Paso 2: Configurar los servicios de red

Información general

Este segmento cubre los servicios de red necesarios para alojar una ubicación de recursos de Citrix Cloud en Google Cloud. La finalización del último objetivo le deja con un proyecto vacío en Google Cloud, en el que estamos creando un sistema de virtualización Citrix. Esta sección tiene como objetivo incluir los servicios relacionados con las redes necesarios para cumplir nuestro objetivo principal. La creación y configuración de una red se vuelve compleja en relación con el tamaño de los requisitos del sistema subyacente de la organización. En esencia, un sistema de virtualización de Citrix en Google Cloud requiere lo siguiente para funcionar:

  • Una nube privada virtual (VPC) para interconectar los VDA de Citrix y los Citrix Cloud Connectors.

  • Método para que los Citrix Cloud Connectors (y, opcionalmente, los VDA) interactúen con los servicios web gestionados (API) de Citrix Cloud. Ambos solo requieren conectividad de salida, que normalmente proporciona el servicio deNAT en la nubede Google.

  • Un método para que los Citrix Cloud Connectors se comuniquen conlas API de Google Cloud. Se debe habilitar una función de VPC de Google Cloud llamada acceso privado de Google para permitir la comunicación.

  • Método para que los VDA y los VDA de Citrix Cloud Connectors se comuniquen con Active Directory y otros recursos de red, incluido Internet. Una forma común de proporcionar DNS en un sistema de virtualización de Citrix es con el servicioDNS de Google Cloud.

  • Protección de una capa de red mediante el firewall de VPC de Google.

Su organización puede tener una forma diferente de implementar las funcionalidades necesarias que describimos aquí. Si se cumplen los objetivos y se verifican funcionalmente, debería estar bien encaminado a crear el entorno de virtualización de Citrix.

1 Crear o acceder a una red para los VDA y los Cloud Connectors

En Google Cloud, los recursos de máquinas virtuales necesitan una red de VPC para la comunicación. Una VPC se encuentra dentro de un proyecto específico de Google Cloud y, de forma opcional, se puede compartir entre varios proyectos según sea necesario. Google llama a esta última funciónVPC compartida. Citrix Cloud admite la implementación de VDA de Citrix en redes de VPC compartidas, la instalación y la configuración no se detallan en esta guía simplificada.

Una VPC es una construcción global del proyecto, lo que significa que puede abarcar no solo las zonas dentro de las regiones, sino también las regiones de todo el mundo. Se requiere como mínimo una subred en cada región en la que se implementan las máquinas virtuales.

Para esta guía de implementación, se utiliza una red de VPC para proporcionar conectividad interna (privada) entre las tres zonas de Google (us-west1-a, us-west1-b y us-west1-c). Una VPC es una versión virtual de una red física implementada en la red de Google. Una VPC se considera un recurso global y no está asociada a ninguna región o zona de Google. Se puede crear una red de VPC mediante el modo automático o el modo personalizado. La red de VPC en modo automático crea automáticamente una sola subred por región cuando se crea la red. A medida que hay nuevas regiones disponibles, las subredes nuevas de esas regiones se agregan automáticamente a la red de modo automático. Una red de VPC de modo personalizado requiere que todas las subredes se creen manualmente. Ten en cuenta también que hay un coste asociado a los flujos de tráfico en Google Cloud. El tráfico de entrada de la VPC es gratuito. El tráfico de salida a la misma zona, a un servicio de GCP diferente en la misma región y a los productos de Google es gratuito. Sin embargo, hay un coste por el tráfico de salida entre zonas de la misma región o regiones dentro de los EE. UU.

nube-privada-virtual

El objetivo de esta tarea es crear una VPC funcional que se utilice para crear una ubicación de recursos de Citrix Cloud en Google Cloud. Esta tarea se puede considerar completa cuando la cuenta de servicio de Citrix Cloud (creada anteriormente) puede implementar una máquina virtual en una VPC funcional.

