Einen Google Cloud Platform-Katalog erstellen

Maschinenkataloge erstellen beschreibt die Assistenten, die einen Maschinenkatalog erstellen. Die folgenden Informationen behandeln Details, die spezifisch für Google Cloud-Umgebungen sind.

Hinweis:

Bevor Sie einen Google Cloud Platform (GCP)-Katalog erstellen, müssen Sie die Erstellung einer Verbindung zu GCP abgeschlossen haben. Siehe Verbindung zu Google Cloud-Umgebungen.

Eine Master-VM-Instanz und eine persistente Festplatte vorbereiten

Tipp:

Persistente Festplatte ist der Google Cloud-Begriff für virtuelle Festplatte.

Um Ihre Master-VM-Instanz vorzubereiten, erstellen und konfigurieren Sie eine VM-Instanz mit Eigenschaften, die der gewünschten Konfiguration für die geklonten VDA-Instanzen in Ihrem geplanten Maschinenkatalog entsprechen. Die Konfiguration bezieht sich nicht nur auf die Instanzgröße und den Typ. Sie umfasst auch Instanzattribute wie Metadaten, Tags, GPU-Zuweisungen, Netzwerk-Tags und Dienstkontoeigenschaften.

Im Rahmen des Master-Prozesses verwendet MCS Ihre Master-VM-Instanz, um die Google Cloud-Instanzvorlage zu erstellen. Die Instanzvorlage wird dann verwendet, um die geklonten VDA-Instanzen zu erstellen, die den Maschinenkatalog bilden. Geklonte Instanzen erben die Eigenschaften (mit Ausnahme der VPC-, Subnetz- und persistenten Festplatten-Eigenschaften) der Master-VM-Instanz, aus der die Instanzvorlage erstellt wurde.

Nachdem Sie die Eigenschaften der Master-VM-Instanz nach Ihren Vorgaben konfiguriert haben, starten Sie die Instanz und bereiten Sie dann die persistente Festplatte für die Instanz vor.

Wir empfehlen, dass Sie manuell einen Snapshot der Festplatte erstellen. Dadurch können Sie eine aussagekräftige Namenskonvention verwenden, um Versionen zu verfolgen, erhalten mehr Optionen zur Verwaltung früherer Versionen Ihres Master-Images und sparen Zeit bei der Erstellung von Maschinenkatalogen. Wenn Sie keinen eigenen Snapshot erstellen, erstellt MCS einen temporären Snapshot für Sie (der am Ende des Bereitstellungsprozesses gelöscht wird).

Einen Maschinenkatalog erstellen

Sie können einen Maschinenkatalog auf zwei Arten erstellen:

• Einen Maschinenkatalog mit Web Studio erstellen
• Einen Maschinenkatalog mit PowerShell erstellen

Maschinenkatalog mit Web Studio erstellen

Hinweis:

Erstellen Sie Ihre Ressourcen, bevor Sie einen Maschinenkatalog erstellen. Verwenden Sie die von Google Cloud festgelegten Namenskonventionen, wenn Sie Maschinenkataloge konfigurieren. Weitere Informationen finden Sie unter Richtlinien für die Benennung von Buckets und Objekten.

Befolgen Sie die Anweisungen unter Maschinenkataloge erstellen. Die folgende Beschreibung ist spezifisch für Google Cloud-Kataloge.

1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Maschinenkataloge aus.

2. Wählen Sie in der Aktionsleiste Maschinenkatalog erstellen aus.

3. Wählen Sie auf der Seite Betriebssystem die Option Multi-Session-Betriebssystem und dann Weiter aus.

   • Citrix Virtual Apps and Desktops™ unterstützt auch Einzel-Sitzungs-Betriebssysteme.

4. Wählen Sie auf der Seite Maschinenverwaltung die Optionen Energieverwaltete Maschinen und Citrix Machine Creation Services™ aus und klicken Sie dann auf Weiter. Wenn mehrere Ressourcen vorhanden sind, wählen Sie eine aus dem Menü aus.

5. Führen Sie auf der Seite Image die erforderlichen Schritte aus und klicken Sie dann auf Weiter.

   1. Wählen Sie einen Snapshot oder eine VM als Master-Image aus. Wenn Sie die Sole-Tenancy-Funktionalität verwenden möchten, stellen Sie sicher, dass Sie ein Image auswählen, dessen Knotengruppeneigenschaft korrekt konfiguriert ist. Weitere Informationen finden Sie unter Zonenauswahl aktivieren.

   2. Um eine vorhandene VM als Maschinenprofil zu verwenden, wählen Sie „Maschinenprofil verwenden“ und dann die VM aus.

      Hinweis:

      Derzeit erben VMs in diesem Katalog die Einstellungen für Datenträgerverschlüsselungssatz-ID, Maschinengröße, Speichertyp und Zone vom Maschinenprofil.

   3. Wählen Sie die minimale Funktionsebene für den Katalog aus. Um die Sole-Tenancy-Funktionalität zu verwenden, stellen Sie sicher, dass Sie ein Image auswählen, dessen Knotengruppeneigenschaft korrekt konfiguriert ist.

6. Wählen Sie auf der Seite Speichertypen den Speichertyp aus, der das Betriebssystem für diesen Maschinenkatalog enthalten soll. Jede der folgenden Speicheroptionen hat einzigartige Preis- und Leistungsmerkmale. (Eine Identitätsdisk wird immer mit der zonalen Standard-Persistent Disk erstellt.)

   • Standard-Persistent Disk
   • Ausgeglichene Persistent Disk
   • SSD-Persistent Disk

   Weitere Informationen zu Google Cloud-Speicheroptionen finden Sie unter https://cloud.google.com/compute/docs/disks/.

7. Geben Sie auf der Seite Virtuelle Maschinen an, wie viele VMs Sie erstellen möchten, zeigen Sie die detaillierten Spezifikationen der VMs an und wählen Sie dann Weiter. Wenn Sie Knotengruppen mit Einzelmandanten für Maschinenkataloge verwenden, stellen Sie sicher, dass Sie nur die Zonen auswählen, in denen reservierte Einzelmandantenknoten verfügbar sind. Siehe Zonenauswahl aktivieren.

8. Wählen Sie auf der Seite Computerkonten ein Active Directory-Konto aus und wählen Sie dann Weiter.

   • Wenn Sie Neue Active Directory-Konten erstellen auswählen, wählen Sie eine Domäne aus und geben Sie dann die Zeichenfolge ein, die das Benennungsschema für die bereitgestellten VM-Computerkonten im Active Directory darstellt. Das Kontobenennungsschema kann 1–64 Zeichen enthalten und darf keine Leerzeichen, Nicht-ASCII-Zeichen oder Sonderzeichen enthalten.
   • Wenn Sie Vorhandene Active Directory-Konten verwenden auswählen, wählen Sie Durchsuchen, um zu den vorhandenen Active Directory-Computerkonten für die ausgewählten Maschinen zu navigieren.

9. Wählen Sie auf der Seite Domänenanmeldeinformationen die Option Anmeldeinformationen eingeben, geben Sie den Benutzernamen und das Kennwort ein, wählen Sie Speichern und dann Weiter.

   • Die von Ihnen eingegebenen Anmeldeinformationen müssen über Berechtigungen zum Ausführen von Active Directory-Kontovorgängen verfügen.

10. Bestätigen Sie auf der Seite Zusammenfassung die Informationen, geben Sie einen Namen für den Katalog an und wählen Sie dann Fertig stellen.

    Hinweis:

    Ab Version 2402 müssen GCP-Katalognamen diese Regeln erfüllen:

    • Beginnen Sie mit einem Kleinbuchstaben.
    • Nur Kleinbuchstaben (a-z), Zahlen und Bindestriche einschließen.
    • Mit einem Kleinbuchstaben oder einer Zahl enden.

