Guía de PoC: compatibilidad con VPC compartida de Google Cloud Platform (GCP) con Citrix DaaS

Información general

Citrix DaaS admite la VPC compartida de Google Cloud Platform (GCP). Este documento abarca:

• Descripción general de la compatibilidad con Citrix para las VPC compartidas de Google Cloud.

• Descripción general de la terminología relacionada con las VPC compartidas de Google Cloud.

• Configuración de un entorno de Google Cloud para admitir el uso de VPC compartidas.

• Uso de VPC compartidas de Google para conexiones de host y aprovisionamiento de catálogos de máquinas.

• Condiciones de error comunes y cómo resolverlas.

Requisitos previos

En este documento se presupone que tiene conocimiento de Google Cloud y el uso de Citrix DaaS para aprovisionar catálogos de máquinas en un proyecto de Google Cloud.

Para configurar un proyecto de GCP para Citrix DaaS, consulte la documentación del producto.

Resumen

La compatibilidad con Citrix MCS para aprovisionar y administrar catálogos de máquinas implementados en VPC compartidas es funcionalmente equivalente a lo que se admite actualmente en las VPC locales.

Hay dos maneras en que difieren:

• Se deben conceder algunos permisos más a la cuenta de servicio utilizada para crear la conexión de host para permitir que MCS acceda y utilice los recursos de VPC compartidos.

• El administrador del sitio debe crear dos reglas de firewall, una para la entrada y la salida, que se utilizarán durante el proceso de masterización de imágenes.

Ambos se examinarán con mayor detalle más adelante en el presente documento.

VPC compartidas de Google Cloud

Las VPC compartidas de GCP se componen de un proyecto host, desde el que se ponen a disposición las subredes compartidas, y uno o más proyectos de servicio que utilizan los recursos.

El uso de VPC compartidas es una buena opción para instalaciones más grandes, ya que proporcionan un control, uso y administración más centralizados de los recursos compartidos en la nube corporativa de Google. Google Cloud lo describe de esta manera:

“La VPC compartida permite a una organización conectar recursos de varios proyectos a una red de nube privada virtual (VPC)común, de modo que puedan comunicarse entre sí de forma segura y eficiente mediante IP internas de esa red. Al utilizar VPC compartida, designa un proyecto como proyecto host y adjuntar uno o más proyectos de servicio a él. Las redes VPC del proyecto host se denominan redes VPC compartidas. Los recursos elegibles de los proyectos de servicio pueden usar subredes en la red de VPC compartida. “

El párrafo anterior se ha tomado del sitio de documentación de Google.

Nuevos permisos necesarios

Al trabajar con Citrix DaaS y Google Cloud, se debe proporcionar una cuenta de servicio de GCP con permisos específicos al crear la conexión de host. Como se indicó anteriormente, para utilizar las VPC compartidas de GCP se deben conceder algunos permisos adicionales a las cuentas de servicio utilizadas para crear conexiones de host basadas en VPC compartidas.

Técnicamente hablando, los permisos necesarios no son “nuevos”, ya que ya son necesarios para utilizar Citrix DaaS con GCP y VPC locales. El cambio consiste en que los permisos deben concederse para permitir el acceso a los recursos de VPC compartida. Esto se logra agregando la Cuenta de Servicio a los Roles de IAM para el Proyecto Host y se tratará en detalle en la sección “Cómo” de este documento.

Nota:

Para revisar los permisos necesarios para el producto Citrix DaaS que se envía actualmente, consulte el sitio de documentación de Citrix que describe las ubicaciones de recursos.

En total, se deben conceder un máximo de cuatro permisos adicionales a la cuenta de servicio asociada a la conexión de host:

1. compute.firewalls.list - Obligatorio

   Este permiso es necesario para permitir que Citrix MCS recupere la lista de reglas de firewall presentes en la VPC compartida (que se describe en detalle a continuación).

2. compute.networks.list - Obligatorio

   Este permiso es necesario para permitir que Citrix MCS identifique las redes VPC compartidas disponibles para la cuenta de servicio.

3. compute.subnetworks.list — Puede ser obligatorio (ver más abajo)

   Este permiso es necesario para permitir que MCS identifique las subredes dentro de las VPC compartidas visibles.

