Documentación de productos
Citrix DaaS™
Ver PDF

Entornos de virtualización de Google Cloud

March 25, 2026
Contribución de: 
C C

Citrix DaaS (anteriormente el servicio Citrix Virtual Apps and Desktops™) te permite aprovisionar y administrar máquinas en Google Cloud.

Requisitos previos

Antes de empezar a aprovisionar las máquinas virtuales en Google Cloud Platform (GCP), debes asegurarte de que se cumplen los siguientes requisitos previos.

  1. Tu suscripción a Citrix debe incluir asistencia para cargas de trabajo híbridas multinube. Para obtener más información, consulta Comparar las funciones de la suscripción a Citrix.
  2. La cuenta de administrador debe tener permisos suficientes para crear conexiones de host, catálogos de máquinas y grupos de entrega. Para obtener más información, consulta Configurar la administración delegada.
  3. Identifica un proyecto de Google Cloud en el que se almacenen todos los recursos informáticos asociados al catálogo de máquinas. Puede ser un proyecto existente o uno nuevo. Para obtener más información, consulta Proyectos de Google Cloud.
  4. Habilita las API de Google Cloud necesarias para la integración con Citrix DaaS. Para obtener más información, consulta Habilitar las API de Google Cloud.
  5. Crea las cuentas de servicio en Google Cloud y concede los permisos adecuados. Para obtener más información, consulta Configurar y actualizar cuentas de servicio.
  6. Descarga el archivo de claves de la cuenta de servicio de Citrix Cloud. Para obtener más información, consulta Clave de la cuenta de servicio de Citrix Cloud.
  7. Las máquinas virtuales deben tener acceso a las API de Google sin una dirección IP pública. Para obtener más información, consulta Habilitar el acceso privado a Google.

Proyectos de Google Cloud

Básicamente, hay dos tipos de proyectos de Google Cloud:

  • Proyecto de aprovisionamiento: En este caso, la cuenta de administrador actual es la propietaria de las máquinas aprovisionadas en el proyecto. Este proyecto también se conoce como proyecto local.
  • Proyecto de VPC compartida: Proyecto en el que las máquinas creadas en el proyecto de aprovisionamiento usan la VPC del proyecto de VPC compartida. La cuenta de administrador utilizada para los proyectos de aprovisionamiento tiene permisos limitados en este proyecto, específicamente, solo permisos para usar la VPC.

URL de los puntos finales del servicio

Debes tener acceso a las siguientes URL:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Habilitar las API de Google Cloud

Para usar la funcionalidad de Google Cloud a través de Studio, habilita estas API en tu proyecto de Google Cloud:

  • Compute Engine API
  • Cloud Resource Manager API
  • Identity and Access Management (IAM) API
  • Cloud Build API

Desde la consola de Google Cloud, completa estos pasos:

  1. En el menú superior izquierdo, selecciona API y servicios > API y servicios habilitados.

  2. En la pantalla API y servicios habilitados, asegúrate de que la API de Compute Engine esté habilitada. Si no es así, sigue estos pasos:

    1. Ve a API y servicios > Biblioteca.
    2. En el cuadro de búsqueda, escribe Compute Engine.
    3. En los resultados de búsqueda, selecciona API de Compute Engine.
    4. En la página API de Compute Engine, selecciona Habilitar.
  3. Habilita la API de Cloud Resource Manager.
    1. Ve a API y servicios > Biblioteca.
    2. En el cuadro de búsqueda, escribe Cloud Resource Manager.
    3. En los resultados de búsqueda, selecciona API de Cloud Resource Manager.
    4. En la página API de Cloud Resource Manager, selecciona Habilitar. El estado de la API aparece.
  4. Del mismo modo, habilita la API de Identity and Access Management (IAM), la API de Cloud Build y la API de Cloud Key Management Service (KMS).

También puedes usar Google Cloud Shell para habilitar las API. Para ello:

  1. Abre la consola de Google y carga Cloud Shell.

  2. Ejecuta los siguientes cuatro comandos en Cloud Shell:

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
    • gcloud services enable cloudkms.googleapis.com
  3. Haz clic en Autorizar cuando Cloud Shell te lo pida.