    Wenn Sie versuchen, vorhandene GCP-Kataloge umzubenennen, die diesen Regeln nicht entsprechen, werden Fehlermeldungen angezeigt, die Sie anleiten, sie gemäß den aktualisierten Regeln umzubenennen.

Die Erstellung des Maschinenkatalogs kann lange dauern. Um zu überprüfen, ob die Maschinen in den Zielknotengruppen erstellt wurden, rufen Sie die Google Cloud Console auf.

Manuell erstellte Google Cloud-Maschinen importieren

Sie können eine Verbindung zu Google Cloud herstellen und dann einen Katalog mit Google Cloud-Maschinen erstellen. Anschließend können Sie Google Cloud-Maschinen manuell über Citrix Virtual Apps and Desktops neu starten. Mit dieser Funktion können Sie:

• Manuell erstellte Google Cloud-Multi-Session-OS-Maschinen in einen Citrix Virtual Apps and Desktops-Maschinenkatalog importieren.
• Manuell erstellte Google Cloud-Multi-Session-OS-Maschinen aus einem Citrix Virtual Apps and Desktops-Katalog entfernen.
• Vorhandene Energieverwaltungsfunktionen von Citrix Virtual Apps and Desktops verwenden, um Google Cloud Windows Multi-Session-OS-Maschinen zu verwalten. Legen Sie beispielsweise einen Neustartzeitplan für diese Maschinen fest.

Diese Funktionalität erfordert keine Änderungen an einem bestehenden Citrix Virtual Apps and Desktops-Bereitstellungsworkflow und auch keine Entfernung vorhandener Funktionen. Wir empfehlen, MCS zum Bereitstellen von Maschinen in Web Studio zu verwenden, anstatt manuell erstellte Google Cloud-Maschinen zu importieren.

Geteilte Virtual Private Cloud

Geteilte Virtual Private Clouds (VPCs) bestehen aus einem Hostprojekt, von dem aus die freigegebenen Subnetze zur Verfügung gestellt werden, und einem oder mehreren Dienstprojekten, die die Ressource nutzen. Geteilte VPCs sind wünschenswerte Optionen für größere Installationen, da sie eine zentralisierte Steuerung, Nutzung und Verwaltung von gemeinsam genutzten Google Cloud-Ressourcen des Unternehmens ermöglichen. Weitere Informationen finden Sie auf der Google-Dokumentationsseite.

Mit dieser Funktion unterstützt Machine Creation Services (MCS) die Bereitstellung und Verwaltung von Maschinenkatalogen, die in geteilten VPCs bereitgestellt werden. Diese Unterstützung, die funktional der derzeit in lokalen VPCs bereitgestellten Unterstützung entspricht, unterscheidet sich in zwei Bereichen:

1. Sie müssen dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, zusätzliche Berechtigungen erteilen. Dieser Prozess ermöglicht MCS den Zugriff auf und die Nutzung von Shared VPC-Ressourcen.
2. Sie müssen zwei Firewallregeln erstellen, jeweils eine für eingehenden und ausgehenden Datenverkehr. Diese Firewallregeln werden während des Image-Mastering-Prozesses verwendet.

Neue Berechtigungen erforderlich

Ein Google Cloud-Dienstkonto mit spezifischen Berechtigungen ist erforderlich, wenn die Hostverbindung erstellt wird. Diese zusätzlichen Berechtigungen müssen allen Dienstkonten gewährt werden, die zum Erstellen von Shared VPC-basierten Hostverbindungen verwendet werden.

Tipp:

Diese zusätzlichen Berechtigungen sind für Citrix Virtual Apps and Desktops nicht neu. Sie dienen dazu, die Implementierung lokaler VPCs zu erleichtern. Bei Shared VPCs ermöglichen diese zusätzlichen Berechtigungen den Zugriff auf andere Shared VPC-Ressourcen.

Dem Dienstkonto, das der Hostverbindung zugeordnet ist, müssen maximal vier zusätzliche Berechtigungen erteilt werden, um Shared VPC zu unterstützen:

1. compute.firewalls.list – Diese Berechtigung ist obligatorisch. Sie ermöglicht MCS, die Liste der Firewallregeln abzurufen, die in der Shared VPC vorhanden sind.
2. compute.networks.list – Diese Berechtigung ist obligatorisch. Sie ermöglicht MCS, die für das Dienstkonto verfügbaren Shared VPC-Netzwerke zu identifizieren.
3. compute.subnetworks.list – Diese Berechtigung ist optional, je nachdem, wie Sie VPCs verwenden. Sie ermöglicht MCS, die Subnetze innerhalb der sichtbaren Shared VPCs zu identifizieren. Diese Berechtigung ist bereits bei der Verwendung lokaler VPCs erforderlich, muss aber auch im Shared VPC-Hostprojekt zugewiesen werden.
4. compute.subnetworks.use – Diese Berechtigung ist optional, je nachdem, wie Sie VPCs verwenden. Sie ist erforderlich, um Subnetzressourcen in den bereitgestellten Maschinenkatalogen zu verwenden. Diese Berechtigung ist bereits für die Verwendung lokaler VPCs erforderlich, muss aber auch im Shared VPC-Hostprojekt zugewiesen werden.

Bei der Verwendung dieser Berechtigungen ist zu beachten, dass es je nach Art der Berechtigung, die zum Erstellen des Maschinenkatalogs verwendet wird, unterschiedliche Ansätze gibt:

• Berechtigung auf Projektebene:
  • Ermöglicht den Zugriff auf alle Shared VPCs innerhalb des Hostprojekts.
  • Erfordert, dass die Berechtigungen Nr. 3 und Nr. 4 dem Dienstkonto zugewiesen werden müssen.
• Berechtigung auf Subnetzebene:
  • Ermöglicht den Zugriff auf bestimmte Subnetze innerhalb der Shared VPC.
  • Die Berechtigungen Nr. 3 und Nr. 4 sind der Subnetzzuweisung inhärent und müssen daher nicht direkt dem Dienstkonto zugewiesen werden.

Wählen Sie den Ansatz, der Ihren organisatorischen Anforderungen und Sicherheitsstandards entspricht.

Tipp:

Weitere Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und auf Subnetzebene finden Sie in der Google Cloud-Dokumentation.

Firewallregeln

Während der Vorbereitung eines Maschinenkatalogs wird ein Maschinen-Image vorbereitet, das als Systemdatenträger des Master-Images für den Katalog dient. Wenn dieser Prozess stattfindet, wird der Datenträger vorübergehend an eine virtuelle Maschine angehängt. Diese VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkverkehr verhindert. Dies wird durch ein Paar von Deny-All-Firewallregeln erreicht; eine für eingehenden und eine für ausgehenden Datenverkehr. Bei Verwendung von lokalen Google Cloud VCPs erstellt MCS diese Firewall im lokalen Netzwerk und wendet sie auf die Maschine für das Mastering an. Nach Abschluss des Masterings wird die Firewallregel aus dem Image entfernt.