   Nota:

   Este permiso ya es necesario para usar VPC locales, pero también debe asignarse en el proyecto Host de VPC compartido.

4. compute.subnetworks.use - Puede ser obligatorio (ver más abajo)

   Este permiso es necesario para utilizar los recursos de subred en los catálogos de máquinas aprovisionadas.

   Nota:

   Este permiso ya es necesario para usar VPC locales, pero también debe asignarse en el proyecto Host VPC Compartido.

Los dos últimos ítems se señalan como “Puede ser obligatorio” porque hay dos enfoques diferentes que deben tenerse en cuenta al tratar estos permisos:

• Permisosa nivel de proyecto

  • Permite el acceso a todas las nubes VPC compartidas dentro del proyecto host.

  • Requiere que los permisos #3 y #4 se deben asignar a la cuenta de servicio.

• Permisos anivel de subred

  • Permite el acceso a subredes específicas dentro de la nube VPC compartida.

  • Los permisos #3 y #4 son intrínsecos a la asignación de nivel de subred y, por lo tanto, no es necesario asignarlos directamente a la cuenta de servicio.

A continuación se ofrecen ejemplos de ambos enfoques en la sección “Cómo” de este documento.

Cualquiera de los dos enfoques funcionará igualmente bien. Seleccione el modelo más acorde con las necesidades y las normas de seguridad de la organización. Puede obtener información más detallada sobre la diferencia entre los permisos de nivel de proyecto y de subred en la documentación de Google Cloud.

Proyecto Anfitrión

Para utilizar VPC compartidas en Google Cloud, primero designe y habilite un proyecto de Google Cloud para que sea el Proyecto Host. Este proyecto host contiene una o más redes VPC compartidas utilizadas por otros proyectos de Google Cloud dentro de la organización.

La configuración del Proyecto Host VPC Compartido, la creación de subredes y el uso compartido de todo el proyecto o subredes específicas con otros proyectos de Google Cloud son actividades puramente relacionadas con Google Cloud y no están incluidas en el ámbito de este documento. Puede encontrar la documentación de Google Cloud relacionada con la creación y el trabajo con VPC compartidas aquí.

Reglas de firewall

Un paso clave en el procesamiento entre bastidores que se produce al aprovisionar o actualizar un catálogo de máquinas se denomina masterización. Esto es cuando la imagen de máquina seleccionada se copia y se prepara para ser el disco del sistema de imágenes maestras del catálogo. Durante la masterización, este disco se conecta a una máquina virtual temporal, la máquina de preparación, y se inicia para permitir la ejecución de scripts de preparación. Esta máquina virtual debe ejecutarse en un entorno aislado que impida todo el tráfico de red entrante y saliente. Esto se logra a través de un par de reglas de firewall Deny-All; una para la entrada y otra para la salida.

Cuando se utilizan VPC locales de GCP, MCS crea este par de reglas de firewall sobre la marcha en la red local, las aplica a la máquina para mastering y las elimina cuando se ha completado el mastering.

Citrix recomienda mantener al mínimo el número de permisos nuevos necesarios para utilizar VPC compartidas, ya que las VPC compartidas son recursos corporativos de mayor nivel y suelen tener protocolos de seguridad más rígidos. Por este motivo, el administrador del sitio debe crear un par de reglas de firewall (una entrada y una salida) en cada VPC compartida con la prioridad más alta y aplicar una nueva etiqueta de destino a cada una de las reglas. El valor de Etiqueta de destino es:

citrix-provisioning-quarantine-firewall

Cuando MCS crea o actualiza un catálogo de máquinas, buscará reglas de firewall que contengan esta etiqueta de destino, examinará las reglas para determinar si son correctas y las aplicará al equipo de preparación.

Si no se encuentran las reglas del firewall, o si se encuentran las reglas, pero las reglas o la prioridad son incorrectas, se devolverá un mensaje de este formulario:

Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC \<name\> in project \<project\>. Please ensure you have created deny all firewall rules with the network tagcitrix-provisioning-quarantine-firewall and proper priority. Refer to Citrix Documentation for details.

