Citrix Virtual Apps and Desktops Service

Entornos de virtualización Google Cloud Platform

Citrix Virtual Apps and Desktops Service le permite aprovisionar y administrar máquinas en Google Cloud Platform (GCP). Este artículo le guía a través del uso de Machine Creation Services (MCS) para aprovisionar máquinas virtuales en la implementación de Citrix Virtual Apps Service o Citrix Virtual Desktops Service.

Requisitos

  • Cuenta de Citrix Cloud. La función descrita en este artículo solo está disponible en Citrix Cloud.
  • Suscripción a Citrix Virtual Apps and Desktops Service. Para obtener información detallada, consulte Introducción.
  • Un proyecto de GCP. El proyecto almacena todos los recursos de procesamiento asociados al catálogo de máquinas. Puede ser un proyecto existente o uno nuevo.
  • Habilite cuatro API en su proyecto de Google Cloud. Para obtener información detallada, consulte Habilitar las API de Google Cloud.
  • Cuenta de servicio GCP. La cuenta de servicio se autentica en Google Cloud para permitir el acceso al proyecto. Para obtener información detallada, consulte Configurar la cuenta de servicio en Google Cloud.

Habilitar las API de Google Cloud

Para utilizar la funcionalidad de Google Cloud a través de Citrix Studio, habilite estas API en su proyecto de Google Cloud:

  • API de Compute Engine
  • API de Cloud Resource Manager
  • API de Identity and Access Management (IAM)
  • API de Cloud Build

En la consola de GCP, siga estos pasos:

  1. En el menú superior izquierdo, seleccione APIs and Services > Dashboard.

    Imagen de selección del panel de mandos en APIs and Services

  2. En la pantalla Dashboard, compruebe que la API de Compute Engine esté habilitada. Si no es el caso, siga estos pasos:

    1. Vaya a APIs and Services > Library.

      Imagen de APIs and Services > Library

    2. En el cuadro de búsqueda, escriba Compute Engine.

    3. En los resultados de la búsqueda, haga clic en Compute Engine API.

    4. En la página Compute Engine API, haga clic en Enable.

  3. Habilite la API de Cloud Resource Manager.

    1. Vaya a APIs and Services > Library.

    2. En el cuadro de búsqueda, escriba Cloud Resource Manager.

    3. En los resultados de búsqueda, haga clic en Cloud Resource Manager API.

    4. En la página Cloud Resource Manager API, haga clic en Enable. Aparece el estado de la API.

  4. Del mismo modo, habilite la API de Identity and Access Management (IAM) y la API de Cloud Build.

Configurar la cuenta de servicio en Google Cloud

Una cuenta de servicio de Google Cloud le permite crear y administrar recursos dentro de proyectos GCP. Se necesita una cuenta de servicio de Google Cloud para aprovisionar y administrar máquinas, tal y como se describe en este artículo. La cuenta de Google Cloud se autentica en Citrix Cloud mediante una clave que genera Google Cloud. Cada cuenta (personal o de servicio) contiene varios roles que definen la gestión del proyecto.

Le recomendamos crear una cuenta de servicio. Para ello, siga estos pasos:

  1. En la consola de Google Cloud Platform, vaya a IAM & Admin > Service accounts.

  2. En la página Service accounts, haga clic en CREATE SERVICE ACCOUNT.

  3. En la página Create service account, escriba la información necesaria y, a continuación, haga clic en CREATE.

    Sugerencia:

    Puede hacer clic en CANCEL para guardar y salir de la página Service account details sin completar las páginas Grant this service account access to project y Grant users access to this service account. Le recomendamos que complete las dos páginas restantes más tarde.

Al crear una cuenta de servicio, existe la opción de crear una clave para la cuenta. Necesita esta clave al crear una conexión en Citrix Studio. La clave se halla en un archivo de credenciales (JSON). El archivo se descarga automáticamente y se guarda en la carpeta “Descargas” después de crear la clave. Al crear la clave, establezca el tipo de clave en JSON. De lo contrario, Studio no podrá analizarla.

Sugerencia:

Cree claves mediante la página Service accounts de la consola de GCP. Le recomendamos cambiar las claves con frecuencia por motivos de seguridad. Para proporcionar claves nuevas a la aplicación de Citrix Virtual Apps and Desktops, modifique una conexión GCP existente.

