PoC-Handbuch: Gemeinsame VPC-Unterstützung der Google Cloud Platform (GCP) mit Citrix DaaS

Übersicht

Citrix DaaS unterstützt die gemeinsame VPC der Google Cloud Platform (GCP). Dieses Dokument behandelt:

• Ein Überblick über die Citrix Unterstützung für Google Cloud Shared VPCs.

• Ein Überblick über die Terminologie in Bezug auf Google Cloud Shared VPCs.

• Konfigurieren einer Google Cloud-Umgebung zur Unterstützung der Verwendung von Shared VPCs.

• Verwendung von Google Shared VPCs für Hostverbindungen und die Bereitstellung von Maschinenkatalogen.

• Häufige Fehlerbedingungen und wie diese behoben werden können.

Voraussetzungen

In diesem Dokument werden Kenntnisse über Google Cloud und die Verwendung von Citrix DaaS für die Bereitstellung von Maschinenkatalogen in einem Google Cloud-Projekt vorausgesetzt.

Informationen zum Einrichten eines GCP-Projekts für Citrix DaaS finden Sie in der Produktdokumentation.

Zusammenfassung

Die Unterstützung von Citrix MCS für die Bereitstellung und Verwaltung von Maschinenkatalogen, die auf Shared VPCs bereitgestellt werden, entspricht funktional dem, was heute in Local VPCs unterstützt wird.

Es gibt zwei Arten, wie sie sich unterscheiden:

• Dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, müssen einige weitere Berechtigungen erteilt werden, damit MCS auf die Shared VPC-Ressourcen zugreifen und diese verwenden kann.

• Der Site-Administrator muss zwei Firewallregeln erstellen, jeweils eine für Ingress und Egress, die während des Image-Mastering-Prozesses verwendet werden.

Beides wird später in diesem Dokument ausführlicher erörtert.

Google Cloud Geteilte VPCs

GCP Shared VPCs bestehen aus einem Host-Projekt, aus dem die gemeinsam genutzten Subnetze zur Verfügung gestellt werden, und einem oder mehreren Serviceprojekten, die die Ressourcen nutzen.

Die Verwendung von Shared VPCs ist eine gute Option für größere Installationen, da sie eine zentralere Kontrolle, Nutzung und Verwaltung von gemeinsam genutzten Google-Cloud-Ressourcen für Unternehmen bieten. Google Cloud beschreibt es so:

“Shared VPC ermöglicht es einem Unternehmen, Ressourcen aus mehreren Projekten mit einem gemeinsamen Virtual Private Cloud (VPC) -Netzwerkzu verbinden, sodass sie mithilfe interner IPs aus diesem Netzwerk sicher und effizient miteinander kommunizieren können. Wenn Sie Shared VPC verwenden, bestimmen Sie ein Projekt als Hostprojekt und hängen ein oder mehrere andere Dienstprojekte an dieses an. Die VPC-Netzwerke im Hostprojekt werden als Shared VPC-Netzwerke bezeichnet. Geeignete Ressourcen aus Serviceprojekten können Subnetze im Shared VPC-Netzwerk verwenden. “

Der obige Absatz wurde von der Google-Dokumentationsseiteübernommen.

Neue Berechtigungen erforderlich

Bei der Arbeit mit Citrix DaaS und Google Cloud muss beim Erstellen der Hostverbindung ein GCP-Dienstkonto mit bestimmten Berechtigungen bereitgestellt werden. Wie oben erwähnt, müssen für die Verwendung von GCP Shared VPCs allen Dienstkonten, die zum Erstellen von Shared VPC-basierten Hostverbindungen verwendet werden, zusätzliche Berechtigungen erteilt werden.

Technisch gesehen sind die erforderlichen Berechtigungen nicht “neu”, da sie bereits für die Verwendung von Citrix DaaS mit GCP und lokalen VPCs erforderlich sind. Die Änderung besteht darin, dass die Berechtigungen erteilt werden müssen, um den Zugriff auf die freigegebenen VPC-Ressourcen zu ermöglichen. Dies wird durch Hinzufügen des Dienstkontos zu den IAM-Rollen für das Hostprojekt erreicht und im Abschnitt “How To” dieses Dokuments ausführlich behandelt.

Hinweis:

Informationen zu den Berechtigungen, die für das aktuell ausgelieferte Citrix DaaS-Produkt erforderlich sind, finden Sie auf der Citrix-Dokumentationssite unter Ressourcenstandorte.

Insgesamt müssen dem mit der Hostverbindung verknüpften Dienstkonto maximal vier zusätzliche Berechtigungen erteilt werden:

1. compute.firewalls.list - Pflichtfeld

   Diese Berechtigung ist erforderlich, damit Citrix MCS die Liste der Firewallregeln abrufen kann, die in der Shared VPC vorhanden sind (siehe unten ausführlich).