Configurar y actualizar cuentas de servicio

Nota:

GCP introducirá cambios en el comportamiento predeterminado y el uso de las cuentas de servicio de Cloud Build Service después del 29 de abril de 2024. Para obtener más información, consulta Cambio de la cuenta de servicio de Cloud Build. Tus proyectos de Google existentes con la API de Cloud Build habilitada antes del 29 de abril de 2024 no se verán afectados por este cambio. Sin embargo, si quieres mantener el comportamiento existente de Cloud Build Service después del 29 de abril, puedes crear o aplicar la política de la organización para inhabilitar la aplicación de restricciones antes de habilitar la API de Cloud Build. Como resultado, el siguiente contenido se divide en dos: Antes del 29 de abril de 2024 y Después del 29 de abril de 2024. Si estableces la nueva política de la organización, sigue la sección Antes del 29 de abril de 2024.

Antes del 29 de abril de 2024

Citrix Cloud™ usa tres cuentas de servicio independientes dentro del proyecto de Google Cloud:

  • Cuenta de servicio de Citrix Cloud: Esta cuenta de servicio permite a Citrix Cloud acceder al proyecto de Google, aprovisionar y administrar máquinas. Esta cuenta de servicio se autentica en Google Cloud mediante una clave generada por Google Cloud.

Debes crear esta cuenta de servicio manualmente, como se describe aquí. Para obtener más información, consulta Crear una cuenta de servicio de Citrix Cloud.

Puedes identificar esta cuenta de servicio con una dirección de correo electrónico. Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Cuenta de servicio de Cloud Build: Esta cuenta de servicio se aprovisiona automáticamente después de habilitar todas las API mencionadas en Habilitar las API de Google Cloud. Para ver todas las cuentas de servicio creadas automáticamente, navega a IAM y administración > IAM en la consola de Google Cloud y selecciona la casilla de verificación Incluir concesiones de roles proporcionadas por Google.

    Puedes identificar esta cuenta de servicio por una dirección de correo electrónico que comienza con el ID del proyecto y la palabra cloudbuild. Por ejemplo, <project-id>@cloudbuild.gserviceaccount.com

    Verifica si a la cuenta de servicio se le han concedido los siguientes roles. Si necesitas agregar roles, sigue los pasos descritos en Agregar roles a la cuenta de servicio de Cloud Build.

    • Cuenta de servicio de Cloud Build
    • Administrador de instancias de Compute
    • Usuario de cuenta de servicio

  • Cuenta de servicio de Cloud Compute: Google Cloud agrega esta cuenta de servicio a las instancias creadas en Google Cloud una vez que se activa la API de Compute. Esta cuenta tiene el rol básico de editor de IAM para realizar las operaciones. Sin embargo, si eliminas el permiso predeterminado para tener un control más granular, debes agregar un rol de Administrador de almacenamiento que requiere los siguientes permisos:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

Puedes identificar esta cuenta de servicio por una dirección de correo electrónico que comienza con el ID del proyecto y la palabra compute. Por ejemplo, <project-id>-compute@developer.gserviceaccount.com.

Crear una cuenta de servicio de Citrix Cloud

Para crear una cuenta de servicio de Citrix Cloud, sigue estos pasos:

  1. En la consola de Google Cloud, navega a IAM y administración > Cuentas de servicio.
  2. En la página Cuentas de servicio, selecciona CREAR CUENTA DE SERVICIO.
  3. En la página Crear cuenta de servicio, introduce la información requerida y, a continuación, selecciona CREAR Y CONTINUAR.

  4. En la página Conceder a esta cuenta de servicio acceso al proyecto, haz clic en el menú desplegable Seleccionar un rol y selecciona los roles requeridos. Haz clic en +AGREGAR OTRO ROL si quieres agregar más roles.

    Cada cuenta (personal o de servicio) tiene varios roles que definen la administración del proyecto. Concede los siguientes roles a esta cuenta de servicio:

    • Administrador de Compute
    • Administrador de almacenamiento
    • Editor de Cloud Build
    • Usuario de cuenta de servicio
    • Usuario de Cloud Datastore
    • Operador criptográfico de Cloud KMS

    El operador criptográfico de Cloud KMS requiere los siguientes permisos:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list
    • cloudkms.cryptoKeyVersions.useToDecrypt
    • cloudkms.cryptoKeyVersions.useToEncrypt

    Nota:

    Habilita todas las API para obtener la lista completa de roles disponibles al crear una nueva cuenta de servicio.

