Documentation produit
Citrix DaaS
Voir PDF

Environnements de virtualisation Google Cloud

March 30, 2024
Contributeur: 
C

Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) vous permet de provisionner et de gérer des machines sur Google Cloud.

Exigences

  • Compte Citrix Cloud : les fonctionnalités ne sont disponibles que dans Citrix Cloud.
  • Abonnement à Citrix DaaS. Pour plus de détails, voir Commencer.
  • Un projet Google Cloud. Le projet stocke toutes les ressources de calcul associées au catalogue de machines. Il peut s’agir d’un projet existant ou d’un nouveau.
  • Activez quatre API dans votre projet Google Cloud. Pour plus de détails, voir Activer les API Google Cloud.
  • Compte de service Google Cloud. Le compte de service s’authentifie auprès de Google Cloud pour permettre l’accès au projet. Pour plus de détails, voir Configuration et mise à jour des comptes de service.
  • Activer l’accès privé à Google Pour plus de détails, consultez Enable-Private-Google-Access.

Projets Google Cloud

Il existe essentiellement deux types de projets Google Cloud :

  • Projet de provisioning : dans ce cas, le compte administrateur actuel est propriétaire des machines provisionnées du projet. Ce projet est également appelé projet local.
  • Projet VPC partagé : projet dans lequel les machines créées dans le projet de provisioning utilisent le VPC du projet VPC partagé. Le compte administrateur utilisé pour le projet de provisioning dispose d’autorisations limitées dans ce projet, à savoir des autorisations d’utilisation du VPC uniquement.

URL du point de terminaison de service

Vous devez avoir accès aux URL suivantes :

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Activer les API Google Cloud

Pour utiliser la fonctionnalité Google Cloud via l’interface Configuration complète de Citrix DaaS, activez ces API dans votre projet Google Cloud :

  • API Compute Engine
  • API Cloud Resource Manager
  • API IAM (Identity and Access Management)
  • API Cloud Build

À partir de la console Google Cloud, procédez comme suit :

  1. Dans le menu supérieur gauche, sélectionnez API et services > API et services activés.

  2. Sur l’écran API et services activés, vérifiez que l’API Compute Engine est activée. Si ce n’est pas le cas, procédez comme suit :

    1. Accédez à API et Services > Bibliothèque.
    2. Dans la zone de recherche, tapez Compute Engine.
    3. Dans les résultats de la recherche, sélectionnez API Compute Engine.
    4. Sur la page API Compute Engine, sélectionnez Activer.
  3. Activez l’API Cloud Resource Manager.
    1. Accédez à API et Services > Bibliothèque.
    2. Dans le champ de recherche, tapez Cloud Resource Manager.
    3. Dans les résultats de la recherche, sélectionnez Cloud Resource Manager API.
    4. Sur la page API Cloud Resource Manager, sélectionnez Activer. L’état de l’API s’affiche.
  4. De même, activez les API Identity and Access Management (IAM), Cloud Build et Cloud Key Management Service (KMS).

Vous pouvez également utiliser Google Cloud Shell pour activer les API. Pour ce faire :

  1. Ouvrez la console Google et chargez Cloud Shell.

  2. Exécutez les quatre commandes suivantes dans Cloud Shell :

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
    • gcloud services enable cloudkms.googleapis.com
  3. Cliquez sur Authorize si Cloud Shell vous y invite.

Configuration et mise à jour des comptes de service

Citrix Cloud utilise trois comptes de service distincts dans le cadre du projet Google Cloud :

  • Compte de service Citrix Cloud : ce compte de service permet à Citrix Cloud d’accéder au projet Google, de provisionner et de gérer des machines. Le compte Google Cloud s’authentifie auprès de Citrix Cloud à l’aide d’une clé générée par Google Cloud.

    Vous devez créer ce compte de service manuellement comme indiqué ici. Pour plus d’informations, consultez Créer un compte Citrix Cloud Service.

    Vous pouvez identifier ce compte de service à l’aide d’une adresse e-mail. Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Compte de service Cloud Build : ce compte de service est automatiquement provisionné une fois que vous avez activé toutes les API mentionnées dans Activer les API Google Cloud. Pour afficher tous les comptes de service créés automatiquement, accédez à IAM & Admin > IAM dans la console Google Cloud et cochez la case Include Google-provided role grants.

