Citrix Virtual Apps and Desktops Service

Environnements de virtualisation Google Cloud Platform

Le service Citrix Virtual Apps and Desktops vous permet de provisionner et de gérer des machines sur Google Cloud Platform (GCP). Cet article vous guide à travers l’utilisation de Machine Creation Services (MCS) pour provisionner des machines virtuelles dans votre déploiement des services Citrix Virtual Apps ou Citrix Virtual Desktops.

Exigences

  • Compte Citrix Cloud. La fonctionnalité décrite dans cet article est uniquement disponible dans Citrix Cloud.
  • Abonnement au service Citrix Virtual Apps and Desktops. Pour plus de détails, consultez la section Mise en route.
  • Un projet GCP. Le projet stocke toutes les ressources de calcul associées au catalogue de machines. Il peut s’agir d’un projet existant ou d’un nouveau.
  • Activez quatre API dans votre projet Google Cloud. Pour plus de détails, consultez la section Activer les API Google Cloud.
  • Compte de service GCP. Le compte de service s’authentifie auprès de Google Cloud pour permettre l’accès au projet. Pour plus de détails, consultez la section Configurer le compte de service Google Cloud.

Activer les API Google Cloud

Pour utiliser la fonctionnalité Google Cloud via Citrix Studio, activez ces API dans votre projet Google Cloud :

  • API Compute Engine
  • API Cloud Resource Manager
  • API IAM (Identity and Access Management)
  • API Cloud Build

À partir de la console GCP, procédez comme suit :

  1. Dans le menu supérieur gauche, sélectionnez API et Services > Tableau de bord.

    Image de sélection du tableau de bord API et services

  2. Dans l’écran Tableau de bord, assurez-vous que l’API Compute Engine est activée. Si ce n’est pas le cas, procédez comme suit :

    1. Accédez à API et Services > Bibliothèque.

      Image de la bibliothèque API et services

    2. Dans la zone de recherche, tapez Compute Engine.

    3. Dans les résultats de la recherche, cliquez sur API Compute Engine.

    4. Dans l’écran API Compute Engine, cliquez sur Activer.

  3. Activez l’API Cloud Resource Manager.

    1. Accédez à API et Services > Bibliothèque.

    2. Dans le champ de recherche, tapez Cloud Resource Manager.

    3. Dans les résultats de la recherche, cliquez sur Cloud Resource Manager API.

    4. Sur la page API Cloud Resource Manager, cliquez sur Activer. L’état de l’API apparaît.

  4. Activez API IAM (Identity and Access Management) et API Cloud Build de la même façon.

Configurer le compte de service Google Cloud

Un compte de service Google Cloud vous permet de créer et de gérer des ressources au sein de projets GCP. Un compte de service Google Cloud est requis pour provisionner et gérer des machines comme décrit dans cet article. Le compte Google Cloud s’authentifie auprès de Citrix Cloud à l’aide d’une clé générée par Google Cloud. Chaque compte (personnel ou service) contient différents rôles définissant la gestion du projet.

Nous vous recommandons de créer un compte de service. Pour ce faire, suivez cette procédure :

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.

  2. Sur la page Comptes de service, cliquez sur Créer un compte de service.

  3. Sur la page Créer un compte de service, tapez les informations requises, puis cliquez sur CRÉER.

    Conseil :

    Vous pouvez cliquer sur ANNULER pour enregistrer et quitter la page Détails du compte de service sans avoir terminé les pages Autoriser ce compte de service à accéder au projet et Autoriser les utilisateurs à accéder à ce compte de service. Nous vous recommandons de compléter les deux pages restantes plus tard.

Lors de la création d’un compte de service, il est possible de créer une clé pour le compte. Vous avez besoin de cette clé lors de la création d’une connexion dans Citrix Studio. La clé est contenue dans un fichier d’informations d’identification (.json). Une fois la clé créée, le fichier est automatiquement téléchargé et enregistré dans le dossier « Téléchargements ». Lorsque vous créez la clé, assurez-vous de définir le type de clé sur JSON. Sinon, Studio ne peut pas l’analyser.

Conseil :

Créez des clés à l’aide de la page Comptes de service de la console GCP. Nous vous recommandons de modifier régulièrement les clés pour des raisons de sécurité. Pour fournir de nouvelles clés à l’application Citrix Virtual Apps and Desktops, modifiez une connexion GCP existante.

En outre, vous devez accorder à votre compte de service les autorisations nécessaires pour accéder à votre projet GCP. Pour ce faire, suivez cette procédure :

  1. Dans la console GCP, accédez à IAM & Admin > IAM.

  2. Sur la page IAM, recherchez le compte de service que vous avez créé, puis cliquez sur l’icône en forme de crayon pour le modifier.