Además, debe otorgar a su cuenta de servicio los permisos necesarios para acceder a su proyecto GCP. Para ello, siga estos pasos:

  1. En la consola de GCP, vaya a IAM & Admin > IAM.

  2. En la página IAM, busque la cuenta de servicio que creó y, a continuación, haga clic en el icono de lápiz para modificarla.

  3. En la página Edit permissions, haga clic en ADD ANOTHER ROLE para agregar uno a uno estos roles a su cuenta de servicio y, a continuación, haga clic en SAVE.

    • Administrador de procesos
    • Administrador de almacenamiento
    • Editor de compilaciones en la nube
    • Usuario de cuenta de servicio
    • Usuario de almacén de datos en la nube
  4. Actualice los roles asignados a la cuenta de servicio de Cloud Build que tiene su proyecto.

    1. En la consola de GCP, vaya a IAM & Admin > IAM.
    2. En la página IAM, busque la cuenta de servicio de Cloud Build y, a continuación, haga clic en el icono de lápiz para modificarla. Puede identificar la cuenta de servicio de Cloud Build por su nombre de usuario, que está en el formato <your_gcp_project_ID_number>@cloudbuild.gserviceaccount.com.
    3. En la página Edit permissions, haga clic en ADD ANOTHER ROLE para agregar uno a uno estos roles a su cuenta de servicio de Cloud Build y, a continuación, haga clic en SAVE.
      • Cuenta de servicio de Cloud Build
      • Administrador de instancias de proceso
      • Usuario de cuenta de servicio

Agregar una conexión

En Citrix Studio, siga las instrucciones indicadas en Crear una conexión y recursos. La siguiente descripción es una guía para configurar una conexión de alojamiento en Citrix Studio:

  1. En la ficha Administrar , vaya a Configuración > Alojamiento en el panel de navegación de Studio.

  2. Haga clic en Agregar conexión y recursos, en el panel Acciones.

  3. En la página Conexión, seleccione Crear una conexión y Herramientas de Studio y, a continuación, haga clic en Siguiente.

    • Tipo de conexión. Seleccione Google Cloud Platform en el menú.
    • Clave de cuenta de servicio. Importe la clave contenida en el archivo de credenciales de Google (JSON). Para ello, busque el archivo de credenciales, abra el archivo con el Bloc de notas (o cualquier editor de texto) y, a continuación, copie el contenido. Después, vuelva a la página Conexión, haga clic en Importar clave, pegue el contenido y, a continuación, haga clic en Aceptar.
    • ID de cuenta de servicio. El campo se rellena automáticamente con la información de la clave importada.
    • Nombre de la conexión. Escriba un nombre para la conexión.
  4. En la página Región, seleccione un nombre de proyecto en el menú, seleccione una región que contenga los recursos que quiere utilizar y, a continuación, haga clic en Siguiente.

  5. En la página Red, escriba un nombre para los recursos, seleccione una red virtual en el menú, seleccione un subconjunto y, a continuación, haga clic en Siguiente. El nombre de los recursos ayuda a identificar esta combinación de región y red en Studio. Las redes virtuales con el sufijo (Shared) (Compartida) anexado a su nombre representan VPC compartidas. Si configura un rol de IAM a nivel de subred para una VPC compartida, solo aparecerán subredes específicas de la VPC compartida en la lista de subredes.

    Nota:

    -  El nombre de conexión puede contener entre 1 y 64 caracteres, y no puede contener solo espacios en blanco o los caracteres `\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )`.
    
  6. En la página Resumen, confirme la información y haga clic en Finalizar para salir de la ventana Agregar conexión y recursos.

Después de crear la conexión y los recursos, Studio los muestra. Para configurar la conexión, selecciónela y, a continuación, haga clic en la opción correspondiente en el panel Acciones.

Del mismo modo, puede optar por eliminar, cambiar el nombre o probar los recursos creados en la conexión. Para ello, seleccione el recurso de la conexión y, a continuación, haga clic en la opción correspondiente del panel Acciones.

Preparar la instancia de una VM maestra y un disco persistente

Sugerencia:

“Disco persistente” es el término de GCP para “disco virtual”.

Para preparar la instancia de una VM maestra, cree y configure una instancia de VM con propiedades que coincidan con la configuración que quiera para las instancias de VDA clonadas en el catálogo de máquinas planificado. La configuración no se aplica solamente al tamaño y al tipo de instancia. También incluye atributos de instancia como metadatos, etiquetas, asignaciones de GPU, etiquetas de red y propiedades de cuenta de servicio.