  5. Haz clic en CONTINUAR
  6. En la página Conceder a los usuarios acceso a esta cuenta de servicio, agrega usuarios o grupos para concederles acceso a realizar acciones en esta cuenta de servicio.
  7. Haz clic en LISTO.
  8. Navega a la consola principal de IAM.
  9. Identifica la cuenta de servicio creada.
  10. Valida que los roles se hayan asignado correctamente.

Consideraciones:

Al crear la cuenta de servicio, ten en cuenta lo siguiente:

  • Los pasos Conceder a esta cuenta de servicio acceso al proyecto y Conceder a los usuarios acceso a esta cuenta de servicio son opcionales. Si decides omitir estos pasos de configuración opcionales, la cuenta de servicio recién creada no se mostrará en la página IAM y administración > IAM.
  • Para mostrar los roles asociados a una cuenta de servicio, agrega los roles sin omitir los pasos opcionales. Este proceso garantiza que los roles aparezcan para la cuenta de servicio configurada.

Clave de la cuenta de servicio de Citrix Cloud

La clave de la cuenta de servicio de Citrix Cloud es necesaria para crear una conexión en Citrix DaaS. La clave está contenida en un archivo de credenciales (.json). El archivo se descarga automáticamente y se guarda en la carpeta Descargas después de crear la clave. Al crear la clave, asegúrate de establecer el tipo de clave en JSON. De lo contrario, Studio no podrá analizarla.

Para crear una clave de cuenta de servicio, navega a IAM y administración > Cuentas de servicio y haz clic en la dirección de correo electrónico de la cuenta de servicio de Citrix Cloud. Cambia a la ficha Claves y selecciona Agregar clave > Crear clave nueva. Asegúrate de seleccionar JSON como tipo de clave.

Sugerencia:

Crea claves usando la página Cuentas de servicio en la consola de Google Cloud. Te recomendamos que cambies las claves regularmente por motivos de seguridad. Puedes proporcionar nuevas claves a la aplicación Citrix Virtual Apps and Desktops editando una conexión de Google Cloud existente.

Agregar roles a la cuenta de servicio de Citrix Cloud

Para agregar roles a la cuenta de servicio de Citrix Cloud:

  1. En la consola de Google Cloud, navega a IAM y administración > IAM.
  2. En la página IAM > PERMISOS, localiza la cuenta de servicio que creaste, identificable con una dirección de correo electrónico.

Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  1. Selecciona el icono del lápiz para modificar el acceso al principal de la cuenta de servicio.
  2. En la página Modificar acceso a “project-id” para la opción principal seleccionada, selecciona AGREGAR OTRO ROL para agregar los roles necesarios a tu cuenta de servicio uno por uno y, a continuación, selecciona GUARDAR.

Agregar roles a la cuenta de servicio de Cloud Build

Para agregar roles a la cuenta de servicio de Cloud Build:

  1. En la consola de Google Cloud, navega hasta IAM y administración > IAM.

  2. En la página IAM, localiza la cuenta de servicio de Cloud Build, identificable con una dirección de correo electrónico que empieza por el ID del proyecto y la palabra cloudbuild.

    Por ejemplo, <project-id>@cloudbuild.gserviceaccount.com

  3. Selecciona el icono del lápiz para modificar los roles de la cuenta de Cloud Build.

  4. En la página Modificar acceso a “project-id” para la opción principal seleccionada, selecciona AGREGAR OTRO ROL para agregar los roles necesarios a tu cuenta de servicio de Cloud Build uno por uno y, a continuación, selecciona GUARDAR.

    Nota:

    Habilita todas las API para obtener la lista completa de roles.

Después del 29 de abril de 2024

Citrix Cloud usa dos cuentas de servicio separadas dentro del proyecto de Google Cloud:

  • Cuenta de servicio de Citrix Cloud: Esta cuenta de servicio permite a Citrix Cloud acceder al proyecto de Google, aprovisionar y administrar máquinas. Esta cuenta de servicio se autentica en Google Cloud mediante una clave generada por Google Cloud.

