPCs erforderlich sind, auf ein Minimum zu beschränken. Freigegebene VPCs sind wichtige Unternehmensressourcen, für die in der Regel strenge Sicherheitsprotokolle gelten. Erstellen Sie daher im Hostprojekt zwei Firewallregeln für die freigegebenen VPC-Ressourcen: eine für eingehenden und eine für ausgehenden Datenverkehr. Weisen Sie diesen die höchste Priorität zu. Wenden Sie auf beide Regeln mithilfe des folgenden Werts ein neues Ziel-Tag an:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln mit diesem Ziel-Tag. Es prüft die Regeln auf Richtigkeit und wendet sie auf die Maschine an, die zur Vorbereitung des Masterimages für den Katalog verwendet wird. Werden die Firewall-Regeln nicht gefunden oder die gefundenen Regeln haben die falsche Priorität, wird folgende Meldung (oder eine mit ähnlichem Wortlaut) angezeigt:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Konfigurieren der freigegebenen VPC

Führen Sie vor dem Hinzufügen der freigegebenen VPC als Hostverbindung in Citrix Studio die folgenden Schritte aus, um die Dienstkonten aus dem betreffenden Projekt hinzuzufügen:

  1. Erstellen Sie eine IAM-Rolle.
  2. Fügen Sie der IAM-Rolle des Hostprojekts für die freigegebene VPC das Dienstkonto hinzu, das zum Erstellen einer CVAD-Hostverbindung verwendet wird.
  3. Fügen Sie der IAM-Rolle des Hostprojekts für die freigegebene VPC das Cloud Build-Dienstkonto aus dem Projekt hinzu, das Sie bereitstellen möchten.
  4. Erstellen Sie Firewallregeln.

Erstellen einer IAM-Rolle

Wählen Sie die Zugriffsebene der Rolle: Projektebene oder (eingeschränkter) Subnetzebene.

Zugriff auf Projektebene für die IAM-Rolle. Weisen Sie einer IAM-Rolle auf Projektebene die folgenden Berechtigungen zu:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Führen Sie zum Erstellen einer IAM-Rolle auf Projektebene folgende Schritte aus:

  1. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM > Roles.
  2. Klicken Sie auf der Seite Roles auf CREATE ROLE.
  3. Geben Sie auf der Seite Create Roll einen Rollennamen ein. Klicken Sie auf ADD PERMISSIONS.
    1. Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und klicken Sie auf ADD.
    2. Klicken Sie auf CREATE.

IAM-Rolle auf Subnetzebene. Bei dieser Rolle werden die Berechtigungen compute.subnetworks.list und compute.subnetworks.use nach Auswahl von CREATE ROLE ausgelassen. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list und computer.networks.list auf die neue Rolle angewendet werden.

Führen Sie zum Erstellen einer IAM-Rolle auf Subnetzebene folgende Schritte aus:

  1. Navigieren Sie in der GCP-Konsole zu VPC network > Shared VPC. Auf der Seite Shared VPC werden die Subnetze der freigegebenen VPC-Netzwerke des Hostprojekts angezeigt.
  2. Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
  3. Klicken Sie oben rechts auf ADD MEMBER, um ein Dienstkonto hinzuzufügen.
  4. Führen Sie auf der Seite Add members die folgenden Schritte aus:
    1. Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
    2. Klicken Sie auf das Feld Select Roll und dann auf Compute Network User.
    3. Klicken Sie auf SAVE.
  5. Gehen Sie in der GCP-Konsole zu IAM & Admin > IAM > Roles.
  6. Klicken Sie auf der Seite Roles auf CREATE ROLE.
  7. Geben Sie auf der Seite Create Roll einen Rollennamen ein. Klicken Sie auf ADD PERMISSIONS.
    1. Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und klicken Sie auf ADD.
    2. Klicken Sie auf CREATE.

Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Führen Sie nach dem Erstellen einer IAM-Rolle die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:

  1. Gehen Sie in der GCP-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
  2. Klicken Sie auf der Seite IAM auf ADD, um ein Dienstkonto hinzuzufügen.
  3. Führen Sie auf der Seite Add members folgende Schritte aus:
    1. Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
    2. Klicken Sie auf das Feld “Select Role”, geben Sie die erstellte IAM-Rolle ein und klicken Sie dann im Menü auf die Rolle.
    3. Klicken Sie auf SAVE.

Das Dienstkonto ist damit für das Hostprojekt konfiguriert.

Hinzufügen des Cloud Build-Dienstkontos zur freigegebenen VPC

Jedes Google Cloud-Abonnement hat über ein Dienstkonto, dessen Name die Projekt-ID gefolgt von cloudbuild.gserviceaccount ist. Beispiel: 705794712345@cloudbuild.gserviceaccount.