Como parte del proceso, MCS utiliza la instancia de VM maestra para crear la plantilla de instancias de GCP. A continuación, la plantilla de instancias se utiliza para crear las instancias de VDA clonadas que componen el catálogo de máquinas. Las instancias clonadas heredan las propiedades (excepto las propiedades de VPC, subred y disco persistente) de la instancia de VM maestra a partir de la cual se creó la plantilla de instancias.

Después de configurar las propiedades de la instancia de VM maestra según sus especificaciones, inicie la instancia y, a continuación, prepare el disco persistente para la instancia.

Le recomendamos crear manualmente una instantánea del disco. Esto le permite utilizar una convención de nomenclatura útil para realizar un seguimiento de las versiones, le ofrece más opciones para administrar versiones anteriores de la imagen maestra y le ahorra tiempo en la creación de catálogos de máquinas. Si no crea su propia instantánea, MCS lo hace por usted. Puede usarla para crear la imagen personalizada en su biblioteca de imágenes de GCP.

Crear un catálogo de máquinas

Nota:

Cree los recursos antes de crear los catálogos de máquinas. Al configurar catálogos de máquinas, utilice las convenciones de nomenclatura establecidas por Google Cloud Platform. Consulte Directrices de nomenclatura de depósitos y objetos para obtener más información.

En Citrix Studio, siga las instrucciones indicadas en Crear catálogos de máquinas. La siguiente descripción se aplica exclusivamente a los catálogos de Google Cloud Platform.

  1. En la ficha Administrar, seleccione Catálogos de máquinas, en el panel de navegación de Studio.

  2. En el panel Acciones, haga clic en Crear catálogo de máquinas.

  3. En la página Sistema operativo, seleccione SO multisesión y, a continuación, haga clic en Siguiente.

    • Citrix Virtual Apps and Desktops Service también admite SO de sesión única.
  4. En la página Administración de máquinas, seleccione las opciones Máquinas con administración de energía y Citrix Machine Creation Services y, a continuación, haga clic en Siguiente. Si hay varios recursos, seleccione uno en el menú.

  5. En la página Imagen maestra, seleccione una máquina virtual y el nivel funcional mínimo del catálogo y, a continuación, haga clic en Siguiente. Si quiere utilizar la funcionalidad de arrendamiento único, debe seleccionar una imagen cuya propiedad de grupo de nodos esté configurada correctamente. Consulte Habilitar el arrendamiento único.

  6. En la página Máquinas virtuales, especifique cuántas máquinas virtuales quiere crear, revise la especificación detallada de dichas máquinas y, a continuación, haga clic en Siguiente. Si utiliza grupos de nodos de arrendatario único para catálogos de máquinas, deberá seleccionar solo las zonas en las que están disponibles los nodos de arrendatario único reservados. Consulte Habilitar el arrendamiento único.

  7. En la página Cuentas de equipo, seleccione una cuenta de Active Directory y, a continuación, haga clic en Siguiente.

    • Si selecciona Crear nuevas cuentas de Active Directory, seleccione un dominio y, a continuación, introduzca la secuencia de caracteres que representa el esquema de nomenclatura para las cuentas de equipo de VM aprovisionadas creadas en Active Directory. El esquema de nomenclatura de cuentas puede contener de 1 a 64 caracteres y no puede contener espacios en blanco, ni caracteres no ASCII o especiales.
    • Si selecciona Usar cuentas de Active Directory existentes, haga clic en Examinar para desplazarse a las cuentas de equipo de Active Directory existentes de los equipos seleccionados.
  8. En la página Credenciales de dominio, haga clic en Introducir credenciales, escriba el nombre de usuario y la contraseña, haga clic en Aceptar y, a continuación, haga clic en Siguiente.

    • Las credenciales que escriba deben tener permisos para realizar operaciones en cuentas de Active Directory.
  9. En la página Ámbitos, seleccione ámbitos para el catálogo de máquinas y, a continuación, haga clic en Siguiente.

    • Puede seleccionar ámbitos opcionales o hacer clic en Ámbito personalizado para personalizarlos según sea necesario.
  10. En la página Resumen, confirme la información, especifique un nombre para el catálogo y haga clic en Finalizar.