  3. Sur la page Modifier les autorisations, cliquez sur AJOUTER UN AUTRE RÔLE pour ajouter les rôles suivants à votre compte de service un par un, puis cliquez sur ENREGISTRER.

    • Administrateur de Compute
    • Administrateur de l’espace de stockage
    • Éditeur Cloud Build
    • Utilisateur du compte de service
    • Utilisateur Cloud Datastore
  4. Mettez à jour les rôles attribués au compte de service Cloud Build de votre projet.

    1. Dans la console GCP, accédez à IAM & Admin > IAM.
    2. Sur la page IAM, recherchez le compte de service Cloud Build, puis cliquez sur l’icône en forme de crayon pour le modifier. Vous pouvez identifier le compte de service Cloud Build par son nom d’utilisateur qui s’affiche au format suivant : <your_gcp_project_ID_number>@cloudbuild.gserviceaccount.com.
    3. Sur la page Modifier les autorisations, cliquez sur AJOUTER UN AUTRE RÔLE pour ajouter les rôles suivants à votre compte de service Cloud Build un par un, puis cliquez sur ENREGISTRER.
      • Compte de service Cloud Build
      • Administrateur d’instances Compute
      • Utilisateur du compte de service

Ajouter une connexion

Dans Citrix Studio, suivez les instructions décrites dans la section Créer une connexion et des ressources. La procédure suivante vous guide tout au long de la configuration d’une connexion d’hébergement dans Citrix Studio :

  1. Sous l’onglet Gérer, accédez à Configuration > Hébergement dans le volet de navigation Studio.

  2. Dans le volet Actions, sélectionnez Ajouter une connexion et des ressources.

  3. Sur la page Connexion, sélectionnez Créer une nouvelle connexion et Outils Studio, puis cliquez sur Suivant.

    • Type de connexion : sélectionnez Google Cloud Platform dans le menu.
    • Clé du compte de service : importez la clé contenue dans votre fichier d’informations d’identification Google (.json). Pour ce faire, recherchez votre fichier d’informations d’identification, ouvrez-le à l’aide du Bloc-notes (ou tout éditeur de texte), puis copiez le contenu. Revenez ensuite à la page Connexion, cliquez sur Importer clé, collez le contenu, puis cliquez sur OK.
    • ID du compte de service : ce champ est automatiquement renseigné avec les informations de la clé importée.
    • Nom de la connexion : Tapez un nom pour la connexion.
  4. Sur la page Région, sélectionnez un nom de projet dans le menu, sélectionnez une région contenant les ressources à utiliser, puis cliquez sur Suivant.

  5. Sur la page Réseau, tapez un nom pour les ressources, sélectionnez un réseau virtuel dans le menu, sélectionnez un sous-ensemble, puis cliquez sur Suivant. Le nom des ressources facilite l’identification de la combinaison région/réseau dans Studio Les réseaux virtuels avec le suffixe (Shared) (Partagé) ajouté à leur nom représentent des VPC partagés. Si vous configurez un rôle IAM au niveau du sous-réseau pour un VPC partagé, seuls des sous-réseaux spécifiques du VPC partagé apparaissent dans la liste des sous-réseaux.

    Remarque :

    -  Le nom de la ressource peut contenir entre 1 et 64 caractères, et ne peut pas contenir uniquement des espaces ou les caractères `\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )`.
    
  6. Sur la page Résumé, vérifiez les informations, puis cliquez sur Terminer pour quitter la fenêtre Ajouter une connexion et des ressources.

Une fois la connexion et les ressources créées, Studio répertorie la connexion et les ressources que vous avez créées. Pour configurer la connexion, sélectionnez la connexion, puis cliquez sur l’option appropriée dans le volet Actions.

De même, vous pouvez choisir de supprimer, renommer ou tester les ressources créées sous la connexion. Pour ce faire, sélectionnez la ressource sous la connexion, puis cliquez sur l’option appropriée dans le volet Actions.

Préparer une instance de VM principale et un disque persistant

Conseil :

« Disque persistant » est le terme employé par GCP pour désigner un « disque virtuel ».

Pour préparer votre instance de VM principale, créez et configurez une instance de VM avec des propriétés correspondant à la configuration souhaitée pour les instances de VDA clonées dans votre catalogue de machines planifié. La configuration ne s’applique pas uniquement à la taille et au type d’instance. Elle inclut également des attributs d’instance tels que les métadonnées, les balises, les attributions de GPU, les balises réseau et les propriétés de compte de service.