    Vous pouvez identifier ce compte de service par une adresse e-mail commençant par l’ID du projet et le mot cloudbuild. Par exemple, <project-id>@cloudbuild.gserviceaccount.com

    Vérifiez si les rôles suivants ont été attribués au compte de service. Si vous devez ajouter des rôles, suivez les étapes décrites dans la section Ajouter des rôles au compte de service Cloud Build.

    • Compte de service Cloud Build
    • Administrateur d’instances Compute
    • Utilisateur du compte de service

  • Compte de service Cloud Compute : ce compte de service est ajouté par Google Cloud aux instances créées dans Google Cloud une fois l’API Compute activée. Ce compte possède le rôle d’éditeur de base IAM pour effectuer les opérations. Toutefois, si vous supprimez l’autorisation par défaut pour bénéficier d’un contrôle plus précis, vous devez ajouter le rôle Administrateur de l’espace de stockage qui requiert les autorisations suivantes :

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

Vous pouvez identifier ce compte de service par une adresse e-mail commençant par l’ID du projet et le mot compute. Par exemple, <project-id>-compute@developer.gserviceaccount.com.

Remarque :

Le 29 avril 2024, GCP apportera des modifications au comportement par défaut de Cloud Build et à l’utilisation des comptes de service dans les nouveaux projets. Par conséquent, des modifications seront apportées à cet article. Cependant, vos projets Google et vos catalogues Citrix existants ne sont pas concernés par cette modification apportée par GCP. Pour plus d’informations, consultez la page Modification d’un compte de service Cloud Build.

Créer un compte Citrix Cloud Service

Pour créer un compte Citrix Cloud Service, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > Comptes de service.
  2. Sur la page Comptes de service, sélectionnez CRÉER UN COMPTE DE SERVICE.
  3. Sur la page Créer un compte de service, entrez les informations requises, puis sélectionnez CRÉER ET CONTINUER.
  4. Sur la page Autoriser ce compte de service à accéder au projet, cliquez sur le menu déroulant Sélectionner un rôle et sélectionnez les rôles requis. Cliquez sur +AJOUTER UN AUTRE RÔLE si vous souhaitez ajouter d’autres rôles.

Chaque compte (personnel ou service) a différents rôles définissant la gestion du projet. Attribuez les rôles suivants à ce compte de service :

-  Compute Admin
-  Storage Admin
-  Cloud Build Editor
-  Service Account User
-  Cloud Datastore User
-  Cloud KMS Crypto Operator

The Cloud KMS Crypto Operator requires the following permissions:

-  cloudkms.cryptoKeys.get
-  cloudkms.cryptoKeys.list
-  cloudkms.keyRings.get
-  cloudkms.keyRings.list

> **Note:**
>
> Enable all the APIs to get the complete list of roles available while creating a new service account.
  1. Cliquez sur CONTINUER
  2. Sur la page Autoriser les utilisateurs à accéder à ce compte de service, ajoutez des utilisateurs ou des groupes pour leur permettre d’effectuer des actions dans ce compte de service.
  3. Cliquez sur OK.
  4. Accédez à la console principale IAM.
  5. Identifiez le compte de service créé.
  6. Vérifiez que les rôles sont correctement assignés.

Considérations :

Lors de la création du compte de service, tenez compte des éléments suivants :

  • Les étapes Autoriser ce compte de service à accéder au projet et Autoriser les utilisateurs à accéder à ce compte de service sont facultatives. Si vous choisissez d’ignorer ces étapes de configuration facultatives, le compte de service nouvellement créé ne s’affiche pas dans la page IAM et administration > IAM.
  • Pour afficher les rôles associés à un compte de service, ajoutez les rôles sans ignorer les étapes facultatives. Ce processus garantit que les rôles apparaissent pour le compte de service configuré.

Clé de compte Citrix Cloud Service

La clé de compte Citrix Cloud Service est requise pour créer une connexion dans Citrix DaaS. La clé est contenue dans un fichier d’informations d’identification (.json). Une fois la clé créée, le fichier est automatiquement téléchargé et enregistré dans le dossier Téléchargements. Lorsque vous créez la clé, assurez-vous de définir le type de clé sur JSON. Sinon, l’interface Configuration complète de Citrix ne peut pas l’analyser.