Die Projekt-ID Ihres Projekts ermitteln Sie, indem Sie in der Google Cloud-Konsole Home und Dashboard auswählen:

Navigationsbereich der Google Cloud-Konsole

Die ID wird im Bereich Project Info unter Project Number angezeigt.

Zum Hinzufügen des Cloud Build-Dienstkontos zur freigegebenen VPC führen Sie folgende Schritte aus:

  1. Gehen Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
  2. Klicken Sie auf der Seite Permissions auf ADD, um ein Konto hinzuzufügen.
  3. Führen Sie auf der Seite Add members die folgenden Schritte aus:
    1. Geben Sie im Feld New members den Namen des Cloud Build-Kontos ein und wählen Sie dann im Menü das Dienstkonto aus.
    2. Klicken Sie auf das Feld Select Roll, geben Sie Computer Network User ein und klicken Sie dann im Menü auf die Rolle.
    3. Klicken Sie auf SAVE.

Erstellen von Firewallregeln

Beim Mastering kopiert MCS das ausgewählte Maschinenabbild und bereitet damit den Masterimage-Systemdatenträger für den Katalog vor. Beim Masterings fügt MCS den Datenträger an eine temporäre virtuelle Maschine an und führt dann Vorbereitungsskripts aus. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert. Um eine isolierte Umgebung zu erstellen, erfordert MCS zwei Alles-abweisen-Firewallregeln (eine Eingangsregel und eine Ausgangregel). Erstellen Sie daher zwei Firewallregeln im Hostprojekt:

  1. Gehen Sie in der GCP-Konsole zum Hostprojekt und dann zu VPC network > Firewall.
  2. Klicken Sie auf der Seite Firewall auf CREATE FIREWALL RULE.
  3. Führen Sie auf der Seite Create a firewall rule die folgenden Schritte aus:
    • Name. Geben Sie einen Namen für die Regel ein.
    • Network. Wählen Sie das freigegebene VPC-Netzwerk aus, für das die Firewallregel für eingehenden Datenverkehr gilt.
    • Priority. Je kleiner der Wert ist, desto höher ist die Priorität der Regel. Citrix empfiehlt einen kleinen Wert (z. B. 10).
    • Direction of traffic. Wählen Sie Ingress.
    • Action on match. Wählen Sie Deny.
    • Targets. Verwenden Sie die Standardeinstellung Specified target tags.
    • Target tags. Geben Sie citrix-provisioning-quarantine-firewall ein.
    • Source filter. Verwenden Sie die Standardeinstellung IP ranges.
    • Source IP ranges. Geben Sie einen Bereich ein, der den gesamten Datenverkehr abdeckt. Geben Sie 0.0.0.0/0 ein.
    • Protocols and ports. Wählen Sie Deny all.
  4. Klicken Sie auf CREATE, um die Regel zu erstellen.
  5. Wiederholen Sie die Schritte 1 bis 4, um eine weitere Regel zu erstellen. Wählen Sie für Direction of traffic die Option Egress.

Hinzufügen einer Verbindung

Nach dem Hinzufügen der Netzwerkschnittstellen zur Cloud Connector-Instanz fügen Sie eine Verbindung hinzu.

Aktivieren der Einzelmandantenfähigkeit

Citrix Virtual Apps and Desktops Service unterstützt Einzelmandantenfähigkeit. Bei Nutzung der Einzelmandantenfähigkeit geben Sie die Zonen an, in denen VMs in Citrix Studio erstellt werden sollen. Um die Einzelmandantenfähigkeit zu konfigurieren, müssen Sie folgende Schritte auf GCP ausführen:

  • Reservieren eines Knotens für einzelne Mandanten
  • Erstellen des VDA-Masterimages

Einen Google Cloud-Sole-Mandantenknoten reservieren

Führen Sie die folgenden Schritte aus, um einen Knoten für einzelne Mandanten zu reservieren:

  1. Navigieren Sie in der Google Cloud-Konsole zu Compute Engine > Sole-tenant nodes.

  2. Auf der Seite Sole-tenant nodes klicken Sie auf CREATE NODE GROUP.

  3. Führen Sie auf der Seite Create a node group die folgenden Schritte aus:

    1. Geben Sie einen Namen für die Knotengruppe ein. Beispiel: mh-sole-tenant-node-group-1.
    2. Auswählen eines Bereichs: Beispiel: us-east1.
    3. Wählen Sie die Zone für das reservierte System. Beispiel: us-east1-b.

      Die Region und die Zone sollten Zugriff auf die für das Provisioning von Maschinenkatalogen verwendeten Domänencontroller und Subnetze zulassen.

    4. Weisen Sie eine Knotengruppe einer Knotenvorlage zu. Führen Sie die folgenden Schritte aus:

      Wichtig:

      Eine Knotenvorlage wird zur Bezeichnung der Leistungsmerkmale des Systems verwendet, das in der Knotengruppe reserviert ist. Zu diesen Merkmalen gehören die Anzahl der virtuellen GPUs, der dem Knoten zugewiesene Arbeitsspeicher und der für die auf dem Knoten erstellten Maschinen verwendete Maschinentyp.