1.1 Crear una red y una subred de VPC

  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Navega a la red de VPC

  3. Haga clic en Redes de VPC

    redes vpc

  4. Haga clic en Crear red de VPC

    vpc-networks-create

  5. Introduzca un nombre único para la red de VPC: citrixcloudnetwork

  6. Introduzca una descripción para la red de VPC: Red de Citrix Cloud

    descripción-entrada-de-redes vpc-

  7. Selecciona Personalizado

  8. Introduzca un nombre único para el nombre de la subred: citrixcloudsubnet

  9. Introduzca una descripción para la subred: Subred de Citrix Cloud Infrastructure

  10. Seleccione la región us-west1

  11. Introduzca el siguiente rango de direcciones IP: 10.240.1.0/24

  12. Selecciona Activado en la sección Acceso privado a Google . Elacceso privado a Google permite a los Citrix Cloud Connectors comunicarse con las API de Google Cloud.

  13. Haga clic en Hecho

    vpc-networks-click-hecho

  14. Seleccione Regional en la sección Modo de enrutamiento dinámico

  15. Haga clic en Crear para completar el proceso de creación de red de VPC

    proceso de creación de redes vpc

  16. Validar la red de VPC creada correctamente

    vpc-networks-crear-satisfactoriamente

1.2 Configurar la conectividad de salida a Citrix Cloud

Citrix Cloud se basa en un conjunto de API a las que se accede de forma segura a través de Internet. Las máquinas virtuales de Citrix Cloud Connector deben poder comunicarse con Citrix Cloud para funcionar. Si bien hay muchas formas de lograr este objetivo, para esta guía utilizaremos Google Cloud NAT. El servicio NAT en la nube se utiliza para permitir la comunicación entre Citrix Cloud y Google Cloud. La NAT en la nube permite que ciertos recursos sin direcciones IP externas creen conexiones salientes a Internet. Si hay un requisito para establecer una conexión entre el centro de datos local y GCP, Cloud Interconnect proporciona una conexión de baja latencia y alta disponibilidad. Cloud Interconnect permite la comunicación de direcciones IP internas, lo que significa que se puede acceder directamente a las direcciones IP internas desde ambas redes. Sin embargo, el tráfico entre la red local y la red de GCP no atraviesa la Internet pública. Puede elegir entre implementar una interconexión dedicada o de partners para proporcionar conectividad entre el centro de datos local y GCP.

Antes de configurar Cloud NAT, debe configurar Cloud Router como Cloud NAT lo usa.

Nota

La función roles/compute.networkAdmin le otorga permisos para realizar lo siguiente:

  • crear una puerta de enlace NAT en Cloud Router
  • reservar y asignar direcciones IP NAT
  • especificar el tráfico de subred que la puerta de enlace NAT permite utilizar la traducción de direcciones de red

1.2.1 Paso 1: Implementar un router de Google Cloud

  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Navegue a Conectividad híbrida

  3. Haga clic en enrutadores

    enrutadores en la nube

  4. Haga clic en Crear enrutador

    crear enrutadores en la nube

  5. Ingresa un nombre único para Cloud Router: citrixcloudrouter

  6. Introduzca una descripción para Cloud Router: Citrix Cloud Router

  7. Seleccione la red creada en la sección Nube privada virtual : citrixcloudnetwork

  8. Seleccione la región us-west1

  9. Introduce el valor de ASN de Google. Puede usar cualquier valor de ASN privado (de 64512 a 65534, de 4200000000 a 4294967294)