Pour créer une clé de compte de service, accédez à IAM & Admin > Service accounts, puis cliquez sur l’adresse e-mail du compte de service Citrix Cloud. Passez à l’onglet Keys et sélectionnez Add Key > Create new key. Assurez-vous de sélectionner JSON comme type de clé.

Conseil :

Créez des clés à l’aide de la page Comptes de service de la console Google Cloud. Nous vous recommandons de modifier régulièrement les clés pour des raisons de sécurité. Pour fournir de nouvelles clés à l’application Citrix Virtual Apps and Desktops, modifiez une connexion Google Cloud existante.

Ajouter des rôles au compte Citrix Cloud Service

Pour ajouter des rôles au compte Citrix Cloud Service, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

  2. Sur la page IAM > AUTORISATIONS, recherchez le compte de service que vous avez créé, identifiable grâce à une adresse e-mail.

    Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier l’accès au compte principal du compte de service.
  4. Sur la page Modifier l’accès à « identifiant du projet » pour l’option de compte principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service un par un, puis sélectionnez ENREGISTRER.

Ajouter des rôles au compte de service Cloud Build

Pour ajouter des rôles au compte de service Cloud Build :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

  2. Sur la page IAM, recherchez le compte de service Cloud Build, identifiable par une adresse e-mail commençant par l’ID du projet et le mot cloudbuild.

    Par exemple, <project-id>@cloudbuild.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier les rôles du compte Cloud Build.

  4. Sur la page Modifier l’accès à « identifiant du projet » pour l’option de compte principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service Cloud Build un par un, puis sélectionnez ENREGISTRER.

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles.

Autorisations de stockage et gestion des buckets

Citrix DaaS améliore le processus de signalement d’échecs Cloud Build pour le service Google Cloud. Ce service exécute des builds sur Google Cloud. Citrix DaaS crée un bucket de stockage nommé citrix-mcs-cloud-build-logs-{region}-{5 random characters} dans lequel les services Google Cloud capturent les informations de journal de build. Une option qui supprime le contenu après une période de 30 jours est définie sur ce bucket. Ce processus nécessite que les autorisations Google Cloud du compte de service utilisé pour la connexion soient définies sur storage.buckets.update. Si le compte de service ne dispose pas de cette autorisation, Citrix DaaS ignore les erreurs et poursuit le processus de création du catalogue. Sans cette autorisation, la taille des journaux de build augmente et nécessite un nettoyage manuel.

Activer l’accès privé à Google

Lorsqu’une machine virtuelle ne dispose pas d’une adresse IP externe affectée à son interface réseau, les paquets ne sont envoyés qu’à d’autres destinations d’adresses IP internes. Lorsque vous activez l’accès privé, la machine virtuelle se connecte à l’ensemble d’adresses IP externes utilisées par l’API Google et les services associés.

Remarque :

Que l’accès privé à Google soit activé ou non, toutes les machines virtuelles dotées ou non d’adresses IP publiques doivent pouvoir accéder aux API publiques de Google, en particulier si des appliances réseau tiers ont été installés dans l’environnement.

Pour vous assurer qu’une machine virtuelle de votre sous-réseau peut accéder aux API Google sans adresse IP publique pour le provisioning MCS :

  1. Dans Google Cloud, accédez à la configuration du réseau VPC.
  2. Identifiez les sous-réseaux utilisés pour l’environnement Citrix dans l’onglet Subnets in current project.
  3. Cliquez sur le nom des sous-réseaux et activez l’accès privé à Google.

Pour plus d’informations, consultez Configuration de l’accès privé à Google.

Important :

Si votre réseau est configuré pour empêcher l’accès des machines virtuelles à Internet, assurez-vous que votre organisation assume les risques associés à l’activation de l’accès privé à Google pour le sous-réseau auquel la machine virtuelle est connectée.

Autres ressources

Informations supplémentaires

Environnements de virtualisation Google Cloud
March 30, 2024
Contributeur: 
C
March 30, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.