    Debes crear esta cuenta de servicio manualmente.

    Puedes identificar esta cuenta de servicio con una dirección de correo electrónico. Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Cuenta de servicio de Cloud Compute: Esta cuenta de servicio se aprovisiona automáticamente después de que habilites todas las API mencionadas en Habilitar API de Google Cloud. Para ver todas las cuentas de servicio creadas automáticamente, navega hasta IAM y administración > IAM en la consola de Google Cloud y selecciona la casilla Incluir concesiones de roles proporcionadas por Google. Esta cuenta tiene el rol de editor básico de IAM para realizar las operaciones. Sin embargo, si eliminas el permiso predeterminado para tener un control más granular, debes agregar el rol de Administrador de almacenamiento que requiere los siguientes permisos:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    Puedes identificar esta cuenta de servicio por una dirección de correo electrónico que empieza por el ID del proyecto y la palabra compute. Por ejemplo, <project-id>-compute@developer.gserviceaccount.com.

    Verifica si a la cuenta de servicio se le han concedido los siguientes roles.

    • Cuenta de servicio de Cloud Build
    • Administrador de instancias de Compute
    • Usuario de cuenta de servicio

Crear una cuenta de servicio de Citrix Cloud

Para crear una cuenta de servicio de Citrix Cloud, sigue estos pasos:

  1. En la consola de Google Cloud, navega hasta IAM y administración > Cuentas de servicio.
  2. En la página Cuentas de servicio, selecciona CREAR CUENTA DE SERVICIO.
  3. En la página Crear cuenta de servicio, introduce la información necesaria y, a continuación, selecciona CREAR Y CONTINUAR.

  4. En la página Conceder acceso a este proyecto a la cuenta de servicio, haz clic en el menú desplegable Seleccionar un rol y selecciona los roles necesarios. Haz clic en +AGREGAR OTRO ROL si quieres agregar más roles.

    Cada cuenta (personal o de servicio) tiene varios roles que definen la administración del proyecto. Concede los siguientes roles a esta cuenta de servicio:

    • Administrador de Compute
    • Administrador de almacenamiento
    • Editor de Cloud Build
    • Usuario de cuenta de servicio
    • Usuario de Cloud Datastore
    • Operador criptográfico de Cloud KMS

    El Operador criptográfico de Cloud KMS requiere los siguientes permisos:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Habilita todas las API para obtener la lista completa de roles disponibles al crear una nueva cuenta de servicio.

  5. Haz clic en CONTINUAR.
  6. En la página Conceder acceso a usuarios a esta cuenta de servicio, agrega usuarios o grupos para concederles acceso a realizar acciones en esta cuenta de servicio.
  7. Haz clic en LISTO.
  8. Navega a la consola principal de IAM.
  9. Identifica la cuenta de servicio creada.
  10. Valida que los roles se hayan asignado correctamente.

Consideraciones:

Al crear la cuenta de servicio, considera lo siguiente:

  • Los pasos Conceder acceso a este proyecto a la cuenta de servicio y Conceder acceso a usuarios a esta cuenta de servicio son opcionales. Si decides omitir estos pasos de configuración opcionales, la cuenta de servicio recién creada no se mostrará en la página IAM y administración > IAM.
  • Para mostrar los roles asociados a una cuenta de servicio, agrega los roles sin omitir los pasos opcionales. Este proceso garantiza que los roles aparezcan para la cuenta de servicio configurada.

Clave de cuenta de servicio de Citrix Cloud

La clave de cuenta de servicio de Citrix Cloud es necesaria para crear una conexión en Citrix DaaS. La clave se encuentra en un archivo de credenciales (.json). El archivo se descarga y guarda automáticamente en la carpeta Descargas después de crear la clave. Cuando crees la clave, asegúrate de establecer el tipo de clave en JSON. De lo contrario, Studio no podrá analizarla.

Para crear una clave de cuenta de servicio, ve a IAM y administración > Cuentas de servicio y haz clic en la dirección de correo electrónico de la cuenta de servicio de Citrix Cloud. Cambia a la ficha Claves y selecciona Agregar clave > Crear clave nueva. Asegúrate de seleccionar JSON como tipo de clave.

