Citrix Virtual Apps and Desktops

Google Cloud-Umgebungen

Citrix Virtual Apps and Desktops ermöglicht das Provisioning und Verwalten von Maschinen in Google Cloud.

Anforderungen

  • Citrix Cloud-Konto. Das in diesem Artikel beschriebene Feature ist nur in Citrix Cloud verfügbar.
  • Ein Google Cloud-Projekt. Das Projekt umfasst alle Rechenressourcen, die dem Maschinenkatalog zugeordnet sind. Dies kann ein bestehendes oder ein neues Projekt sein.
  • Aktivieren Sie vier APIs in Ihrem Google Cloud-Projekt. Weitere Informationen finden Sie im Abschnitt Aktivieren von Google Cloud-APIs.
  • Google Cloud-Dienstkonto. Das Dienstkonto dient zur Authentifizierung bei Google Cloud, um Zugriff auf das Projekt zu erhalten. Weitere Informationen finden Sie unter Dienstkonten konfigurieren und aktualisieren.
  • Aktivieren des privaten Google-Zugriffs Einzelheiten finden Sie unter Enable-private-google-access.

Aktivieren von Google Cloud-APIs

Um die Google Cloud-Funktionalität mit Web Studio zu verwenden, müssen Sie diese APIs in Ihrem Google Cloud-Projekt aktivieren:

  • Compute Engine-API
  • Cloud Resource Manager-API
  • Identitäts- und Zugriffsverwaltung (IAM)-API
  • Cloud Build-API
  • Cloud-Schlüsselverwaltungsdienst (KMS)

Führen Sie in der Google Cloud-Konsole die folgenden Schritte aus:

  1. Wählen Sie im oberen linken Menü APIs and Services > Dashboard.

    Bild zu APIs & Services - Dashboard

  2. Stellen Sie im Dashboard-Bildschirm sicher, dass die Compute Engine-API aktiviert ist. Wenn nicht, führen Sie folgende Schritte aus:

    1. Gehen Sie zu APIs & Services > Library.

      Bild zu APIs & Services - Library

    2. Geben Sie im Suchfeld den Begriff Compute Engine ein.

    3. Wählen Sie in den Suchergebnissen Compute Engine API.

    4. Wählen Sie Enable auf der Seite Compute Engine API.

  3. Aktivieren Sie die Cloud Resource Manager-API.

    1. Gehen Sie zu APIs & Services > Library.

    2. Geben Sie im Suchfeld den Begriff Cloud Resource Manager ein.

    3. Wählen Sie in den Suchergebnissen Cloud Resource Manager API.

    4. Wählen Sie Enable auf der Seite Cloud Resource Manager-API. Der Status der API wird angezeigt.

  4. Aktivieren Sie auch IAM-API und Cloud Build-API auf diese Weise.

Sie können die APIs auch mit Google Cloud Shell aktivieren. Gehen Sie hierzu folgendermaßen vor:

  1. Öffnen Sie die Google-Konsole und laden Sie die Cloud Shell.
  2. Führen Sie in der Cloud Shell folgende vier Befehle aus:

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
  3. Klicken Sie auf Authorize, wenn Sie die Cloud Shell dazu auffordert.

Dienstkonten konfigurieren und aktualisieren

Citrix Cloud verwendet drei separate Dienstkonten im Google Cloud-Projekt:

  • Citrix Cloud-Dienstkonto: Dieses Dienstkonto ermöglicht Citrix Cloud den Zugriff auf das Google-Projekt, sowie Provisioning und Verwaltung von Maschinen. Ein von Google Cloud generierter Schlüssel wird vom Google Cloud-Konto für die Authentifizierung bei der Citrix Cloud verwendet.

    Sie müssen dieses Dienstkonto manuell erstellen.

    Sie können dieses Dienstkonto mit einer E-Mail-Adresse identifizieren. Beispiel: <my-service-account>@<project-id>.iam.gserviceaccount.com.

    Jedes Konto (persönlich oder Service) hat verschiedene Rollen, die das Management des Projekts definieren. Gewähren Sie diesem Dienstkonto die folgenden Rollen:

    • Compute-Administrator
    • Speicher-Administrator
    • Cloud Build-Editor
    • Dienstkontobenutzer
    • Cloud-Datenspeicherbenutzer
  • Cloud Build-Dienstkonto: Dieses Dienstkonto wird automatisch bereitgestellt, nachdem Sie alle unter Enable Google Cloud APIs aufgeführten APIs aktiviert haben.

