Google Cloud Platform (GCP) Gemeinsame VPC-Unterstützung mit Citrix Virtual Apps and Desktops

Übersicht

Der Citrix Virtual Apps and Desktops Service unterstützt gemeinsam genutzte VPC der Google Cloud Platform (GCP). Dieses Dokument behandelt:

  • Ein Überblick über die Citrix Unterstützung für Google Cloud Shared VPCs.

  • Ein Überblick über die Terminologie in Bezug auf Google Cloud Shared VPCs.

  • Konfigurieren einer Google Cloud-Umgebung zur Unterstützung der Verwendung von Shared VPCs.

  • Verwendung von Google Shared VPCs für Hostverbindungen und die Bereitstellung von Maschinenkatalogen.

  • Häufige Fehlerbedingungen und wie diese behoben werden können.

Voraussetzungen

In diesem Dokument werden Kenntnisse über Google Cloud und die Verwendung von Citrix Virtual Apps and Desktops Service zur Bereitstellung von Maschinenkatalogen in einem Google Cloud-Projekt vorausgesetzt.

Informationen zum Einrichten eines GCP-Projekts für Citrix Virtual Apps and Desktops Service finden Sie unter Produktdokumentation.

Zusammenfassung

Die Unterstützung von Citrix MCS für die Bereitstellung und Verwaltung von Maschinenkatalogen, die auf Shared VPCs bereitgestellt werden, entspricht funktional dem, was heute in Local VPCs unterstützt wird.

Es gibt zwei Arten, wie sie sich unterscheiden:

  • Dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, müssen einige weitere Berechtigungen erteilt werden, damit MCS auf die Shared VPC-Ressourcen zugreifen und diese verwenden kann.

  • Der Site-Administrator muss zwei Firewall-Regeln erstellen, jeweils eine für Ingress und Egress, die während des Image-Mastering-Prozesses verwendet werden.

Beides wird später in diesem Dokument ausführlicher erörtert.

Google Cloud Geteilte VPCs

GCP Shared VPCs bestehen aus einem Host-Projekt, aus dem die gemeinsam genutzten Subnetze zur Verfügung gestellt werden, und einem oder mehreren Serviceprojekten, die die Ressourcen nutzen.

Die Verwendung von Shared VPCs ist eine gute Option für größere Installationen, da sie eine zentralere Kontrolle, Nutzung und Verwaltung von gemeinsam genutzten Google-Cloud-Ressourcen für Unternehmen bieten. Google Cloud beschreibt es so:

“Shared VPC ermöglicht es einem, Ressourcen von mehreren Projekten mit einem gemeinsamen Organisation zu verbinden Virtual Private Cloud (VPC) -Netzwerk, damit sie sicher und effizient miteinander kommunizieren können, indem interne IPs aus diesem Netzwerk verwendet werden. Wenn Sie Shared VPC verwenden, bestimmen Sie ein Projekt als Hostprojekt und hängen ein oder mehrere andere Dienstprojekte an dieses an. Die VPC-Netzwerke im Hostprojekt werden als Shared VPC-Netzwerke bezeichnet. Berechtigte Ressourcen von Dienstprojekten können Subnetze im Shared VPC-Netzwerk verwenden. “

Der obige Absatz wurde dem entnommen Google-Dokumentation.

Neue Berechtigungen erforderlich

Bei der Arbeit mit Citrix Virtual Apps and Desktops und Google Cloud muss beim Erstellen der Hostverbindung ein GCP-Dienstkonto mit bestimmten Berechtigungen bereitgestellt werden. Wie oben erwähnt, müssen für die Verwendung von GCP Shared VPCs allen Dienstkonten, die zum Erstellen von Shared VPC-basierten Hostverbindungen verwendet werden, zusätzliche Berechtigungen erteilt werden.

Technisch gesehen sind die erforderlichen Berechtigungen nicht “neu”, da sie bereits erforderlich sind, um Citrix Virtual Apps and Desktops mit GCP und Local VPCs zu nutzen. Die Änderung besteht darin, dass die Berechtigungen erteilt werden müssen, um den Zugriff auf die freigegebenen VPC-Ressourcen zu ermöglichen. Dies wird durch Hinzufügen des Dienstkontos zu den IAM-Rollen für das Hostprojekt erreicht und im Abschnitt “How To” dieses Dokuments ausführlich behandelt.

Hinweis:

Informationen zum Überprüfen der Berechtigungen, die für das derzeit ausgelieferte Produkt von Citrix Virtual Apps and Desktops erforderlich sind, finden Sie auf der Citrix Dokumentationswebsite Beschreiben von Ressourcenstandorten.

Insgesamt müssen dem mit der Hostverbindung verknüpften Dienstkonto maximal vier zusätzliche Berechtigungen erteilt werden:

  1. compute.firewalls.list - Pflichtfeld

    Diese Berechtigung ist erforderlich, damit Citrix MCS die Liste der Firewall-Regeln abrufen kann, die in der Shared VPC vorhanden sind (siehe unten ausführlich).