  10. Introduzca el valor 20 del intervalo de mantenimiento de actividad del par BGP (predeterminado)

  11. Haga clic en Crear

    crear-enrutador-nube

  12. Validar que Cloud Router se haya creado correctamente

    los enrutadores de la nube se han validado correctamente

1.2.2 Paso 2: Implementar la NAT de Google Cloud

  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Navegue a Servicios de red

  3. Haga clic en NAT

    cloud-nat

  4. Haga clic en Comenzar

    cloud-nat-get-started

  5. Introduzca un nombre único para la NAT de la nube: citrixcloudnatgateway

  6. Seleccione la red de VPC creada en la sección Virtual Private Cloud : citrixcloudnetwork

  7. Seleccione la región us-west1

  8. Seleccione el Cloud Router implementado en el paso 1

  9. Haga clic en Crear

    puerta de enlace de nube

  10. Validar que la NAT en la nube se creó

    validado por cloud-nat

1.2.3 Configurar los servicios de DNS a través de Google Cloud DNS

Los servicios del Sistema de nombres de dominio (DNS) son un requisito básico para que cualquier red conectada proporcione resolución de nombres y un requisito mínimo para la funcionalidad de Microsoft Active Directory. Para admitir una ubicación de recursos de Citrix Cloud funcional, los VDA y los conectores de Citrix Cloud deben ubicar y comunicarse con Active Directory y Citrix Cloud. Google Cloud DNS es un servicio de Sistema de nombres de dominio (DNS) global resistente y de alto rendimiento que publica los nombres de dominio en el DNS global. El DNS en la nube consiste en zonas públicas y zonas DNS gestionadas privadas. Una zona pública es visible para la Internet pública, mientras que una zona privada solo es visible desde una nube privada virtual (VPC) más específica. Estás implementando Cloud DNS para proporcionar resolución de nombres al dominio ctx.lab con un tipo de zona de reenvío privada. Las siguientes direcciones IP de servidores DNS privados se configuran manualmente a medida que avanza en este documento:

  • 10.240.1.2
  • 10.240.1.3
  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Navegue a Servicios de red

  3. Haga clic en Cloud DNS

    cloud-dns

  4. Haga clic en Crear zona

    zona-dns-nube

  5. Seleccione Privado en el tipo de zona

  6. Introduzca un nombre único para el nombre de la zona: citrix-on-gcp-zone

  7. Introduzca un nombre DNS único: ctx.lab

  8. Introduce una descripción única: zona de reenvío para integrar el DNS de Google con Active Directory

  9. Haga clic en el menú desplegable Opciones y seleccione Reenviar consultas a otro servidor

  10. En la sección Redes, haga clic en el menú desplegable y seleccione la red creada en la sección Nube privada virtual : citrixcloudnetwork.

  11. Introduzca la primera dirección IP DNS: 10.240.1.2

  12. Haga clic en Agregar artículo

  13. Introduzca la segunda dirección IP DNS: 10.240.1.3

  14. Haga clic en Crear

    cloud-dns-create-zone

  15. Validar la zona DNS creada correctamente

    cloud-dns-zone-validate

2 Configurar la seguridad de la capa de red mediante el cortafuegos de VPC

Todos los sistemas de producción y/o conectados a Internet deben tener implementadas múltiples capas de seguridad por razones obvias. El cortafuegos de VPC es una de las muchas funciones de seguridad que ofrece Google Cloud. Las reglas de firewall de VPC permiten permitir o denegar el tráfico de entrada y salida. Las reglas de firewall de VPC se basan en un conjunto flexible de políticas definidas. Las reglas de firewall de la VPC se adjuntan a la VPC y a las máquinas virtuales. Las reglas de firewall de VPC se definen en el nivel de red y las conexiones se permiten o deniegan por instancia. El firewall de VPC protege las instancias dentro de la misma red de VPC y entre una instancia y otras redes de VPC.

Una ubicación de recursos de Citrix Cloud necesita algunas reglas de firewall básicas para funcionar. La siguiente tabla resume el protocolo, los puertos y las etiquetas de red que se requieren o permiten para que esta implementación funcione. Las siguientes tareas le guiarán a través de la creación de reglas de firewall que coincidan:

Descripción Flujo de tráfico Etiquetas de red de destino Intervalo IP de origen Protocolo y puertos
Permitir el tráfico interno entre el controlador de dominio y otras instancias de VM Ingreso dc 10.240.1.0/24 TCP: 88, 135, 389, 445, 464, 636, 3268, 3269, 5985, 9389, 49152-65535 UDP: 88, 123, 389, 464
Permitir el reenvío desde DNS de Google Ingreso DNS 35.199.192.0/19 10.240.1.0/24 TCP: 53 UDP: 53
Permitir el tráfico de Cloud Connector al VDA Ingreso vda 10.240.1.0/24 TCP: 80, 443, 1494, 2598, 8008 UDP: 1494, 2598, 16500-16509
Permitir el tráfico de VDA y Cloud Connector Ingreso cc 10.240.1.0/24 TCP: 80

Utilizamos las etiquetas de red de destino para aplicar estas reglas a las máquinas virtuales que crearemos más adelante en esta guía.