Cloud Connectors

Al usar una VPC compartida para catálogos de máquinas de Citrix DaaS, creará dos o más Cloud Connectors para acceder al controlador de dominio que reside en la VPC compartida. En este caso, la recomendación es crear una instancia de máquina GCP en su proyecto local y agregar una interfaz de red adicional a la instancia. La primera interfaz estaría conectada a una subred en la VPC compartida. La segunda interfaz de red se conectaría a una subred de su VPC local para permitir el acceso para el control administrativo y el mantenimiento a través del servidor local de VPC Bastion Server.

Desafortunadamente, no puede agregar una interfaz de red a una instancia de GCP después de haber sido creada. Es un proceso simple y se cubre a continuación en una de las entradas Cómo.

Cómo a la sección

La siguiente sección contiene una serie de ejemplos instructivos que le ayudarán a comprender los pasos para realizar los cambios de configuración necesarios para usar las VPC compartidas de Google con Citrix DaaS.

Los ejemplos presentados en capturas de pantalla de Google Console tendrán lugar en un proyecto hipotético de Google llamado Proyecto VPC Compartido 1.

Cómo: Crear un nuevo rol de IAM

Es necesario otorgar algunos permisos adicionales a la cuenta de servicio utilizada al crear la conexión de host. Dado que la intención de implementar en VPC compartidas es permitir que varios proyectos se implementen en la misma VPC compartida, el enfoque más eficiente es crear un nuevo rol en el proyecto host con los permisos deseados y, a continuación, asignar ese rol a cualquier cuenta de servicio que requiera acceso a la VPC compartida.

A continuación crearemos el rol de nivel de proyecto denominado Citrix-ProjectLevel-SharedVPCrole. El rol Nivel de subred simplemente sigue los mismos pasos para los dos primeros conjuntos de permisos asignados.

IAM y Admin en Google Console

Accede a la opción de configuración de IAM & Admin en Google Cloud Console:

Crear rol

Seleccione Crear rol:

Pantalla de creación de rol vacía

Aparece una pantalla similar a la siguiente:

Rellene el nombre y ADD PERMISO

Especifique el nombre del rol. Haga clic en AGREGAR PERMISOS para aplicar la actualización:

Cuadro de diálogo Agregar permisos

Después de hacer clic en Agregar permisos, aparece una pantalla parecida a la siguiente vez.

Tenga en cuenta que en esta imagen se ha resaltado el campo de entrada de texto “Tabla de filtro”:

Agregar permiso de compute.firewalls.list

Al hacer clic en el campo de entrada de texto Tabla de filtro se muestra un menú contextual:

Copie y pegue (o escriba) la cadena compute.firewalls.list en el campo de texto, como se muestra a continuación:

Al seleccionar la entrada compute.firewalls.list que se ha filtrado de la tabla de permisos se obtiene este cuadro de diálogo:

Haga clic en el cuadro de alternancia para habilitar el permiso:

Haga clic en AGREGAR.

La pantalla Crear rol vuelve a aparecer. Tenga en cuenta que el permiso compute.firewalls.list se ha agregado al rol:

Agregar permiso de compute.networks.list

Con los mismos pasos que se indican anteriormente, agregue el permiso compute.networks.list. Sin embargo, asegúrese de seleccionar la regla adecuada. Como puede ver a continuación, cuando se introduce el texto del permiso en el campo de la tabla de filtro, se muestran dos permisos. Elija la entrada compute.networks.list:

Haga clic en AGREGAR.

Los dos permisos obligatorios agregados a nuestro rol:

Nivel de proyecto o nivel de subred

Determine qué nivel de acceso tiene el rol, como el acceso a nivel de proyecto, o un modelo más restringido mediante el acceso a nivel de subred. A los efectos de este documento, actualmente estamos creando el rol llamado Citrix-ProjectLevel-SharedVpc Role, por lo que agregaremos los permisos compute.subnetworks.list y compute.subnetworks.use siguiendo los mismos pasos utilizados anteriormente. La pantalla resultante se ve así, con los cuatro permisos concedidos, justo antes de hacer clic en Crear:

Haga clic en CREATE.

Nota:

Si el rol a nivel de subred se hubiera creado aquí, habríamos hecho clic en CREATE en lugar de agregar los dos permisos adicionales compute.subnetworks.list y compute.subnetworks.use.