    Nota:

    El nombre del catálogo puede contener entre 1 y 39 caracteres, y no puede contener solo espacios en blanco o los caracteres \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

La creación del catálogo de máquinas puede tardar mucho tiempo en completarse. Una vez finalizada la creación del catálogo, Studio lo muestra. Desde la consola de GCP, puede comprobar que las máquinas se hayan creado en los grupos de nodos de destino.

Para agregar máquinas a un catálogo, siga estos pasos:

  1. En el panel de navegación de Studio, seleccione Catálogos de máquinas.

  2. Seleccione el catálogo de máquinas al que quiere agregar máquinas.

  3. En el panel Acciones, haga clic en Agregar máquinas.

  4. En la página Máquinas virtuales, especifique la cantidad de máquinas que quiere agregar y, a continuación, haga clic en Siguiente.

  5. En la página Cuentas de equipo, seleccione una cuenta de Active Directory y, a continuación, haga clic en Siguiente.

  6. En la página Credenciales de dominio, haga clic en Introducir credenciales, escriba el nombre de usuario y la contraseña, haga clic en Aceptar y, a continuación, haga clic en Siguiente.

  7. En la página Resumen, confirme la información y haga clic en Finalizar.

Actualizar máquinas

Esta función puede ser útil en los casos en que quiera actualizar su imagen maestra o el nivel funcional mínimo.

Para actualizar las máquinas, siga estos pasos:

  1. En el panel de navegación de Studio, seleccione Catálogos de máquinas.

  2. Seleccione el catálogo de máquinas que contenga las máquinas que quiere actualizar.

  3. En el panel Acciones, haga clic en Actualizar máquinas.

  4. En la página Imagen maestra, seleccione una máquina virtual y el nivel funcional mínimo del catálogo y, a continuación, haga clic en Siguiente.

  5. En la página Estrategia de implantación, indique cuándo quiere actualizar las máquinas y, a continuación, haga clic en Siguiente.

  6. En la página Resumen, confirme la información y haga clic en Finalizar.

Para revertir la actualización de una máquina, siga estos pasos:

Importante:

No elimine ni mueva ni cambie el nombre de las imágenes maestras. De lo contrario, no podrá revertir la actualización.

  1. En el panel de navegación de Studio, seleccione Catálogos de máquinas.

  2. Seleccione el catálogo de máquinas en el que quiere revertir la actualización de la máquina.

  3. En el panel Acciones, haga clic en Revertir actualización de máquinas.

  4. En la página Vista general, confirme la información y, a continuación, haga clic en Siguiente.

  5. En la página Estrategia de implantación, configure la estrategia de implantación y, a continuación, haga clic en Siguiente.

  6. En la página Resumen, confirme la información y haga clic en Finalizar.

Administración de energía

Citrix Virtual Apps and Desktops Service le permite administrar la energía de máquinas en GCP. Utilice el nodo Buscar del panel de navegación para localizar la máquina que quiere administrar. Estas son las acciones de energía que hay disponibles:

  • Eliminar
  • Inicio
  • Reiniciar
  • Forzar reinicio
  • Apagar
  • Forzar apagado
  • Agregar a grupo de entrega
  • Administrar etiquetas
  • Activar modo de mantenimiento

También puede administrar la energía de las máquinas de GCP mediante Autoscale. Para ello, agregue las máquinas de GCP a un grupo de entrega y, a continuación, habilite Autoscale para dicho grupo de entrega. Para obtener más información sobre Autoscale, consulte Autoscale.

Importar máquinas de GCP creadas manualmente

Puede crear una conexión a GCP y, a continuación, crear un catálogo que contenga máquinas de GCP. Luego, puede apagar y encender manualmente las máquinas de GCP a través de Citrix Virtual Apps and Desktops Service. Con esta función, puede:

  • Importar las máquinas de SO multisesión de GCP creadas manualmente al catálogo de máquinas de Citrix Virtual Apps and Desktops.
  • Quitar las máquinas de SO multisesión de GCP creadas manualmente de un catálogo de Citrix Virtual Apps and Desktops.
  • Utilizar las prestaciones de administración de energía existentes en Citrix Virtual Apps and Desktops para administrar la energía de las máquinas de SO multisesión Windows en GCP. Por ejemplo, establecer una programación de reinicio para dichas máquinas.

Esta funcionalidad no requiere cambios en el flujo de aprovisionamiento de Citrix Virtual Apps and Desktops; tampoco se necesita eliminar ninguna función existente. Se recomienda utilizar MCS para aprovisionar máquinas en Studio en lugar de importar máquinas de GCP creadas manualmente.