  2. compute.networks.list - Pflichtfeld

    Diese Berechtigung ist erforderlich, damit Citrix MCS die für das Dienstkonto verfügbaren Shared VPC-Netzwerke identifizieren kann.

  3. compute.subnetworks.list — Kann Pflichtfeld sein (siehe unten)

    Diese Berechtigung ist erforderlich, damit MCS die Subnetze innerhalb der sichtbaren Shared VPCs identifizieren kann.

    Hinweis:

    Diese Berechtigung ist bereits für die Verwendung von Local VPCs erforderlich, muss aber auch im Shared VPC Host-Projekt zugewiesen werden.

  4. compute.subnetworks.use - Kann obligatorisch sein (siehe unten)

    Diese Berechtigung ist erforderlich, um die Subnetzressourcen in den bereitgestellten Maschinenkatalogen zu nutzen.

    Hinweis:

    Diese Berechtigung ist bereits für die Verwendung von Local VPCs erforderlich, muss aber auch im Shared VPC Host Project zugewiesen werden.

Die letzten beiden Punkte werden als “May be mandatory” bezeichnet, da beim Umgang mit diesen Berechtigungen zwei verschiedene Ansätze zu berücksichtigen sind:

  • Berechtigungenauf Projektebene

    • Ermöglicht Zugriff auf alle freigegebenen VPCs im Hostprojekt.

    • Erfordert, dass die Berechtigungen #3 und #4 dem Dienstkonto zugewiesen werden müssen.

  • Berechtigungenauf Subnetebene

    • Ermöglicht den Zugriff auf einzelne Subnetze in der freigegebenen VPC.

    • Die Berechtigungen #3 und #4 sind intrinsisch für die Zuweisung auf Subnetzebene und müssen daher nicht direkt dem Dienstkonto zugewiesen werden.

Beispiele für beide Ansätze finden Sie unten im Abschnitt “How To” dieses Dokuments.

Beide Ansätze werden gleich gut funktionieren. Wählen Sie den Berechtigungstyp aus, der Ihren Anforderungen und Sicherheitsstandards entspricht. Detaillierte Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie in der Google Cloud-Dokumentation.

Host-Projekt

Um Shared VPCs in Google Cloud zu verwenden, bestimmen und aktivieren Sie zunächst ein Google Cloud-Projekt als Hostprojekt. Dieses Hostprojekt enthält ein oder mehrere gemeinsam genutzte VPC-Netzwerke, die von anderen Google Cloud-Projekten innerhalb der Organisation genutzt werden.

Das Konfigurieren des Shared VPC Host Project, das Erstellen von Subnetzen und das Teilen des gesamten Projekts oder bestimmter Subnetze mit anderen Google Cloud Projects sind rein mit Google Cloud verbundene Aktivitäten und nicht im Rahmen dieses Dokuments enthalten. Die Google Cloud-Dokumentation zum Erstellen und Arbeiten mit Shared VPCs finden Sie hier.

Firewallregeln

Ein wichtiger Schritt bei der Verarbeitung hinter den Kulissen, der bei der Bereitstellung oder Aktualisierung eines Maschinenkatalogs auftritt, wird als Masteringbezeichnet. Dies ist der Fall, wenn das ausgewählte Maschinenimage kopiert und darauf vorbereitet wird, die Masterimage-Systemdatenträger für den Katalog zu sein. Während des Mastering wird dieser Datenträger an eine temporäre virtuelle Maschine, die Vorbereitungsmaschine, angeschlossen und gestartet, damit Vorbereitungsskripts ausgeführt werden können. Diese virtuelle Maschine muss in einer isolierten Umgebung ausgeführt werden, die den gesamten ein- und ausgehenden Netzwerkverkehr verhindert. Dies wird durch ein Paar Deny-All-Firewall-Regeln erreicht; eine für eingehenden und eine für ausgehenden Verkehr.

Bei der Verwendung von GCP Local VPCs erstellt MCS dieses Firewall-Regelpaar im laufenden Betrieb, wendet sie zum Mastering auf die Maschine an und entfernt sie, wenn das Mastering abgeschlossen ist.

Citrix empfiehlt, die Anzahl der neuen Berechtigungen, die für die Verwendung von Shared VPCs erforderlich sind, auf ein Minimum zu beschränken, da Shared VPCs Unternehmensressourcen auf höherer Ebene sind und in der Regel über strittigere Sicherheitsprotokolle verfügen. Aus diesem Grund muss der Site-Administrator ein Paar Firewall-Regeln (eine für eingehenden und eine für ausgehenden Verkehr) für jede Shared VPC mit der höchsten Priorität erstellen und auf jede der Regeln ein neues Target Tag anwenden. Der Wert für Target Tag ist:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewall-Regeln, die dieses Target-Tag enthalten, untersucht die Regeln auf Korrektheit und wendet sie auf die Vorbereitungsmaschine an.