2. compute.networks.list - Pflichtfeld

   Diese Berechtigung ist erforderlich, damit Citrix MCS die für das Dienstkonto verfügbaren Shared VPC-Netzwerke identifizieren kann.

3. compute.subnetworks.list — Kann Pflichtfeld sein (siehe unten)

   Diese Berechtigung ist erforderlich, damit MCS die Subnetze innerhalb der sichtbaren Shared VPCs identifizieren kann.

   Hinweis:

   Diese Berechtigung ist bereits für die Verwendung von Local VPCs erforderlich, muss aber auch im Shared VPC Host-Projekt zugewiesen werden.

4. compute.subnetworks.use - Kann obligatorisch sein (siehe unten)

   Diese Berechtigung ist erforderlich, um die Subnetzressourcen in den bereitgestellten Maschinenkatalogen zu nutzen.

   Hinweis:

   Diese Berechtigung ist bereits für die Verwendung von Local VPCs erforderlich, muss aber auch im Shared VPC Host Project zugewiesen werden.

Die letzten beiden Punkte werden als “May be mandatory” bezeichnet, da beim Umgang mit diesen Berechtigungen zwei verschiedene Ansätze zu berücksichtigen sind:

• Berechtigungenauf Projektebene

  • Ermöglicht Zugriff auf alle freigegebenen VPCs im Hostprojekt.

  • Erfordert, dass die Berechtigungen #3 und #4 dem Dienstkonto zugewiesen werden müssen.

• Berechtigungenauf Subnetebene

  • Ermöglicht den Zugriff auf einzelne Subnetze in der freigegebenen VPC.

  • Die Berechtigungen #3 und #4 sind intrinsisch für die Zuweisung auf Subnetzebene und müssen daher nicht direkt dem Dienstkonto zugewiesen werden.

Beispiele für beide Ansätze finden Sie unten im Abschnitt “How To” dieses Dokuments.

Beide Ansätze werden gleich gut funktionieren. Wählen Sie den Berechtigungstyp aus, der Ihren Anforderungen und Sicherheitsstandards entspricht. Nähere Informationen zum Unterschied zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie in der Google Cloud-Dokumentation.

Host-Projekt

Um Shared VPCs in Google Cloud zu verwenden, bestimmen und aktivieren Sie zunächst ein Google Cloud-Projekt als Hostprojekt. Dieses Hostprojekt enthält ein oder mehrere gemeinsam genutzte VPC-Netzwerke, die von anderen Google Cloud-Projekten innerhalb der Organisation genutzt werden.

Das Konfigurieren des Shared VPC Host Project, das Erstellen von Subnetzen und das Teilen des gesamten Projekts oder bestimmter Subnetze mit anderen Google Cloud Projects sind rein mit Google Cloud verbundene Aktivitäten und nicht im Rahmen dieses Dokuments enthalten. Die Google Cloud-Dokumentation zum Erstellen und Arbeiten mit Shared VPCs finden Sie hier.

Firewallregeln

Ein wichtiger Schritt bei der Verarbeitung hinter den Kulissen, der bei der Bereitstellung oder Aktualisierung eines Maschinenkatalogs auftritt, wird als Masteringbezeichnet. Dies ist der Fall, wenn das ausgewählte Maschinenimage kopiert und darauf vorbereitet wird, die Masterimage-Systemdatenträger für den Katalog zu sein. Während des Mastering wird dieser Datenträger an eine temporäre virtuelle Maschine, die Vorbereitungsmaschine, angeschlossen und gestartet, damit Vorbereitungsskripts ausgeführt werden können. Diese virtuelle Maschine muss in einer isolierten Umgebung ausgeführt werden, die den gesamten ein- und ausgehenden Netzwerkverkehr verhindert. Dies wird durch ein Paar Deny-All-Firewallregeln erreicht; eine für eingehenden und eine für ausgehenden Verkehr.

Bei der Verwendung von GCP Local VPCs erstellt MCS dieses Firewallregelpaar im laufenden Betrieb, wendet sie zum Mastering auf die Maschine an und entfernt sie, wenn das Mastering abgeschlossen ist.

Citrix empfiehlt, die Anzahl der neuen Berechtigungen, die für die Verwendung von Shared VPCs erforderlich sind, auf ein Minimum zu beschränken, da Shared VPCs Unternehmensressourcen auf höherer Ebene sind und in der Regel über strittigere Sicherheitsprotokolle verfügen. Aus diesem Grund muss der Site-Administrator ein Paar Firewallregeln (eine für eingehenden und eine für ausgehenden Verkehr) für jede Shared VPC mit der höchsten Priorität erstellen und auf jede der Regeln ein neues Target Tag anwenden. Der Wert für Target Tag ist:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln, die dieses Target-Tag enthalten, untersucht die Regeln auf Korrektheit und wendet sie auf die Vorbereitungsmaschine an.

