Google Cloud-Umgebungen

Mit Citrix Virtual Apps and Desktops™ können Sie Maschinen in Google Cloud bereitstellen und verwalten.

Anforderungen

• Citrix Cloud™-Konto. Die in diesem Artikel beschriebene Funktion ist nur in Citrix Cloud verfügbar.
• Ein Google Cloud-Projekt. Das Projekt speichert alle mit dem Maschinenkatalog verbundenen Computerressourcen. Es kann ein bestehendes oder ein neues Projekt sein.
• Aktivieren Sie vier APIs in Ihrem Google Cloud-Projekt. Weitere Informationen finden Sie unter Google Cloud-APIs aktivieren.
• Google Cloud-Dienstkonto. Das Dienstkonto authentifiziert sich bei Google Cloud, um den Zugriff auf das Projekt zu ermöglichen. Weitere Informationen finden Sie unter Dienstkonten konfigurieren und aktualisieren.
• Aktivieren Sie den privaten Google-Zugriff. Weitere Informationen finden Sie unter Privaten Google-Zugriff aktivieren.

Google Cloud-APIs aktivieren

Um die Google Cloud-Funktionalität über Web Studio zu nutzen, aktivieren Sie diese APIs in Ihrem Google Cloud-Projekt:

• Compute Engine API
• Cloud Resource Manager API
• Identitäts- und Zugriffsverwaltung (IAM) API
• Cloud Build API
• Cloud Key Management Service (KMS)

Führen Sie in der Google Cloud Console die folgenden Schritte aus:

1. Wählen Sie im oberen linken Menü APIs und Dienste > Dashboard.

   

2. Auf dem Bildschirm Dashboard stellen Sie sicher, dass die Compute Engine API aktiviert ist. Falls nicht, führen Sie die folgenden Schritte aus:

   1. Navigieren Sie zu APIs und Dienste > Bibliothek.

      

   2. Geben Sie im Suchfeld Compute Engine ein.

   3. Wählen Sie aus den Suchergebnissen Compute Engine API.

   4. Wählen Sie auf der Seite Compute Engine API die Option Aktivieren.

3. Aktivieren Sie die Cloud Resource Manager API.

   1. Navigieren Sie zu APIs und Dienste > Bibliothek.

   2. Geben Sie im Suchfeld Cloud Resource Manager ein.

   3. Wählen Sie aus den Suchergebnissen Cloud Resource Manager API.

   4. Wählen Sie auf der Seite Cloud Resource Manager API die Option Aktivieren. Der Status der API wird angezeigt.

4. Aktivieren Sie auf ähnliche Weise die Identity and Access Management (IAM) API und die Cloud Build API.

Sie können die APIs auch über die Google Cloud Shell aktivieren. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie die Google Console und laden Sie die Cloud Shell.

2. Führen Sie die folgenden vier Befehle in der Cloud Shell aus:

   • gcloud Dienste aktivieren compute.googleapis.com
   • gcloud Dienste aktivieren cloudresourcemanager.googleapis.com
   • gcloud Dienste aktivieren iam.googleapis.com
   • gcloud Dienste aktivieren cloudbuild.googleapis.com
3. Klicken Sie auf Autorisieren, wenn die Cloud Shell dazu auffordert.

Dienstkonten konfigurieren und aktualisieren

Hinweis:

GCP führt nach dem 29. April 2024 Änderungen am Standardverhalten des Cloud Build-Dienstes und der Verwendung von Dienstkonten ein. Weitere Informationen finden Sie unter Cloud Build Service Account Change. Ihre bestehenden Google-Projekte, bei denen die Cloud Build API vor dem 29. April 2024 aktiviert wurde, sind von dieser Änderung nicht betroffen. Wenn Sie jedoch das bestehende Verhalten des Cloud Build-Dienstes nach dem 29. April beibehalten möchten, können Sie die Organisationsrichtlinie erstellen oder anwenden, um die Erzwingung der Einschränkung zu deaktivieren, bevor Sie die Cloud Build API aktivieren. Daher ist der folgende Inhalt in zwei Abschnitte unterteilt: Vor dem 29. April 2024 und Nach dem 29. April 2024. Wenn Sie die neue Organisationsrichtlinie festlegen, folgen Sie dem Abschnitt Vor dem 29. April 2024.