Nube privada virtual compartida

Las nubes VPC compartidas constan de un proyecto host (desde el que están disponibles las subredes compartidas) y uno o varios proyectos de servicios que utilizan el recurso. Las nubes VPC compartidas son las opciones idóneas para instalaciones grandes, ya que ofrecen control, uso y administración centralizados de los recursos de empresa compartidos de Google Cloud. Para obtener más información, consulte la sitio de documentación de Google.

Con esta función, Machine Creation Services (MCS) admite el aprovisionamiento y la administración de catálogos de máquinas implementados en las nubes VPC compartidas. Esta compatibilidad, equivalente en funcionalidad a la compatibilidad que se ofrece en nubes VPC locales, difiere en dos áreas:

  1. Debe conceder permisos adicionales a la cuenta de servicio utilizada para crear la conexión de host. Este proceso permite a MCS acceder a los recursos de nubes VPC compartidas y utilizarlos.
  2. Debe crear dos reglas de firewall, una para la entrada y otra para la salida. Estas reglas de firewall se utilizan durante el proceso de creación de imágenes maestras.

Se necesitan nuevos permisos

Se requiere una cuenta de servicio de GCP con permisos específicos cuando se crea la conexión de host. Estos permisos adicionales se deben conceder a todas las cuentas de servicio utilizadas para crear conexiones de host basadas en VPC compartidas.

Sugerencia:

Esos permisos adicionales no son nuevos para Citrix Virtual Apps and Desktops Service. Se utilizan para facilitar la implementación de VPC locales. Con las VPC compartidas, estos permisos adicionales permiten el acceso a otros recursos de VPC compartidas.

Se debe conceder un máximo de cuatro permisos adicionales a la cuenta de servicio asociada a la conexión de host para admitir nubes VPC compartidas:

  1. compute.firewalls.list: Este permiso es obligatorio. Permite a MCS recuperar la lista de reglas de firewall presentes en la nube VPC compartida.
  2. compute.networks.list: Este permiso es obligatorio. Permite a MCS identificar las redes de nubes VPC compartidas disponibles para la cuenta de servicio.
  3. compute.subnetworks.list: Este permiso es opcional, en función de cómo utilice las nubes VPC. Permite a MCS identificar las subredes dentro de las nubles VPC compartidas que sean visibles. Este permiso ya es necesario para utilizar nubes VPC locales, pero también debe asignarse en el proyecto host de nubes VPC compartidas.
  4. compute.subnetworks.use: Este permiso es opcional, en función de cómo utilice las nubes VPC. Es necesario utilizar recursos de subred en los catálogos de máquinas aprovisionadas. Este permiso ya es necesario para utilizar nubes VPC locales, pero también debe asignarse en el proyecto host de nubes VPC compartidas.

Al utilizar estos permisos, tenga en cuenta que existen diferentes enfoques basados en el tipo de permiso utilizado para crear el catálogo de máquinas:

  • Permiso a nivel de proyecto:
    • Permite el acceso a todas las nubes VPC compartidas dentro del proyecto host.
    • Requiere que los permisos #3 y #4 estén asignados a la cuenta de servicio.
  • Permiso a nivel de subred:
    • Permite el acceso a subredes específicas dentro de la nube VPC compartida.
    • Los permisos #3 y #4 son intrínsecos a la asignación a nivel de subred y, por lo tanto, no es necesario asignarlos directamente a la cuenta de servicio.

Seleccione el enfoque que se adapte a las necesidades y los estándares de seguridad de su organización.

Sugerencia:

Para obtener más información sobre las diferencias entre los permisos a nivel de proyecto y a nivel de subred, consulte la documentación de Google Cloud.

Reglas de firewall

Durante la preparación de un catálogo de máquinas, se prepara una imagen de máquina para que sirva como disco del sistema de la imagen maestra del catálogo. Cuando se produce este proceso, el disco se conecta temporalmente a una máquina virtual. Esta máquina virtual debe ejecutarse en un entorno aislado que impida todo el tráfico de red entrante y saliente. Este aislamiento se logra gracias a un par de reglas de firewall “deny-all” (denegar todo): una para el tráfico de entrada y otra para el tráfico de salida. Al utilizar nubes VPC locales de GCP, MCS crea este firewall en la red local y lo aplica a la máquina para la creación de imagen maestra. Una vez finalizada la creación de la imagen maestra, la regla de firewall se elimina de la imagen.