Wenn die Firewallregeln nicht gefunden werden oder die Regeln gefunden werden, die Regeln oder Prioritäten jedoch nicht korrekt sind, wird eine Meldung dieses Formulars zurückgegeben:

Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC \<name\> in project \<project\>. Please ensure you have created deny all firewall rules with the network tagcitrix-provisioning-quarantine-firewall and proper priority. Refer to Citrix Documentation for details.

Cloud Connectors

Wenn Sie eine Shared VPC für Citrix DaaS-Maschinenkataloge verwenden, erstellen Sie zwei oder mehr Cloud Connectors, um auf den Domänencontroller zuzugreifen, der sich in der freigegebenen VPC befindet. In diesem Fall empfiehlt es sich, eine GCP-Maschineninstanz in Ihrem lokalen Projekt zu erstellen und der Instanz eine zusätzliche Netzwerkschnittstelle hinzuzufügen. Die erste Schnittstelle wäre mit einem Subnetz in der Shared VPC verbunden. Die zweite Netzwerkschnittstelle würde eine Verbindung zu einem Subnetz in Ihrer lokalen VPC herstellen, um den Zugriff für die administrative Kontrolle und Wartung über Ihren Local VPC Bastion Server zu ermöglichen.

Leider können Sie einer GCP-Instanz keine Netzwerkschnittstelle hinzufügen, nachdem sie erstellt wurde. Dies ist ein einfacher Prozess und wird im Folgenden in einem der How Tu -Einträge behandelt.

So geht’s Abschnitt

Der folgende Abschnitt enthält eine Reihe von Anleitungsbeispielen, die Ihnen helfen, die Schritte zum Durchführen der Konfigurationsänderungen zu verstehen, die für die Verwendung von Google Shared VPCs mit Citrix DaaS erforderlich sind.

Die in Screenshots von Google Console vorgestellten Beispiele finden alle in einem hypothetischen Google-Projekt namens Shared VPC Project 1statt.

How To: Erstellen einer neuen IAM-Rolle

Einige zusätzliche Berechtigungen müssen dem Dienstkonto gewährt werden, das beim Erstellen der Hostverbindung verwendet wird. Da die Absicht der Bereitstellung auf gemeinsam genutzten VPCs darin besteht, die Bereitstellung mehrerer Projekte in derselben freigegebenen VPC zu ermöglichen, besteht der effizienteste Ansatz darin, eine neue Rolle im Host-Projekt mit den gewünschten Berechtigungen zu erstellen und diese Rolle dann jedem Dienstkonto zuzuweisen, das Zugriff auf die Shared VPC erfordert.

Im Folgenden erstellen wir die auf Projektebene die Rolle Citrix-ProjectLevel-SharedVpcRole. Die Rolle auf Subnetzebene folgt einfach den gleichen Schritten für die ersten beiden zugewiesenen Berechtigungssätze.

IAM & Admin in der Google Console

Greifen Sie in der Google Cloud Console auf die Konfigurationsoption IAM & Admin zu:

Rolle erstellen

Wählen Sie Rolle erstellenaus:

Leerer Bildschirm “Rolle erstellen”

Es erscheint ein Bildschirm, der dem Folgenden ähnelt:

Geben Sie den Namen ein und ADD PERMISSION

Geben Sie den Rollennamenan. Klicken Sie auf BERECHTIGUNGEN HINZUFÜGEN, um das Update anzuwenden

Dialogfeld “Berechtigungen hinzufügen”

Nachdem Sie auf ADD PERMISSIONSgeklickt haben, erscheint ein Bildschirm, der dem folgenden ähnelt.

Beachten Sie, dass in diesem Bild das Texteingabefeld Tabelle filtern hervorgehoben wurde:

compute.firewalls.list hinzufügen Berechtigung

Wenn Sie auf das Texteingabefeld Tabelle filtern klicken, wird ein Kontextmenü angezeigt:

Kopieren Sie die Zeichenfolge compute.firewalls.list und fügen Sie sie in das Textfeld ein, wie unten gezeigt:

Die Auswahl des Eintrags compute.firewalls.list, der aus der Berechtigungstabelle herausgefiltert wurde, führt zu diesem Dialog:

Klicken Sie auf das Umschaltfeld, um die Berechtigung zu aktivieren:

Klicken Sie auf HINZUFÜGEN.