Vor dem 29. April 2024

Citrix Cloud verwendet drei separate Dienstkonten innerhalb des Google Cloud-Projekts:

• Citrix Cloud-Dienstkonto: Dieses Dienstkonto ermöglicht Citrix Cloud den Zugriff auf das Google-Projekt, die Bereitstellung und Verwaltung von Maschinen. Dieses Dienstkonto authentifiziert sich bei Google Cloud mithilfe eines von Google Cloud generierten Schlüssels.

  Sie müssen dieses Dienstkonto manuell erstellen, wie hier beschrieben. Weitere Informationen finden Sie unter Erstellen eines Citrix Cloud-Dienstkontos.

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren. Zum Beispiel, <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Cloud Build-Dienstkonto: Dieses Dienstkonto wird automatisch bereitgestellt, nachdem Sie alle APIs aktiviert haben, die in Google Cloud APIs aktivieren erwähnt werden. Um alle automatisch erstellten Dienstkonten anzuzeigen, navigieren Sie in der Google Cloud-Konsole zu IAM & Admin > IAM und aktivieren Sie das Kontrollkästchen Google-provided role grants einschließen.

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort cloudbuild beginnt. Zum Beispiel, <project-id>@cloudbuild.gserviceaccount.com

  Überprüfen Sie, ob dem Dienstkonto die folgenden Rollen zugewiesen wurden. Wenn Sie Rollen hinzufügen müssen, befolgen Sie die Schritte, die in Rollen zum Cloud Build-Dienstkonto hinzufügen beschrieben sind.

  • Cloud Build-Dienstkonto
  • Compute-Instanz-Administrator
  • Dienstkontobenutzer

• Cloud Compute-Dienstkonto: Dieses Dienstkonto wird von Google Cloud zu Instanzen hinzugefügt, die in Google Cloud erstellt wurden, sobald die Compute API aktiviert ist. Dieses Konto hat die IAM-Rolle „Basic Editor“, um die Operationen auszuführen. Wenn Sie jedoch die Standardberechtigung löschen, um eine granularere Kontrolle zu haben, müssen Sie eine Storage Admin-Rolle hinzufügen, die die folgenden Berechtigungen erfordert:

  • resourcemanager.projects.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort compute beginnt. Zum Beispiel, <project-id>-compute@developer.gserviceaccount.com.

Citrix Cloud-Dienstkonto erstellen

Gehen Sie wie folgt vor, um ein Citrix Cloud-Dienstkonto zu erstellen:

1. In der Google Cloud Console navigieren Sie zu IAM & Admin > Dienstkonten.
2. Auf der Seite Dienstkonten wählen Sie DIENSTKONTO ERSTELLEN.
3. Auf der Seite Dienstkonto erstellen geben Sie die erforderlichen Informationen ein und wählen dann ERSTELLEN UND FORTFAHREN.

4. Auf der Seite Diesem Dienstkonto Zugriff auf das Projekt gewähren klicken Sie auf das Dropdown-Menü Rolle auswählen und wählen die erforderlichen Rollen aus. Klicken Sie auf +WEITERE ROLLE HINZUFÜGEN, wenn Sie weitere Rollen hinzufügen möchten.

   Jedes Konto (persönlich oder Dienstkonto) hat verschiedene Rollen, die die Verwaltung des Projekts definieren. Weisen Sie diesem Dienstkonto die folgenden Rollen zu:

   • Compute-Administrator
   • Speicher-Administrator
   • Cloud Build-Editor
   • Dienstkontobenutzer
   • Cloud Datastore-Benutzer
   • Cloud KMS-Krypto-Operator

   Der Cloud KMS-Krypto-Operator erfordert die folgenden Berechtigungen:

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list
   • cloudkms.cryptoKeyVersions.useToDecrypt
   • cloudkms.cryptoKeyVersions.useToEncrypt

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der verfügbaren Rollen beim Erstellen eines neuen Dienstkontos zu erhalten.

5. Klicken Sie auf WEITER
6. Fügen Sie auf der Seite Benutzern Zugriff auf dieses Dienstkonto gewähren Benutzer oder Gruppen hinzu, um ihnen Zugriff zum Ausführen von Aktionen in diesem Dienstkonto zu gewähren.
7. Klicken Sie auf FERTIG.
8. Navigieren Sie zur IAM-Hauptkonsole.
9. Identifizieren Sie das erstellte Dienstkonto.
10. Überprüfen Sie, ob die Rollen erfolgreich zugewiesen wurden.