Dans le cadre du processus de création d’images, MCS utilise votre instance de VM principale pour créer le modèle d’instance GCP. Le modèle d’instance est ensuite utilisé pour créer les instances de VDA clonées qui composent le catalogue de machines. Les instances clonées héritent des propriétés de l’instance de VM principale (à l’exception des propriétés VPC, du sous-réseau et du disque persistant) à partir de laquelle le modèle d’instance a été créé.

Après avoir configuré les propriétés de l’instance de VM principale en fonction de vos besoins spécifiques, démarrez l’instance, puis préparez le disque persistant pour l’instance.

Nous vous recommandons de créer manuellement un instantané du disque. Cela vous permet d’utiliser une convention d’appellation significative pour suivre les versions, vous offre plus d’options pour gérer les versions antérieures de votre image principale et vous permet de gagner du temps pour la création du catalogue de machines. Si vous ne créez pas votre propre instantané, MCS en crée un pour vous. Vous pouvez l’utiliser pour créer l’image personnalisée dans votre bibliothèque d’images GCP.

Créer un catalogue de machines

Remarque :

Créez vos ressources avant de créer un catalogue de machines. Utilisez les conventions de dénomination établies par GCP lors de la configuration des catalogues de machines. Consultez Instructions de dénomination des compartiments et des objets pour de plus amples informations.

Dans Citrix Studio, suivez les instructions décrites dans la section Créer des catalogues de machines. Les informations suivantes sont uniques aux catalogues de GCP.

  1. Sous l’onglet Gérer, sélectionnez Catalogues de machines dans le volet de navigation Studio.

  2. Dans le volet Actions, cliquez sur Créer un catalogue de machines.

  3. Sur la page Système d’exploitation, sélectionnez OS multi-session, puis cliquez sur Suivant.

    • Le service Citrix Virtual Apps and Desktops prend également en charge l’OS à session unique.
  4. Sur la page Gestion des machines, sélectionnez des machines dont l’alimentation est gérée et les options Citrix Machine Creation Services, puis cliquez sur Suivant. S’il existe plusieurs ressources, sélectionnez-en une dans le menu.

  5. Sur la page Image principale, sélectionnez une VM et le niveau fonctionnel minimum pour le catalogue, puis cliquez sur Suivant. Si vous souhaitez utiliser la fonctionnalité de location unique, veillez à sélectionner une image dont la propriété de groupe de nœuds est correctement configurée. Consultez Activer la location unique.

  6. Sur la page Machines virtuelles, spécifiez le nombre de VM que vous souhaitez créer, affichez la spécification détaillée des VM, puis cliquez sur Suivant. Si vous utilisez des groupes de nœuds à locataire unique pour les catalogues de machines, assurez-vous de sélectionner uniquement les zones où des nœuds à locataire unique réservés sont disponibles. Consultez Activer la location unique.

  7. Sur la page Comptes d’ordinateur, sélectionnez un compte Active Directory, puis cliquez sur Suivant.

    • Si vous sélectionnez Créer des nouveaux comptes Active Directory, sélectionnez un domaine, puis entrez la séquence de caractères représentant le schéma de dénomination pour les comptes d’ordinateurs VM provisionnés créés dans Active Directory. Le schéma d’attribution de nom de compte peut contenir entre 1 et 64 caractères et ne peut pas contenir d’espaces vides, ni de caractères non ASCII ou spéciaux.
    • Si vous sélectionnez Utiliser des comptes Active Directory existants, cliquez sur Parcourir pour accéder aux comptes d’ordinateur Active Directory existants pour les machines sélectionnées.
  8. Sur la page Informations d’identification du domaine, cliquez sur Entrer informations d’identification, tapez le nom d’utilisateur et le mot de passe, cliquez sur OK, puis sur Suivant.

    • Les informations d’identification que vous tapez doivent disposer d’autorisations pour effectuer des opérations de compte Active Directory.
  9. Sur la page Étendues, sélectionnez les étendues pour le catalogue de machines, puis cliquez sur Suivant.

    • Vous pouvez sélectionner des étendues facultatives ou cliquer Étendue personnalisée pour personnaliser les étendues selon vos besoins.
  10. Sur la page Résumé, vérifiez les informations, spécifiez un nom pour le catalogue, puis cliquez sur Terminer.

    Remarque :

    Le nom du catalogue peut contenir entre 1 et 39 caractères, et ne peut pas contenir uniquement des espaces ou les caractères \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

La création du catalogue de machines peut prendre du temps. Après cela, Studio répertorie le catalogue que vous avez créé. Vous pouvez vérifier que les machines sont créées sur les groupes de nœuds cibles dans la console GCP.

