Ambienti di virtualizzazione di Google Cloud
Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops) consente di eseguire il provisioning e la gestione delle macchine su Google Cloud.
Prerequisiti
Prima di iniziare il provisioning delle macchine virtuali in Google Cloud Platform (GCP), è necessario assicurarsi che siano soddisfatti i seguenti prerequisiti.
- La sottoscrizione Citrix deve includere il supporto per i carichi di lavoro Hybrid Multi-Cloud. Per ulteriori informazioni, vedere Confronto tra le funzionalità dell’abbonamento Citrix.
- L’account amministratore deve disporre di autorizzazioni sufficienti per creare connessioni host, cataloghi di macchine e gruppi di consegna. Per ulteriori informazioni, vedere Configurazione dell’amministrazione delegata.
- Identificare un progetto Google Cloud, in cui sono memorizzate tutte le risorse di calcolo associate al catalogo delle macchine. Può essere un progetto esistente o uno nuovo. Per ulteriori informazioni, vedere Progetti Google Cloud.
- Abilita le API di Google Cloud necessarie per l’integrazione con Citrix DaaS. Per ulteriori informazioni, vedere Attivazione delle API di Google Cloud.
- Crea gli account di servizio in Google Cloud e concedi le autorizzazioni appropriate. Per ulteriori informazioni, vedere Configurare e aggiornare gli account del servizio.
- Scaricare il file della chiave per l’account Citrix Cloud Service. Per ulteriori informazioni, vedere Chiave dell’account Citrix Cloud Service.
- Le macchine virtuali devono avere accesso alle API di Google senza un indirizzo IP pubblico. Per ulteriori informazioni, vedere Abilita l’accesso privato a Google.
Progetti Google Cloud
Esistono fondamentalmente due tipi di progetti Google Cloud:
- Progetto di provisioning: in questo caso, l’account amministratore corrente è proprietario delle macchine di cui è stato eseguito il provisioning nel progetto. Questo progetto è anche indicato come progetto locale.
- Progetto VPC condiviso: progetto in cui le macchine create nel progetto di provisioning utilizzano il VPC del progetto VPC condiviso. L’account amministratore utilizzato per il provisioning dei progetti dispone di autorizzazioni limitate in questo progetto, in particolare solo le autorizzazioni per l’utilizzo del VPC.
URL degli endpoint di servizio
È necessario disporre dell’accesso ai seguenti URL:
https://oauth2.googleapis.comhttps://cloudresourcemanager.googleapis.comhttps://compute.googleapis.comhttps://storage.googleapis.comhttps://cloudbuild.googleapis.com
Attivazione delle API di Google Cloud
Per utilizzare la funzionalità Google Cloud tramite Studio, attiva queste API nel tuo progetto Google Cloud:
- API del motore di calcolo
- Cloud Resource Manager API
- API per la gestione delle identità e degli accessi (IAM)
- Cloud Build API
Dalla console Google Cloud, completa questi passaggi:
- Nel menu in alto a sinistra, seleziona API e servizi > API abilitate & servizi.
-
Sul API abilitate & servizi , assicurati che l’API di Compute Engine sia abilitata. In caso contrario, attenersi alla seguente procedura:
- Passare a API e servizi > Biblioteca.
- Nella casella di ricerca digitare Motore di calcolo.
- Dai risultati della ricerca, seleziona API del motore di calcolo.
- Sul API del motore di calcolo pagina, selezionare Abilitare.
- Abilita l’API di Cloud Resource Manager.
- Passare a API e servizi > Biblioteca.
- Nella casella di ricerca digitare Gestore delle risorse cloud.
- Dai risultati della ricerca, seleziona Cloud Resource Manager API.
- Sul Cloud Resource Manager API pagina, selezionare Abilitare. Viene visualizzato lo stato dell’API.
- Allo stesso modo, abilita API per la gestione delle identità e degli accessi (IAM) e Cloud Build APIe API del servizio di gestione delle chiavi cloud (KMS).
Puoi anche utilizzare Google Cloud Shell per abilitare le API. Per fare questo:
- Apri Google Console e carica la Cloud Shell.