Der Bildschirm Rolle erstellen wird wieder angezeigt. Beachten Sie, dass die Berechtigung compute.firewalls.list der Rolle hinzugefügt wurde:

compute.networks.list hinzufügen Berechtigung

Fügen Sie mit den gleichen Schritten wie oben die Berechtigung compute.networks.list hinzu. Stellen Sie jedoch sicher, dass Sie die richtige Regel auswählen. Wie Sie unten sehen können, werden beim Eingeben des Berechtigungstexts in das Filtertabellenfeld zwei Berechtigungen aufgeführt. Wählen Sie den Eintrag compute.networks.list :

Klicken Sie auf HINZUFÜGEN.

Die zwei obligatorischen Berechtigungen, die unserer Rolle hinzugefügt wurden:

Projektebene oder Subnet-Level

Bestimmen Sie, welche Zugriffsebene die Rolle hat, z. B. Zugriff auf Projektebene oder ein eingeschränkteres Modell mithilfe des Zugriffs auf Subnetze. Für die Zwecke dieses Dokuments erstellen wir derzeit die Rolle mit dem Namen Citrix-ProjectLevel-SharedVpc Role, daher fügen wir die Berechtigungen compute.subnetworks.list und compute.subnetworks.use mithilfe der oben genannten Schritte hinzu. Der resultierende Bildschirm sieht so aus, wobei die vier Berechtigungen erteilt wurden, bevor Sie auf Erstellenklicken:

Klicken Sie auf CREATE.

Hinweis:

Wenn die Rolle auf Subnetebene hier erstellt wurde, hätten wir auf CREATE geklickt, anstatt die beiden zusätzlichen Berechtigungen compute.subnetworks.list und compute.subnetworks.use hinzuzufügen.

Citrix-ProjectLevel-SharedVpc Role Created

Gewusst wie: Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Nachdem wir das neue erstellt haben Citrix-ProjectLevel-SharedVpc Role, müssen wir ihm innerhalb des Hostprojekts ein Dienstkonto hinzufügen. In diesem Beispiel verwenden wir ein Dienstkonto mit dem Namen citrix-shared-vpc-service-account.

Navigiere zu IAM & Admin

Der erste Schritt besteht darin, zum Bildschirm IAM & Roles für das Projekt zu navigieren. Wählen Sie in der Konsole IAM und Adminaus. Wählen Sie IAM:

Fenster “Projektberechtigungen”

Fügen Sie Mitglieder mit den angegebenen Berechtigungen hinzu. Klicken Sie auf HINZUFÜGEN, um die Mitgliederliste anzuzeigen:

Bereich “Mitglieder hinzufügen”

Wenn Sie auf HINZUFÜGEN klicken, wird ein kleines Panel wie in der Abbildung unten gezeigt angezeigt. Die Daten werden im folgenden Schritt eingegeben.

Dienstkonto hinzufügen

Beginnen Sie mit der Eingabe des Namens Ihres Dienstkontos in das Feld. Während der Eingabe durchsucht Google Cloud die Projekte, auf die Sie zugreifen können, und eine eingeschränkte Liste möglicher Übereinstimmungen vorlegen. In diesem Fall haben wir eine Übereinstimmung (die direkt unter dem Ausfüllen angezeigt wird), also wählen wir diesen Eintrag aus:

Rollen-Selektion

Nachdem Sie den Mitgliedsnamen (in unserem Fall das Dienstkonto) angegeben haben, wählen Sie eine Rolle aus, die das Dienstkonto wie im Shared VPC-Projekt funktionieren soll. Starten Sie diesen Prozess, indem Sie auf die angegebene Liste klicken:

Auswählen einer Rolle

Beachten Sie, dass der Prozess “ Rolle auswählen” dem Prozess “Rolle auswählen” dem vorherigen How To - Create a New IAM-Rolle entspricht. In diesem Fall werden mehrere weitere Optionen sowie das Ausfüllen angezeigt.

Geben Sie die Rolle

Da wir die Rolle kennen, die wir anwenden möchten, können wir anfangen zu tippen. Sobald die beabsichtigte Rolle angezeigt wird, wählen Sie die Rolle aus:

Auswählen und speichern

Nachdem Sie die Rolle ausgewählt haben, klicken Sie auf Speichern:

Wir haben das Dienstkonto nun erfolgreich zum Hostprojekt hinzugefügt.

Gewusst wie: Berechtigungen auf Subnetzebene

Wenn Sie sich entschieden haben, den Zugriff auf Subnetzebene anstelle des Zugriffs auf Projektebene zu verwenden, müssen Sie die Dienstkonten, die mit der freigegebenen VPC verwendet werden sollen, als Mitglieder für jedes Subnetz hinzufügen, das die Ressourcen darstellt, auf die zugegriffen werden soll. In diesem Abschnitt werden wir das angegebene Dienstkonto sharedvpc-sa\@citrix-mcs-documentation.iam.gserviceaccount.com mit Zugriff auf ein einzelnes Subnetz in unserer Shared VPC bereitstellen.