Wenn die Firewall-Regeln nicht gefunden werden oder die Regeln gefunden werden, die Regeln oder Prioritäten jedoch nicht korrekt sind, wird eine Meldung dieses Formulars zurückgegeben:

Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC \<name\> in project \<project\>. Please ensure you have created deny all firewall rules with the network tagcitrix-provisioning-quarantine-firewall and proper priority. Refer to Citrix Documentation for details.

Cloud Connectors

Wenn Sie eine freigegebene VPC für Maschinenkataloge von Citrix Virtual Apps and Desktops verwenden, erstellen Sie zwei oder mehr Cloud Connectors, um auf den Domänencontroller zuzugreifen, der sich in der freigegebenen VPC befindet. In diesem Fall empfiehlt es sich, eine GCP-Maschineninstanz in Ihrem lokalen Projekt zu erstellen und der Instanz eine zusätzliche Netzwerkschnittstelle hinzuzufügen. Die erste Schnittstelle wäre mit einem Subnetz in der Shared VPC verbunden. Die zweite Netzwerkschnittstelle würde eine Verbindung zu einem Subnetz in Ihrer lokalen VPC herstellen, um den Zugriff für die administrative Kontrolle und Wartung über Ihren Local VPC Bastion Server zu ermöglichen.

Leider können Sie einer GCP-Instanz keine Netzwerkschnittstelle hinzufügen, nachdem sie erstellt wurde. Dies ist ein einfacher Prozess und wird im Folgenden in einem der How Tu -Einträge behandelt.

So geht’s Abschnitt

Der folgende Abschnitt enthält eine Reihe von Anleitungsbeispielen, die Ihnen helfen, die Schritte zur Durchführung der Konfigurationsänderungen zu verstehen, die für die Verwendung von Google Shared VPCs mit Citrix Virtual Apps and Desktops erforderlich sind.

Die in Screenshots von Google Console vorgestellten Beispiele finden alle in einem hypothetischen Google-Projekt namens Shared VPC Project 1statt.

How To: Erstellen einer neuen IAM-Rolle

Einige zusätzliche Berechtigungen müssen dem Dienstkonto gewährt werden, das beim Erstellen der Hostverbindung verwendet wird. Da die Absicht der Bereitstellung auf gemeinsam genutzten VPCs darin besteht, die Bereitstellung mehrerer Projekte in derselben freigegebenen VPC zu ermöglichen, besteht der effizienteste Ansatz darin, eine neue Rolle im Host-Projekt mit den gewünschten Berechtigungen zu erstellen und diese Rolle dann jedem Dienstkonto zuzuweisen, das Zugriff auf die Shared VPC erfordert.

Im Folgenden erstellen wir die auf Projektebene die Rolle Citrix-ProjectLevel-SharedVpcRole. Die Rolle auf Subnetzebene folgt einfach den gleichen Schritten für die ersten beiden zugewiesenen Berechtigungssätze.

IAM & Admin in der Google Console

Greifen Sie in der Google Cloud Console auf die Konfigurationsoption IAM & Admin zu:

IAM- und Admin-Konfigurationsoption

Rolle erstellen

Wählen Sie Rolle erstellenaus:

Option "Rolle erstellen"

Leerer Bildschirm “Rolle erstellen”

Es erscheint ein Bildschirm, der dem Folgenden ähnelt:

Leerer Bildschirm "Rolle erstellen"

Geben Sie den Namen ein und ADD PERMISSION

Geben Sie den Rollennamenan. Klicken Sie auf BERECHTIGUNGEN HINZUFÜGEN, um das Update anzuwenden

Spezifikation für Rollennamen

Dialogfeld “Berechtigungen hinzufügen”

Nachdem Sie auf ADD PERMISSIONSgeklickt haben, erscheint ein Bildschirm, der dem folgenden ähnelt.

Beachten Sie, dass in diesem Bild das Texteingabefeld Tabelle filtern hervorgehoben wurde:

Hervorgehobener Texteintrag in Filter

compute.firewalls.list hinzufügen Berechtigung

Wenn Sie auf das Texteingabefeld Tabelle filtern klicken, wird ein Kontextmenü angezeigt:

Kontextabhängig

Kopieren Sie die Zeichenfolge compute.firewalls.list und fügen Sie sie in das Textfeld ein, wie unten gezeigt:

Hinzufügen einer Zeichenfolge zu einem Textfeld

Die Auswahl des Eintrags compute.firewalls.list, der aus der Berechtigungstabelle herausgefiltert wurde, führt zu diesem Dialog:

Dialogfeld "Berechtigung"

Klicken Sie auf das Umschaltfeld, um die Berechtigung zu aktivieren:

Erlaubnis aktivieren

Klicken Sie auf HINZUFÜGEN.