-
Eseguire i quattro comandi seguenti in Cloud Shell:
- I servizi gcloud consentono compute.googleapis.com
- I servizi Gcloud consentono cloudresourcemanager.googleapis.com
- I servizi gcloud consentono iam.googleapis.com
- I servizi Gcloud consentono cloudbuild.googleapis.com
- I servizi Gcloud consentono cloudkms.googleapis.com
- Clic Autorizzare quando viene richiesto da Cloud Shell.
Configurare e aggiornare gli account del servizio
Nota:
GCP introdurrà modifiche al comportamento predefinito del servizio Cloud Build e all’utilizzo degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account del servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se desideri che il servizio Cloud Build si comporti in modo esistente dopo il 29 aprile, puoi creare o applicare i criteri dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API Cloud Build. Di conseguenza, il seguente contenuto è diviso in due: Prima del 29 aprile 2024 e Dopo il 29 aprile 2024. Se si impostano i nuovi criteri dell’organizzazione, seguire la sezione Prima del 29 aprile 2024.
Prima del 29 aprile 2024
Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:
-
Account del servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto, eseguire il provisioning e gestire le macchine di Google. Questo account di servizio esegue l’autenticazione in Google Cloud utilizzando un chiave generato da Google Cloud.
È necessario creare questo account di servizio manualmente come descritto qui. Per ulteriori informazioni, vedere Creazione di un account Citrix Cloud Service.
È possibile identificare questo account di servizio con un indirizzo e-mail. Per esempio
<my-service-account>@<project-id>.iam.gserviceaccount.com. -
Account del servizio Cloud Build: il provisioning di questo account di servizio viene eseguito automaticamente dopo l’abilitazione di tutte le API menzionate in Attivazione delle API di Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, vai a IAM & Admin > IAM Nel Google Cloud console e selezionare l’icona Includi le concessioni di ruolo fornite da Google casella di controllo.
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con il ID progetto e la parola cloudbuild. Per esempio
<project-id>@cloudbuild.gserviceaccount.comVerificare se all’account del servizio sono stati concessi i ruoli seguenti. Se è necessario aggiungere ruoli, seguire la procedura descritta in Aggiungere ruoli all’account del servizio Cloud Build.
- Account del servizio Cloud Build
- Amministratore dell’istanza di calcolo
- Utente account di servizio
-
Account del servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API di calcolo. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un Amministratore dello spazio di archiviazione che richiede le autorizzazioni seguenti:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con il ID progetto e la parola calcolare. Per esempio <project-id>-compute@developer.gserviceaccount.com.
Creazione di un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, attenersi alla seguente procedura:
- Nella console di Google Cloud, vai a IAM & Admin > Account di servizio.
- Sul Account di servizio pagina, selezionare CREA UN ACCOUNT DI SERVIZIO.
- Sul Crea un account di servizio , immettere le informazioni richieste, quindi selezionare CREA E CONTINUA.
-
Sul Concedere a questo account di servizio l’accesso al progetto , fare clic sull’icona Seleziona un ruolo menu a discesa e selezionare i ruoli richiesti. Clic +AGGIUNGI UN ALTRO RUOLO se vuoi aggiungere altri ruoli.
Ogni account (personale o di servizio) ha vari ruoli che definiscono la gestione del progetto. Concedi i seguenti ruoli a questo account di servizio:
- Amministratore di calcolo
- Amministratore dello spazio di archiviazione
- Editor di compilazione cloud
- Utente account di servizio
- Utente Cloud Datastore
- Operatore di crittografia Cloud KMS
L’operatore di crittografia Cloud KMS richiede le seguenti autorizzazioni:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
- cloudkms.cryptoKeyVersions.useToDecrypt
- cloudkms.cryptoKeyVersions.useToEncrypt
Nota:
Abilita tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Clic CONTINUARE
- Sul Concedere agli utenti l’accesso a questo account di servizio , aggiungere utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
- Clic FATTO.
- Passa alla console principale di IAM.
- Identificare l’account di servizio creato.
- Verificare che i ruoli siano stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tenere presente quanto segue:
- I passaggi Concedere a questo account di servizio l’accesso al progetto e Concedere agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella finestra IAM & Admin > IAM pagina.
- Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account del servizio configurato.
Chiave dell’account Citrix Cloud Service
La chiave dell’account del servizio Citrix Cloud è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella directory Download dopo aver creato la chiave. Quando crei la chiave, assicurati di impostare il tipo di chiave su JSON. In caso contrario, Studio non è in grado di analizzarlo.
Per creare una chiave dell’account di servizio, accedere a IAM & Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account Citrix Cloud Service. Passa all’icona Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Assicurati di selezionare JSON come tipo di chiave.
Mancia:
Creare le chiavi utilizzando il pulsante Account di servizio nella console Google Cloud. Per motivi di sicurezza, ti consigliamo di cambiare regolarmente le chiavi. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiunta di ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, vai a IAM & Admin > IAM.
-
Sul IAM > AUTORIZZAZIONI , individua l’account di servizio che hai creato, identificabile con un indirizzo email.
Per esempio
<my-service-account>@<project-id>.iam.gserviceaccount.com - Selezionare l’icona a forma di matita per modificare l’accesso all’entità dell’account di servizio.
- Sul Modifica l’accesso a “project-id” per l’opzione principale selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli necessari all’account di servizio uno per uno, quindi selezionare SALVARE.
Aggiungere ruoli all’account del servizio Cloud Build
Per aggiungere ruoli all’account del servizio Cloud Build:
- Nella console di Google Cloud, vai a IAM & Admin > IAM.
-
Sul IAM , individuare l’account del servizio Cloud Build, identificabile con un indirizzo e-mail che inizia con il ID progetto e la parola cloudbuild.
Per esempio
<project-id>@cloudbuild.gserviceaccount.com - Seleziona l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Sul Modifica l’accesso alla pagina “project-id” Per l’opzione principale selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account del servizio Cloud Build uno per uno, quindi selezionare SALVARE.
Nota:
Abilita tutte le API per ottenere l’elenco completo dei ruoli.
Dopo il 29 aprile 2024
Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:
-
Account del servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto, eseguire il provisioning e gestire le macchine di Google. Questo account di servizio esegue l’autenticazione in Google Cloud utilizzando un chiave generato da Google Cloud.
È necessario creare manualmente questo account di servizio.
È possibile identificare questo account di servizio con un indirizzo e-mail. Per esempio
<my-service-account>@<project-id>.iam.gserviceaccount.com. -
Account del servizio Cloud Compute: il provisioning di questo account di servizio viene eseguito automaticamente dopo l’abilitazione di tutte le API menzionate in Attivazione delle API di Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, vai a IAM & Admin > IAM Nel Google Cloud console e selezionare l’icona Includi le concessioni di ruolo fornite da Google casella di controllo. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere Amministratore dello spazio di archiviazione che richiede le autorizzazioni seguenti:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con il ID progetto e la parola calcolare. Per esempio
<project-id>-compute@developer.gserviceaccount.com.Verificare se all’account del servizio sono stati concessi i ruoli seguenti.
- Account del servizio Cloud Build
- Amministratore dell’istanza di calcolo
- Utente account di servizio
Creazione di un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, attenersi alla seguente procedura:
- Nella console di Google Cloud, vai a IAM & Admin > Account di servizio.
- Sul Account di servizio pagina, selezionare CREA UN ACCOUNT DI SERVIZIO.
- Sul Crea un account di servizio , immettere le informazioni richieste, quindi selezionare CREA E CONTINUA.
-
Sul Concedere a questo account di servizio l’accesso al progetto , fare clic sull’icona Seleziona un ruolo menu a discesa e selezionare i ruoli richiesti. Clic +AGGIUNGI UN ALTRO RUOLO se vuoi aggiungere altri ruoli.
Ogni account (personale o di servizio) ha vari ruoli che definiscono la gestione del progetto. Concedi i seguenti ruoli a questo account di servizio:
- Amministratore di calcolo
- Amministratore dello spazio di archiviazione
- Editor di compilazione cloud
- Utente account di servizio
- Utente Cloud Datastore
- Operatore di crittografia Cloud KMS
L’operatore di crittografia Cloud KMS richiede le seguenti autorizzazioni:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Abilita tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Clic CONTINUARE
- Sul Concedere agli utenti l’accesso a questo account di servizio , aggiungere utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
- Clic FATTO.
