Créer des catalogues de machines

Configurer un VPC partagé

September 15, 2025

Contributeur:

Avant d’ajouter le VPC partagé en tant que connexion hôte dans l’interface Configuration complète de Citrix DaaS, procédez comme suit pour ajouter des comptes de service à partir du projet dans lequel vous avez l’intention de provisionner :

Créez un rôle IAM.
Ajoutez un compte de service au rôle IAM du projet hôte.
Ajoutez le compte de service Cloud Build au VPC partagé.
Créez des règles de pare-feu.

Créer un rôle IAM

Déterminez le niveau d’accès du rôle :

Accès au niveau du projet, ou
Un modèle plus restreint utilisant un accès au niveau du sous-réseau.

Accès au niveau du projet pour le rôle IAM. Pour le rôle IAM au niveau du projet, vous devez inclure les autorisations suivantes :

compute.firewalls.list
compute.networks.list
compute.subnetworks.list
compute.subnetworks.use

Pour créer un rôle IAM au niveau du projet :

Dans la console Google Cloud, accédez à IAM & Admin > Rôles.
Sur la page Rôles, sélectionnez CRÉER UN RÔLE.
Sur la page Créer un rôle, spécifiez le nom du rôle. Sélectionnez AJOUTER DES AUTORISATIONS.
1. Sur la page Ajouter des autorisations, ajoutez des autorisations au rôle, individuellement. Pour ajouter une autorisation, tapez le nom de l’autorisation dans le champ Filtrer le tableau. Sélectionnez l’autorisation, puis sélectionnez AJOUTER.
2. Sélectionnez Créer.

Rôle IAM au niveau du sous-réseau. Ce rôle omet l’ajout des autorisations compute.subnetworks.list et compute.subnetworks.use après avoir sélectionné CRÉER UN RÔLE. Pour ce niveau d’accès IAM, les autorisations compute.firewalls.list et compute.networks.list doivent être appliquées au nouveau rôle.

Pour créer un rôle IAM au niveau du sous-réseau :

Dans la console Google Cloud, accédez à Réseau VPC > VPC partagé. La page VPC partagé apparaît et affiche les sous-réseaux des réseaux VPC partagés contenus dans le projet hôte.
Sur la page VPC partagé, sélectionnez le sous-réseau auquel vous souhaitez accéder.
Dans l’angle supérieur droit, sélectionnez AJOUTER UN MEMBRE pour ajouter un compte de service.
Sur la page Add members, procédez comme suit :
1. Dans le champ New members, tapez le nom de votre compte de service, puis sélectionnez votre compte de service dans le menu.
2. Sélectionnez le champ Sélectionner un rôle, puis Utilisateur de réseau Compute.
3. Sélectionnez Enregistrer.
Dans la console Google Cloud, accédez à IAM & Admin > Rôles.
Sur la page Rôles, sélectionnez CRÉER UN RÔLE.
Sur la page Créer un rôle, spécifiez le nom du rôle. Sélectionnez AJOUTER DES AUTORISATIONS.
1. Sur la page Ajouter des autorisations, ajoutez des autorisations au rôle, individuellement. Pour ajouter une autorisation, tapez le nom de l’autorisation dans le champ Filtrer le tableau. Sélectionnez l’autorisation, puis sélectionnez AJOUTER.
2. Sélectionnez Créer.

Ajouter un compte de service au rôle IAM du projet hôte

Après avoir créé un rôle IAM, effectuez les étapes suivantes pour ajouter un compte de service pour le projet hôte :

Dans la console Google Cloud, accédez au projet hôte, puis à IAM & Admin > IAM.
Sur la page IAM, sélectionnez AJOUTER pour ajouter un compte de service.
Sur la page Ajouter des membres :
1. Dans le champ New members, tapez le nom de votre compte de service, puis sélectionnez votre compte de service dans le menu.
2. Sélectionnez un rôle, tapez le rôle IAM que vous avez créé, puis cliquez sur le rôle dans le menu.
3. Sélectionnez Enregistrer.

Le compte de service est maintenant configuré pour le projet hôte.

Ajouter le compte de service Cloud Build au VPC partagé

Chaque abonnement Google Cloud comporte un compte de service nommé d’après le numéro d’ID du projet, suivi de cloudbuild.gserviceaccount. Par exemple : 705794712345@cloudbuild.gserviceaccount.

Vous pouvez déterminer le numéro d’identification de votre projet en accédant à Aperçu du Cloud > Tableau de bord dans la console Google Cloud. L’identifiant et le numéro du projet sont affichés sur la carte d’information du projet du tableau de bord du projet :

Procédez comme suit pour ajouter le compte de service Cloud Build au VPC partagé :

Dans la console Google Cloud, accédez au projet hôte, puis à IAM & Admin > IAM.
Sur la page Autorisations, sélectionnez AJOUTER pour ajouter un compte.
Sur la page Add members, procédez comme suit :
1. Dans le champ Nouveaux membres, tapez le nom du compte de service Cloud Build, puis sélectionnez votre compte de service dans le menu.
2. Sélectionnez le champ Sélectionner un rôle, entrez Computer Network User, puis sélectionnez le rôle dans le menu.
3. Sélectionnez Enregistrer.

Créer des règles de pare-feu

Dans le cadre du processus de création d’image principale, MCS copie l’image machine sélectionnée et l’utilise pour préparer le disque système d’image principale pour le catalogue. Pendant la création d’image principale, MCS attache le disque à une machine virtuelle temporaire, qui exécute ensuite des scripts de préparation. Cette machine virtuelle doit s’exécuter dans un environnement isolé qui interdit tout trafic réseau entrant et sortant.

Pour créer un environnement isolé, MCS nécessite deux règles de pare-feu deny all (une règle d’entrée et une règle de sortie). Par conséquent, créez deux règles de pare-feu (une pour l’entrée, une pour la sortie) dans le projet hôte comme suit :

Dans la console Google Cloud, accédez au projet hôte, puis à Réseau VPC > Pare-feu.
Sur la page Pare-feu, sélectionnez Créer une règle de pare-feu.
Sur la page Créer une règle de pare-feu, procédez comme suit :
- Nom. Tapez un nom pour la règle.
- Réseau. Sélectionnez le réseau VPC partagé auquel la règle de pare-feu d’entrée s’applique.
- Priorité. Plus la valeur est petite, plus la priorité de la règle est élevée. Nous recommandons une valeur peu élevée (par exemple, 10).
- Sens du trafic. Sélectionnez Entrée.
- Action en cas de correspondance. Sélectionnez Refuser.
- Cibles. Utilisez Tags cibles spécifiés par défaut.
- Tags cibles. Entrez citrix-provisioning-quarantine-firewall.
- Filtre source. Utilisez Plages d’adresses IP par défaut.
- Plages d’adresses IP sources. Tapez une plage qui correspond à tout le trafic. Entrez 0.0.0.0/0.
- Protocoles et ports. Sélectionnez Tout refuser.
Sélectionnez CRÉER pour créer la règle.
Répétez ces étapes pour créer une autre règle. Pour Sens du trafic, sélectionnez Sortie.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Configurer un VPC partagé

September 15, 2025

Contributeur:

September 15, 2025

Contributeur:

Dans cet article

Créer un rôle IAM
Ajouter un compte de service au rôle IAM du projet hôte
Ajouter le compte de service Cloud Build au VPC partagé
Créer des règles de pare-feu

Cela vous a-t-il été utile ?