Se recomienda mantener al mínimo la cantidad de nuevos permisos necesarios para usar nubes VPC compartidas. Las nubes VPC compartidas son recursos de empresa de alto nivel y suelen tener protocolos de seguridad más rígidos. Por este motivo, cree un par de reglas de firewall en el proyecto host en los recursos de VPC compartida, una para la entrada y otra para la salida. Asígneles la máxima prioridad. Aplique una nueva etiqueta de destino a cada una de estas reglas, con el siguiente valor:

citrix-provisioning-quarantine-firewall

Cuando MCS crea o actualiza un catálogo de máquinas, busca reglas de firewall que contengan esta etiqueta de destino. A continuación, comprueba que las reglas sean correctas y las aplica a la máquina utilizada para preparar la imagen maestra del catálogo. Si no se encuentran reglas de firewall o se encuentran pero son incorrectas o ellas o sus prioridades, aparecerá un mensaje similar al siguiente:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configurar la nube VPC compartida

Antes de agregar la VPC compartida como conexión de host en Citrix Studio, lleve a cabo los siguientes pasos para agregar cuentas de servicio desde el proyecto que aprovisionará:

  1. Cree un rol de IAM.
  2. Agregue la cuenta de servicio utilizada para crear una conexión de host de CVAD al rol de IAM del proyecto host de VPC compartida.
  3. Agregue la cuenta del servicio de Cloud Build desde el proyecto que quiere aprovisionar al rol de IAM del proyecto host de VPC compartida.
  4. Cree reglas de firewall.

Crear un rol de IAM

Determine el nivel de acceso del rol: Acceso a nivel de proyecto o un modelo más restringido con acceso a nivel de subred.

Acceso a nivel de proyecto para el rol de IAM. Para el rol de IAM a nivel de proyecto, incluya los siguientes permisos:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Para crear un rol de IAM a nivel de proyecto:

  1. En la consola de GCP, vaya a IAM & Admin > Roles.
  2. En la página Roles, haga clic en CREATE ROLE.
  3. En la página Create Role, especifique el nombre del rol. Haga clic en ADD PERMISSIONS.
    1. En la página Add permissions, agregue permisos al rol de forma individual. Para agregar un permiso, escriba el nombre del permiso en el campo Filter table. Seleccione el permiso y, a continuación, haga clic en ADD.
    2. Haga clic en CREATE.

Un rol de IAM a nivel de subred. Este rol omite la adición de los permisos compute.subnetworks.list y compute.subnetworks.use después de seleccionar CREATE ROLE. Para este nivel de acceso de IAM, los permisos compute.firewalls.list y computer.networks.list deben aplicarse al nuevo rol.

Para crear un rol de IAM a nivel de subred:

  1. En la consola de GCP, vaya a VPC Network > Shared VPC. Aparecerá la página Shared VPC, que muestra las subredes de las redes de VPC compartidas que contiene el proyecto host.
  2. En la página Shared VPC, seleccione la subred a la que quiere acceder.
  3. En la esquina superior derecha, haga clic en ADD MEMBER para agregar una cuenta de servicio.
  4. En la página Add members, siga estos pasos:
    1. En el campo New members, escriba el nombre de su cuenta de servicio y, a continuación, selecciónela en el menú.
    2. Haga clic en el campo Select a role y, a continuación, Compute Network User.
    3. Haga clic en SAVE.
  5. En la consola de GCP, vaya a IAM & Admin > Roles.
  6. En la página Roles, haga clic en CREATE ROLE.
  7. En la página Create Role, especifique el nombre del rol. Haga clic en ADD PERMISSIONS.
    1. En la página Add permissions, agregue permisos al rol de forma individual. Para agregar un permiso, escriba el nombre del permiso en el campo Filter table. Seleccione el permiso y, a continuación, haga clic en ADD.
    2. Haga clic en CREATE.

Agregar una cuenta de servicio al rol de IAM del proyecto host

Después de crear un rol de IAM, siga estos pasos para agregar una cuenta de servicio para el proyecto host:

  1. En la consola de GCP, vaya al proyecto host y, a continuación, a IAM & Admin > IAM.
  2. En la página IAM, haga clic en ADD para agregar una cuenta de servicio.
  3. En la página Add members:
    1. En el campo New members, escriba el nombre de su cuenta de servicio y, a continuación, selecciónela en el menú.
    2. Haga clic en el campo Select a role, escriba el rol de IAM que creó y, a continuación, haga clic en el rol en el menú.
    3. Haga clic en SAVE.