- Passa alla console principale di IAM.
- Identificare l’account di servizio creato.
- Verificare che i ruoli siano stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tenere presente quanto segue:
- I passaggi Concedere a questo account di servizio l’accesso al progetto e Concedere agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella finestra IAM & Admin > IAM pagina.
- Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account del servizio configurato.
Chiave dell’account Citrix Cloud Service
La chiave dell’account del servizio Citrix Cloud è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella directory Download dopo aver creato la chiave. Quando crei la chiave, assicurati di impostare il tipo di chiave su JSON. In caso contrario, Studio non è in grado di analizzarlo.
Per creare una chiave dell’account di servizio, accedere a IAM & Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account Citrix Cloud Service. Passa all’icona Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Assicurati di selezionare JSON come tipo di chiave.
Mancia:
Creare le chiavi utilizzando il pulsante Account di servizio nella console Google Cloud. Per motivi di sicurezza, ti consigliamo di cambiare regolarmente le chiavi. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiunta di ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, vai a IAM & Admin > IAM.
-
Sul IAM > AUTORIZZAZIONI , individua l’account di servizio che hai creato, identificabile con un indirizzo email.
Per esempio
<my-service-account>@<project-id>.iam.gserviceaccount.com - Selezionare l’icona a forma di matita per modificare l’accesso all’entità dell’account di servizio.
- Sul Modifica l’accesso a “project-id” per l’opzione principale selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli necessari all’account di servizio uno per uno, quindi selezionare SALVARE.
Aggiungere ruoli all’account del servizio Cloud Compute
Per aggiungere ruoli all’account del servizio Cloud Compute:
- Nella console di Google Cloud, vai a IAM & Admin > IAM.
-
Sul IAM , individuare l’account del servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con il ID progetto e la parola calcolare.
Per esempio
<project-id>-compute@developer.gserviceaccount.com - Seleziona l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Sul Modifica l’accesso alla pagina “project-id” Per l’opzione principale selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account del servizio Cloud Build uno per uno, quindi selezionare SALVARE.
Nota:
Abilita tutte le API per ottenere l’elenco completo dei ruoli.
Autorizzazioni di archiviazione e gestione dei bucket
Citrix DaaS migliora il processo di segnalazione degli errori di compilazione cloud per il Servizio Google Cloud. Questo servizio viene eseguito sulla base di Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters} dove i servizi Google Cloud acquisiscono le informazioni del log di build. In questo bucket viene impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione disponga delle autorizzazioni Google Cloud impostate su storage.buckets.update. Se l’account del servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, le dimensioni dei log di compilazione aumentano e richiedono la pulizia manuale.
Abilitare l’accesso privato a Google
Quando una macchina virtuale non dispone di un indirizzo IP esterno assegnato all’interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la macchina virtuale si connette al set di indirizzi IP esterni usati dall’API di Google e dai servizi associati.
Nota:
Indipendentemente dal fatto che l’accesso privato a Google sia abilitato, tutte le macchine virtuali con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono state installate appliance di rete di terze parti.
Per assicurarti che una macchina virtuale nella tua sottorete possa accedere alle API di Google senza un indirizzo IP pubblico per il provisioning MCS:
- In Google Cloud, accedi alla pagina Configurazione della rete VPC.
- Identificare le subnet utilizzate o l’ambiente Citrix nel file Subnet nel progetto corrente scheda.
- Fare clic sul nome delle subnet e abilitare Accesso privato a Google.
Per ulteriori informazioni, vedere Configurazione di Private Google Access.
Importante:
Se la rete è configurata in modo da impedire l’accesso a Internet da parte delle macchine virtuali, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la macchina virtuale.
Dove andare dopo
- Per una semplice distribuzione proof-of-concept, installa un VDA su una macchina designata per fornire app o un desktop ai tuoi utenti.
- Per la creazione e la gestione delle connessioni, vedere Connessione agli ambienti cloud di Google.
- Rivedi tutti i passaggi del processo di installazione e configurazione.