Navigieren Sie zu VPC > Shared VPC

Der erste Schritt besteht darin, in Google Console zum Bildschirm Shared VPC zu navigieren:

Erster freigegebener VPC-Bildschirm

Dies ist die Zielseite für den Google Cloud Console Shared VPC-Bildschirm. Dieses Projekt zeigt fünf Subnetze. Das Dienstkonto in diesem Beispiel erfordert Zugriff auf das zweite Subnet-Subnetz (das letzte Subnetz in der Liste unten).

Aktivieren Sie das Kontrollkästchen neben dem zweiten Subnetz-Subnetz :

Wählen Sie das Subnetz für den Zugriff auf das Dienstkonto aus

Nachdem das Kontrollkästchen für das letzte Subnetz aktiviert wurde, beachten Sie, dass die Option ADD MEMBER oben rechts auf dem Bildschirm angezeigt wird.

Es ist auch nützlich, dass diese Übung die Anzahl der Benutzer notiert, mit denen dieses Subnetz freigegeben wurde. Wie angegeben hat ein Benutzer Zugriff auf dieses Subnetz.

Klicken Sie auf MITGLIED HINZUFÜGEN:

Geben Sie einen neuen Mitgliedsnamen ein

Ähnlich wie bei den Schritten, die erforderlich sind, um das Dienstkonto zum Hostprojekt im vorhergehenden Abschnitt How Tor hinzuzufügen, muss der Name des neuen Mitglieds auch hier angegeben werden. Nach dem Ausfüllen des Namens listet Google Cloud alle zugehörigen Artikel (wie zuvor) auf, damit wir das entsprechende Dienstkonto auswählen können. In diesem Fall handelt es sich um einen einzelnen Eintrag.

Doppelklicken Sie auf das Dienstkonto, um es auszuwählen:

Wählen Sie eine Rolle für das neue Mitglied

Nachdem ein Dienstkonto ausgewählt wurde, muss auch eine Rolle für das neue Mitglied ausgewählt werden:

1. Klicken Sie in der Liste auf Rolle auswählen.

2. Doppelklicken Sie auf die Rolle Compute-Netzwerkbenutzer.

Rolle ausgewählt

Das Bild zeigt, dass das Dienstkonto und die Rolle angegeben wurden. Der einzige verbleibende Schritt besteht darin, auf SAVE zu klicken, um die Änderungen zu übernehmen:

Der Benutzer wurde dem Subnetz hinzugefügt

Nachdem die Änderungen gespeichert wurden, wird der Hauptbildschirm für freigegebene VPC angezeigt. Beachten Sie, dass die Anzahl der Benutzer, die Zugriff auf das letzte Subnetz haben, wie erwartet auf zwei gestiegen ist:

How To: Hinzufügen eines Project CloudBuild Service-Kontos zur freigegebenen VPC

Jedes Google Cloud-Abonnement hat ein Dienstkonto, das nach der Projekt-ID-Nummer gefolgt von cloudbuild.gserviceaccountbenannt ist. Ein Beispiel für einen vollständigen Namen (unter Verwendung einer erfundenen Projekt-ID) lautet:

705794712345 bei cloudbuild.gserviceaccount.

Dieses cloudbuild-Dienstkonto muss ebenfalls als Mitglied der Shared VPC hinzugefügt werden, genauso wie das Dienstkonto, das Sie zum Erstellen von Hostverbindungen verwenden, in Schritt 3 von How To: Add Service Account to Host Project IAM-Rollewar.

Sie können bestimmen, wie hoch die Projekt-ID-Nummer für Ihr Projekt ist, indem Sie im Google Cloud Console-Menü Startseite und Dashboard auswählen:

Suchen Sie die Projektnummer im Bereich Projektinformationen des Bildschirms.

Geben Sie die Kombination aus Projektnummer/cloudbuild.gserviceaccount in das Feld Mitglied hinzufügen ein. Weisen Sie eine Rolle des Computer-Netzwerkbenutzerszu:

Wählen Sie Speichern.

Gewusst wie: Firewallregeln

Das Erstellen der benötigten Firewallregeln ist etwas einfacher als das Erstellen der Rollen.

Wählen Sie Host-Projekt

Wie bereits in diesem Dokument erwähnt, müssen die beiden Firewallregeln im Hostprojekt erstellt werden.

Stellen Sie sicher, dass Sie das Hostprojektausgewählt haben.

VPC Netzwerk > Firewall

Navigieren Sie im Google Console-Menü zu VPC > Firewall, wie unten gezeigt:

Schaltfläche Firewallregel erstellen

Am oberen Rand des Firewall-Bildschirms in Google Console enthält eine Schaltfläche zum Erstellen einer neuen Regel.