Überlegungen:

Berücksichtigen Sie beim Erstellen des Dienstkontos Folgendes:

• Die Schritte Diesem Dienstkonto Zugriff auf das Projekt gewähren und Benutzern Zugriff auf dieses Dienstkonto gewähren sind optional. Wenn Sie diese optionalen Konfigurationsschritte überspringen, wird das neu erstellte Dienstkonto nicht auf der Seite IAM & Admin > IAM angezeigt.
• Um die einem Dienstkonto zugeordneten Rollen anzuzeigen, fügen Sie die Rollen hinzu, ohne die optionalen Schritte zu überspringen. Dieser Prozess stellt sicher, dass die Rollen für das konfigurierte Dienstkonto angezeigt werden.

Citrix Cloud-Dienstkontoschlüssel

Der Citrix Cloud-Dienstkontoschlüssel ist erforderlich, um eine Verbindung in Citrix DaaS herzustellen. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Die Datei wird nach dem Erstellen des Schlüssels automatisch heruntergeladen und im Ordner Downloads gespeichert. Achten Sie beim Erstellen des Schlüssels darauf, den Schlüsseltyp auf JSON festzulegen. Andernfalls kann Web Studio ihn nicht analysieren.

Um einen Dienstkontoschlüssel zu erstellen, navigieren Sie zu IAM & Admin > Dienstkonten und klicken Sie auf die E-Mail-Adresse des Citrix Cloud-Dienstkontos. Wechseln Sie zur Registerkarte Schlüssel und wählen Sie Schlüssel hinzufügen > Neuen Schlüssel erstellen. Stellen Sie sicher, dass Sie JSON als Schlüsseltyp auswählen.

Tipp:

Erstellen Sie Schlüssel über die Seite Dienstkonten in der Google Cloud Console. Wir empfehlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie können der Anwendung Citrix Virtual Apps and Desktops neue Schlüssel bereitstellen, indem Sie eine vorhandene Google Cloud-Verbindung bearbeiten.

Rollen zum Citrix Cloud-Dienstkonto hinzufügen

So fügen Sie dem Citrix Cloud-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM > BERECHTIGUNGEN das von Ihnen erstellte Dienstkonto, das anhand einer E-Mail-Adresse identifizierbar ist.

   Zum Beispiel <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol aus, um den Zugriff auf den Prinzipal des Dienstkontos zu bearbeiten.
4. Auf der Seite Zugriff auf „project-id“ bearbeiten für die ausgewählte Prinzipaloption wählen Sie WEITERE ROLLE HINZUFÜGEN, um die erforderlichen Rollen einzeln zu Ihrem Dienstkonto hinzuzufügen, und wählen Sie dann SPEICHERN.

Rollen zum Cloud Build-Dienstkonto hinzufügen

So fügen Sie dem Cloud Build-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Auf der Seite IAM suchen Sie das Cloud Build-Dienstkonto, das an einer E-Mail-Adresse erkennbar ist, die mit der Projekt-ID und dem Wort cloudbuild beginnt.

   Zum Beispiel: <project-id>@cloudbuild.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol, um die Rollen des Cloud Build-Kontos zu bearbeiten.

4. Auf der Seite Edit access to “project-id” page für die ausgewählte Prinzipaloption wählen Sie ADD ANOTHER ROLE, um die erforderlichen Rollen einzeln zu Ihrem Cloud Build-Dienstkonto hinzuzufügen, und wählen Sie dann SAVE.

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der Rollen zu erhalten.

Nach dem 29. April 2024

Citrix Cloud verwendet zwei separate Dienstkonten innerhalb des Google Cloud-Projekts:

• Citrix Cloud-Dienstkonto: Dieses Dienstkonto ermöglicht Citrix Cloud den Zugriff auf das Google-Projekt, die Bereitstellung und Verwaltung von Maschinen. Dieses Dienstkonto authentifiziert sich bei Google Cloud mithilfe eines von Google Cloud generierten Schlüssels.

  Sie müssen dieses Dienstkonto manuell erstellen.

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren. Zum Beispiel: <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Cloud Compute-Dienstkonto: Dieses Dienstkonto wird automatisch bereitgestellt, nachdem Sie alle in Google Cloud APIs aktivieren genannten APIs aktiviert haben. Um alle automatisch erstellten Dienstkonten anzuzeigen, navigieren Sie in der Google Cloud-Konsole zu IAM & Admin > IAM und aktivieren Sie das Kontrollkästchen Include Google-provided role grants. Dieses Konto hat die IAM-Basis-Editor-Rolle, um die Vorgänge auszuführen. Wenn Sie jedoch die Standardberechtigung löschen, um eine granularere Kontrolle zu haben, müssen Sie die Rolle Storage Admin hinzufügen, die die folgenden Berechtigungen erfordert:

  • resourcemanager.projects.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort compute beginnt. Zum Beispiel: <project-id>-compute@developer.gserviceaccount.com.