    Sie können dieses Dienstkonto durch eine E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort cloudbuild beginnt. Beispiel: <project-id>@cloudbuild.gserviceaccount.com

    Gewähren Sie diesem Dienstkonto die folgenden Rollen:

    • Cloud Build-Dienstkonto
    • Compute Instance-Administrator
    • Dienstkontobenutzer
  • Cloud Compute-Dienstkonto: Dieses Dienstkonto wird von Google Cloud zu Instanzen hinzugefügt, die in Google Cloud erstellt wurden, sobald die Compute-API aktiviert wird. Dieses Konto hat die einfache IAM-Bearbeiterrolle, um die Operationen auszuführen. Wenn Sie jedoch die Standardberechtigung löschen, um eine präzisere Kontrolle zu haben, müssen Sie die Speicheradministratorrolle hinzufügen, für die die folgenden Berechtigungen erforderlich sind:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    Sie können dieses Dienstkonto durch eine E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort compute beginnt. Beispiel: <project-id>-compute@developer.gserviceaccount.com.

Citrix Cloud-Dienstkonto erstellen

Führen Sie folgende Schritte aus, um ein Citrix Cloud-Dienstkonto zu erstellen:

  1. Gehen Sie in der Google Cloud-Konsole zu IAM & Admin > Service accounts.
  2. Wählen Sie auf der Seite Service accounts CREATE SERVICE ACCOUNT.
  3. Geben Sie auf der Seite Create service account die erforderlichen Informationen ein und wählen Sie dann CREATE AND CONTINUE.
  4. Klicken Sie auf der Seite Grant this service account access to project auf das Dropdownmenü Select a role und wählen Sie die erforderlichen Rollen aus. Klicken Sie auf +ADD ANOTHER ROLE, wenn Sie weitere Rollen hinzufügen möchten.

    Hinweis:

    Aktivieren Sie alle APIs, um die vollständige Liste der beim Erstellen eines neuen Dienstkontos verfügbaren Rollen abzurufen.

  5. Klicken Sie auf CONTINUE.
  6. Fügen Sie auf der Seite Grant users access to this service account Benutzer oder Gruppen hinzu, um ihnen Zugriff auf Aktionen in diesem Dienstkonto zu gewähren.
  7. Klicken Sie auf DONE.
  8. Navigieren Sie zur IAM-Hauptkonsole.
  9. Identifizieren Sie das erstellte Dienstkonto.
  10. Überprüfen Sie, ob die Rollen erfolgreich zugewiesen wurden.

Überlegungen:

Beachten Sie beim Erstellen des Servicekontos Folgendes:

  • Die Schritte Grant this service account access to project und Grant users access to this service account sind optional. Wenn Sie diese optionalen Konfigurationsschritte überspringen, wird das neu erstellte Servicekonto nicht auf der Seite IAM & Admin > IAM angezeigt.

  • Um die mit dem Servicekonto verknüpften Rollen anzuzeigen, fügen Sie die Rollen hinzu, ohne die optionalen Schritte zu überspringen. Dadurch wird sichergestellt, dass Rollen für das konfigurierte Servicekonto angezeigt werden.

Citrix Cloud-Dienstkontoschlüssel

Wenn Sie ein Dienstkonto erstellen, können Sie einen Schlüssel für das Konto generieren. Sie benötigen diesen Schlüssel, wenn Sie eine Verbindung in Citrix Virtual Apps and Desktops erstellen. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Nachdem Sie den Schlüssel erstellt haben, wird die Datei automatisch heruntergeladen und im Ordner Downloads gespeichert. Stellen Sie beim Erstellen des Schlüssels sicher, dass der Schlüsseltyp auf JSON festgelegt wird. Andernfalls kann Web Studio die Datei nicht analysieren.

Tipp:

Erstellen Sie Schlüssel auf der Seite Service accounts in der Google Cloud-Konsole. Es wird empfohlen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie stellen der Citrix Virtual Apps and Desktops-Anwendung neue Schlüssel durch Bearbeiten einer vorhandenen Google Cloud-Verbindung bereit.