Klicken Sie auf CREATE FIREWALL RULE:

Neuen Firewall-Bildschirm erstellen

Der Bildschirm zum Erstellen neuer Firewallregeln ist unten dargestellt:

Ingress-Regel: Daten ausfüllen

Erstellen Sie zunächst die erforderliche Deny-All Ingress-Regel, indem Sie den folgenden Feldern Werte hinzufügen oder ändern:

• Name

  Geben Sie Ihrer Deny-All Ingress-Firewallregel einen Namen. Beispiel: citrix-deny-all-ingress-rule.

• Netzwerk

  Wählen Sie das Shared VPC-Netzwerk, gegen das diese Ingress-Firewallregel angewendet wird. Zum Beispiel: gcp-test-vpc.

• Priorität

  Der Wert in diesem Bereich ist entscheidend. In der Welt der Firewallregeln gilt: Je niedriger der Prioritätswert ist, desto höher ist die Regel im Vordergrund. Aus diesem Grund haben alle Standardregeln einen Wert von 66536, sodass alle benutzerdefinierten Regeln, die einen Wert unter 65536 haben, Vorrang vor einer der Standardregeln haben.

  Für diese beiden Regeln müssen sie die Regeln mit der höchsten Priorität im Netzwerk haben. Wir werden einen Wert von 10 verwenden.

• Richtung des Verkehrs

  Die Standardeinstellung für das Erstellen einer neuen Regel ist Ingress, die bereits ausgewählt sein sollte.

• Aktion bei Spiel

  Dieser Wert wird standardmäßig auf Zulassengesetzt. Wir müssen es in Denyändern.

• Ziele

  Dies ist das andere sehr kritische Gebiet. Der Standardtyp von Zielen ist Angegebene Ziel-Tags, die genau das ist, was wir wollen. Geben Sie im Textfeld Target Tags den Wert citrix-provisioning-quarantine-firewall ein.

• Quell-Filter

  Für den Quellfilter behalten wir den Standardfiltertyp der IP-Bereiche bei und geben einen Bereich ein, der dem gesamten Datenverkehr entspricht. Dafür verwenden wir einen Wert von 0.0.0.0/0.

• Protokolle und Ports

  Wählen Sie unter Protokolle und Ports die Option Alle verweigern aus.

Der fertige Bildschirm sollte so aussehen:

Klicken Sie auf CREATE und generieren Sie die neue Regel.

Egress-Regel: Daten ausfüllen

Die Ausgangsregel ist fast identisch mit der zuvor erstellten Ingress-Regel. Verwenden Sie die CREATE FIREWALL RULE wie oben beschrieben erneut und füllen Sie die Felder wie unten beschrieben aus:

• Name

  Geben Sie Ihrer Deny-All Egress-Firewallregel einen Namen. Hier werden wir sie citrix-deny-all-egress-rule nennen.

• Netzwerk

  Wählen Sie hier das gleiche Shared VPC-Netzwerk aus, das beim Erstellen der obigen Ingress-Firewallregel verwendet wurde. Zum Beispiel: gcp-test-vpc.

• Priorität

  Wie oben erwähnt, werden wir einen Wert von 10 verwenden.

• Richtung des Verkehrs

  Für diese Regel müssen wir von der Standardeinstellung wechseln und Egressauswählen.

• Aktion bei Spiel

  Dieser Wert wird standardmäßig auf Zulassengesetzt. Wir müssen es in Denyändern.

• Ziele

  Geben Sie den Wert citrix-provisioning-quarantine-firewall in das Feld Ziel-Tags ein.

• Quell-Filter

  Für den Quellfilterbehalten wir den Standardfiltertyp von IP-Bereichen bei und geben einen Bereich ein, der dem gesamten Datenverkehr entspricht. Dafür verwenden wir einen Wert von 0.0.0.0/0.

• Protokolle und Ports

  Wählen Sie unter Protokolle und Ports die Option Alle verweigern aus.

Der fertige Bildschirm sollte so aussehen:

Klicken Sie auf CREATE, um die neue Regel zu generieren.

Die beiden notwendigen Firewallregeln wurden erstellt. Wenn bei der Bereitstellung von Maschinenkatalogen mehrere gemeinsam genutzte VPCs verwendet werden, wiederholen Sie die oben ausgeführten Schritte. Erstellen Sie zwei Regeln für jedes der identifizierten Shared VPCs in ihren jeweiligen Host-Projekten.