  Überprüfen Sie, ob dem Dienstkonto die folgenden Rollen zugewiesen wurden.

  • Cloud Build-Dienstkonto
  • Compute-Instanz-Administrator
  • Dienstkontobenutzer

Erstellen eines Citrix Cloud-Dienstkontos

Gehen Sie wie folgt vor, um ein Citrix Cloud-Dienstkonto zu erstellen:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Dienstkonten.
2. Wählen Sie auf der Seite Dienstkonten die Option DIENSTKONTO ERSTELLEN.
3. Geben Sie auf der Seite Dienstkonto erstellen die erforderlichen Informationen ein und wählen Sie dann ERSTELLEN UND FORTFAHREN.

4. Klicken Sie auf der Seite Diesem Dienstkonto Zugriff auf das Projekt gewähren auf das Dropdown-Menü Rolle auswählen und wählen Sie die erforderlichen Rollen aus. Klicken Sie auf +WEITERE ROLLE HINZUFÜGEN, wenn Sie weitere Rollen hinzufügen möchten.

   Jedes Konto (persönlich oder Dienstkonto) hat verschiedene Rollen, die die Verwaltung des Projekts definieren. Weisen Sie diesem Dienstkonto die folgenden Rollen zu:

   • Compute-Administrator
   • Speicher-Administrator
   • Cloud Build-Editor
   • Dienstkontobenutzer
   • Cloud Datastore-Benutzer
   • Cloud KMS Crypto-Operator

   Der Cloud KMS Crypto-Operator erfordert die folgenden Berechtigungen:

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der verfügbaren Rollen beim Erstellen eines neuen Dienstkontos zu erhalten.

5. Klicken Sie auf WEITER
6. Fügen Sie auf der Seite Benutzern Zugriff auf dieses Dienstkonto gewähren Benutzer oder Gruppen hinzu, um ihnen Zugriff zum Ausführen von Aktionen in diesem Dienstkonto zu gewähren.
7. Klicken Sie auf FERTIG.
8. Navigieren Sie zur IAM-Hauptkonsole.
9. Identifizieren Sie das erstellte Dienstkonto.
10. Überprüfen Sie, ob die Rollen erfolgreich zugewiesen wurden.

Überlegungen:

Beachten Sie beim Erstellen des Dienstkontos Folgendes:

• Die Schritte Diesem Dienstkonto Zugriff auf das Projekt gewähren und Benutzern Zugriff auf dieses Dienstkonto gewähren sind optional. Wenn Sie diese optionalen Konfigurationsschritte überspringen, wird das neu erstellte Dienstkonto nicht auf der Seite IAM & Admin > IAM angezeigt.
• Um die einem Dienstkonto zugeordneten Rollen anzuzeigen, fügen Sie die Rollen hinzu, ohne die optionalen Schritte zu überspringen. Dieser Prozess stellt sicher, dass die Rollen für das konfigurierte Dienstkonto angezeigt werden.

Citrix Cloud-Dienstkontoschlüssel

Der Citrix Cloud-Dienstkontoschlüssel ist für die Erstellung einer Verbindung in Citrix DaaS erforderlich. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Die Datei wird nach dem Erstellen des Schlüssels automatisch heruntergeladen und im Ordner Downloads gespeichert. Stellen Sie beim Erstellen des Schlüssels sicher, dass der Schlüsseltyp auf JSON eingestellt ist. Andernfalls kann Web Studio ihn nicht analysieren.

Um einen Dienstkontoschlüssel zu erstellen, navigieren Sie zu IAM & Admin > Dienstkonten und klicken Sie auf die E-Mail-Adresse des Citrix Cloud-Dienstkontos. Wechseln Sie zur Registerkarte Schlüssel und wählen Sie Schlüssel hinzufügen > Neuen Schlüssel erstellen. Stellen Sie sicher, dass Sie JSON als Schlüsseltyp auswählen.

Tipp:

Erstellen Sie Schlüssel über die Seite Dienstkonten in der Google Cloud Console. Wir empfehlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie können der Citrix Virtual Apps and Desktops-Anwendung neue Schlüssel bereitstellen, indem Sie eine vorhandene Google Cloud-Verbindung bearbeiten.