Wir empfehlen, die Anzahl der neuen Berechtigungen, die für die Verwendung von Shared VPCs erforderlich sind, auf ein Minimum zu beschränken. Shared VPCs sind Unternehmensressourcen auf höherer Ebene und verfügen in der Regel über strengere Sicherheitsprotokolle. Erstellen Sie aus diesem Grund ein Paar Firewallregeln im Hostprojekt für die Shared VPC-Ressourcen, eine für eingehenden und eine für ausgehenden Datenverkehr. Weisen Sie ihnen die höchste Priorität zu. Wenden Sie auf jede dieser Regeln ein neues Ziel-Tag mit dem folgenden Wert an:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln, die dieses Ziel-Tag enthalten. Anschließend prüft es die Regeln auf Korrektheit und wendet sie auf die Maschine an, die zur Vorbereitung des Master-Images für den Katalog verwendet wird. Wenn die Firewallregeln nicht gefunden werden oder die Regeln gefunden werden, aber die Regeln oder ihre Prioritäten falsch sind, wird eine ähnliche Meldung wie die folgende angezeigt:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Konfigurieren der Shared VPC

Bevor Sie die Shared VPC als Hostverbindung in Web Studio hinzufügen, führen Sie die folgenden Schritte aus, um Dienstkonten aus dem Projekt hinzuzufügen, in das Sie bereitstellen möchten:

1. Erstellen Sie eine IAM-Rolle.
2. Fügen Sie das Dienstkonto, das zum Erstellen einer CVAD-Hostverbindung verwendet wird, der IAM-Rolle des Shared VPC-Hostprojekts hinzu.
3. Fügen Sie das Cloud Build-Dienstkonto aus dem Projekt, in das Sie bereitstellen möchten, der IAM-Rolle des Shared VPC-Hostprojekts hinzu.
4. Firewallregeln erstellen.

Eine IAM-Rolle erstellen

Bestimmen Sie die Zugriffsebene der Rolle – projektbezogener Zugriff oder ein restriktiveres Modell mit subnetzbezogenem Zugriff.

Projektbezogener Zugriff für IAM-Rolle. Fügen Sie für die projektbezogene IAM-Rolle die folgenden Berechtigungen hinzu:

• compute.firewalls.list
• compute.networks.list
• compute.subnetworks.list
• compute.subnetworks.use

So erstellen Sie eine projektbezogene IAM-Rolle:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Rollen.
2. Wählen Sie auf der Seite Rollen die Option ROLLE ERSTELLEN.
3. Geben Sie auf der Seite Rolle erstellen den Rollennamen an. Wählen Sie BERECHTIGUNGEN HINZUFÜGEN.
   1. Fügen Sie auf der Seite Berechtigungen hinzufügen der Rolle einzeln Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie den Namen der Berechtigung in das Feld Tabelle filtern ein. Wählen Sie die Berechtigung aus und wählen Sie dann HINZUFÜGEN.
   2. Wählen Sie ERSTELLEN.

Subnetzbezogene IAM-Rolle. Diese Rolle lässt das Hinzufügen der Berechtigungen compute.subnetworks.list und compute.subnetworks.use nach der Auswahl von ROLLE ERSTELLEN weg. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list und compute.networks.list auf die neue Rolle angewendet werden.

So erstellen Sie eine IAM-Rolle auf Subnetz-Ebene:

1. Navigieren Sie in der Google Cloud Console zu VPC-Netzwerk > Shared VPC. Die Seite Shared VPC wird angezeigt und zeigt die Subnetze der Shared VPC-Netzwerke an, die das Hostprojekt enthält.
2. Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
3. Wählen Sie oben rechts MITGLIED HINZUFÜGEN, um ein Dienstkonto hinzuzufügen.
4. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
   1. Geben Sie im Feld Neue Mitglieder den Namen Ihres Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
   2. Wählen Sie das Feld Rolle auswählen und dann Compute Network User.
   3. Wählen Sie SPEICHERN.
5. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Rollen.
6. Wählen Sie auf der Seite Rollen ROLLE ERSTELLEN.
7. Geben Sie auf der Seite Rolle erstellen den Rollennamen an. Wählen Sie BERECHTIGUNGEN HINZUFÜGEN.
   1. Fügen Sie auf der Seite Berechtigungen hinzufügen der Rolle einzeln Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie den Namen der Berechtigung in das Feld Tabelle filtern ein. Wählen Sie die Berechtigung und dann HINZUFÜGEN.
   2. Wählen Sie ERSTELLEN.

Dienstkonto zur IAM-Rolle des Hostprojekts hinzufügen

Nachdem Sie eine IAM-Rolle erstellt haben, führen Sie die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:

1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu IAM & Admin > IAM.
2. Wählen Sie auf der Seite IAM die Option HINZUFÜGEN aus, um ein Dienstkonto hinzuzufügen.
3. Auf der Seite Mitglieder hinzufügen:
   1. Geben Sie im Feld Neue Mitglieder den Namen Ihres Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
   2. Wählen Sie ein Rollenfeld aus, geben Sie die von Ihnen erstellte IAM-Rolle ein und wählen Sie dann die Rolle im Menü aus.
   3. Wählen Sie SPEICHERN.

Das Dienstkonto ist jetzt für das Hostprojekt konfiguriert.

Fügen Sie das Cloud Build-Dienstkonto zur freigegebenen VPC hinzu

Jedes Google Cloud-Abonnement verfügt über ein Dienstkonto, das nach der Projekt-ID-Nummer benannt ist, gefolgt von cloudbuild.gserviceaccount. Beispiel: 705794712345@cloudbuild.gserviceaccount.

Sie können die Projekt-ID-Nummer für Ihr Projekt ermitteln, indem Sie in der Google Cloud Console Startseite und Dashboard auswählen:

Suchen Sie die Projektnummer unter dem Bereich Projektinformationen des Bildschirms.

Führen Sie die folgenden Schritte aus, um das Cloud Build-Dienstkonto zur freigegebenen VPC hinzuzufügen:

1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu IAM & Admin > IAM.
2. Wählen Sie auf der Seite Berechtigungen die Option HINZUFÜGEN aus, um ein Konto hinzuzufügen.
3. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
   1. Geben Sie im Feld Neue Mitglieder den Namen des Cloud Build-Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
   2. Wählen Sie das Feld Rolle auswählen, geben Sie Computer Network User ein und wählen Sie dann die Rolle im Menü aus.
   3. Wählen Sie SPEICHERN.

Firewallregeln erstellen

Im Rahmen des Mastering-Prozesses kopiert MCS das ausgewählte Maschinenimage und verwendet es, um die Systemfestplatte des Masterimages für den Katalog vorzubereiten. Während des Masterings hängt MCS die Festplatte an eine temporäre virtuelle Maschine an, die dann Vorbereitungsskripte ausführt. Diese VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkverkehr unterbindet. Um eine isolierte Umgebung zu schaffen, benötigt MCS zwei deny all-Firewallregeln (eine Eingangsregel und eine Ausgangsregel). Erstellen Sie daher zwei Firewallregeln im Hostprojekt wie folgt:

1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu VPC-Netzwerk > Firewall.
2. Wählen Sie auf der Seite Firewall die Option FIREWALLREGEL ERSTELLEN.
3. Führen Sie auf der Seite Firewallregel erstellen die folgenden Schritte aus:
   • Name. Geben Sie einen Namen für die Regel ein.
   • Netzwerk. Wählen Sie das Shared VPC-Netzwerk aus, für das die Ingress-Firewallregel gilt.
   • Priorität. Je kleiner der Wert, desto höher die Priorität der Regel. Wir empfehlen einen kleinen Wert (z. B. 10).
   • Verkehrsrichtung. Wählen Sie Ingress.
   • Aktion bei Übereinstimmung. Wählen Sie Verweigern.
   • Ziele. Verwenden Sie die Standardeinstellung Angegebene Ziel-Tags.
   • Ziel-Tags. Geben Sie citrix-provisioning-quarantine-firewall ein.
   • Quellfilter. Verwenden Sie die Standardeinstellung, IP-Bereiche.
   • Quell-IP-Bereiche. Geben Sie einen Bereich ein, der dem gesamten Datenverkehr entspricht. Geben Sie 0.0.0.0/0 ein.
   • Protokolle und Ports. Wählen Sie Alle verweigern.
4. Wählen Sie ERSTELLEN, um die Regel zu erstellen.
5. Wiederholen Sie die Schritte 1–4, um eine weitere Regel zu erstellen. Wählen Sie für Richtung des Datenverkehrs die Option Ausgehend.