      1. Wählen Sie im Dropdownmenü die Option Create node template. Die Seite Create a node template wird angezeigt.
      2. Konfigurieren Sie auf der Seite Create a node template die erforderlichen Informationen:

        Name. Geben Sie einen Namen für die Knotenvorlage ein. Node type. Wählen Sie im Dropdownmenü einen Knotentyp aus, der Ihren Anforderungen entspricht. Weitere Informationen zu Knotentypen finden Sie in der Google Cloud-Dokumentation unter https://cloud.google.com/compute/docs/nodes/sole-tenant-nodes#node_types.

      3. Klicken Sie auf Create, um die Seite Create a node template zu schließen und zur Seite Create a node group zurückzukehren.
  4. Klicken Sie auf Create, um die Erstellung der Knotengruppe abzuschließen.

Erstellen des VDA-Masterimages

Um Maschinen auf dem Knoten für einzelne Mandanten erfolgreich bereitzustellen, müssen Sie beim Erstellen eines Master-VM-Images zusätzliche Schritte ausführen. Maschineninstanzen auf GCP besitzen die Eigenschaft node affinity labels. Bei Instanzen, die als Masterimage für auf Knoten für einzelne Mandanten bereitgestellte Kataloge verwendet werden, muss das Knotenaffinitätslabel mit dem Namen der Zielknotengruppe übereinstimmen. Um dies zu erreichen, beachten Sie Folgendes:

Hinweis:

Wenn Sie die Einzelmandantenfähigkeit mit einer freigegebenen VPC verwenden möchten, lesen Sie den Abschnitt Freigegebene virtuelle private Cloud.

Festlegen des Knotenaffinitätslabels beim Erstellen einer Instanz

Zum Festlegen des Knotenaffinitätslabels führen Sie folgende Schritte aus:

  1. Navigieren Sie in der GCP-Konsole zu Compute Engine > VM instances.

  2. Klicken Sie auf der Seite VM instances auf Create instance.

  3. Geben Sie auf der Seite Instance creation die erforderlichen Informationen an und klicken Sie dann auf management, security, disks, networking, sole tenancy, um das Einstellungsfenster zu öffnen.

  4. Klicken Sie auf der Registerkarte Sole tenancy auf Browse, um die verfügbaren Knotengruppen im aktuellen Projekt anzuzeigen. Die Seite Sole-tenant node wird mit einer Liste der verfügbaren Knotengruppen angezeigt.

  5. Wählen Sie auf der Seite Sole-tenant node die Knotengruppe aus der Liste aus und klicken Sie auf Select, um zur Registerkarte Sole tenancy zurückzukehren. Das Feld “node affinity labels” wird mit den ausgewählten Informationen ausgefüllt. Mit dieser Einstellung wird sichergestellt, dass aus der Instanz erstellte Maschinenkataloge für die ausgewählte Knotengruppe bereitgestellt werden.

  6. Klicken Sie auf Create, um die Instanz zu erstellen.

Festlegen des Knotenaffinitätslabels für eine bestehende Instanz

Zum Festlegen des Knotenaffinitätslabels führen Sie folgende Schritte aus:

  1. Klicken Sie in der GCP-Konsole auf das Terminalsymbol in der oberen rechten Ecke, um Google Cloud Shell zu starten:

    Google Cloud-Konsole: Terminalsymbol

    Am unteren Rand der Benutzeroberfläche wird ein Terminalfenster angezeigt. Legen Sie im Google Cloud Shell-Terminalfenster ein Knotenaffinitätslabel mit dem Befehl gcloud compute instances fest. Der gcloud-Befehl muss die folgenden Informationen enthalten:

    • Name der VM. Verwenden Sie beispielsweise eine bestehende VM namens s*2019-vda-base.*
    • Name der Knotengruppe. Verwenden Sie den zuvor erstellten Knotengruppennamen. Beispiel: mh-sole-tenant-node-group-1.
    • Die Zone, in der sich die Instanz befindet. Die VM kann sich beispielsweise in *us-east-1b* zone befinden.

    Geben Sie beispielsweise den folgenden Befehl im Terminalfenster ein:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Weitere Informationen zum Befehl gcloud compute instances finden Sie in der Google Developer Tools-Dokumentation unter https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Navigieren Sie zu der Seite VM instance details der Instanz und prüfen Sie, ob das Feld Node Affinities das Label enthält.

Erstellen eines Maschinenkatalogs

Nach dem Festlegen des Knotenaffinitätslabels fahren Sie mit dem Konfigurieren des Maschinenkatalogs fort.

Weitere Informationen