Configurar VPC compartida

Antes de agregar la VPC compartida como conexión de host en la interfaz de Configuración completa de Citrix DaaS, siga estos pasos para agregar cuentas de servicio desde el proyecto que aprovisionará:

1. Crear un rol de IAM.
2. Agregar una cuenta de servicio al rol de IAM del proyecto host.
3. Agregar la cuenta de servicio de Cloud Build a la VPC compartida.
4. Crear reglas de firewall.

Crear un rol de IAM

Determine el nivel de acceso del rol:

• Acceso a nivel de proyecto o
• Un modelo más restringido que utiliza el acceso a nivel de subred.

Acceso a nivel de proyecto para el rol de IAM. Para el rol de IAM a nivel de proyecto, incluya los siguientes permisos:

• compute.firewalls.list
• compute.networks.list
• compute.subnetworks.list
• compute.subnetworks.use

Para crear un rol de IAM a nivel de proyecto:

1. En la consola de Google Cloud, vaya a IAM & Admin > Roles.
2. En la página Roles, seleccione CREATE ROLE.
3. En la página Create Role, especifique el nombre del rol. Seleccione ADD PERMISSIONS.
   1. En la página Add permissions, agregue permisos al rol de forma individual. Para agregar un permiso, escriba el nombre del permiso en el campo Filter table. Seleccione el permiso y, a continuación, seleccione ADD.
   2. Seleccione CREATE.

Subnet-level IAM role. Este rol omite la adición de los permisos compute.subnetworks.list y compute.subnetworks.use tras seleccionar CREATE ROLE. Para este nivel de acceso de IAM, los permisos compute.firewalls.list y compute.networks.list deben aplicarse al nuevo rol.

Para crear un rol de IAM a nivel de subred:

1. En la consola de Google Cloud, vaya a VPC network > Shared VPC. Aparecerá la página Shared VPC, que muestra las subredes de las redes de VPC compartidas que contiene el proyecto host.
2. En la página Shared VPC, seleccione la subred a la que quiere acceder.
3. En la esquina superior derecha, seleccione ADD MEMBER para agregar una cuenta de servicio.
4. En la página Add members, siga estos pasos:
   1. En el campo New members, escriba el nombre de su cuenta de servicio y, a continuación, selecciónela en el menú.
   2. Seleccione el campo Select a role y, a continuación, Compute Network User.
   3. Seleccione SAVE.
5. En la consola de Google Cloud, vaya a IAM & Admin > Roles.
6. En la página Roles, seleccione CREATE ROLE.
7. En la página Create Role, especifique el nombre del rol. Seleccione ADD PERMISSIONS.
   1. En la página Add permissions, agregue permisos al rol de forma individual. Para agregar un permiso, escriba el nombre del permiso en el campo Filter table. Seleccione el permiso y, a continuación, seleccione ADD.
   2. Seleccione CREATE.

Agregar una cuenta de servicio al rol de IAM del proyecto host

Después de crear un rol de IAM, siga estos pasos para agregar una cuenta de servicio para el proyecto host:

1. En la consola de Google Cloud, vaya al proyecto host y luego a IAM & Admin > IAM.
2. En la página IAM, seleccione ADD para agregar una cuenta de servicio.
3. En la página Add members:
   1. En el campo New members, escriba el nombre de su cuenta de servicio y, a continuación, selecciónela en el menú.
   2. En el campo Select a role, introduzca el rol de IAM que creó y, a continuación, seleccione el rol en el menú.
   3. Seleccione SAVE.

Ahora la cuenta de servicio está configurada para el proyecto host.

Agregar la cuenta de servicio de Cloud Build a la VPC compartida

Cada suscripción a Google Cloud tiene una cuenta de servicio que tiene, como nombre, el número de identificación del proyecto, seguido de cloudbuild.gserviceaccount. Por ejemplo: 705794712345@cloudbuild.gserviceaccount.

Para determinar el número de ID del proyecto, vaya a Cloud overview > Dashboard en la consola de Google Cloud. El ID y el número de proyecto se muestran en la tarjeta de información Dashboard Project del proyecto:

Siga estos pasos para agregar la cuenta de servicio de Cloud Build a la VPC compartida:

1. En la consola de Google Cloud, vaya al proyecto host y luego a IAM & Admin > IAM.
2. En la página Permissions, seleccione ADD para agregar una cuenta.
3. En la página Add members, siga estos pasos:
   1. En el campo New members, escriba el nombre de la cuenta de servicio de Cloud Build y, a continuación, selecciónela en el menú.
   2. Seleccione el campo Select a role, escriba Computer Network User y seleccione el rol en el menú.
   3. Seleccione SAVE.

Crear reglas de firewall

Como parte del proceso de masterización, MCS copia la imagen de máquina seleccionada y la utiliza para preparar el disco del sistema de la imagen maestra para el catálogo. Durante la masterización, MCS conecta el disco a una máquina virtual temporal, que luego ejecuta scripts de preparación. Esta máquina virtual debe ejecutarse en un entorno aislado que prohíba todo el tráfico de red entrante y saliente.

Para crear un entorno aislado, MCS requiere dos reglas “deny all” en el firewall (una regla de entrada y una regla de salida). Por lo tanto, cree dos reglas de firewall (entrada y salida) en el proyecto host de la siguiente manera:

1. En la consola de Google Cloud, vaya al proyecto host y luego a VPC network > Firewall.
2. En la página Firewall, seleccione CREATE FIREWALL RULE.
3. En la página Create a firewall rule, complete lo siguiente:
   • Nombre. Escriba el nombre de la regla.
   • Network. Seleccione la red de VPC compartida a la que se aplica la regla de firewall de entrada.
   • Priority. Cuanto menor sea el valor, mayor será la prioridad de la regla. Recomendamos un valor pequeño (por ejemplo, 10).
   • Direction of traffic. Seleccione Ingress.
   • Action on match. Seleccione Deny.
   • Targets. Utilice el valor predeterminado, Specified target tags.
   • Target tags. Escriba citrix-provisioning-quarantine-firewall.
   • Source filter. Utilice el valor predeterminado, IP ranges.
   • Source IP ranges. Escriba un intervalo que tenga en cuenta todo el tráfico. Escriba 0.0.0.0/0.
   • Protocols and ports. Seleccione Deny all.
4. Seleccione CREATE para crear la regla.
5. Repita los pasos para crear otra regla. En Direction of traffic, seleccione Egress.