2.1.1 Crear una regla de firewall para permitir el tráfico interno a Active Directory

  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Navega a la red de VPC

  3. Haga clic en Fire

    firewall de red vpn

  4. Haga clic en la opción Crear regla de

    regla de creación de cortafuegos

  5. Introduzca un nombre único para la regla de firewall: citrix-allow-internal-dc

  6. Introduce una descripción: Permitir el tráfico interno entre instancias

  7. Seleccione la red creada en la sección Nube privada virtual : citrixcloudnetwork

  8. Establezca la opción Dirección del tráfico en Ingress

  9. Establezca la opción Permitir en el partido en Permitir

  10. Introduzca las etiquetas de destino de red que están configuradas en la implementación de la instancia de Google Compute: dc

    crear una regla de cortafuegos

  11. Establezca los rangos de IP de origen en 10.240.1.0/24

  12. Seleccione la opción Protocolo y puertos especificados

  13. Seleccione la casilla tcp e introduzca los puertos permitidos: 88, 135, 389, 445, 464, 636, 3268, 3269, 5985, 9389, 49152-65535

  14. Marque la casilla udp e introduzca los puertos permitidos: 88, 123, 389, 464

  15. Haga clic en Crear

    firewall-crear-regla-udp-tcp

2.1.2 Crear una regla de firewall para permitir el reenvío desde el DNS de Google Cloud

  1. Haga clic en la opción Crear regla de

    crear-regla-firewall-allow-dns

  2. Introduzca un nombre único para la regla de firewall: citrix-allow-external-dns

  3. Introduce una descripción: Permitir el reenvío desde el DNS de Google

  4. Seleccione la red creada en la sección Nube privada virtual : citrixcloudnetwork

  5. Establezca la opción Dirección del tráfico en Ingress

  6. Establezca la opción Permitir en el partido en Permitir

  7. Introduzca las etiquetas de destino de red que están configuradas en la implementación de la instancia de Google Compute: dns

    crear-regla-firewall-dns

  8. Establezca los rangos de IP de origen en 35.199.192.0/19 y 10.240.1.0/24

  9. Seleccione la opción Protocolo y puertos especificados

  10. Marque la casilla tcp e introduzca los puertos permitidos: 53

  11. Marque la casilla udp e introduzca los puertos permitidos: 53

  12. Haga clic en Crear

    crear-rango de ip de cortafuegos

2.1.3 Crear una regla de firewall para permitir el tráfico de Cloud Connector al VDA

  1. Haga clic en la opción de crear regla

    crear-regla-cortafuegos vda

  2. Introduzca un nombre único para la regla de firewall: citrix-allow-internal-cc-vda

  3. Introduzca una descripción: Permitir el tráfico de Cloud Connector al VDA

  4. Seleccione la red creada en la sección Nube privada virtual : citrixcloudnetwork

  5. Establezca la opción Dirección del tráfico en Ingress

  6. Establezca la opción Permitir en el partido en Permitir

  7. Introduzca las etiquetas de destino de red que están configuradas en la implementación de la instancia de Google Compute: vda

    crear-una-regla-cortafuegos vda

  8. Establezca los rangos de IP de origen en 10.240.1.0/24

  9. Seleccione la opción Protocolo y puertos especificados

  10. Seleccione la casilla tcp e introduzca los puertos permitidos: 80, 443, 1494, 2598, 8008

  11. Seleccione la casilla udp e introduzca los puertos permitidos: 1494, 2598, 16500-16509

  12. Haga clic en Crear

    crear-una-regla-de-firewall-vda-ip-range

2.1.4 Crear una regla de firewall para permitir el tráfico del VDA a Cloud Connector

  1. Haga clic en la opción Crear reglade

    crear-firewall-vda-to-cloud

  2. Introduzca un nombre único para la regla de firewall: citrix-allow-internal-vda-cc

  3. Introduzca una descripción: Permitir el tráfico del VDA a Cloud Connector

  4. Seleccione la red creada en la sección Nube privada virtual : citrixcloudnetwork

  5. Establezca la opción Dirección del tráfico en Ingress

  6. Establezca la opción Permitir en el partido en Permitir

  7. Introduzca las etiquetas de destino de red que están configuradas en la implementación de la instancia de Google Compute: cc

    crear-regla-de-firewall-vda-to-cloud

  8. Establezca los rangos de IP de origen en 10.240.1.0/24

  9. Seleccione la opción Protocolo y puertos especificados

  10. Marque la casilla tcp e introduzca los puertos permitidos: 80

  11. Haga clic en Crear

    crear-regla-de-firewall-vda-a-rango de ip de nube

Paso 2: Configurar los servicios de red