Citrix DaaS™

Ambienti di virtualizzazione Google Cloud

Citrix DaaS (precedentemente servizio Citrix Virtual Apps and Desktops™) consente di eseguire il provisioning e gestire le macchine su Google Cloud.

Prerequisiti

Prima di iniziare il provisioning delle VM su Google Cloud Platform (GCP), è necessario assicurarsi che siano soddisfatti i seguenti prerequisiti.

  1. L’abbonamento Citrix deve includere il supporto per i carichi di lavoro Hybrid Multi-Cloud. Per maggiori informazioni, consultare Confrontare le funzionalità di abbonamento Citrix.
  2. L’account amministratore deve disporre di autorizzazioni sufficienti per creare connessioni host, cataloghi macchine e gruppi di consegna. Per maggiori informazioni, consultare Configurare l’amministrazione delegata.
  3. Identificare un progetto Google Cloud, in cui sono archiviate tutte le risorse di calcolo associate al catalogo macchine. Può essere un progetto esistente o nuovo. Per maggiori informazioni, consultare Progetti Google Cloud.
  4. Abilitare le API di Google Cloud richieste per l’integrazione con Citrix DaaS. Per maggiori informazioni, consultare Abilitare le API di Google Cloud.
  5. Creare gli account di servizio in Google Cloud e concedere le autorizzazioni appropriate. Per maggiori informazioni, consultare Configurare e aggiornare gli account di servizio.
  6. Scaricare il file chiave per l’account di servizio Citrix Cloud. Per maggiori informazioni, consultare Chiave dell’account di servizio Citrix Cloud.
  7. Le macchine virtuali devono avere accesso alle API di Google senza un indirizzo IP pubblico. Per maggiori informazioni, consultare Abilitare l’accesso privato a Google.

Progetti Google Cloud

Esistono fondamentalmente due tipi di progetti Google Cloud:

  • Progetto di provisioning: in questo caso, l’attuale account amministratore possiede le macchine sottoposte a provisioning nel progetto. Questo progetto è anche denominato progetto locale.
  • Progetto VPC condiviso: progetto in cui le macchine create nel progetto di provisioning utilizzano il VPC del progetto VPC condiviso. L’account amministratore utilizzato per i progetti di provisioning ha autorizzazioni limitate in questo progetto, in particolare, solo le autorizzazioni per utilizzare il VPC.

URL degli endpoint di servizio

È necessario avere accesso ai seguenti URL:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Abilitare le API di Google Cloud

Per utilizzare le funzionalità di Google Cloud tramite Studio, abilitare queste API nel progetto Google Cloud:

  • API Compute Engine
  • API Cloud Resource Manager
  • API Identity and Access Management (IAM)
  • API Cloud Build

Dalla console Google Cloud, completare questi passaggi:

  1. Nel menu in alto a sinistra, selezionare API e servizi > API e servizi abilitati.
  2. Nella schermata API e servizi abilitati, assicurarsi che l’API Compute Engine sia abilitata. In caso contrario, seguire questi passaggi:

    1. Accedere a API e servizi > Libreria.
    2. Nella casella di ricerca, digitare Compute Engine.
    3. Dai risultati della ricerca, selezionare API Compute Engine.
    4. Nella pagina API Compute Engine, selezionare Abilita.
  3. Abilitare l’API Cloud Resource Manager.
    1. Accedere a API e servizi > Libreria.
    2. Nella casella di ricerca, digitare Cloud Resource Manager.
    3. Dai risultati della ricerca, selezionare API Cloud Resource Manager.
    4. Nella pagina API Cloud Resource Manager, selezionare Abilita. Verrà visualizzato lo stato dell’API.
  4. Analogamente, abilitare l’API Identity and Access Management (IAM), l’API Cloud Build e l’API Cloud Key Management Service (KMS).

È inoltre possibile utilizzare Google Cloud Shell per abilitare le API. Per farlo:

  1. Aprire la console Google e caricare Cloud Shell.
  2. Eseguire i seguenti comandi in Cloud Shell:

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
    • gcloud services enable cloudkms.googleapis.com
  3. Fare clic su Autorizza quando richiesto da Cloud Shell.

Configurare e aggiornare gli account di servizio

Nota:

GCP sta introducendo modifiche al comportamento predefinito e all’uso degli account di servizio di Cloud Build Service dopo il 29 aprile 2024. Per maggiori informazioni, consultare Modifica dell’account di servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si desidera mantenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API Cloud Build. Di conseguenza, il contenuto seguente è diviso in due sezioni: Prima del 29 aprile 2024 e Dopo il 29 aprile 2024. Se si imposta il nuovo criterio dell’organizzazione, seguire la sezione Prima del 29 aprile 2024.