Verbindung hinzufügen

Fügen Sie eine Verbindung zu den Google Cloud-Umgebungen hinzu. Siehe Verbindung hinzufügen.

Zonenauswahl aktivieren

Citrix Virtual Apps and Desktops unterstützt die Zonenauswahl. Mit der Zonenauswahl geben Sie die Zonen an, in denen Sie VMs erstellen möchten. Mit der Zonenauswahl können Administratoren Sole-Tenant-Knoten in Zonen ihrer Wahl platzieren. Um die Sole-Tenancy zu konfigurieren, müssen Sie Folgendes in Google Cloud ausführen:

• Einen Google Cloud Sole-Tenant-Knoten reservieren
• Das VDA-Masterimage erstellen

Reservieren eines Google Cloud Sole-Tenant-Knotens

Informationen zum Reservieren eines Sole-Tenant-Knotens finden Sie in der Google Cloud-Dokumentation.

Wichtig:

Ein Knoten-Template wird verwendet, um Leistungsmerkmale des Systems anzugeben, das in der Knotengruppe reserviert ist. Diese Merkmale umfassen die Anzahl der vGPUs, die dem Knoten zugewiesene Speichermenge und den Maschinentyp, der für auf dem Knoten erstellte Maschinen verwendet wird. Weitere Informationen finden Sie in der Google Cloud Dokumentation.

Erstellen des VDA-Masterimages

Um Maschinen erfolgreich auf dem Sole-Tenant-Knoten bereitzustellen, müssen Sie beim Erstellen eines Master-VM-Images zusätzliche Schritte unternehmen. Maschineninstanzen in Google Cloud verfügen über eine Eigenschaft namens Knotenaffinitätsbezeichnungen. Instanzen, die als Master-Images für Kataloge verwendet werden, die auf dem Sole-Tenant-Knoten bereitgestellt werden, erfordern eine Knotenaffinitätsbezeichnung, die dem Namen der Zielknotengruppe entspricht. Beachten Sie dazu Folgendes:

• Legen Sie für eine neue Instanz die Bezeichnung in der Google Cloud Console fest, wenn Sie eine Instanz erstellen. Einzelheiten finden Sie unter Festlegen einer Knotenaffinitätsbezeichnung beim Erstellen einer Instanz.
• Legen Sie für eine vorhandene Instanz die Bezeichnung mithilfe der gcloud-Befehlszeile fest. Einzelheiten finden Sie unter Festlegen einer Knotenaffinitätsbezeichnung für eine vorhandene Instanz.

Hinweis:

Wenn Sie die alleinige Mandantenfähigkeit mit einer freigegebenen VPC verwenden möchten, siehe Freigegebene Virtual Private Cloud.

Festlegen einer Knotenaffinitätsbezeichnung beim Erstellen einer Instanz

So legen Sie die Knotenaffinitätsbezeichnung fest:

1. Navigieren Sie in der Google Cloud Console zu Compute Engine > VM-Instanzen.

2. Wählen Sie auf der Seite VM-Instanzen die Option Instanz erstellen.

3. Geben oder konfigurieren Sie auf der Seite Instanzerstellung die erforderlichen Informationen und wählen Sie dann Verwaltung, Sicherheit, Datenträger, Netzwerk, alleinige Mandantenfähigkeit, um das Einstellungsfenster zu öffnen.

4. Wählen Sie auf der Registerkarte Alleinige Mandantenfähigkeit die Option Durchsuchen, um die verfügbaren Knotengruppen im aktuellen Projekt anzuzeigen. Die Seite Sole-Tenant-Knoten wird angezeigt und zeigt eine Liste der verfügbaren Knotengruppen.

5. Wählen Sie auf der Seite Sole-Tenant-Knoten die entsprechende Knotengruppe aus der Liste aus und wählen Sie dann Auswählen, um zur Registerkarte Alleinige Mandantenfähigkeit zurückzukehren. Das Feld für die Knotenaffinitätsbezeichnungen wird mit den von Ihnen ausgewählten Informationen gefüllt. Diese Einstellung stellt sicher, dass aus der Instanz erstellte Maschinenkataloge in der ausgewählten Knotengruppe bereitgestellt werden.

6. Wählen Sie Erstellen, um die Instanz zu erstellen.

Ein Knotenaffinitätslabel für eine vorhandene Instanz festlegen

So legen Sie das Knotenaffinitätslabel fest:

1. Verwenden Sie im Terminalfenster von Google Cloud Shell den Befehl gcloud compute instances, um ein Knotenaffinitätslabel festzulegen. Fügen Sie die folgenden Informationen in den gcloud-Befehl ein:

   • Name der VM. Verwenden Sie beispielsweise eine vorhandene VM mit dem Namen s*2019-vda-base.*
   • Name der Knotengruppe. Verwenden Sie den zuvor erstellten Knotengruppennamen. Beispiel: mh-sole-tenant-node-group-1.
   • Die Zone, in der sich die Instanz befindet. Die VM befindet sich beispielsweise in der *us-east-1b* zone.

   Geben Sie beispielsweise den folgenden Befehl im Terminalfenster ein:

   • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

   Weitere Informationen zum Befehl gcloud compute instances finden Sie in der Google Developer Tools-Dokumentation unter https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

2. Navigieren Sie zur Seite VM instance details der Instanz und überprüfen Sie, ob das Feld Node Affinities mit dem Label gefüllt ist.

Maschinenkatalog erstellen

Nachdem Sie das Knotenaffinitätslabel festgelegt haben, konfigurieren Sie den Maschinenkatalog.

Kundenverwaltete Verschlüsselungsschlüssel (CMEK)

Sie können kundenverwaltete Verschlüsselungsschlüssel (CMEK) für MCS-Kataloge verwenden. Bei Verwendung dieser Funktionalität weisen Sie dem Compute Engine Service Agent die Rolle Google Cloud Key Management Service CryptoKey Encrypter/Decrypter zu. Das Citrix Virtual Apps and Desktops-Konto muss über die richtigen Berechtigungen in dem Projekt verfügen, in dem der Schlüssel gespeichert ist. Weitere Informationen finden Sie unter Schutz von Ressourcen mit Cloud KMS-Schlüsseln.

Ihr Compute Engine Service Agent hat das folgende Format: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Dieses Format unterscheidet sich vom standardmäßigen Compute Engine Service Account.

Hinweis:

Dieses Compute Engine-Dienstkonto wird möglicherweise nicht in der Anzeige IAM-Berechtigungen der Google Console angezeigt. Verwenden Sie in solchen Fällen den Befehl gcloud, wie unter Schützen von Ressourcen mithilfe von Cloud KMS-Schlüsseln beschrieben.

Berechtigungen für das Citrix Virtual Apps and Desktops-Konto zuweisen

Google Cloud KMS-Berechtigungen können auf verschiedene Arten konfiguriert werden. Sie können entweder KMS-Berechtigungen auf Projektebene oder KMS-Berechtigungen auf Ressourcenebene bereitstellen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.