Función Citrix-ProjectLevel-SharedVPC creada

Cómo: Agregar cuenta de servicio al rol de IAM del proyecto de host

Ahora que hemos creado el nuevo Citrix-ProjectLevel-SharedVpc Role, necesitamos agregarle una Cuenta de Servicio dentro del Proyecto Host. Para este ejemplo, usaremos una cuenta de servicio denominada citrix-shared-vpc-service-account.

Vaya a IAM & Admin

El primer paso es navegar a la pantalla IAM & Roles del proyecto. En la consola, seleccione IAM y Admin. Seleccione IAM:

Pantalla Permisos de proyecto

Agregar miembros con los permisos especificados. Haga clic en AGREGAR para mostrar la lista de miembros:

Panel Agregar miembros

Al hacer clic en ADD se muestra un pequeño panel como se muestra en la imagen siguiente. Los datos se introducirán en el siguiente paso.

Agregar cuenta de servicio

Comience a escribir el nombre de su cuenta de servicio en el campo. A medida que escribes, Google Cloud buscará los proyectos a los que tengas permisos de acceso y presentará una lista limitada de posibles coincidencias. En este caso, tenemos una coincidencia (que se muestra directamente debajo del relleno), por lo que seleccionamos esa entrada:

Selección de roles

Después de especificar el nombre del miembro (en nuestro caso, la cuenta de servicio), seleccione un rol para que la Cuenta de servicio funcione como en el Proyecto VPC compartido. Inicie este proceso haciendo clic en la lista indicada:

Selección de un rol

Tenga en cuenta que el proceso Seleccionar un rol es similar a los utilizados en el anterior How To - Create a New IAM Role. En este caso, se muestran varias opciones más, así como el relleno.

Especificar el rol

Ya que conocemos el rol que queremos aplicar, podemos empezar a escribir. Una vez que aparezca el rol deseado, seleccione el rol:

Seleccionar y guardar

Después de seleccionar el rol, haga clic en Guardar:

Ahora hemos agregado correctamente la cuenta de servicio al proyecto host.

Cómo: Permisos a nivel de subred

Si ha optado por utilizar el acceso a nivel de subred en lugar del acceso a nivel de proyecto, debe agregar las cuentas de servicio que se utilizarán con la VPC compartida como miembros para cada subred que represente los recursos a los que se tiene acceso. Para esta sección Cómo, vamos a proporcionar la cuenta de servicio nombrada sharedvpc-sa\@citrix-mcs-documentation.iam.gserviceaccount.com con acceso a una sola subred en nuestra VPC compartida.

Vaya a VPC > VPC compartida

El primer paso es navegar a la pantalla VPC compartida en Google Console:

Pantalla inicial de VPC compartida

Esta es la página de inicio de la pantalla VPC compartida de Google Cloud Console. Este proyecto muestra cinco subredes. La cuenta de servicio de este ejemplo requiere acceso a la segunda subred de buena subred (la última subred de la lista siguiente).

Active la casilla de verificación situada junto a la segunda subred correcta de subred:

Seleccione la subred para el acceso a la cuenta de servicio

Ahora que se ha seleccionado la casilla de verificación de la última subred, tenga en cuenta que la opción AGREGAR MIEMBRO aparece en la parte superior derecha de la pantalla.

También es útil para este ejercicio tomar nota del número de usuarios con los que se ha compartido esta subred. Como se ha indicado, un usuario tiene acceso a esta subred.

Haga clic en AGREGAR MIEMBRO:

Rellenar nuevo nombre de miembro

De manera similar a los pasos necesarios para agregar la cuenta de servicio al proyecto host en la sección How To anterior, el nombre de miembro nuevo también debe proporcionarse aquí. Después de rellenar el nombre, Google Cloud enumera todos los elementos relacionados (como antes) para que podamos seleccionar la Cuenta de Servicio correspondiente. En este caso, se trata de una sola entrada.