Ahora la cuenta de servicio está configurada para el proyecto host.

Agregar la cuenta de servicio de Cloud Build a la VPC compartida

Cada suscripción a Google Cloud tiene una cuenta de servicio que tiene, como nombre, el número de identificación del proyecto, seguido de cloudbuild.gserviceaccount. Por ejemplo: 705794712345@cloudbuild.gserviceaccount.

Para determinar el número de ID del proyecto, seleccione Home y Dashboard en la consola de Google Cloud:

Panel de navegación de la consola de Google Cloud

Busque el número del proyecto en el área Project Info de la pantalla.

Siga estos pasos para agregar la cuenta de servicio de Cloud Build a la VPC compartida:

  1. En la consola de Google Cloud, vaya al proyecto host y, a continuación, a IAM & Admin > IAM.
  2. En la página Permissions, haga clic en ADD para agregar una cuenta.
  3. En la página Add members, siga estos pasos:
    1. En el campo New members, escriba el nombre de la cuenta de servicio de Cloud Build y, a continuación, selecciónela en el menú.
    2. Haga clic en el campo Select a role, escriba Computer Network User y, a continuación, haga clic en el rol en el menú.
    3. Haga clic en SAVE.

Crear reglas de firewall

Como parte del proceso de masterización, MCS copia la imagen de máquina seleccionada y la utiliza para preparar el disco del sistema de la imagen maestra para el catálogo. Durante la masterización, MCS conecta el disco a una máquina virtual temporal, que luego ejecuta scripts de preparación. Esta máquina virtual debe ejecutarse en un entorno aislado que prohíba todo el tráfico de red entrante y saliente. Para crear un entorno aislado, MCS requiere dos reglas “deny all” en el firewall (una regla de entrada y una regla de salida). Por lo tanto, cree dos reglas de firewall en el proyecto host de la siguiente manera:

  1. En la consola de GCP, vaya al proyecto host y, a continuación, a VPC Network > Firewall.
  2. En la página Firewall, haga clic en CREATE FIREWALL RULE.
  3. En la página Create a firewall rule, complete lo siguiente:
    • Name. Escriba el nombre de la regla.
    • Network. Seleccione la red de VPC compartida a la que se aplica la regla de firewall de entrada.
    • Priority. Cuanto menor sea el valor, mayor será la prioridad de la regla. Recomendamos un valor pequeño (por ejemplo, 10).
    • Direction of traffic. Seleccione Ingress.
    • Action on match. Seleccione Deny.
    • Targets. Utilice el valor predeterminado, Specified target tags.
    • Target tags. Escriba citrix-provisioning-quarantine-firewall.
    • Source filter. Utilice el valor predeterminado, IP ranges.
    • Source IP ranges. Escriba un intervalo que tenga en cuenta todo el tráfico. Escriba 0.0.0.0/0.
    • Protocols and ports. Seleccione Deny all.
  4. Haga clic en CREATE para crear la regla.
  5. Repita los pasos del 1 al 4 para crear otra regla. En Direction of traffic, seleccione Egress.

Agregar una conexión

Después de agregar las interfaces de red a la instancia de Cloud Connector, agregue una conexión.

Habilitar el arrendamiento único

Citrix Virtual Apps and Desktops Service admite el arrendamiento único. Con el arrendamiento único, puede especificar las zonas en las que crear máquinas virtuales en Citrix Studio. Para configurar el arrendamiento único, debe completar lo siguiente en GCP:

  • Reservar un nodo de arrendatario único
  • Crear la imagen maestra del VDA

Reservar un nodo de arrendatario único de Google Cloud

Para reservar un nodo de arrendatario único, lleve a cabo los siguientes pasos:

  1. En la consola de Google Cloud, vaya a Compute Engine > Sole-tenant nodes.

  2. En la página Sole-tenant nodes, haga clic en CREATE NODE GROUP.

  3. En la página Create a node group, complete estos pasos:

    1. Escriba un nombre para el grupo de nodos. Por ejemplo, mh-sole-tenant-node-group-1.
    2. Seleccione una región. Por ejemplo, us-east1.
    3. Seleccione la zona en la que reside el sistema reservado. Por ejemplo, us-east1-b.