Berechtigungen auf Projektebene

Eine Möglichkeit besteht darin, dem Citrix Virtual Apps and Desktops-Konto Berechtigungen auf Projektebene zu erteilen, um Cloud KMS-Ressourcen zu durchsuchen. Erstellen Sie dazu eine benutzerdefinierte Rolle und fügen Sie die folgenden Berechtigungen hinzu:

• cloudkms.keyRings.list
• cloudkms.keyRings.get
• cloudkms.cryptokeys.list
• cloudkms.cryptokeys.get

Weisen Sie diese benutzerdefinierte Rolle Ihrem Citrix Virtual Apps and Desktops zu. Dadurch können Sie regionale Schlüssel im entsprechenden Projekt im Inventar durchsuchen.

Berechtigungen auf Ressourcenebene

Für die andere Option, Berechtigungen auf Ressourcenebene, navigieren Sie in der Google Cloud Console zu cryptoKey, das Sie für die MCS-Bereitstellung verwenden. Fügen Sie das Citrix Virtual Apps and Desktops-Konto einem Schlüsselbund oder einem Schlüssel hinzu, den Sie für die Katalogbereitstellung verwenden.

Tipp:

Mit dieser Option können Sie keine regionalen Schlüssel für Ihr Projekt im Inventar durchsuchen, da das Citrix Virtual Apps and Desktops-Konto keine Listenberechtigungen auf Projektebene für die Cloud KMS-Ressourcen besitzt. Sie können jedoch weiterhin einen Katalog mit CMEK bereitstellen, indem Sie die korrekten cryptoKeyId in den benutzerdefinierten Eigenschaften ProvScheme angeben, wie unten beschrieben.

Bereitstellung mit CMEK mithilfe benutzerdefinierter Eigenschaften

Beim Erstellen Ihres Bereitstellungsschemas über PowerShell geben Sie eine CryptoKeyId-Eigenschaft in ProvScheme CustomProperties an. Zum Beispiel:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

Die cryptoKeyId muss im folgenden Format angegeben werden:

projectId:location:keyRingName:cryptoKeyName

Wenn Sie beispielsweise den Schlüssel my-example-key im Schlüsselbund my-example-key-ring in der Region us-east1 und im Projekt mit der ID my-example-project-1 verwenden möchten, würden Ihre benutzerdefinierten Einstellungen für ProvScheme wie folgt aussehen:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Alle von MCS bereitgestellten Datenträger und Images, die mit diesem Bereitstellungsschema zusammenhängen, verwenden diesen vom Kunden verwalteten Verschlüsselungsschlüssel.

Tipp:

Wenn Sie globale Schlüssel verwenden, muss der Speicherort der Kundeneigenschaften global lauten und nicht der Regionsname, der im obigen Beispiel us-east1 ist. Zum Beispiel: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotieren von vom Kunden verwalteten Schlüsseln

Google Cloud unterstützt das Rotieren von Schlüsseln auf vorhandenen persistenten Datenträgern oder Images nicht. Sobald eine Maschine bereitgestellt ist, ist sie an die zum Zeitpunkt ihrer Erstellung verwendete Schlüsselversion gebunden. Es kann jedoch eine neue Version des Schlüssels erstellt werden, und dieser neue Schlüssel wird für neu bereitgestellte Maschinen oder Ressourcen verwendet, die erstellt werden, wenn ein Katalog mit einem neuen Master-Image aktualisiert wird.

Wichtige Überlegungen zu Schlüsselbunden

Schlüsselbunde können nicht umbenannt oder gelöscht werden. Außerdem können bei der Konfiguration unvorhergesehene Kosten entstehen. Beim Löschen oder Entfernen eines Schlüsselbunds zeigt Google Cloud eine Fehlermeldung an:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Tipp:

Weitere Informationen finden Sie unter Schlüsselbund über die Konsole bearbeiten oder löschen.

Kompatibilität mit einheitlichem Bucket-Level-Zugriff

Citrix Virtual Apps and Desktops ist kompatibel mit der Richtlinie für den einheitlichen Zugriff auf Bucket-Ebene in Google Cloud. Diese Funktionalität erweitert die Verwendung der IAM-Richtlinie, die einem Dienstkonto Berechtigungen erteilt, um die Bearbeitung von Ressourcen, einschließlich Speicher-Buckets, zu ermöglichen. Mit der einheitlichen Zugriffssteuerung auf Bucket-Ebene ermöglicht Citrix Virtual Apps and Desktops die Verwendung einer Zugriffssteuerungsliste (ACL), um den Zugriff auf Speicher-Buckets oder darin gespeicherte Objekte zu steuern. Siehe Einheitlicher Zugriff auf Bucket-Ebene für Übersichts-informationen zum einheitlichen Zugriff auf Bucket-Ebene in Google Cloud. Informationen zur Konfiguration finden Sie unter Einheitlichen Zugriff auf Bucket-Ebene anfordern.

Maschinenkatalog mit PowerShell erstellen

Dieser Abschnitt beschreibt, wie Sie Kataloge mit PowerShell erstellen können:

• Katalog mit persistenter Write-Back-Cache-Festplatte erstellen
• Startleistung mit MCSIO verbessern
• Maschinenkatalog mit einem Maschinenprofil erstellen
• Maschinenkatalog mit Maschinenprofil als Instanzvorlage erstellen
• PowerShell zum Erstellen eines Katalogs mit abgeschirmter VM verwenden
• Windows 11-VMs auf dem Sole-Tenant-Knoten erstellen

Katalog mit persistenter Write-Back-Cache-Festplatte erstellen

Um einen Katalog mit persistenter Write-Back-Cache-Festplatte zu konfigurieren, verwenden Sie den PowerShell-Parameter New-ProvScheme CustomProperties.

Tipp:

Verwenden Sie den PowerShell-Parameter hier nur für Cloud-basierte Hosting-Verbindungen. Wenn Sie Maschinen mit einer persistenten Write-Back-Cache-Festplatte für eine lokale Lösung (z. B. XenServer®) bereitstellen möchten, ist PowerShell nicht erforderlich, da die Festplatte automatisch persistent ist.

Dieser Parameter unterstützt eine zusätzliche Eigenschaft, PersistWBC, die verwendet wird, um zu bestimmen, wie die Write-Back-Cache-Festplatte für MCS-bereitgestellte Maschinen persistent ist. Die Eigenschaft PersistWBC wird nur verwendet, wenn der Parameter UseWriteBackCache angegeben ist und wenn der Parameter WriteBackCacheDiskSize so eingestellt ist, dass eine Festplatte erstellt wird.

Hinweis:

Dieses Verhalten gilt sowohl für Azure als auch für GCP, wobei die standardmäßige MCSIO-Write-Back-Cache-Festplatte beim Aus- und Einschalten gelöscht und neu erstellt wird. Sie können die Festplatte beibehalten, um das Löschen und Neuerstellen der MCSIO-Write-Back-Cache-Festplatte zu vermeiden.

Wenn Sie die Eigenschaft PersistWBC auf true setzen, wird die Write-Back-Cache-Festplatte nicht gelöscht, wenn der Citrix Virtual Apps and Desktops-Administrator die Maschine über die Verwaltungsoberfläche herunterfährt.

Wenn Sie die Eigenschaft PersistWBC auf false setzen, wird die Write-Back-Cache-Festplatte gelöscht, wenn der Citrix Virtual Apps and Desktops-Administrator die Maschine über die Verwaltungsoberfläche herunterfährt.

Hinweis:

Wenn die Eigenschaft PersistWBC weggelassen wird, wird die Eigenschaft standardmäßig auf false gesetzt und der Write-Back-Cache wird gelöscht, wenn die Maschine über die Verwaltungsoberfläche heruntergefahren wird.