Der Bildschirm Rolle erstellen wird wieder angezeigt. Beachten Sie, dass die Berechtigung compute.firewalls.list der Rolle hinzugefügt wurde:

Bildschirm "Rolle erstellen"

compute.networks.list hinzufügen Berechtigung

Fügen Sie mit den gleichen Schritten wie oben die Berechtigung compute.networks.list hinzu. Stellen Sie jedoch sicher, dass Sie die richtige Regel auswählen. Wie Sie unten sehen können, werden beim Eingeben des Berechtigungstexts in das Filtertabellenfeld zwei Berechtigungen aufgeführt. Wählen Sie den Eintrag compute.networks.list :

Die richtige Berechtigung wählen

Korrigieren Sie den

Klicken Sie auf HINZUFÜGEN.

Die zwei obligatorischen Berechtigungen, die unserer Rolle hinzugefügt wurden:

Pflichtberechtigungsrolle

Projektebene oder Subnet-Level

Bestimmen Sie, welche Zugriffsebene die Rolle hat, z. B. Zugriff auf Projektebene oder ein eingeschränkteres Modell mithilfe des Zugriffs auf Subnetze. Für die Zwecke dieses Dokuments erstellen wir derzeit die Rolle mit dem Namen Citrix-ProjectLevel-SharedVpc Role, daher fügen wir die Berechtigungen compute.subnetworks.list und compute.subnetworks.use mithilfe der oben genannten Schritte hinzu. Der resultierende Bildschirm sieht so aus, wobei die vier Berechtigungen erteilt wurden, bevor Sie auf Erstellenklicken:

Vier Berechtigungen erteilt

Klicken Sie auf CREATE.

Hinweis:

Wenn die Rolle auf Subnetebene hier erstellt wurde, hätten wir auf CREATE geklickt, anstatt die beiden zusätzlichen Berechtigungen compute.subnetworks.list und compute.subnetworks.use hinzuzufügen.

Citrix-ProjectLevel-SharedVpc Role Created

Rolle auf Subnetzebene

Gewusst wie: Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Nachdem wir das neue erstellt haben Citrix-ProjectLevel-SharedVpc Role, müssen wir ihm innerhalb des Hostprojekts ein Dienstkonto hinzufügen. In diesem Beispiel verwenden wir ein Dienstkonto mit dem Namen citrix-shared-vpc-service-account.

Der erste Schritt besteht darin, zum Bildschirm IAM & Roles für das Projekt zu navigieren. Wählen Sie in der Konsole IAM und Adminaus. Wählen Sie IAM:

IAM-Auswahl

Fenster “Projektberechtigungen”

Fügen Sie Mitglieder mit den angegebenen Berechtigungen hinzu. Klicken Sie auf HINZUFÜGEN, um die Mitgliederliste anzuzeigen:

Liste der Mitglieder anzeigen

Bereich “Mitglieder hinzufügen”

Wenn Sie auf HINZUFÜGEN klicken, wird ein kleines Panel wie in der Abbildung unten gezeigt angezeigt. Die Daten werden im folgenden Schritt eingegeben.

Bereich "Mitglieder hinzufügen"

Dienstkonto hinzufügen

Beginnen Sie mit der Eingabe des Namens Ihres Dienstkontos in das Feld. Während der Eingabe durchsucht Google Cloud die Projekte, auf die Sie zugreifen können, und eine eingeschränkte Liste möglicher Übereinstimmungen vorlegen. In diesem Fall haben wir eine Übereinstimmung (die direkt unter dem Ausfüllen angezeigt wird), also wählen wir diesen Eintrag aus:

Eintrag für das Dienstkonto

Rollen-Selektion

Nachdem Sie den Mitgliedsnamen (in unserem Fall das Dienstkonto) angegeben haben, wählen Sie eine Rolle aus, die das Dienstkonto wie im Shared VPC-Projekt funktionieren soll. Starten Sie diesen Prozess, indem Sie auf die angegebene Liste klicken:

Wählen Sie die Rolle für das Dienstkonto

Auswählen einer Rolle

Beachten Sie, dass der Prozess “ Rolle auswählen” dem Prozess “Rolle auswählen” dem vorherigen How To - Create a New IAM-Rolle entspricht. In diesem Fall werden mehrere weitere Optionen sowie das Ausfüllen angezeigt.

Mehr Wählen Sie eine Rolle Option

Geben Sie die Rolle

Da wir die Rolle kennen, die wir anwenden möchten, können wir anfangen zu tippen. Sobald die beabsichtigte Rolle angezeigt wird, wählen Sie die Rolle aus:

Auswahl der Rolle

Auswählen und speichern

Nachdem Sie die Rolle ausgewählt haben, klicken Sie auf Speichern:

Speichere die Rolle

Wir haben das Dienstkonto nun erfolgreich zum Hostprojekt hinzugefügt.