      Se recomienda que la región y la zona que seleccione permitan el acceso a los controladores de dominio y a las subredes utilizadas para el aprovisionamiento de los catálogos de máquinas.

    4. Asocie un grupo de nodos a una plantilla de nodos. Lleve a cabo estos pasos:

      Importante:

      Una plantilla de nodos se utiliza para indicar las características de rendimiento del sistema que se reserva al grupo de nodos. Estas características incluyen la cantidad de vGPU, la cantidad de memoria asignada al nodo y el tipo de máquina utilizado para las máquinas creadas en el nodo.

      1. Seleccione Create node template en el menú desplegable. Aparecerá la página Create a node template.
      2. En la página Create a node template, configure la información necesaria:

        Name. Escriba un nombre para la plantilla de nodos. Node type. En el menú desplegable, seleccione el tipo de nodo que le convenga. Para obtener más información sobre los tipos de nodos, consulte la documentación de Google Cloud en https://cloud.google.com/compute/docs/nodes/sole-tenant-nodes#node_types.

      3. Haga clic en Create para salir de la página Create a node template y volver a la página Create a node group.
  4. Haga clic en Create para completar la creación de un grupo de nodos.

Crear la imagen maestra del VDA

Para implementar máquinas en el nodo de arrendatario único, debe realizar pasos adicionales al crear una imagen de máquina virtual maestra. Las instancias de máquina en GCP tienen una propiedad llamada node affinity labels (etiquetas de afinidad de nodos). Las instancias utilizadas como imágenes maestras para catálogos implementados en el nodo de arrendatario único requieren una etiqueta de afinidad de nodos que coincida con el nombre del grupo de nodos de destino. Para lograr esto, tenga en cuenta lo siguiente:

Nota:

Si quiere utilizar el arrendamiento único con una nube privada virtual (VPC) compartida, consulte Nube privada virtual compartida.

Configurar una etiqueta de afinidad de nodos al crear una instancia

Para configurar la etiqueta de afinidad de nodos:

  1. En la consola de GCP, vaya a Compute Engine > VM instances.

  2. En la página VM instances, haga clic en Create instance.

  3. En la página Instance creation, escriba o configure la información necesaria y, a continuación, haga clic en administración, seguridad, discos, redes, arrendamiento único para abrir el panel de configuración.

  4. En la ficha Sole Tenancy, haga clic en Browse para ver los grupos de nodos disponibles en el proyecto actual. Aparecerá la página Sole-tenant node, que muestra una lista de los grupos de nodos disponibles.

  5. En la página Sole-tenant node, seleccione el grupo de nodos correspondiente de la lista y, a continuación, haga clic en Select para volver a la ficha Sole tenancy. El campo de las etiquetas de afinidad de nodos se rellena con la información seleccionada. Esta configuración garantiza que los catálogos de máquinas creados a partir de la instancia se implementarán en el grupo de nodos seleccionado.

  6. Haga clic en Create para crear la instancia.

Configurar una etiqueta de afinidad de nodos para una instancia existente

Para configurar la etiqueta de afinidad de nodos:

  1. En la consola de GCP, haga clic en el icono de terminal situado en la esquina superior derecha para iniciar Google Cloud Shell:

    Consola de Google Cloud: icono de terminal

    Aparecerá una ventana de terminal en la parte inferior de la interfaz de usuario. En la ventana del terminal de Google Cloud Shell, utilice el comando gcloud compute instances para establecer una etiqueta de afinidad de nodos. Incluya la siguiente información en el comando gcloud:

    • Nombre de la VM. Por ejemplo, utilice una máquina virtual existente denominada s*2019-vda-base.*
    • Nombre del grupo de nodos. Utilice el nombre de grupo de nodos creado anteriormente. Por ejemplo, mh-sole-tenant-node-group-1.
    • La zona en la que reside la instancia. Por ejemplo, la máquina virtual reside en *us-east-1b* zone.

    Por ejemplo, escriba el siguiente comando en la ventana de terminal:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Para obtener más información sobre el comando gcloud compute instances, consulte la documentación de Google Developer Tools en https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Vaya a la página VM instance details de la instancia y verifique que el campo Node Affinities se rellenó con la etiqueta.

Crear un catálogo de máquinas

Una vez configurada la etiqueta de afinidad de nodos, configure el catálogo de máquinas.

Más información