Beispiel: Verwenden Sie den Parameter CustomProperties, um PersistWBC auf true festzulegen:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
<!--NeedCopy-->

Hinweis:

Die Eigenschaft PersistWBC kann nur mit dem PowerShell-Cmdlet New-ProvScheme festgelegt werden. Der Versuch, die CustomProperties eines Bereitstellungsschemas nach der Erstellung zu ändern, hat keine Auswirkungen auf den Maschinenkatalog und die Persistenz der Write-Back-Cache-Festplatte, wenn eine Maschine heruntergefahren wird.

Beispiel: Legen Sie New-ProvScheme fest, um den Write-Back-Cache zu verwenden, während Sie die Eigenschaft PersistWBC auf true setzen:

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

Startleistung mit MCSIO verbessern

Sie können die Startleistung für verwaltete Azure- und GCP-Datenträger verbessern, wenn MCSIO aktiviert ist. Verwenden Sie die benutzerdefinierte PowerShell-Eigenschaft PersistOSDisk im Befehl New-ProvScheme, um diese Funktion zu konfigurieren. Zu den Optionen, die mit New-ProvScheme verbunden sind, gehören:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource <!--NeedCopy-->
``````<!--NeedCopy-->
<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->

Um diese Funktion zu aktivieren, setzen Sie die benutzerdefinierte Eigenschaft PersistOSDisk auf true. Beispiel:

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

Maschinenkatalog mit einem Maschinenprofil erstellen

Wenn Sie einen Katalog zur Bereitstellung von Maschinen mit Machine Creation Services (MCS) erstellen, können Sie ein Maschinenprofil verwenden, um die Hardwareeigenschaften einer virtuellen Maschine zu erfassen und auf neu bereitgestellte VMs im Katalog anzuwenden. Wenn der Parameter MachineProfile nicht verwendet wird, werden die Hardwareeigenschaften von der Master-Image-VM oder dem Snapshot erfasst. Einige Eigenschaften, die Sie explizit definieren, zum Beispiel StorageType, CatalogZones und CryptoKeyIs, werden vom Maschinenprofil ignoriert.

• Um einen Katalog mit einem Maschinenprofil zu erstellen, verwenden Sie den Befehl New-ProvScheme. Beispiel: New-ProvScheme –MachineProfile "path to VM". Wenn Sie den Parameter MachineProfile nicht angeben, werden die Hardwareeigenschaften von der Master-Image-VM erfasst.
• Um einen Katalog mit einem neuen Maschinenprofil zu aktualisieren, verwenden Sie den Befehl Set-ProvScheme. Zum Beispiel, Set-ProvScheme –MachineProfile "path to new VM". Dieser Befehl ändert nicht das Maschinenprofil der vorhandenen VMs im Katalog. Nur die neu erstellten VMs, die dem Katalog hinzugefügt werden, erhalten das neue Maschinenprofil.

• Sie können auch das Master-Image aktualisieren; wenn Sie jedoch das Master-Image aktualisieren, werden die Hardwareeigenschaften nicht aktualisiert. Wenn Sie die Hardwareeigenschaften aktualisieren möchten, müssen Sie das Maschinenprofil mit dem Befehl Set-ProvScheme aktualisieren. Diese Änderungen gelten nur für die neuen Maschinen im Katalog. Um die Hardwareeigenschaften einer vorhandenen Maschine zu aktualisieren, können Sie den Befehl Set-ProvVMUpdateTimeWindow mit den Parametern -StartsNow und -DurationInMinutes -1 verwenden.

  Hinweis:

  • StartsNow gibt an, dass die geplante Startzeit die aktuelle Zeit ist.
  • DurationInMinutes mit einer negativen Zahl (zum Beispiel –1) bedeutet, dass es keine Obergrenze für das Zeitfenster des Zeitplans gibt.

Maschinenkatalog mit Maschinenprofil als Instanzvorlage erstellen

Sie können eine GCP-Instanzvorlage als Eingabe für das Maschinenprofil auswählen. Instanzvorlagen sind schlanke Ressourcen in GCP und daher sehr kostengünstig.

Neuen Maschinenkatalog mit Maschinenprofil als Instanzvorlage erstellen

1. Ein PowerShell-Fenster öffnen.
2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

3. Suchen Sie eine Instanzvorlage in Ihrem GCP-Projekt mit dem folgenden Befehl:

   cd XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder
   <!--NeedCopy-->
   

4. Erstellen Sie einen neuen Maschinenkatalog mit Maschinenprofil als Instanzvorlage mithilfe des Befehls NewProvScheme:

   New-ProvScheme -ProvisioningSchemeName <CatalogName>  -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM
   XDHyp:\HostingUnits\<HostingUnitName> \Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder\mytemplate.template
   <!--NeedCopy-->
   

   Weitere Informationen zum Befehl New-ProvScheme finden Sie unter https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.

5. Schließen Sie die Erstellung des Maschinenkatalogs mit PowerShell-Befehlen ab. Informationen zum Erstellen eines Katalogs mit dem Remote PowerShell SDK finden Sie unter https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Maschinenprofil eines vorhandenen Maschinenkatalogs in eine Instanzvorlage ändern

Die detaillierten Schritte zum Ändern des Maschinenprofils eines vorhandenen Maschinenkatalogs in eine Instanzvorlage sind:

1. Öffnen Sie ein PowerShell-Fenster.
2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.

3. Führen Sie den folgenden Befehl aus:

   Set-ProvScheme -ProvisioningSchemeName  <CatalogName> -MachineProfile XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder\<TemplateName>.template
   <!--NeedCopy-->
   

   Informationen zum Befehl Set-ProvScheme finden Sie unter https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.

Verwenden Sie PowerShell, um einen Katalog mit abgeschirmter VM zu erstellen

Sie können einen MCS-Maschinenkatalog mit abgeschirmten VM-Eigenschaften erstellen. Eine abgeschirmte virtuelle Maschine wird durch eine Reihe von Sicherheitskontrollen gehärtet, die eine überprüfbare Integrität Ihrer Compute Engine-Instanzen bieten, unter Verwendung fortschrittlicher Plattform-Sicherheitsfunktionen wie Secure Boot, eines virtuellen Trusted Platform Module, UEFI-Firmware und Integritätsüberwachung.

MCS unterstützt die Katalogerstellung mithilfe des Maschinenprofil-Workflows. Wenn Sie den Maschinenprofil-Workflow verwenden, müssen Sie die abgeschirmten VM-Eigenschaften einer VM-Instanz aktivieren. Sie können diese VM-Instanz dann als Maschinenprofil-Eingabe verwenden.

So erstellen Sie einen MCS-Maschinenkatalog mit abgeschirmter VM mithilfe des Maschinenprofil-Workflows.

1. Aktivieren Sie die Optionen für abgeschirmte VMs einer VM-Instanz in der Google Cloud Console. Siehe Quickstart: Enable Shielded VM options.

2. Erstellen Sie einen MCS-Maschinenkatalog mit Maschinenprofil-Workflow unter Verwendung der VM-Instanz.

   1. Öffnen Sie ein PowerShell-Fenster.
   2. Führen Sie asnp citrix* aus, um die Citrix-spezifischen PowerShell-Module zu laden.
   3. Erstellen Sie einen Identitätspool, falls noch nicht vorhanden.

   4. Führen Sie den Befehl New-ProvScheme aus. Zum Beispiel:

      New-ProvScheme -ProvisioningSchemeName <catalog-name>
      -HostingUnitName gcp-hostint-unit