Gewusst wie: Berechtigungen auf Subnetzebene

Wenn Sie sich entschieden haben, den Zugriff auf Subnetzebene anstelle des Zugriffs auf Projektebene zu verwenden, müssen Sie die Dienstkonten, die mit der freigegebenen VPC verwendet werden sollen, als Mitglieder für jedes Subnetz hinzufügen, das die Ressourcen darstellt, auf die zugegriffen werden soll. In diesem Abschnitt werden wir das angegebene Dienstkonto sharedvpc-sa\@citrix-mcs-documentation.iam.gserviceaccount.com mit Zugriff auf ein einzelnes Subnetz in unserer Shared VPC bereitstellen.

Der erste Schritt besteht darin, in Google Console zum Bildschirm Shared VPC zu navigieren:

Gemeinsam genutzter VPC-Bildschirm

Erster freigegebener VPC-Bildschirm

Dies ist die Zielseite für den Google Cloud Console Shared VPC-Bildschirm. Dieses Projekt zeigt fünf Subnetze. Das Dienstkonto in diesem Beispiel erfordert Zugriff auf das zweite Subnet-Subnetz (das letzte Subnetz in der Liste unten).

Aktivieren Sie das Kontrollkästchen neben dem zweiten Subnetz-Subnetz :

Subnetze

Wählen Sie das Subnetz für den Zugriff auf das Dienstkonto aus

Nachdem das Kontrollkästchen für das letzte Subnetz aktiviert wurde, beachten Sie, dass die Option ADD MEMBER oben rechts auf dem Bildschirm angezeigt wird.

Es ist auch nützlich, dass diese Übung die Anzahl der Benutzer notiert, mit denen dieses Subnetz freigegeben wurde. Wie angegeben hat ein Benutzer Zugriff auf dieses Subnetz.

Klicken Sie auf MITGLIED HINZUFÜGEN:

Option "Mitglied hinzufügen"

Geben Sie einen neuen Mitgliedsnamen ein

Ähnlich wie bei den Schritten, die erforderlich sind, um das Dienstkonto zum Hostprojekt im vorhergehenden Abschnitt How Tor hinzuzufügen, muss der Name des neuen Mitglieds auch hier angegeben werden. Nach dem Ausfüllen des Namens listet Google Cloud alle zugehörigen Artikel (wie zuvor) auf, damit wir das entsprechende Dienstkonto auswählen können. In diesem Fall handelt es sich um einen einzelnen Eintrag.

Doppelklicken Sie auf das Dienstkonto, um es auszuwählen:

Option "Dienstkonto"

Wählen Sie eine Rolle für das neue Mitglied

Nachdem ein Dienstkonto ausgewählt wurde, muss auch eine Rolle für das neue Mitglied ausgewählt werden:

  1. Klicken Sie in der Liste auf Rolle auswählen.

  2. Doppelklicken Sie auf die Rolle Compute-Netzwerkbenutzer.

Rolle "Computernetzwerkbenutzer"

Rolle ausgewählt

Das Bild zeigt, dass das Dienstkonto und die Rolle angegeben wurden. Der einzige verbleibende Schritt besteht darin, auf SAVE zu klicken, um die Änderungen zu übernehmen:

Rolle wählen

Der Benutzer wurde dem Subnetz hinzugefügt

Nachdem die Änderungen gespeichert wurden, wird der Hauptbildschirm für freigegebene VPC angezeigt. Beachten Sie, dass die Anzahl der Benutzer, die Zugriff auf das letzte Subnetz haben, wie erwartet auf zwei gestiegen ist:

Hinzugefügte Mitglieder

How To: Hinzufügen eines Project CloudBuild Service-Kontos zur freigegebenen VPC

Jedes Google Cloud-Abonnement hat ein Dienstkonto, das nach der Projekt-ID-Nummer gefolgt von cloudbuild.gserviceaccountbenannt ist. Ein Beispiel für einen vollständigen Namen (unter Verwendung einer erfundenen Projekt-ID) lautet:

705794712345 bei cloudbuild.gserviceaccount.

Dieses Cloudbuild-Servicekonto muss auch als Mitglied der Shared VPC auf die gleiche Weise hinzugefügt werden, wie das Dienstkonto, das Sie zum Erstellen von Hostverbindungen verwenden, in Schritt 3 von war Gewusst wie: Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts.

Sie können bestimmen, wie hoch die Projekt-ID-Nummer für Ihr Projekt ist, indem Sie im Google Cloud Console-Menü Startseite und Dashboard auswählen:

Projekt-ID-Nummer

Suchen Sie die Projektnummer im Bereich Projektinformationen des Bildschirms.

Geben Sie die Kombination aus Projektnummer/cloudbuild.gserviceaccount in das Feld Mitglied hinzufügen ein. Weisen Sie eine Rolle des Computer-Netzwerkbenutzerszu:

Zuweisen einer Rolle

Wählen Sie Speichern.

Gewusst wie: Firewall-Regeln

Das Erstellen der benötigten Firewall-Regeln ist etwas einfacher als das Erstellen der Rollen.

Wählen Sie Host-Projekt

Wie bereits in diesem Dokument erwähnt, müssen die beiden Firewall-Regeln im Hostprojekt erstellt werden.