Prima del 29 aprile 2024

Citrix Cloud™ utilizza tre account di servizio separati all’interno del progetto Google Cloud:

  • Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, eseguire il provisioning e gestire le macchine. Questo account di servizio si autentica in Google Cloud utilizzando una chiave generata da Google Cloud.

    È necessario creare manualmente questo account di servizio come descritto qui. Per maggiori informazioni, consultare Creare un account di servizio Citrix Cloud.

    È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Account di servizio Cloud Build: questo account di servizio viene sottoposto a provisioning automaticamente dopo aver abilitato tutte le API menzionate in Abilitare le API di Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, accedere a IAM e amministrazione > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google.

    È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID progetto e la parola cloudbuild. Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

    Verificare se all’account di servizio sono stati concessi i seguenti ruoli. Se è necessario aggiungere ruoli, seguire i passaggi descritti in Aggiungere ruoli all’account di servizio Cloud Build.

    • Account di servizio Cloud Build
    • Amministratore istanze Compute
    • Utente account di servizio
  • Account di servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un ruolo Amministratore archiviazione che richiede le seguenti autorizzazioni:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

Creare un account di servizio Citrix Cloud

Per creare un account di servizio Citrix Cloud, seguire questi passaggi:

  1. Nella console Google Cloud, accedere a IAM e amministrazione > Account di servizio.
  2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
  3. Nella pagina Crea account di servizio, inserire le informazioni richieste, quindi selezionare CREA E CONTINUA.
  4. Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +AGGIUNGI UN ALTRO RUOLO se si desidera aggiungere altri ruoli.

    Ogni account (personale o di servizio) ha vari ruoli che definiscono la gestione del progetto. Concedere i seguenti ruoli a questo account di servizio:

    • Amministratore Compute
    • Amministratore archiviazione
    • Editor Cloud Build
    • Utente account di servizio
    • Utente Cloud Datastore
    • Operatore crittografico Cloud KMS

    L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list
    • cloudkms.cryptoKeyVersions.useToDecrypt
    • cloudkms.cryptoKeyVersions.useToEncrypt

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

  5. Fare clic su CONTINUA.
  6. Nella pagina Concedi agli utenti l’accesso a questo account di servizio, aggiungere utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
  7. Fare clic su FINE.
  8. Accedere alla console principale IAM.
  9. Identificare l’account di servizio creato.
  10. Convalidare che i ruoli siano stati assegnati correttamente.

Considerazioni:

Quando si crea l’account di servizio, considerare quanto segue:

  • I passaggi Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
  • Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account di servizio configurato.

Chiave dell’account di servizio Citrix Cloud

La chiave dell’account di servizio Citrix Cloud è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo la creazione della chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, Studio non sarà in grado di analizzarla.

Per creare una chiave dell’account di servizio, accedere a IAM e amministrazione > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Assicurarsi di selezionare JSON come tipo di chiave.

Suggerimento:

Creare le chiavi utilizzando la pagina Account di servizio nella console Google Cloud. Si consiglia di modificare regolarmente le chiavi per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps™ and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account di servizio Citrix Cloud

Per aggiungere ruoli all’account di servizio Citrix Cloud:

  1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.
  2. Nella pagina IAM > AUTORIZZAZIONI, individuare l’account di servizio creato, identificabile con un indirizzo e-mail.

    Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare l’accesso all’entità dell’account di servizio.
  4. Nella pagina Modifica accesso a “project-id” per l’opzione dell’entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio uno per uno, quindi selezionare SALVA.

Aggiungere ruoli all’account di servizio Cloud Build

Per aggiungere ruoli all’account di servizio Cloud Build:

  1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.
  2. Nella pagina IAM, individuare l’account di servizio Cloud Build, identificabile con un indirizzo e-mail che inizia con l’ID progetto e la parola cloudbuild.

    Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
  4. Nella pagina Modifica accesso a “project-id” per l’opzione dell’entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio Cloud Build uno per uno, quindi selezionare SALVA.

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli.

Dopo il 29 aprile 2024

Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:

  • Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, eseguire il provisioning e gestire le macchine. Questo account di servizio si autentica in Google Cloud utilizzando una chiave generata da Google Cloud.

    È necessario creare manualmente questo account di servizio.