Rollen zum Citrix Cloud-Dienstkonto hinzufügen

So fügen Sie dem Citrix Cloud-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM > BERECHTIGUNGEN das von Ihnen erstellte Dienstkonto, das anhand einer E-Mail-Adresse identifizierbar ist.

   Zum Beispiel: <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol aus, um den Zugriff auf den Prinzipal des Dienstkontos zu bearbeiten.
4. Wählen Sie auf der Seite Zugriff auf „project-id“ bearbeiten für die ausgewählte Prinzipaloption die Option WEITERE ROLLE HINZUFÜGEN, um die erforderlichen Rollen einzeln zu Ihrem Dienstkonto hinzuzufügen, und wählen Sie dann SPEICHERN.

Rollen zum Cloud Compute-Dienstkonto hinzufügen

So fügen Sie dem Cloud Compute-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM das Cloud Compute-Dienstkonto, das an einer E-Mail-Adresse erkennbar ist, die mit der Projekt-ID und dem Wort compute beginnt.

   Zum Beispiel: <project-id>-compute@developer.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol aus, um die Rollen des Cloud Build-Kontos zu bearbeiten.

4. Wählen Sie auf der Seite Zugriff auf „project-id“ bearbeiten für die ausgewählte Prinzipaloption die Option WEITERE ROLLE HINZUFÜGEN, um die erforderlichen Rollen einzeln zu Ihrem Cloud Build-Dienstkonto hinzuzufügen, und wählen Sie dann SPEICHERN.

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der Rollen zu erhalten.

Speicherberechtigungen und Bucket-Verwaltung

Citrix Virtual Apps and Desktops verbessert den Prozess der Berichterstattung über Cloud Build-Fehler für den Google Cloud-Dienst. Dieser Dienst führt Builds in der Google Cloud aus. Citrix Virtual Apps and Desktops erstellt einen Speicher-Bucket namens citrix-mcs-cloud-build-logs-{region}-{5 random characters}, in dem die Google Cloud-Dienste Build-Protokollinformationen erfassen. Für diesen Bucket ist eine Option festgelegt, die den Inhalt nach 30 Tagen löscht. Dieser Prozess erfordert, dass das für die Verbindung verwendete Dienstkonto über Google Cloud-Berechtigungen verfügt, die auf storage.buckets.update festgelegt sind. Wenn das Dienstkonto diese Berechtigung nicht hat, ignoriert Citrix Virtual Apps and Desktops Fehler und fährt mit dem Katalogerstellungsprozess fort. Ohne diese Berechtigung erhöht sich die Größe der Build-Protokolle und erfordert eine manuelle Bereinigung.

Privaten Google-Zugriff aktivieren

Wenn einer VM keine externe IP-Adresse für ihre Netzwerkschnittstelle zugewiesen ist, werden Pakete nur an andere Ziele interner IP-Adressen gesendet. Wenn Sie den privaten Zugriff aktivieren, stellt die VM eine Verbindung zu den externen IP-Adressen her, die von der Google API und den zugehörigen Diensten verwendet werden.

Hinweis:

Unabhängig davon, ob der private Google-Zugriff aktiviert ist, müssen alle VMs mit und ohne öffentliche IP-Adressen auf die öffentlichen Google APIs zugreifen können, insbesondere wenn Netzwerkgeräte von Drittanbietern in der Umgebung installiert wurden.

Um sicherzustellen, dass eine VM in Ihrem Subnetz ohne öffentliche IP-Adresse für die MCS-Bereitstellung auf die Google APIs zugreifen kann:

1. Greifen Sie in Google Cloud auf die VPC-Netzwerkkonfiguration zu.
2. Aktivieren Sie im Bildschirm mit den Subnetzdetails den privaten Google-Zugriff.

Weitere Informationen finden Sie unter Konfigurieren des privaten Google-Zugriffs.

Wichtig:

Wenn Ihr Netzwerk so konfiguriert ist, dass der VM-Zugriff auf das Internet verhindert wird, stellen Sie sicher, dass Ihre Organisation die Risiken übernimmt, die mit der Aktivierung des privaten Google-Zugriffs für das Subnetz verbunden sind, mit dem die VM verbunden ist.

Nächste Schritte

• Kernkomponenten installieren
• VDAs installieren
• Site erstellen
• Informationen zum Erstellen und Verwalten einer Verbindung in Google Cloud-Umgebungen finden Sie unter Verbindung zu Google Cloud-Umgebungen

Weitere Informationen

• Verbindungen und Ressourcen erstellen und verwalten
• Maschinenkataloge erstellen