Sugerencia:

Crea claves mediante la página Cuentas de servicio en la consola de Google Cloud. Te recomendamos que cambies las claves con regularidad por motivos de seguridad. Puedes proporcionar nuevas claves a la aplicación Citrix Virtual Apps and Desktops modificando una conexión de Google Cloud existente.

Agregar roles a la cuenta de servicio de Citrix Cloud

Para agregar roles a la cuenta de servicio de Citrix Cloud:

  1. En la consola de Google Cloud, ve a IAM y administración > IAM.

  2. En la página IAM > PERMISOS, busca la cuenta de servicio que creaste, identificable con una dirección de correo electrónico.

    Por ejemplo, <mi-cuenta-de-servicio>@<id-del-proyecto>.iam.gserviceaccount.com

  3. Selecciona el icono del lápiz para modificar el acceso al principal de la cuenta de servicio.
  4. En la página Modificar acceso a “id-del-proyecto” para la opción principal seleccionada, selecciona AGREGAR OTRO ROL para agregar los roles necesarios a tu cuenta de servicio uno por uno y, a continuación, selecciona GUARDAR.

Agregar roles a la cuenta de servicio de Cloud Compute

Para agregar roles a la cuenta de servicio de Cloud Compute:

  1. En la consola de Google Cloud, ve a IAM y administración > IAM.

  2. En la página IAM, busca la cuenta de servicio de Cloud Compute, identificable con una dirección de correo electrónico que comienza con el ID del proyecto y la palabra compute.

    Por ejemplo, <id-del-proyecto>-compute@developer.gserviceaccount.com

  3. Selecciona el icono del lápiz para modificar los roles de la cuenta de Cloud Build.

  4. En la página Modificar acceso a “id-del-proyecto” para la opción principal seleccionada, selecciona AGREGAR OTRO ROL para agregar los roles necesarios a tu cuenta de servicio de Cloud Build uno por uno y, a continuación, selecciona GUARDAR.

    Nota:

    Habilita todas las API para obtener la lista completa de roles.

Permisos de almacenamiento y administración de depósitos

Citrix DaaS mejora el proceso de notificación de errores de compilación en la nube para el servicio de Google Cloud. Este servicio ejecuta compilaciones en Google Cloud. Citrix DaaS crea un depósito de almacenamiento llamado citrix-mcs-cloud-build-logs-{region}-{5 random characters} donde los servicios de Google Cloud capturan la información de los registros de compilación. En este depósito se establece una opción que elimina el contenido después de un período de 30 días. Este proceso requiere que la cuenta de servicio utilizada para la conexión tenga los permisos de Google Cloud establecidos en storage.buckets.update. Si la cuenta de servicio no tiene este permiso, Citrix DaaS ignora los errores y continúa con el proceso de creación del catálogo. Sin este permiso, el tamaño de los registros de compilación aumenta y requiere una limpieza manual.

Habilitar el acceso privado de Google

Cuando una VM carece de una dirección IP externa asignada a su interfaz de red, los paquetes solo se envían a otros destinos de direcciones IP internas. Cuando habilitas el acceso privado, la VM se conecta al conjunto de direcciones IP externas utilizadas por la API de Google y los servicios asociados.

Nota:

Independientemente de si el acceso privado de Google está habilitado, todas las VM, con y sin direcciones IP públicas, deben poder acceder a las API públicas de Google, especialmente si se han instalado dispositivos de red de terceros en el entorno.

Para asegurarte de que una VM de tu subred pueda acceder a las API de Google sin una dirección IP pública para el aprovisionamiento de MCS:

  1. En Google Cloud, accede a la configuración de red de VPC.
  2. Identifica las subredes utilizadas o el entorno de Citrix® en la ficha Subredes en el proyecto actual.
  3. Haz clic en el nombre de las subredes y habilita el Acceso privado de Google.

Para obtener más información, consulta Configurar el acceso privado de Google.

Importante:

Si tu red está configurada para evitar el acceso de las VM a Internet, asegúrate de que tu organización asuma los riesgos asociados a la habilitación del acceso privado de Google para la subred a la que está conectada la VM.

Pasos siguientes

Más información

Entornos de virtualización de Google Cloud
March 25, 2026
Contribución de: 
C C
March 25, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.