    È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Account di servizio Cloud Compute: questo account di servizio viene sottoposto a provisioning automaticamente dopo aver abilitato tutte le API menzionate in Abilitare le API di Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, accedere a IAM e amministrazione > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Amministratore archiviazione che richiede le seguenti autorizzazioni:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

    Verificare se all’account di servizio sono stati concessi i seguenti ruoli.

    • Account di servizio Cloud Build
    • Amministratore istanze Compute
    • Utente account di servizio

Creare un account di servizio Citrix Cloud

Per creare un account di servizio Citrix Cloud, seguire questi passaggi:

  1. Nella console Google Cloud, accedere a IAM e amministrazione > Account di servizio.
  2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
  3. Nella pagina Crea account di servizio, inserire le informazioni richieste, quindi selezionare CREA E CONTINUA.
  4. Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +AGGIUNGI UN ALTRO RUOLO se si desidera aggiungere altri ruoli.

    Ogni account (personale o di servizio) ha vari ruoli che definiscono la gestione del progetto. Concedere i seguenti ruoli a questo account di servizio:

    • Amministratore Compute
    • Amministratore archiviazione
    • Editor Cloud Build
    • Utente account di servizio
    • Utente Cloud Datastore
    • Operatore crittografico Cloud KMS

    L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

  5. Fare clic su CONTINUA.
  6. Nella pagina Concedi agli utenti l’accesso a questo account di servizio, aggiungere utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
  7. Fare clic su FINE.
  8. Accedere alla console principale IAM.
  9. Identificare l’account di servizio creato.
  10. Convalidare che i ruoli siano stati assegnati correttamente.

Considerazioni:

Quando si crea l’account di servizio, considerare quanto segue:

  • I passaggi Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
  • Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account di servizio configurato.

Chiave dell’account di servizio Citrix Cloud

La chiave dell’account di servizio Citrix Cloud è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo la creazione della chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, Studio non sarà in grado di analizzarla.

Per creare una chiave dell’account di servizio, accedere a IAM e amministrazione > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Assicurarsi di selezionare JSON come tipo di chiave.

Suggerimento:

Creare le chiavi utilizzando la pagina Account di servizio nella console Google Cloud. Si consiglia di modificare regolarmente le chiavi per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account di servizio Citrix Cloud

Per aggiungere ruoli all’account di servizio Citrix Cloud:

  1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.
  2. Nella pagina IAM > AUTORIZZAZIONI, individuare l’account di servizio creato, identificabile con un indirizzo e-mail.

    Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare l’accesso all’entità dell’account di servizio.
  4. Nella pagina Modifica accesso a “project-id” per l’opzione dell’entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio uno per uno, quindi selezionare SALVA.

Aggiungere ruoli all’account di servizio Cloud Compute

Per aggiungere ruoli all’account di servizio Cloud Compute:

  1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.
  2. Nella pagina IAM, individuare l’account di servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con l’ID progetto e la parola compute.

    Ad esempio, <project-id>-compute@developer.gserviceaccount.com

  3. Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Compute.
  4. Nella pagina Modifica accesso a “project-id” per l’opzione dell’entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio Cloud Compute uno per uno, quindi selezionare SALVA.

    Nota:

    Abilitare tutte le API per ottenere l’elenco completo dei ruoli.

Autorizzazioni di archiviazione e gestione dei bucket

Citrix DaaS migliora il processo di segnalazione degli errori di compilazione cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters} in cui i servizi Google Cloud acquisiscono le informazioni di log di compilazione. Su questo bucket è impostata un’opzione che elimina il contenuto dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione abbia le autorizzazioni di Google Cloud impostate su storage.buckets.update. Se l’account di servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.

Abilitare l’accesso privato a Google

Quando una VM non dispone di un indirizzo IP esterno assegnato alla sua interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la VM si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.

Nota:

Indipendentemente dal fatto che l’accesso privato a Google sia abilitato, tutte le VM, con e senza indirizzi IP pubblici, devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.

Per garantire che una VM nella subnet possa accedere alle API di Google senza un indirizzo IP pubblico per il provisioning MCS:

  1. In Google Cloud, accedere alla configurazione di rete VPC.
  2. Identificare le subnet utilizzate o l’ambiente Citrix® nella scheda Subnet nel progetto corrente.
  3. Fare clic sul nome delle subnet e abilitare Accesso privato a Google.

Per maggiori informazioni, consultare Configurazione dell’accesso privato a Google.

Importante:

Se la rete è configurata per impedire l’accesso delle VM a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la VM.

Dove andare dopo

Maggiori informazioni

Ambienti di virtualizzazione Google Cloud