Citrix Cloud-Dienstkonto Rollen hinzufügen

So fügen Sie einem Citrix Cloud-Dienstkonto Rollen hinzu:

  1. Gehen Sie in der Google Cloud-Konsole zu IAM & Admin > IAM.
  2. Suchen Sie auf der Seite IAM > PERMISSIONS das erstellte Dienstkonto, erkennbar an der E-Mail-Adresse.

    Beispiel: <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Wählen Sie das Bleistiftsymbol, um den Zugriff auf den Prinzipal des Dienstkontos zu bearbeiten.
  4. Wählen Sie auf der Seite Edit access to “project-id” für den ausgewählten Prinzipal ADD ANOTHER ROLE, um Ihrem Dienstkonto die erforderlichen Rollen nacheinander hinzuzufügen, und wählen Sie SAVE.

Cloud Build-Dienstkonto Rollen hinzufügen

So fügen Sie einem Cloud Build-Dienstkonto Rollen hinzu:

  1. Gehen Sie in der Google Cloud-Konsole zu IAM & Admin > IAM.
  2. Suchen Sie auf der Seite IAM das Cloud Build-Dienstkonto, erkennbar an einer E-Mail-Adresse, die mit der Projekt-ID und dem Wort cloudbuild beginnt.

    Beispiel: <project-id>@cloudbuild.gserviceaccount.com

  3. Wählen Sie das Bleistiftsymbol, um die Cloud Build-Kontorollen zu bearbeiten.
  4. Wählen Sie auf der Seite Edit access to “project-id” für den ausgewählten Prinzipal ADD ANOTHER ROLE, um Ihrem Cloud Build-Dienstkonto die erforderlichen Rollen nacheinander hinzuzufügen, und wählen Sie SAVE.

    Hinweis:

    Aktivieren Sie alle APIs, um die vollständige Liste der Rollen abzurufen.

Speicherberechtigungen und Bucket-Verwaltung

Citrix Virtual Apps and Desktops verbessert die Meldung von Cloud Build-Fehlern für den Google Cloud-Dienst. Der Dienst führt Builds in Google Cloud aus. Citrix Virtual Apps and Desktops erstellt ein Speicher-Bucket unter dem Namen citrix-mcs-cloud-build-logs-{region}-{5 random characters}, in dem die Google Cloud-Dienste Build-Protokollinformationen erfassen. Für das Bucket ist festgelegt, dass dessen Inhalt nach 30 Tagen gelöscht wird. Für diesen Vorgang muss die Google Cloud-Berechtigung des für die Verbindung verwendeten Dienstkontos auf storage.buckets.update festgelegt sein. Hat das Dienstkonto diese Berechtigung nicht, ignoriert Citrix Virtual Apps and Desktops Fehler und setzt die Katalogerstellung fort. Ohne diese Berechtigung werden Build-Protokolle immer größer und erfordern eine manuelle Bereinigung.

Aktivieren des privaten Google-Zugriffs

Wenn der Netzwerkschnittstelle einer VM keine externe IP-Adresse zugewiesen ist, werden Pakete nur an andere interne IP-Adressenziele gesendet. Wenn Sie den privaten Zugriff aktivieren, stellt die VM eine Verbindung zu den von der Google-API und den zugehörigen Diensten verwendeten externen IP-Adressen her.

Hinweis:

Unabhängig davon, ob der private Google-Zugriff aktiviert ist, müssen alle VMs mit und ohne öffentliche IP-Adresse auf öffentliche Google-APIs zugreifen können, vor allem dann, wenn Netzwerkgeräte von Drittanbietern in der Umgebung installiert sind.

Damit eine VM im Subnetz ohne öffentliche IP-Adresse für das MCS-Provisioning auf die Google-APIs zugreifen kann, führen Sie folgende Schritte aus:

  1. Rufen Sie in Google Cloud VPC network configuration auf.
  2. Aktivieren Sie im Fenster “Subnet details” die Option Private Google access.

Privater Google-Zugriff

Weitere Informationen finden Sie unter Konfigurieren des privaten Google-Zugriffs.

Wichtig:

Wenn Ihr Netzwerk so konfiguriert ist, dass der VM-Zugriff auf das Internet unterbunden wird, stellen Sie sicher, dass Ihre Organisation das mit der Aktivierung des privaten Google-Zugriffs für das Subnetz der VMs verbundene Risiko einzugehen bereit ist.

So geht es weiter

Weitere Informationen

Google Cloud-Umgebungen