Stellen Sie sicher, dass Sie das Hostprojektausgewählt haben.

VPC Netzwerk > Firewall

Navigieren Sie im Google Console-Menü zu VPC > Firewall, wie unten gezeigt:

Firewall-Optionen

Schaltfläche Firewall-Regel erstellen

Am oberen Rand des Firewall-Bildschirms in Google Console enthält eine Schaltfläche zum Erstellen einer neuen Regel.

Klicken Sie auf CREATE FIREWALL RU

Firewall-Regel erstellen

Neuen Firewall-Bildschirm erstellen

Der Bildschirm zum Erstellen neuer Firewall-Regeln ist unten dargestellt:

Neue Firewall-Regel erstellen

Ingress-Regel: Daten ausfüllen

Erstellen Sie zunächst die erforderliche Deny-All Ingress-Regel, indem Sie den folgenden Feldern Werte hinzufügen oder ändern:

  • Name

    Geben Sie Ihrer Deny-All Ingress-Firewall-Regel einen Namen. Zum Beispiel, citrix-deny-all-ingress-rule.

  • Network

    Wählen Sie das Shared VPC-Netzwerk, gegen das diese Ingress-Firewall-Regel angewendet wird. Beispiel: gcp-test-vpc.

  • Priorität

    Der Wert in diesem Bereich ist entscheidend. In der Welt der Firewall-Regeln gilt: Je niedriger der Prioritätswert ist, desto höher ist die Regel im Vordergrund. Aus diesem Grund haben alle Standardregeln einen Wert von 66536, sodass alle benutzerdefinierten Regeln, die einen Wert unter 65536 haben, Vorrang vor einer der Standardregeln haben.

    Für diese beiden Regeln müssen sie die Regeln mit der höchsten Priorität im Netzwerk haben. Wir werden einen Wert von 10 verwenden.

  • Richtung des Verkehrs

    Die Standardeinstellung für das Erstellen einer neuen Regel ist Ingress, die bereits ausgewählt sein sollte.

  • Aktion bei Spiel

    Dieser Wert wird standardmäßig auf Zulassengesetzt. Wir müssen es in Denyändern.

  • Ziele

    Dies ist das andere sehr kritische Gebiet. Der Standardtyp von Zielen ist Angegebene Ziel-Tags, die genau das ist, was wir wollen. Geben Sie im Textfeld Target Tags den Wert citrix-provisioning-quarantine-firewall ein.

  • Quell-Filter

    Für den Quellfilter behalten wir den Standardfiltertyp der IP-Bereiche bei und geben einen Bereich ein, der dem gesamten Datenverkehr entspricht. Dafür verwenden wir einen Wert von 0.0.0.0/0.

  • Protokolle und Ports

    Wählen Sie unter Protokolle und Ports die Option Alle verweigern aus.

Der fertige Bildschirm sollte so aussehen:

Letzter Bildschirm

Klicken Sie auf CREATE und generieren Sie die neue Regel.

Egress-Regel: Daten ausfüllen

Die Ausgangsregel ist fast identisch mit der zuvor erstellten Ingress-Regel. Verwenden Sie die CREATE FIREWALL-REGEL wie oben beschrieben erneut und füllen Sie die Felder wie unten beschrieben aus:

  • Name

    Geben Sie Ihrer Deny-All Egress-Firewall-Regel einen Namen. Hier werden wir es Citrix-Deny-All-Egress-Regel nennen.

  • Network

    Wählen Sie hier das gleiche Shared VPC-Netzwerk aus, das beim Erstellen der obigen Ingress-Firewall-Regel verwendet wurde. Beispiel: gcp-test-vpc.

  • Priorität

    Wie oben erwähnt, werden wir einen Wert von 10 verwenden.

  • Richtung des Verkehrs

    Für diese Regel müssen wir von der Standardeinstellung wechseln und Egressauswählen.

  • Aktion bei Spiel

    Dieser Wert wird standardmäßig auf Zulassengesetzt. Wir müssen es in Denyändern.

  • Ziele

    Geben Sie den Wert citrix-provisioning-quarantine-firewall in das Feld Ziel-Tags ein.

  • Quell-Filter

    Für den Quellfilterbehalten wir den Standardfiltertyp von IP-Bereichen bei und geben einen Bereich ein, der dem gesamten Datenverkehr entspricht. Dafür verwenden wir einen Wert von 0.0.0.0/0.

  • Protokolle und Ports

    Wählen Sie unter Protokolle und Portsdie Option Alle verweigernaus.

Der fertige Bildschirm sollte so aussehen:

Bildschirm für abgeschlossene Regeln

Klicken Sie auf CREATE, um die neue Regel zu generieren.

Die beiden notwendigen Firewall-Regeln wurden erstellt. Wenn bei der Bereitstellung von Maschinenkatalogen mehrere gemeinsam genutzte VPCs verwendet werden, wiederholen Sie die oben ausgeführten Schritte. Erstellen Sie zwei Regeln für jedes der identifizierten Shared VPCs in ihren jeweiligen Host-Projekten.