      -MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda.vm
      -MachineProfile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine.vm
      <!--NeedCopy-->
      

3. Schließen Sie die Erstellung des Maschinenkatalogs ab.

So aktualisieren Sie den Maschinenkatalog mit einem neuen Maschinenprofil:

1. Führen Sie den Befehl Set-ProvScheme aus. Beispiel:

   Set-ProvScheme -ProvisioningSchemeName <catalog-name>
   -MasterImageVM XDHyp:\HostingUnits\<hostin-unit>\catalog-vda.vm
   -MachineProfile "DHyp:\HostingUnits\<hostin-unit>\catalog-machine.vm
   <!--NeedCopy-->
   

Um die in Set-ProvScheme vorgenommene Änderung auf die vorhandenen VMs anzuwenden, führen Sie den Befehl Set-ProvVMUpdateTimeWindow aus.

1. Führen Sie den Befehl Set-ProvVMUpdateTimeWindow aus. Beispiel:

   Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
   <!--NeedCopy-->
   

2. Starten Sie die VMs neu.

Erstellen von Windows 11-VMs auf dem Sole-Tenant-Knoten

Sie können Windows 11-VMs in GCP erstellen. Wenn Sie Windows 11 jedoch auf dem Masterimage installieren, müssen Sie vTPM während des Masterimage-Erstellungsprozesses aktivieren. Außerdem müssen Sie vTPM auf der Maschinenprofilquelle (VM oder Instanzvorlage) aktivieren.

Die wichtigsten Schritte zum Erstellen von Windows 11-VMs auf dem Sole-Tenant-Knoten sind:

1. Richten Sie die Google Cloud-Virtualisierungsumgebungen ein. Weitere Informationen finden Sie unter Google Cloud-Umgebungen.
2. Installieren Sie den VDA. Siehe VDAs installieren.
3. Erstellen Sie eine Verbindung zu Google Cloud-Umgebungen. Weitere Informationen finden Sie unter Verbindung zu Google Cloud-Umgebungen.
4. Erstellen Sie ein Windows 11 Bring Your Own License (BYOL)-Masterimage und importieren Sie das Image in Google Cloud. Siehe Ein Windows 11 BYOL-Masterimage erstellen.
5. Erstellen Sie die Maschinenprofilquelle: Stellen Sie die VM auf dem Sole-Tenant-Knoten bereit und aktivieren Sie das vTPM des Quellmaschinenprofils. Siehe VM auf Sole-Tenant-Knoten bereitstellen.
6. Erstellen Sie einen MCS-Maschinenkatalog mit der Windows 11-Maschinenprofilquelle, die mit vTPM aktiviert ist. Die Maschinenprofilquelle muss denselben Instanztyp haben, wie im Sole-Tenant-Knoten beschrieben. Siehe Einen MCS-Maschinenkatalog mit der Windows 11-Maschinenprofilquelle erstellen.

Erstellen eines Windows 11 BYOL-Masterimages

Es gibt zwei Möglichkeiten, ein Windows 11 BYOL-Masterimage zu erstellen und das Masterimage in Google Cloud zu importieren:

• Verwenden Sie die Google Cloud Build Tools
• Erstellen Sie das Masterimage auf einem anderen Hypervisor

Verwenden Sie die Google Cloud Build Tools

1. Laden Sie die Windows 11 ISO-, GCP SDK-, .NET Framework- und PowerShell-Installationsdateien in den GCP-Speicher-Bucket hoch.
2. Geben Sie den Dateispeicherort in der Cloud Build .yaml-Datei als Parameter an.

3. Führen Sie den folgenden Cloud Build über die Befehlszeile aus, um das endgültige Windows 11-Image zu erstellen. GCP startet und erstellt das Masterimage im ausgewählten Projekt mithilfe des Daisy-Workflows in GCP, und das Masterimage wird in GCP importiert.

   gcloud compute instances import INSTANCE-NAME--source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE
   <!--NeedCopy-->
   

   Hinweis:

   Ersetzen Sie den gesamten Text in Großbuchstaben durch die tatsächlichen Ressourcendetails.

Weitere Informationen finden Sie unter Benutzerdefinierte Windows BYOL-Images erstellen.

Erstellen Sie das Masterimage auf einem anderen Hypervisor

1. Erstellen Sie das Windows 11-Masterimage mithilfe eines anderen Hypervisors.
2. Exportieren Sie das Masterimage im OVF-Format auf den lokalen Computer.

3. Laden Sie die OVF-Dateien mithilfe der lokalen gcloud CLI in den GCP-Speicher-Bucket hoch.

   gsutil cp LOCAL_IMAGE_PATH_OVF_FILES gs://BUCKET_NAME/
   <!--NeedCopy-->
   

4. Führen Sie den folgenden Cloud Build über die Befehlszeile aus, um das endgültige Windows 11-Image zu erstellen. GCP bootstrappt und erstellt das Master-Image im ausgewählten Projekt mithilfe des Daisy-Workflows in GCP, und das Master-Image wird in GCP importiert.

   gcloud compute instances import INSTANCE-NAME --source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE
   <!--NeedCopy-->
   

   Hinweis:

   Ersetzen Sie den gesamten Text in Großbuchstaben durch die tatsächlichen Ressourcendetails.

VM auf Einzelmandantenknoten bereitstellen

Verwenden Sie Einzelmandantenknoten, um Ihre VMs physisch von VMs in anderen Projekten zu trennen oder Ihre VMs auf derselben Hosthardware zu gruppieren. Informationen zum Einzelmandantenknoten finden Sie im GCP-Dokument Sole-tenancy overview.

Informationen zur Bereitstellung einer VM (Maschinenprofilquelle) auf dem Einzelmandantenknoten finden Sie im GCP-Dokument Provision VMs on sole-tenant nodes.

Hinweis:

• Wählen Sie denselben Instanztyp und dieselbe Region wie die Knotengruppe.
• Aktivieren Sie vTPM im Abschnitt „Abgeschirmte VM“. Weitere Informationen finden Sie unter Quickstart: Enable Shielded VM options.
• Deaktivieren Sie Bitlocker auf der Quell-VM.

Erstellen eines MCS-Maschinenkatalogs mithilfe der Windows 11-Maschinenprofilquelle

Sie können einen MCS-Maschinenkatalog erstellen, um Windows 11-VMs mithilfe von Web Studio- oder PowerShell-Befehlen zu erstellen.

Hinweis:

• Wählen Sie für das Master-Image den Windows 11-Snapshot oder die VM aus.
• Wählen Sie für die Maschinenprofilquelle die Windows 11-VM als Maschinenprofil aus. Die Maschinenprofilquelle muss denselben Instanztyp aufweisen, wie im Einzelmandantenknoten beschrieben.

Informationen zur Verwendung von Web Studio finden Sie unter Maschinenkatalog mit Web Studio erstellen.

Informationen zu PowerShell-Befehlen finden Sie unter Maschinenkatalog mit einem Maschinenprofil erstellen

Nachdem Sie den Katalog erstellt und die VMs eingeschaltet haben, können Sie die Windows 11-VMs auf dem Sole-Tenant-Knoten in der Google Cloud Console sehen.

VMs und Datenträger mit geerbten Labels

MCS-Maschinenkatalog-VMs und -Datenträger (Identitätsdatenträger, Write-Cache-Back-Datenträger und OS-Datenträger) können die Labels einer Maschinenprofilquelle (GCP-VM-Instanz oder Instanzvorlage) erben. Sie können die Labels verwenden, um Instanzen zu unterscheiden, die verschiedenen Teams gehören (z. B. team:research und team:analytics), und sie weiter für die Kostenrechnung oder Budgetierung nutzen. Weitere Informationen zu Labels finden Sie im GCP-Dokument Ressourcen mit Labels organisieren.

Sie können einen neuen Katalog erstellen, einen vorhandenen Katalog aktualisieren und vorhandene VMs aktualisieren, um die Labels mithilfe der Maschinenprofilquelle zu erben.

Diese Funktion ist für persistente und nicht-persistente MCS-Maschinenkataloge anwendbar.

Sie können Folgendes tun:

• Katalog mit geerbten Labels erstellen