How To: Hinzufügen einer Netzwerkschnittstelle zu Cloud Connector-Instanz

Wenn Sie Cloud Connectors für die Verwendung mit der Shared VPC erstellen, muss der Instanz bei der Erstellung eine zusätzliche Netzwerkschnittstelle hinzugefügt werden.

Zusätzliche Netzwerkschnittstellen können nicht hinzugefügt werden, sobald die Instanz existiert. So fügen Sie die zweite Netzwerkschnittstelle hinzu:

Der anfängliche Bereich für Netzwerkeinstellungen für eine GCP-Instanz

Dies ist der erste Bereich für Netzwerkeinstellungen, der beim ersten Erstellen einer Netzwerkinstanz angezeigt wird

Da wir die erste Netzwerkinstanz für die Shared VPC verwenden möchten, klicken Sie auf das Bleistift-Symbol, um in den Bearbeitungsmodus zu wechseln.

Der Bildschirm mit erweiterten Netzwerkeinstellungen ist unten. Ein wichtiger Punkt ist, dass wir jetzt die Option für Netzwerke sehen können, die mit mir geteilt wurden (aus dem Hostprojekt: citrix-shared-vpc-project-1) direkt unter dem Netzwerkschnittstellen-Banner :

Das Bedienfeld “Netzwerkeinstellungen” mit ausgewähltem Fenster “Gemeinsame VPC “ zeigt Folgendes

• Das Shared VPC-Netzwerk wurde ausgewählt.

• Das Subnetz-Subnetz wurde ausgewählt.

• Die Einstellung auf eine externe IP-Adresse wurde auf Nonegeändert.

Klicken Sie auf Fertig um die Änderungen zu speichern. Klicken Sie auf Netzwerkschnittstelle hinzufügen.

Zweite Netzwerkschnittstelle hinzufügen

Wir haben jetzt unser erstes Interface mit der Shared VPC verbunden (wie angegeben). Wir können die zweite Schnittstelle mit den gleichen Schritten konfigurieren, die normalerweise bei der Erstellung eines neuen Cloud Connector verwendet wird. Wählen Sie ein Netzwerk oder ein Subnetz aus, treffen Sie eine Entscheidung über eine externe IP-Adresse und klicken Sie dann auf Fertig:

Gewusst wie: Erstellen einer Hostverbindung und einer Hosting-Einheit

Das Erstellen einer Hostverbindung für die Verwendung mit Shared VPCs unterscheidet sich nicht wesentlich von der Erstellung einer für die Verwendung mit einer lokalen VPC. Der Unterschied besteht in der Auswahl der Ressourcen, die der Hostverbindung zugeordnet werden sollen. Verwenden Sie beim Erstellen einer Hostverbindung für den Zugriff auf freigegebene VPC-Ressourcen die JSON-Dateien für das Projekt, in dem sich die bereitgestellten Maschinen befinden.

Anmeldeinformationen und Verbindungsname

Das Erstellen einer Hostverbindung für die Verwendung von freigegebenen VPC-Ressourcen ähnelt dem Erstellen anderer GCP-bezogener Hostverbindungen:

Wählen Sie Projekt und Region

Sobald Ihr Projekt, das in der folgenden Abbildung alsDeveloper Projectangezeigt wird, der auf die Shared VPC zugreifen kann, hinzugefügt wurde, sehen Sie möglicherweise sowohl Ihr Projekt als auch das Shared VPC-Projekt in Studio. Es ist wichtig sicherzustellen, dass Sie das Projekt auswählen, in dem sich der bereitgestellte Maschinenkatalog befinden soll, und nicht die Shared VPC:

Ressourcen wählen

Wählen Sie die Ressourcen aus, die mit der Hostverbindung verknüpft sind.

Beachten Sie Folgendes:

• Der für die Ressourcen angegebene Name lautet SharedVPCResources.

• Die Liste der virtuellen Netzwerke, aus denen Sie auswählen können, enthält die aus dem lokalen Projekt sowie die aus der Shared VPC, die durch (Shared) an die Netzwerknamen angehängt wird.

Hinweis:

Wenn keine Netzwerke mit Shared an den Namen angehängt werden, klicken Sie auf die Schaltfläche Zurück und vergewissern Sie sich, dass Sie das richtige Projekt ausgewählt haben. Wenn Sie überprüfen, dass das ausgewählte Projekt korrekt ist und immer noch keine freigegebenen VPCs angezeigt werden, ist in der Google Cloud Console etwas falsch konfiguriert. Weitere Informationen zu häufig auftretenden Problemen und Fehlern finden Sie weiter unten in diesem Dokument.

Ressourcen ausgewählt

Die folgende Abbildung zeigt, dass das virtuelle gcp-test-vpc (Shared) Netzwerk im vorherigen Schritt ausgewählt wurde. Es zeigt auch, dass das Subnetz mit dem Namen subnet-good ausgewählt wurde. Klicken Sie auf Weiter.