Haga doble clic en la cuenta de servicio para seleccionarla:

Seleccionar un rol para el nuevo miembro

Después de seleccionar una cuenta de servicio, también se debe elegir un rol para el nuevo miembro:

1. En la lista, haga clic en Seleccionar un rol.

2. Haga doble clic en la función de usuario de red de cálculo.

Rol seleccionado

La imagen muestra que se han especificado la cuenta de servicio y el rol. El único paso restante es hacer clic en GUARDAR para confirmar los cambios:

El usuario se ha agregado a la subred

Una vez guardados los cambios, aparece la pantalla principal de VPC compartida. Observe que el número de usuarios que tienen acceso a la última subred ha aumentado, como se esperaba, a dos:

Cómo: Agregar cuenta de servicio de Project CloudBuild a la VPC compartida

Cada suscripción a Google Cloud tiene una cuenta de servicio que lleva el nombre del número de ID del proyecto seguido de cloudbuild.gserviceaccount. Un ejemplo de nombre completo (mediante un ID de proyecto inventado) es:

705794712345@ cloudbuild.gserviceaccount.

Esta cuenta de servicio de cloudbuild también debe agregarse como miembro de la VPC compartida de la misma manera que la cuenta de servicio que usó para crear conexiones de host en el paso 3 de How To: Add Service Account to Host Project IAM Role.

Para determinar cuál es el número de ID del proyecto, seleccione Inicio y Dashboard en el menú de Google Cloud Console:

Busque el número de proyecto en el área Información del proyecto de la pantalla.

Introduzca la combinación número de proyecto/cloudbuild.gserviceaccount en el campo Agregar miembro. Asignar un rol de usuario de red de equipos:

Seleccione Guardar.

Cómo: Reglas del firewall

Crear las reglas de firewall necesarias es un poco más fácil que crear los roles.

Seleccionar proyecto anfitrión

Como se señaló anteriormente en este documento, las dos reglas de firewall deben crearse en el Proyecto Host.

Asegúrese de que ha seleccionado el proyecto anfitrión.

Red VPC > Firewall

En el menú de Google Console, vaya a VPC > Firewall, como se muestra a continuación:

Botón Crear regla de firewall

La parte superior de la pantalla Firewall de Google Console incluye un botón para crear una nueva regla.

Haga clic en CREATE FIREWALL

Crear nueva pantalla de firewall

A continuación se muestra la pantalla utilizada para crear nuevas reglas de firewall:

Regla de entrada: Rellenar datos

En primer lugar, cree la regla Deny-All Ingress necesaria agregando o cambiando valores a los siguientes campos:

• Nombre

  Dale un nombre a su regla de firewall de Deny-All Ingress. Por ejemplo, citrix-deny-all-ingress-rule.

• Red

  Seleccione la red VPC compartida contra la que se aplicará la regla de firewall de entrada. Por ejemplo: gcp-test-vpc.

• Prioridad

  El valor de este campo es crítico. En el mundo de las reglas de firewall, cuanto menor sea el valor de prioridad, mayor será la regla en prioridad. Esta es la razón por la que todas las reglas predeterminadas tienen un valor de 66536, de modo que cualquier regla personalizada, que tenga un valor inferior a 65536, tendrá prioridad sobre cualquiera de las reglas predeterminadas.

  Para estas dos reglas necesitamos que tengan las reglas de máxima prioridad en la red. Usaremos un valor de 10.

• Dirección del tráfico

  El valor predeterminado para crear una nueva regla es Ingress, que ya debería estar seleccionado.

• Acción en el partido

  Este valor será Permitirpor defecto. Tenemos que cambiarlo a Denegar.

• Objetivos

  Este es el otro campo muy crítico. El tipo predeterminado de destinos es Etiquetas de destino especificadas, que es precisamente lo que queremos. En el cuadro de texto etiquetado Etiquetas de destino, introduzca el valor citrix-provisioning-quarantine-firewall.

• Filtro de origen

  Para el filtro de origen conservaremos el tipo de filtro predeterminado de intervalos de direcciones IP e introduciremos un intervalo que coincida con todo el tráfico. Para eso usamos un valor de 0.0.0.0/0.

• Protocolos y puertos

  En Protocolos y puertos, seleccione Denegar todo.

La pantalla completada debería verse así:

Haga clic en CREAR y genere la nueva regla.

Regla de salida: Rellenar datos

La regla de salida es casi idéntica a la regla de entrada creada anteriormente. Utilice de nuevo la REGLA CREATE FIREWALL como se hizo anteriormente y rellene los campos como se detalla a continuación:

• Nombre

  Dale un nombre a su regla de firewall de Deny-All Egress. Aquí lo llamaremos citrix-deny-all-egress-rule.