Ajouter des machines à un catalogue

Pour ajouter des machines à un catalogue, procédez comme suit :

  1. Dans le volet de navigation Studio, sélectionnez Catalogues de machines.

  2. Sélectionnez le catalogue de machines auquel vous souhaitez ajouter des machines.

  3. Dans le volet Actions, cliquez sur Ajouter des machines.

  4. Sur la page Machines virtuelles, spécifiez le nombre de machines que vous souhaitez ajouter, puis cliquez sur Suivant.

  5. Sur la page Comptes d’ordinateur, sélectionnez un compte Active Directory, puis cliquez sur Suivant.

  6. Sur la page Informations d’identification du domaine, cliquez sur Entrer informations d’identification, tapez le nom d’utilisateur et le mot de passe, cliquez sur OK, puis sur Suivant.

  7. Sur la page Résumé, vérifiez les informations et cliquez sur Terminer.

Mettre à jour les machines

Cette fonctionnalité peut être utile dans les cas où vous souhaitez mettre à jour votre image principale ou le niveau fonctionnel minimum.

Pour mettre à jour des machines, procédez comme suit :

  1. Dans le volet de navigation Studio, sélectionnez Catalogues de machines.

  2. Sélectionnez le catalogue de machines qui contient les machines que vous souhaitez mettre à jour.

  3. Dans le volet Actions, cliquez sur Mettre à jour les machines.

  4. Sur la page Image principale, sélectionnez une VM et le niveau fonctionnel minimum pour le catalogue, puis cliquez sur Suivant.

  5. Sur la page Stratégie de déploiement, spécifiez quand vous souhaitez mettre à jour les machines, puis cliquez sur Suivant.

  6. Sur la page Résumé, vérifiez les informations et cliquez sur Terminer.

Pour restaurer une mise à jour de machine, procédez comme suit :

Important :

Ne renommez, supprimez ou déplacez pas les images principales. Sinon, vous ne pouvez pas restaurer la mise à jour.

  1. Dans le volet de navigation Studio, sélectionnez Catalogues de machines.

  2. Sélectionnez le catalogue de machines dans lequel vous souhaitez restaurer la mise à jour de la machine.

  3. Dans le volet Actions, cliquez sur Restaurer la mise à jour de la machine.

  4. Sur la page Aperçu, vérifiez les informations, puis cliquez sur Suivant.

  5. Sur la page Stratégie de déploiement, configurez la stratégie de déploiement, puis cliquez sur Suivant.

  6. Sur la page Résumé, vérifiez les informations et cliquez sur Terminer.

Gestion de l’alimentation

Le service Citrix Virtual Apps and Desktops vous permet de gérer l’alimentation des machines GCP. Utilisez le nœud Rechercher dans le volet de navigation pour localiser la machine dont vous souhaitez gérer l’alimentation. Les actions de gestion de l’alimentation suivantes sont disponibles :

  • Supprimer
  • Start
  • Restart
  • Forcer le redémarrage
  • Arrêter
  • Forcer l’arrêt
  • Ajouter au groupe de mise à disposition
  • Gérer les balises
  • Activer le mode de maintenance

Vous pouvez également gérer l’alimentation des machines GCP à l’aide de la fonctionnalité Autoscale. Pour ce faire, ajoutez les machines GCP à un groupe de mise à disposition, puis activez la fonctionnalité Autoscale pour ce groupe de mise à disposition. Pour plus d’informations sur la fonctionnalité Autoscale, consultez la section Autoscale.

Importer des machines GCP créées manuellement

Vous pouvez créer une connexion à GCP, puis créer un catalogue contenant des machines GCP. Vous pouvez ensuite mettre sous tension les machines GCP manuellement via le service Citrix Virtual Apps and Desktops. Avec cette fonctionnalité, vous pouvez :

  • Importer des machines GCP avec OS multi-session créées manuellement dans un catalogue de machines Citrix Virtual Apps and Desktops.
  • Supprimer les machines GCP avec OS multi-session créées manuellement d’un catalogue Citrix Virtual Apps and Desktops.
  • Utiliser les fonctionnalités de gestion de l’alimentation Citrix Virtual Apps and Desktops existantes pour gérer l’alimentation des machines GCP avec OS multi-sessions. Par exemple, définissez un programme de redémarrage pour ces machines.

Cette fonctionnalité ne nécessite aucune modification du workflow de provisioning Citrix Virtual Apps and Desktops existant, ni la suppression de toute fonctionnalité existante. Nous vous recommandons d’utiliser MCS pour provisionner des machines dans Studio au lieu d’importer des machines GCP créées manuellement.