How To: Hinzufügen einer Netzwerkschnittstelle zu Cloud Connector-Instanz

Wenn Sie Cloud Connectors für die Verwendung mit der Shared VPC erstellen, muss der Instanz bei der Erstellung eine zusätzliche Netzwerkschnittstelle hinzugefügt werden.

Zusätzliche Netzwerkschnittstellen können nicht hinzugefügt werden, sobald die Instanz existiert. So fügen Sie die zweite Netzwerkschnittstelle hinzu:

Der anfängliche Bereich für Netzwerkeinstellungen für eine GCP-Instanz

Dies ist der erste Bereich für Netzwerkeinstellungen, der beim ersten Erstellen einer Netzwerkinstanz angezeigt wird

Bereich "Netzwerkeinstellungen"

Da wir die erste Netzwerkinstanz für die Shared VPC verwenden möchten, klicken Sie auf das Bleistift-Symbol, um in den Bearbeitungsmodus zu wechseln.

Der Bildschirm mit erweiterten Netzwerkeinstellungen ist unten. Ein wichtiger Punkt ist, dass wir jetzt die Option für Netzwerke sehen können, die mit mir geteilt wurden (aus dem Hostprojekt: citrix-shared-vpc-project-1) direkt unter dem Netzwerkschnittstellen-Banner :

Mit mir geteilte Netzwerke Optionen

Das Bedienfeld “Netzwerkeinstellungen” mit ausgewähltem Fenster “Gemeinsame VPC “ zeigt Folgendes

  • Das Shared VPC-Netzwerk wurde ausgewählt.

  • Das Subnetz-Subnetz wurde ausgewählt.

  • Die Einstellung auf eine externe IP-Adresse wurde auf Nonegeändert.

Bereich "Netzwerkeinstellungen"

Klicken Sie auf Fertig um die Änderungen zu speichern. Klicken Sie auf Netzwerkschnittstelle hinzufügen.

Zweite Netzwerkschnittstelle hinzufügen

Wir haben jetzt unser erstes Interface mit der Shared VPC verbunden (wie angegeben). Wir können die zweite Schnittstelle mit den gleichen Schritten konfigurieren, die normalerweise bei der Erstellung eines neuen Cloud Connector verwendet wird. Wählen Sie ein Netzwerk oder ein Subnetz aus, treffen Sie eine Entscheidung über eine externe IP-Adresse und klicken Sie dann auf Fertig:

Zweite Netzwerkschnittstelle

Gewusst wie: Erstellen einer Hostverbindung und einer Hosting-Einheit

Das Erstellen einer Hostverbindung für die Verwendung mit Shared VPCs unterscheidet sich nicht wesentlich von der Erstellung einer für die Verwendung mit einer lokalen VPC. Der Unterschied besteht in der Auswahl der Ressourcen, die der Hostverbindung zugeordnet werden sollen. Verwenden Sie beim Erstellen einer Hostverbindung für den Zugriff auf freigegebene VPC-Ressourcen die JSON-Dateien für das Projekt, in dem sich die bereitgestellten Maschinen befinden.

Anmeldeinformationen und Verbindungsname

Das Erstellen einer Hostverbindung für die Verwendung von freigegebenen VPC-Ressourcen ähnelt dem Erstellen anderer GCP-bezogener Hostverbindungen:

Hostverbindung

Wählen Sie Projekt und Region

Sobald Ihr Projekt, das in der folgenden Abbildung als Developer Project angezeigt wird, der auf die Shared VPC zugreifen kann, hinzugefügt wurde, sehen Sie möglicherweise sowohl Ihr Projekt als auch das Shared VPC-Projekt in Studio. Es ist wichtig sicherzustellen, dass Sie das Projekt auswählen, in dem sich der bereitgestellte Maschinenkatalog befinden soll, und nicht die Shared VPC:

Auswahl von Projekt und Region

Ressourcen wählen

Wählen Sie die Ressourcen aus, die mit der Hostverbindung verknüpft sind.

Beachten Sie Folgendes:

  • Der für die Ressourcen angegebene Name lautet SharedVPCResources.

  • Die Liste der virtuellen Netzwerke, aus denen Sie auswählen können, enthält die aus dem lokalen Projekt sowie die aus der Shared VPC, die durch (Shared) an die Netzwerknamen angehängt wird.

Hinweis:

Wenn keine Netzwerke mit Shared an den Namen angehängt werden, klicken Sie auf die Schaltfläche Zurück und vergewissern Sie sich, dass Sie das richtige Projekt ausgewählt haben. Wenn Sie überprüfen, dass das ausgewählte Projekt korrekt ist und immer noch keine freigegebenen VPCs angezeigt werden, ist in der Google Cloud Console etwas falsch konfiguriert. Siehe das Häufig auftretende Probleme und Fehler Spätere in diesem Dokument.