• Red

  Seleccione aquí la misma red VPC compartida que se utilizó al crear la regla de firewall de entrada anterior. Por ejemplo: gcp-test-vpc.

• Prioridad

  Como se señaló anteriormente, usaremos un valor de 10.

• Dirección del tráfico

  Para esta regla, tenemos que cambiar de la predeterminada y seleccionar Egress.

• Acción en el partido

  Este valor será Permitirpor defecto. Tenemos que cambiarlo a Denegar.

• Objetivos

  Introduzca el valor citrix-provisioning-quarantine-firewall en el campo Etiquetas de destino.

• Filtro de origen

  Para el filtro de origen, conservaremos el tipo de filtro predeterminado de intervalos de direcciones IP e introduciremos un intervalo que coincida con todo el tráfico. Para eso usamos un valor de 0.0.0.0/0.

• Protocolos y puertos

  En Protocolos y puertos, seleccione Denegar todo.

La pantalla completada debería verse así:

Haga clic en CREAR para generar la nueva regla.

Se han creado las dos reglas de firewall necesarias. Si se utilizarán varias VPC compartidas al implementar catálogos de máquinas, repita los pasos realizados anteriormente. Cree dos reglas para cada una de las VPC compartidas identificadas en sus respectivos proyectos de host.

Cómo: Agregar interfaz de red a instancias de Cloud Connector

Al crear Cloud Connectors para su uso con la VPC compartida, se debe agregar una interfaz de red adicional a la instancia cuando se crea.

No se pueden agregar interfaces de red adicionales una vez que existe la instancia. Para agregar la segunda interfaz de red:

El panel de configuración de red inicial para una instancia de GCP

Este es el panel inicial para la configuración de red que se presenta al crear por primera vez una instancia de red

Dado que queremos utilizar la primera instancia de red para la VPC compartida, haga clic en el icono Lápiz para entrar en el modo Modificar.

La pantalla ampliada de configuración de red está a continuación. Un elemento clave a tener en cuenta es que ahora podemos ver la opción de Redes compartidas conmigo (desde el proyecto host: Citrix-shared-vpc-project-1) directamente debajo del banner de Interfaz de Red:

El panel Configuración de red con el panel VPC compartida seleccionada muestra:

• Se ha seleccionado la red VPC compartida.

• Se ha seleccionado la subred correcta de subred.

• Modificó la configuración a una dirección IP externa a Ninguno.

Haga clic en Listo para guardar los cambios. Haga clic en Agregar interfaz de red.

Agregar segunda interfaz de red

Ahora tenemos nuestra primera interfaz conectada a la VPC compartida (como se indica). Podemos configurar la segunda interfaz siguiendo los mismos pasos que normalmente se usaría al crear un nuevo Cloud Connector. Seleccione una red, subred, tome una decisión sobre una dirección IP externa y, a continuación, haga clic en Listo:

Cómo: Creación de la conexión de host y la unidad de alojamiento

Crear una conexión de host para su uso con VPC compartidas no es muy diferente de lo que es para crear una para su uso con una VPC local. La diferencia radica en seleccionar los recursos que se asociarán a la conexión de host. Al crear una conexión de host para acceder a recursos de VPC compartidos, utilice los archivos JSON de cuenta de servicio relacionados con el proyecto en el que residen las máquinas aprovisionadas.

Credenciales y nombre de conexión

La creación de una conexión de host para utilizar recursos de VPC compartidos es similar a la creación de cualquier otra conexión de host relacionada con GCP:

Seleccionar proyecto y región

Una vez en el proyecto, mostrado como Proyecto de desarrollador en la siguiente ilustración, se haya agregado a la lista que puede tener acceso a la VPC compartida, puede ver tanto el proyecto como el proyecto de VPC compartida en Studio. Es importante asegurarse de seleccionar el proyecto donde debe residir el catálogo de máquinas implementado y no la VPC compartida:

Seleccionar recursos

Seleccione los recursos asociados a la Conexión de Host.

Se deben tener en cuenta las siguientes cuestiones:

• El nombre dado para los recursos es SharedVPCResources.