Cloud privé virtuel partagé

Les Virtual Private Cloud (VPC) partagés comprennent un projet hôte, à partir duquel les sous-réseaux partagés sont mis à disposition, et un ou plusieurs projets de service utilisant la ressource. Les VPC partagés sont des options souhaitables pour les installations de grande envergure, car ils fournissent un contrôle, une utilisation et une administration centralisés des ressources partagées de Google Cloud d’entreprise. Pour plus d’informations, veuillez consulter la Site de documentation Google.

Grâce à cette fonctionnalité, Machine Creation Services (MCS) prend en charge le provisioning et la gestion des catalogues de machines déployés sur des VPC partagés. Cette prise en charge, qui est fonctionnellement équivalente à celle actuellement fournie dans les VPC locaux, diffère par deux aspects :

  1. Vous devez accorder des autorisations supplémentaires au compte de service utilisé pour créer la connexion hôte. Ce processus permet à MCS d’accéder aux ressources VPC partagées et de les utiliser.
  2. Vous devez créer deux règles de pare-feu, une pour l’entrée et la sortie. Ces règles de pare-feu sont utilisées pendant le processus de mastering des images.

Nouvelles autorisations requises

Un compte de service GCP avec des autorisations spécifiques est requis lors de la création de la connexion hôte. Ces autorisations supplémentaires doivent être accordées à tous les comptes de service utilisés pour créer des connexions d’hôte basées sur un VPC partagé.

Conseil :

Ces autorisations supplémentaires ne sont pas nouvelles pour le service Citrix Virtual Apps and Desktops. Elles sont utilisées pour faciliter la mise en œuvre de VPC locaux. Avec les VPC partagés, ces autorisations supplémentaires permettent l’accès à d’autres ressources VPC partagées.

Un maximum de quatre autorisations supplémentaires doivent être accordées au compte de service associé à la connexion hôte pour prendre en charge un VPC partagé :

  1. compute.firewalls.list - Cette autorisation est obligatoire. Elle permet à MCS de récupérer la liste des règles de pare-feu présentes sur le VPC partagé.
  2. compute.networks.list - Cette autorisation est obligatoire. Elle permet à MCS d’identifier les réseaux VPC partagés disponibles pour le compte de service.
  3. compute.subnetworks.list - Cette autorisation est facultative en fonction de la façon dont vous utilisez les VPC. Elle permet à MCS d’identifier les sous-réseaux dans les VPC partagés visibles. Cette autorisation est déjà requise lors de l’utilisation de VPC locaux, mais doit également être attribuée dans le projet Hôte VPC partagé.
  4. compute.subnetworks.use - Cette autorisation est facultative en fonction de la façon dont vous utilisez les VPC. Elle est nécessaire pour utiliser des ressources de sous-réseau dans les catalogues de machines provisionnées. Cette autorisation est déjà requise pour utiliser des VPC locaux, mais doit également être attribuée dans le projet hôte VPC partagé.

Lorsque vous utilisez ces autorisations, gardez à l’esprit qu’il existe différentes approches basées sur le type d’autorisation utilisé pour créer le catalogue de machines :

  • Autorisation au niveau du projet :
    • Permet l’accès à tous les VPC partagés au sein du projet hôte.
    • Nécessite que les autorisations #3 et #4 soient affectées au compte de service.
  • Autorisation au niveau du sous-réseau :
    • Permet l’accès à des sous-réseaux spécifiques dans le VPC partagé.
    • Les autorisations #3 et #4 sont intrinsèques à l’affectation au niveau du sous-réseau et n’ont donc pas besoin d’être affectées directement au compte de service.

Sélectionnez l’approche qui correspond aux besoins et aux normes de sécurité de votre organisation.

Conseil :

Pour plus d’informations sur les différences entre les autorisations au niveau du projet et au niveau du sous-réseau, consultez la Documentation Google Cloud.

Règles de pare-feu

Lors de la préparation d’un catalogue de machines, une image de machine est préparée pour servir de disque système d’image principale pour le catalogue. Lors de ce processus, le disque est temporairement attaché à une machine virtuelle. Cette machine virtuelle doit s’exécuter dans un environnement isolé qui empêche tout le trafic réseau entrant et sortant. Pour cela, une paire de règles de pare-feu deny-all est utilisée : une pour le trafic d’entrée et une pour le trafic de sortie. Lors de l’utilisation de VCP locaux GCP, MCS crée ce pare-feu sur le réseau local et l’applique à la machine pour le mastering. Une fois le mastering terminé, la règle de pare-feu est supprimée de l’image.

