-
Planifier et créer un déploiement
-
-
Créer des catalogues de machines
-
Pools d'identités de machines de différents types de jonction
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
VPC partagé dans Google Cloud
Les Virtual Private Cloud (VPC) partagés comprennent un projet hôte, à partir duquel les sous-réseaux partagés sont mis à disposition, et un ou plusieurs projets de service utilisant la ressource. Les VPC partagés sont des options souhaitables pour les installations de grande envergure, car ils fournissent un contrôle, une utilisation et une administration centralisés des ressources partagées de Google Cloud d’entreprise. Pour plus d’informations, consultez le site de la documentation Google.
Grâce à cette fonctionnalité, Machine Creation Services (MCS) prend en charge le provisioning et la gestion des catalogues de machines déployés sur des VPC partagés. Cette prise en charge, qui est fonctionnellement équivalente à celle actuellement fournie dans les VPC locaux, diffère par deux aspects :
- Vous devez accorder des autorisations supplémentaires au compte de service utilisé pour créer la connexion hôte. Ce processus permet à MCS d’accéder aux ressources VPC partagées et de les utiliser. Consultez la section Nouvelles autorisations requises.
- Vous devez créer deux règles de pare-feu, une pour l’entrée et la sortie. Ces règles de pare-feu sont utilisées pendant le processus de mastering des images. Consultez la section Règles de pare-feu.
Pour plus d’informations sur la configuration d’un VPC partagé, consultez la section Configurer le VPC partagé.
Nouvelles autorisations requises
Un compte de service Google Cloud avec des autorisations spécifiques est requis lors de la création de la connexion hôte. Ces autorisations supplémentaires doivent être accordées à tous les comptes de service utilisés pour créer des connexions d’hôte basées sur un VPC partagé.
Conseil :
Ces autorisations supplémentaires ne sont pas nouvelles pour Citrix DaaS. Elles sont utilisées pour faciliter la mise en œuvre de VPC locaux. Avec les VPC partagés, ces autorisations supplémentaires permettent l’accès à d’autres ressources VPC partagées.
Un maximum de quatre autorisations supplémentaires doivent être accordées au compte de service associé à la connexion hôte pour prendre en charge un VPC partagé :
- compute.firewalls.list - Cette autorisation est obligatoire. Elle permet à MCS de récupérer la liste des règles de pare-feu présentes sur le VPC partagé.
- compute.networks.list - Cette autorisation est obligatoire. Elle permet à MCS d’identifier les réseaux VPC partagés disponibles pour le compte de service.
- compute.subnetworks.list - Cette autorisation est facultative en fonction de la façon dont vous utilisez les VPC. Elle permet à MCS d’identifier les sous-réseaux dans les VPC partagés visibles. Cette autorisation est déjà requise lors de l’utilisation de VPC locaux, mais doit également être attribuée dans le projet Hôte VPC partagé.
- compute.subnetworks.use - Cette autorisation est facultative en fonction de la façon dont vous utilisez les VPC. Elle est nécessaire pour utiliser des ressources de sous-réseau dans les catalogues de machines provisionnées. Cette autorisation est déjà requise pour utiliser des VPC locaux, mais doit également être attribuée dans le projet hôte VPC partagé.
Lorsque vous utilisez ces autorisations, gardez à l’esprit qu’il existe différentes approches basées sur le type d’autorisation utilisé pour créer le catalogue de machines :
- Autorisation au niveau du projet :
- Permet l’accès à tous les VPC partagés au sein du projet hôte.
- Nécessite d’attribuer les autorisations
compute.subnetworks.listetcompute.subnetworks.useau compte de service.
- Autorisation au niveau du sous-réseau :
- Permet l’accès à des sous-réseaux spécifiques dans le VPC partagé.
- Comme les autorisations
compute.subnetworks.listetcompute.subnetworks.usesont inhérentes à l’attribution au niveau du sous-réseau, vous n’avez pas besoin de les attribuer directement au compte de service.
Sélectionnez l’approche qui correspond aux besoins et aux normes de sécurité de votre organisation.
Conseil :
Pour plus d’informations sur les différences entre les autorisations au niveau du projet et au niveau du sous-réseau, consultez la section Administrateurs de projets de service.
Règles de pare-feu
Lors de la préparation d’un catalogue de machines, une image de machine est préparée pour servir de disque système d’image principale pour le catalogue. Lors de ce processus, le disque est temporairement attaché à une machine virtuelle. Cette machine virtuelle doit s’exécuter dans un environnement isolé qui empêche tout le trafic réseau entrant et sortant. Pour cela, une paire de règles de pare-feu deny-all est utilisée : une pour le trafic d’entrée et une pour le trafic de sortie. Lors de l’utilisation de VCP locaux Google Cloud, MCS crée ce pare-feu sur le réseau local et l’applique à la machine pour le mastering. Une fois le mastering terminé, la règle de pare-feu est supprimée de l’image.
Nous vous recommandons de limiter au minimum le nombre de nouvelles autorisations requises pour utiliser des VPC partagés. Les VPC partagés sont des ressources d’entreprise de plus haut niveau et ont généralement des protocoles de sécurité plus stricts. Pour cette raison, créez une paire de règles de pare-feu dans le projet hôte sur les ressources VPC partagées, une pour l’entrée et une pour la sortie. Attribuez-leur la priorité la plus élevée. Appliquez une nouvelle balise cible à chacune de ces règles, à l’aide de la valeur suivante :
citrix-provisioning-quarantine-firewall
Lorsque MCS crée ou met à jour un catalogue de machines, il recherche les règles de pare-feu contenant cette balise cible. Il examine ensuite les règles d’exactitude et les applique à la machine utilisée pour préparer l’image principale pour le catalogue. Si les règles de pare-feu sont introuvables ou si les règles sont trouvées mais que les règles ou leurs priorités sont incorrectes, un message similaire au suivant s’affiche :
"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."
Partager
Partager
Dans cet article
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.