• La lista de redes virtuales entre las que elegir incluye las del proyecto local, así como las de la VPC compartida, tal como se indica en (Compartida) anexada a los nombres de red.

Nota:

Si no ve ninguna red con Shared anexada al nombre, haga clic en el botón Atrás y compruebe que ha elegido el proyecto correcto. Si comprueba que el proyecto elegido es correcto y sigue sin ver ninguna VPC compartida, hay algo mal configurado en Google Cloud Console. Consulte los problemas y errores más frecuentes más adelante en este documento.

Recursos seleccionados

La siguiente ilustración muestra que la red virtual gcp-test-vpc (compartida) se seleccionó en el paso anterior. También muestra que se ha seleccionado la subred denominada subnet-good. Haga clic en Siguiente:

Pantalla de resumen

Después de hacer clic en Siguiente, aparece la pantalla Resumen. En esta pantalla, considere:

• El proyecto es proyecto de desarrollador.

• La red virtual es gcp-test-vpc, una de la VPC compartida.

• La subred es buena para subred.

Cómo: Creación de un Catálogo

Todo desde este punto en adelante, como la creación de catálogos, las máquinas de inicio/parada, la actualización de máquinas, etc., se realiza exactamente igual que cuando se usan VPC locales.

Problemas y errores encontrados habitualmente

Trabajar con cualquier sistema complejo con interdependencias puede dar lugar a situaciones inesperadas. A continuación, encontrará algunos problemas y errores comunes que se pueden encontrar al realizar la instalación y la configuración para usar Citrix DaaS y VPC compartidas de GCP.

Faltan reglas de firewall o incorrectas

Si no se encuentran las reglas del firewall, o si las reglas se encuentran pero las reglas o la prioridad son incorrectas, se devolverá un mensaje de este formulario:

“No se pueden encontrar reglas de firewall de cuarentena de INGRESS y EGRESS válidas para VPC <name> en el proyecto <project>. “Asegúrese de haber creado reglas de firewall ‘denegar todos’ con la etiqueta de red ‘citrix-provisioning-quarantine-firewall’ y la prioridad adecuada. “ “Consulte la documentación de Citrix para obtener más detalles. “);

Si aparece este mensaje, debe revisar las reglas del firewall, sus prioridades y las redes a las que se aplican. Para obtener más información, consulte la sección Procedimiento: Reglas del firewall.

Falta recursos compartidos al crear una conexión de host

Hay algunas razones por las que esta situación puede ocurrir:

Se seleccionó el proyecto incorrecto al crear la conexión de host

Por ejemplo, si se seleccionó el proyecto de host de VPC compartida al crear la conexión de host en lugar del proyecto, seguirá viendo los recursos de red de la VPC compartida, pero no tendrán (Compartido) anexados a ellos.

Si ve las subredes compartidas sin esa información adicional, es probable que la conexión de host se haya realizado con una cuenta de servicio incorrecta.

Consulte Cómo crear una conexión de host y una unidad de alojamiento.

Se asignó un rol incorrecto a la cuenta de servicio

Si se asignó un rol incorrecto a la cuenta de servicio, es posible que no pueda acceder a los recursos deseados en la VPC compartida. Consulte Cómo agregar una cuenta de servicio al rol de IAM del proyecto anfitrión.

Permisos incompletos o incorrectos concedidos a

El rol correcto puede asignarse a la cuenta de servicio, pero el rol mismo puede estar incompleto. Consulte Cómo crear una nueva función de IAM.

Cuenta de servicio no agregada como miembro de subred

Si está utilizando el acceso a nivel de subred, asegúrese de que la cuenta de servicio se ha agregado correctamente como miembro (usuario) de los recursos de subred deseados. Consulte Cómo: permisos a nivel de subred.

No se puede encontrar el error de ruta en Studio

Si recibe un error al crear un catálogo en Studio del formulario:

Cannot find path “XDHyp:\\Connections …” because it does not exist

Lo más probable es que no se haya creado un nuevo Cloud Connector para facilitar el uso de los recursos de VPC compartida. Es algo simple pasar por alto después de pasar por todos los pasos anteriores para configurar todo. Consulte Cloud Connectors para conocer los puntos importantes sobre su creación.