Bildschirm “Zusammenfassung”

Nachdem Sie auf Weiter geklickt haben, erscheint der Bildschirm Zusammenfassung. In diesem Bildschirm sollten Sie Folgendes berücksichtigen:

• Das Projekt ist Developer Project.

• Das virtuelle Netzwerk ist gcp-test-vpc, eines aus der Shared VPC.

• Das Subnetz ist Subnet-gut.

Gewusst wie: Erstellen eines Katalogs

Von diesem Zeitpunkt an wird alles wie Katalogerstellung, Starten/Stoppen von Maschinen, Aktualisieren von Maschinen usw. genauso ausgeführt, wie es bei der Verwendung von Local VPCs der Fall ist.

Häufig auftretende Probleme und Fehler

Die Arbeit mit einem komplexen System mit Abhängigkeiten kann zu unerwarteten Situationen führen. Im Folgenden finden Sie einige häufig auftretende Probleme und Fehler, die bei der Einrichtung und Konfiguration für die Verwendung von Citrix DaaS und GCP Shared VPCs auftreten können.

Fehlende oder falsche Firewallregeln

Wenn die Firewallregeln nicht gefunden werden oder die Regeln gefunden werden, die Regeln oder Prioritäten jedoch nicht korrekt sind, wird eine Meldung dieses Formulars zurückgegeben:

“Es konnten keine gültigen INGRESS- und EGRESS-Quarantäne-Firewallregeln für VPC gefunden werden <name> im Projekt <project>. “Bitte stellen Sie sicher, dass Sie Firewallregeln mit dem Netzwerk-Tag “Citrix-Provisioning-Quarantäne-Firewall” und der richtigen Priorität erstellt haben. “ “Einzelheiten finden Sie in der Citrix Dokumentation. “);

Wenn diese Meldung angezeigt wird, müssen Sie die Firewallregeln, ihre Prioritäten und die Netzwerke überprüfen, für die sie gelten. Einzelheiten finden Sie im Abschnitt Vorgehensweise — Firewallregeln.

Fehlende gemeinsam genutzte Ressourcen beim Erstellen einer Hostverbindung

Es gibt einige Gründe, warum diese Situation eintreten kann:

Das falsche Projekt wurde beim Erstellen der Host-Verbindung ausgewählt

Wenn beispielsweise das Shared VPC Host-Projekt beim Erstellen der Hostverbindung anstelle Ihres Projekts ausgewählt wurde, sehen Sie weiterhin die Netzwerkressourcen aus der Shared VPC, an die sie jedoch nicht (Shared) angehängt werden.

Wenn Sie die freigegebenen Subnetze ohne diese zusätzlichen Informationen sehen, wurde die Hostverbindung wahrscheinlich mit dem falschen Dienstkonto hergestellt.

Weitere Informationen finden Sie unter Host-Verbindung und Hosting-Einheit erstellen.

Dem Dienstkonto wurde eine falsche Rolle zugewiesen

Wenn dem Dienstkonto die falsche Rolle zugewiesen wurde, können Sie möglicherweise nicht auf die gewünschten Ressourcen in der freigegebenen VPC zugreifen. Weitere Informationen finden Sie unter Vorgehensweise - Hinzufügen eines Dienstkontos zur Hostprojekt-IAM-Rolle.

Rolle erteilte unvollständige oder falsche Berechtigungen

Die richtige Rolle kann dem Dienstkonto zugewiesen werden, aber die Rolle selbst ist möglicherweise unvollständig. Weitere Informationen finden Sie unter Vorgehensweise — Erstellen einer neuen IAM-Rolle.

Dienstkonto wurde nicht als Subnet-Mitglied hinzugefügt

Wenn Sie den Zugriff auf Subnetzebene verwenden, stellen Sie sicher, dass das Dienstkonto als Mitglied (Benutzer) der gewünschten Subnetzressourcen ordnungsgemäß hinzugefügt wurde. Weitere Informationen finden Sie unter Vorgehensweise — Berechtigungen auf Subnetzebene.

Pfadfehler in Studio kann nicht gefunden werden

Wenn beim Erstellen eines Katalogs in Studio des Formulars eine Fehlermeldung angezeigt wird:

Cannot find path “XDHyp:\\Connections …” because it does not exist

Es ist sehr wahrscheinlich, dass kein neuer Cloud Connector erstellt wurde, um die Nutzung der Shared VPC-Ressourcen zu erleichtern. Es ist einfach zu übersehen, nachdem Sie alle oben genannten Schritte durchlaufen haben, um alles zu konfigurieren. In Cloud Connectors finden Sie wichtige Hinweise zur Erstellung dieser Connectors.