Nous vous recommandons de limiter au minimum le nombre de nouvelles autorisations requises pour utiliser des VPC partagés. Les VPC partagés sont des ressources d’entreprise de plus haut niveau et ont généralement des protocoles de sécurité plus stricts. Pour cette raison, créez une paire de règles de pare-feu dans le projet hôte sur les ressources VPC partagées, une pour l’entrée et une pour la sortie. Attribuez-leur la priorité la plus élevée. Appliquez une nouvelle balise cible à chacune de ces règles, à l’aide de la valeur suivante :

citrix-provisioning-quarantine-firewall

Lorsque MCS crée ou met à jour un catalogue de machines, il recherche les règles de pare-feu contenant cette balise cible. Il examine ensuite les règles d’exactitude et les applique à la machine utilisée pour préparer l’image principale pour le catalogue. Si les règles de pare-feu sont introuvables ou si les règles sont trouvées mais que les règles ou leurs priorités sont incorrectes, un message similaire au suivant s’affiche :

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configuration du VPC partagé

Avant d’ajouter le VPC partagé en tant que connexion hôte dans Citrix Studio, procédez comme suit pour ajouter des comptes de service à partir du projet dans lequel vous avez l’intention de provisionner :

  1. Créez un rôle IAM.
  2. Ajoutez le compte de service utilisé pour créer une connexion hôte CVAD au rôle IAM du projet hôte VPC partagé.
  3. Ajoutez le compte de service Cloud Build du projet dans lequel vous avez l’intention de provisionner au rôle IAM du projet hôte VPC partagé.
  4. Créez des règles de pare-feu.

Créer un rôle IAM

Déterminez le niveau d’accès du rôle : accès au niveau du projet ou modèle plus restreint avec accès au niveau du sous-réseau.

Accès au niveau du projet pour le rôle IAM. Pour le rôle IAM au niveau du projet, vous devez inclure les autorisations suivantes :

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Pour créer un rôle IAM au niveau du projet :

  1. Dans la console GCP, accédez à IAM et admin > Rôles.
  2. Sur la page Rôles, cliquez sur CRÉER UN ROLE.
  3. Sur la page Créer un rôle, spécifiez le nom du rôle. Cliquez sur ADD PERMISSIONS.
    1. Sur la page Ajouter des autorisations, ajoutez des autorisations au rôle, individuellement. Pour ajouter une autorisation, tapez le nom de l’autorisation dans le champ Filter Table. Sélectionnez l’autorisation, puis cliquez sur AJOUTER.
    2. Cliquez sur CREATE.

Rôle IAM au niveau du sous-réseau. Ce rôle omet l’ajout des autorisations compute.subnetworks.list et compute.subnetworks.use après avoir sélectionné CRÉER UN ROLE. Pour ce niveau d’accès IAM, les autorisations compute.firewalls.list et computer.networks.list doivent être appliquées au nouveau rôle.

Pour créer un rôle IAM au niveau du sous-réseau :

  1. Dans la console GCP, accédez à Réseau VPC > VPC partagé. La page VPC partagé apparaît et affiche les sous-réseaux des réseaux VPC partagés contenus dans le projet hôte.
  2. Sur la page VPC partagé, sélectionnez le sous-réseau auquel vous souhaitez accéder.
  3. Dans l’angle supérieur droit, cliquez sur AJOUTER UN MEMBRE pour ajouter un compte de service.
  4. Sur la page Add members, procédez comme suit :
    1. Dans le champ New members, tapez le nom de votre compte de service, puis sélectionnez votre compte de service dans le menu.
    2. Cliquez sur le champ Sélectionner un rôle, puis Utilisateur de réseau Compute.
    3. Cliquez sur SAVE.
  5. Dans la console GCP, accédez à IAM & Admin > Roles.
  6. Sur la page Rôles, cliquez sur CRÉER UN ROLE.
  7. Sur la page Créer un rôle, spécifiez le nom du rôle. Cliquez sur ADD PERMISSIONS.
    1. Sur la page Ajouter des autorisations, ajoutez des autorisations au rôle, individuellement. Pour ajouter une autorisation, tapez le nom de l’autorisation dans le champ Filter Table. Sélectionnez l’autorisation, puis cliquez sur ADD.
    2. Cliquez sur CREATE.

Ajouter un compte de service au rôle IAM du projet hôte

Après avoir créé un rôle IAM, effectuez les étapes suivantes pour ajouter un compte de service pour le projet hôte :

  1. Dans la console GCP, accédez au projet hôte, puis à IAM et admin > IAM.
  2. Sur la page IAM, cliquez sur AJOUTER pour ajouter un compte de service.
  3. Sur la page Ajouter des membres :
    1. Dans le champ New members, tapez le nom de votre compte de service, puis sélectionnez votre compte de service dans le menu.
    2. Cliquez sur le champ Sélectionner un rôle, tapez le rôle IAM que vous avez créé, puis cliquez sur le rôle dans le menu.
    3. Cliquez sur SAVE.