Mögliche Fehler

Ressourcen ausgewählt

Die folgende Abbildung zeigt, dass das virtuelle gcp-test-vpc (Shared) Netzwerk im vorherigen Schritt ausgewählt wurde. Es zeigt auch, dass das Subnetz mit dem Namen subnet-good ausgewählt wurde. Klicken Sie auf Weiter.

Ausgewählte Ressourcen

Bildschirm “Zusammenfassung”

Nachdem Sie auf Weiter geklickt haben, erscheint der Bildschirm Zusammenfassung. In diesem Bildschirm sollten Sie Folgendes berücksichtigen:

  • Das Projekt ist Developer Project.

  • Das virtuelle Netzwerk ist gcp-test-vpc, eines aus der Shared VPC.

  • Das Subnetz ist Subnet-gut.

Zusammenfassungsbildschirm

Gewusst wie: Erstellen eines Katalogs

Von diesem Zeitpunkt an wird alles wie Katalogerstellung, Starten/Stoppen von Maschinen, Aktualisieren von Maschinen usw. genauso ausgeführt, wie es bei der Verwendung von Local VPCs der Fall ist.

Häufig auftretende Probleme und Fehler

Die Arbeit mit einem komplexen System mit Abhängigkeiten kann zu unerwarteten Situationen führen. Einige häufige Probleme und Fehler, die bei der Einrichtung und Konfiguration für die Verwendung von Citrix Virtual Apps and Desktops und GCP Shared VPCs auftreten können, finden Sie unten.

Fehlende oder falsche Firewall-Regeln

Wenn die Firewall-Regeln nicht gefunden werden oder die Regeln gefunden werden, die Regeln oder Prioritäten jedoch nicht korrekt sind, wird eine Meldung dieses Formulars zurückgegeben:

“Es konnten keine gültigen Ingress- und EGRESS-Quarantäne-Firewallregeln für VPC <name> im Projekt gefunden <project> werden. “Bitte stellen Sie sicher, dass Sie Firewall-Regeln mit dem Netzwerk-Tag “Citrix-Provisioning-Quarantäne-Firewall” und der richtigen Priorität erstellt haben. “ “Einzelheiten finden Sie in der Citrix Dokumentation. “);

Wenn diese Meldung angezeigt wird, müssen Sie die Firewall-Regeln, ihre Prioritäten und die Netzwerke überprüfen, für die sie gelten. Einzelheiten hierzu finden Sie im Abschnitt Gewusst wie: Firewall-Regeln.

Fehlende gemeinsam genutzte Ressourcen beim Erstellen einer Hostverbindung

Es gibt einige Gründe, warum diese Situation eintreten kann:

Das falsche Projekt wurde beim Erstellen der Host-Verbindung ausgewählt

Wenn beispielsweise das Shared VPC Host-Projekt beim Erstellen der Hostverbindung anstelle Ihres Projekts ausgewählt wurde, sehen Sie weiterhin die Netzwerkressourcen aus der Shared VPC, an die sie jedoch nicht (Shared) angehängt werden.

Wenn Sie die freigegebenen Subnetze ohne diese zusätzlichen Informationen sehen, wurde die Hostverbindung wahrscheinlich mit dem falschen Dienstkonto hergestellt.

Siehe Gewusst wie: Erstellen einer Hostverbindung und einer Hosting-Einheit.

Dem Dienstkonto wurde eine falsche Rolle zugewiesen

Wenn dem Dienstkonto die falsche Rolle zugewiesen wurde, können Sie möglicherweise nicht auf die gewünschten Ressourcen in der freigegebenen VPC zugreifen. Siehe Anleitung: Hinzufügen eines Dienstkontos zu Hostprojekt IAM-Rolle.

Rolle erteilte unvollständige oder falsche Berechtigungen

Die richtige Rolle kann dem Dienstkonto zugewiesen werden, aber die Rolle selbst ist möglicherweise unvollständig. Siehe How To — Erstellen einer neuen IAM-Rolle.

Dienstkonto wurde nicht als Subnet-Mitglied hinzugefügt

Wenn Sie den Zugriff auf Subnetzebene verwenden, stellen Sie sicher, dass das Dienstkonto als Mitglied (Benutzer) der gewünschten Subnetzressourcen ordnungsgemäß hinzugefügt wurde. Siehe Gewusst wie: Berechtigungen auf Subnetzebene.

Pfadfehler in Studio kann nicht gefunden werden

Wenn beim Erstellen eines Katalogs in Studio des Formulars eine Fehlermeldung angezeigt wird:

Cannot find path “XDHyp:\\Connections …” because it does not exist

Es ist sehr wahrscheinlich, dass kein neuer Cloud Connector erstellt wurde, um die Nutzung der Shared VPC-Ressourcen zu erleichtern. Es ist einfach zu übersehen, nachdem Sie alle oben genannten Schritte durchlaufen haben, um alles zu konfigurieren. Weitere wichtige Punkte Cloud Connectors zur Erstellung finden Sie unter.