• Vorhandenen Katalog mit geerbten Labels aktualisieren
• Vorhandene VMs mit geerbten Labels aktualisieren
• Informationen zu VM- und Startdatenträger-Labels abrufen
• VM entfernen

Katalog mit geerbten Labels erstellen

Um einen MCS-Maschinenkatalog zu erstellen, bei dem VMs und Datenträger Labels von der Maschinenprofilquelle erben, gehen Sie wie folgt vor:

1. Erstellen Sie eine Maschinenprofilquelle (VM-Instanz oder Instanzvorlage) mit Labels. Informationen zum Erstellen von VMs mit Labels finden Sie im GCP-Dokument Ressourcen mit Labels erstellen. Eine Instanzvorlage wird aus der VM erstellt und übernimmt die in der VM definierten Labels.
2. Erstellen Sie einen MCS-Katalog mit Web Studio oder PowerShell-Befehlen.
3. Wenn Sie Web Studio verwenden, wählen Sie auf der Seite Image die Option Maschinenprofil verwenden und dann die VM oder Vorlage aus.

4. Wenn Sie PowerShell-Befehle verwenden, gehen Sie wie folgt vor:

   1. Öffnen Sie das PowerShell-Fenster.
   2. Führen Sie asnp citrix* aus.
   3. Erstellen Sie einen Identitätspool. Der Identitätspool ist ein Container für die Active Directory (AD)-Konten der zu erstellenden VMs.
   4. Erstellen Sie die erforderlichen AD-Computerkonten in Active Directory.

   5. Führen Sie den Befehl New-ProvScheme aus, um einen Katalog zu erstellen. Zum Beispiel:

      New-ProvScheme mit Vorlage als Maschinenprofil-Eingabe (Persistenter Katalog):

      New-ProvScheme `
      -ProvisioningSchemeName "catalog-name" `
      -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
      -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
      <!--NeedCopy-->
      

      New-ProvScheme mit Instanzvorlage als Maschinenprofil-Eingabe (Nicht-persistenter Katalog):

      New-ProvScheme `
      -ProvisioningSchemeName "catalog-name" `
      -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
      -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
      -CleanOnBoot
      <!--NeedCopy-->
      

      New-ProvScheme mit VM-Instanz als Maschinenprofil-Eingabe (Persistenter Katalog):

      New-ProvScheme `
      -ProvisioningSchemeName "catalog-name" `
      -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
      -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
      <!--NeedCopy-->
      

      New-ProvScheme mit VM-Instanz als Maschinenprofil-Eingabe (Nicht-persistenter Katalog):

      New-ProvScheme `
      -ProvisioningSchemeName "catalog-name" `
      -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" `
      -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
      -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
      -CleanOnBoot
      <!--NeedCopy-->
      

   6. Registrieren Sie das Bereitstellungsschema als Broker-Katalog.
   7. Fügen Sie VMs zum Katalog hinzu.

Vorhandenen Katalog mit geerbten Bezeichnungen aktualisieren

Um einen vorhandenen Katalog mit einem neuen Maschinenprofil zu aktualisieren, führen Sie den Befehl Set-ProvScheme aus. Nachdem Sie den Befehl ausgeführt haben, verfügen alle neuen VMs, die dem Katalog hinzugefügt wurden, über die Bezeichnungen der neuen Maschinenprofilquelle. Der nicht persistente Katalog wird beim nächsten Einschalten aktualisiert.

Zum Beispiel:

Set-ProvScheme mit Instanzvorlage als Maschinenprofil-Eingabe:

Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
<!--NeedCopy-->

Set-ProvScheme mit VM-Instanz als Maschinenprofil-Eingabe:

Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
<!--NeedCopy-->

Vorhandene VMs mit geerbten Bezeichnungen aktualisieren

Um vorhandene VMs mit der aktualisierten Maschinenprofilquelle zu aktualisieren, führen Sie die folgenden Befehle aus:

1. Set-ProvScheme

2. Set-ProvVMUpdateTimeWindow. Zum Beispiel:

   Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
   <!--NeedCopy-->
   

3. Starten Sie die VMs neu.

Informationen zu VM- und Startdatenträgerbezeichnungen abrufen

Nach dem Erstellen der VMs können Sie die Informationen der VM- und Startdatenträgerbezeichnung mit dem Befehl Get-Item und dem Parameter AdditionalData abrufen.

Um Informationen zur VM-Bezeichnung abzurufen, führen Sie den folgenden Befehl aus:

(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm).AdditionalData.Tags
<!--NeedCopy-->

Um Informationen zur Startdatenträgerbezeichnung abzurufen, führen Sie den folgenden Befehl aus:

(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm\bootdisk-name.attacheddisk).AdditionalData.Tags
<!--NeedCopy-->

Hinweis:

Um die Konsistenz über die verschiedenen Hypervisoren hinweg zu wahren, haben wir den Begriff Tags verwendet, um GCP-Labels anzuzeigen.

VM entfernen

Sie können eine VM aus einem Katalog entfernen, ohne die VM aus der GCP zu löschen. In diesem Fall werden die Citrix-Labels nur von der VM entfernt. Alle anderen hinzugefügten Labels werden nicht von der VM gelöscht. Sie können eine VM mit Web Studio oder PowerShell-Befehlen entfernen.

Verwenden von Web Studio

1. Wählen Sie die VM aus und klicken Sie mit der rechten Maustaste darauf.
2. Klicken Sie auf Löschen.
3. Wählen Sie Die virtuellen Maschinen aus dem Katalog entfernen, aber die virtuellen Maschinen nicht löschen.

Verwenden von PowerShell-Befehlen

Führen Sie Remove-ProvVM mit dem Parameter ForgetVM aus. Weitere Informationen finden Sie in der SDK-Dokumentation Remove-ProvVM.

Google Cloud Marketplace

Sie können von Citrix auf dem Google Cloud Marketplace angebotene Images durchsuchen und auswählen, um Maschinenkataloge zu erstellen. Derzeit unterstützt MCS für diese Funktion nur den Workflow für Maschinenprofile.

Um nach Citrix VDA VM-Produkten über den Google Cloud Marketplace zu suchen, gehen Sie zu https://console.cloud.google.com/marketplace.

Sie können ein benutzerdefiniertes Image oder ein Citrix ready®-Image auf dem Google Cloud Marketplace verwenden, um ein Image eines Maschinenkatalogs zu aktualisieren.

Hinweis:

Wenn das Maschinenprofil keine Informationen zum Speichertyp enthält, wird der Wert aus benutzerdefinierten Eigenschaften abgeleitet.

Die unterstützten Google Cloud Marketplace-Images sind:

• Windows 2019 Einzelsitzung
• Windows 2019 Mehrfachsitzung
• Ubuntu

Beispiel für die Verwendung eines Citrix-fähigen Images als Quelle zum Erstellen eines Maschinenkatalogs:

New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm
<!--NeedCopy-->

Nächste Schritte

• Wenn dies der erste erstellte Katalog ist, führt Sie Web Studio zum Erstellen einer Bereitstellungsgruppe
• Um den gesamten Konfigurationsprozess zu überprüfen, siehe Installieren und Konfigurieren
• Informationen zum Verwalten von Katalogen finden Sie unter Maschinenkataloge verwalten und Google Cloud Platform-Katalog verwalten

Weitere Informationen

• Verbindungen und Ressourcen erstellen und verwalten
• Verbindung zu Google Cloud-Umgebungen
• Maschinenkataloge erstellen