Le compte de service est maintenant configuré pour le projet hôte.

Ajouter le compte de service Cloud Build au VPC partagé

Chaque abonnement Google Cloud comporte un compte de service nommé d’après le numéro d’ID du projet, suivi de cloudbuild.gserviceaccount. Par exemple : 705794712345@cloudbuild.gserviceaccount.

Vous pouvez déterminer le numéro d’ID de votre projet en sélectionnant Accueil et Tableau de bord dans la console Google Cloud :

Volet de navigation de la console Google Cloud

Recherchez le numéro de projet sous la zone Informations sur le projet de l’écran.

Procédez comme suit pour ajouter le compte de service Cloud Build au VPC partagé :

  1. Dans la console Google Cloud, accédez au projet hôte, puis à IAM et admin > IAM.
  2. Sur la page Autorisations, cliquez sur AJOUTER pour ajouter un compte.
  3. Sur la page Add members, procédez comme suit :
    1. Dans le champ Nouveaux membres, tapez le nom du compte de service Cloud Build, puis sélectionnez votre compte de service dans le menu.
    2. Cliquez sur le champ Sélectionner un rôle, tapez Computer Network User, puis cliquez sur le rôle dans le menu.
    3. Cliquez sur SAVE.

Créer des règles de pare-feu

Dans le cadre du processus de création d’image principale, MCS copie l’image machine sélectionnée et l’utilise pour préparer le disque système d’image principale pour le catalogue. Pendant la création d’image principale, MCS attache le disque à une machine virtuelle temporaire, qui exécute ensuite des scripts de préparation. Cette machine virtuelle doit s’exécuter dans un environnement isolé qui interdit tout trafic réseau entrant et sortant. Pour créer un environnement isolé, MCS nécessite deux règles de pare-feu deny all (une règle d’entrée et une règle de sortie). Par conséquent, créez deux règles de pare-feu dans le projet hôte comme suit :

  1. Dans la console GCP, accédez au projet hôte, puis à Réseau VPC > Pare-feu.
  2. Sur la page Pare-feu, cliquez sur Créer une règle de pare-feu.
  3. Sur la page Créer une règle de pare-feu, procédez comme suit :
    • Nom. Tapez un nom pour la règle.
    • Réseau. Sélectionnez le réseau VPC partagé auquel la règle de pare-feu d’entrée s’applique.
    • Priorité. Plus la valeur est petite, plus la priorité de la règle est élevée. Nous recommandons une valeur peu élevée (par exemple, 10).
    • Sens du trafic. Sélectionnez Entrée.
    • Action en cas de correspondance. Sélectionnez Refuser.
    • Cibles. Utilisez Tags cibles spécifiés par défaut.
    • Tags cibles. Tapez citrix-provisioning-quarantine-firewall.
    • Filtre source. Utilisez Plages d’adresses IP par défaut.
    • Plages d’adresses IP sources. Tapez une plage qui correspond à tout le trafic. Tapez 0.0.0.0/0.
    • Protocoles et ports. Sélectionnez Tout refuser.
  4. Cliquez sur CRÉER pour créer la règle.
  5. Répétez les étapes 1 à 4 pour créer une autre règle. Pour Sens du trafic, sélectionnez Sortie.

Ajouter une connexion

Après avoir ajouté les interfaces réseau à l’instance de Cloud Connector, ajoutez une connexion.

Activer la location unique

Le service Citrix Virtual Apps and Desktops prend en charge la location unique. Avec la location unique, vous spécifiez les zones dans lesquelles vous souhaitez créer des machines virtuelles dans Citrix Studio. Pour configurer la location unique, vous devez procéder comme suit sur GCP :

  • Réserver un nœud à locataire unique
  • Créer l’image principale du VDA

Réservation d’un nœud à locataire unique Google Cloud

Pour réserver un nœud à locataire unique, procédez comme suit :

  1. Dans la console Google Cloud, accédez à Compute Engine > Nœuds à locataire unique.

  2. Dans la page Nœuds à locataire unique, cliquez sur Créer un groupe de nœuds.

  3. Sur la page Créer un groupe de nœuds, procédez comme suit :

    1. Tapez un nom pour le groupe de nœuds. Par exemple, mh-sole-tenant-node-group-1.
    2. Select a region. Par exemple, us-east1.
    3. Sélectionnez une zone dans laquelle réside le système réservé. Par exemple, us-east1-b.

      Nous recommandons que la région et la zone que vous sélectionnez permettent l’accès à vos contrôleurs de domaine et aux sous-réseaux utilisés pour provisionner les catalogues de machines.

    4. Associez un groupe de nœuds à un modèle de nœud. Effectuez les étapes suivantes :

      Important :

      Un modèle de nœud est utilisé pour indiquer les caractéristiques de performance du système réservé dans le groupe de nœuds. Ces caractéristiques incluent le nombre de vGPU, la quantité de mémoire allouée au nœud et le type de machine utilisé pour les machines créées sur le nœud.

      1. Sélectionnez Créer un modèle de nœud dans le menu déroulant. La page Créer un modèle de nœud s’affiche.
      2. Sur la page Créer un modèle de nœud, configurez les informations requises :

        Nom. Tapez un nom pour le modèle de nœud. Type de nœud. Dans le menu déroulant, sélectionnez un type de nœud qui répond à vos besoins. Pour plus d’informations sur les types de nœuds, consultez la documentation Google Cloud sur https://cloud.google.com/compute/docs/nodes/sole-tenant-nodes#node_types.

      3. Cliquez sur Créer pour quitter la page Créer un modèle de nœud et revenir à la page Créer un groupe de nœuds.
  4. Cliquez sur Créer pour terminer la création d’un groupe de nœuds.

Création de l’image principale du VDA

Pour déployer des machines sur le nœud à locataire unique, vous devez prendre des mesures supplémentaires lors de la création d’une image de VM principale. Les instances de machine sur GCP ont une propriété appelée libellés d’affinité de nœuds. Les instances utilisées comme images principales pour les catalogues déployés sur le nœud à locataire unique nécessitent un libellé d’affinité de nœuds correspondant au nom du groupe de nœuds cible. Pour ce faire, gardez à l’esprit ce qui suit :

Remarque :

Si vous avez l’intention d’utiliser la location unique avec un VPC partagé, reportez-vous à la sectionCloud privé virtuel partagé.

Définir un libellé d’affinité de nœuds lors de la création d’une nouvelle instance

Pour définir le libellé d’affinité de nœuds :

  1. Dans la console GCP, accédez à Compute Engine > Instances de VM.

  2. Sur la page Instances de VM, cliquez sur Créer une instance.

  3. Sur la page Création d’instance, tapez ou configurez les informations requises, puis cliquez sur Gestion, sécurité, disques, mise en réseau et location unique pour ouvrir le panneau des paramètres.

  4. Sous l’onglet Location unique, cliquez sur Parcourir pour afficher les groupes de nœuds disponibles dans le projet en cours. La page Nœud à locataire unique s’affiche avec une liste des groupes de nœuds disponibles.

  5. Sur la page Nœud à locataire unique, sélectionnez le groupe de nœuds applicable dans la liste, puis cliquez sur Sélectionner pour revenir à l’onglet Locataire unique. Le champ de libellés d’affinité de nœuds renseigne les informations que vous avez sélectionnées. Ce paramètre garantit que les catalogues de machines créés à partir de l’instance seront déployés dans le groupe de nœuds sélectionné.

  6. Cliquez sur Créer pour créer l’instance.

Définir un libellé d’affinité de nœuds pour une instance existante

Pour définir le libellé d’affinité de nœuds :

  1. Dans la console GCP, cliquez sur l’icône de terminal dans le coin supérieur droit pour lancer Google Cloud Shell :

    Console Google Cloud - icône de terminal

    Une fenêtre de terminal apparaît en bas de l’interface utilisateur. Dans la fenêtre du terminal Google Cloud Shell, utilisez la commande gcloud compute instances pour définir un libellé d’affinité de nœuds. Vous devez inclure les informations suivantes dans la commande gcloud :

    • Nom de la VM. Par exemple, utilisez une machine virtuelle existante nommée s*2019-vda-base.*
    • Nom du groupe de nœuds. Utilisez le nom du groupe de nœuds que vous avez créé précédemment. Par exemple, mh-sole-tenant-node-group-1.
    • Zone dans laquelle réside l’instance. Par exemple, la machine virtuelle réside dans *us-east-1b* zone.

    Par exemple, tapez la commande suivante dans la fenêtre du terminal :

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Pour plus d’informations sur la commande gcloud compute instances, consultez la documentation Google Developer Tools sur https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Accédez à la page Détails de l’instance de VM et vérifiez que le champ Affinités des nœuds est rempli avec le libellé.

Créer un catalogue de machines

Après avoir défini le libellé d’affinité de nœuds, configurez le catalogue de machines.

Plus d’informations