Ambienti Google Cloud

Citrix Virtual Apps and Desktops consente di eseguire il provisioning e la gestione delle macchine su Google Cloud. Questo articolo illustra come utilizzare Machine Creation Services (MCS) per eseguire il provisioning di macchine virtuali nella distribuzione del servizio Citrix Virtual Apps o Citrix Virtual Desktops.

Requisiti

• Account Citrix Cloud. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
• Abbonamento Citrix DaaS. Per maggiori dettagli, vedere Inizia.
• Un progetto di Google Cloud. Il progetto memorizza tutte le risorse di elaborazione associate al catalogo macchine. Può trattarsi di un progetto esistente o di uno nuovo.
• Abilita quattro API nel tuo progetto Google Cloud. Per maggiori dettagli, vedere Abilitare le API di Google Cloud.
• Account del servizio Google Cloud. L’account di servizio esegue l’autenticazione su Google Cloud per consentire l’accesso al progetto. Per maggiori dettagli, vedere Configurare l’account del servizio Google Cloud.
• Abilita l’accesso privato di Google. Per maggiori dettagli, vedere Enable-private-google-access.

Abilita le API di Google Cloud

Per utilizzare le funzionalità di Google Cloud tramite Web Studio, abilita queste API nel tuo progetto Google Cloud:

• API di Compute Engine
• API di Cloud Resource Manager
• API di gestione dell’identità e dell’accesso (IAM)
• API di creazione cloud

Dalla console di Google Cloud, completa questi passaggi:

1. Nel menu in alto a sinistra, seleziona API e servizi > Dashboard.

   

2. Nella schermata Dashboard ** , assicurati che l’API Compute Engine sia abilitata. Se no, segui questi passaggi:

   1. Passare a API e servizi > Libreria.

      

   2. Nella casella di ricerca, digita Compute Engine.

   3. Dai risultati della ricerca, seleziona Compute Engine API.

   4. Nella pagina Compute Engine API , seleziona Abilita.

3. Abilita l’API Cloud Resource Manager.

   1. Passare a API e servizi > Libreria.

   2. Nella casella di ricerca, digita Cloud Resource Manager.

   3. Dai risultati della ricerca, seleziona Cloud Resource Manager API.

   4. Nella pagina Cloud Resource Manager API , seleziona Abilita. Viene visualizzato lo stato dell’API.

4. Allo stesso modo, abilita API Identity and Access Management (IAM) e API Cloud Build.

Puoi anche utilizzare Google Cloud Shell per abilitare le API. Per fare questo:

1. Apri la Google Console e carica Cloud Shell.

2. Esegui i seguenti quattro comandi in Cloud Shell:

   • i servizi gcloud abilitano compute.googleapis.com
   • i servizi gcloud abilitano cloudresourcemanager.googleapis.com
   • i servizi gcloud abilitano iam.googleapis.com
   • i servizi gcloud abilitano cloudbuild.googleapis.com
3. Se Cloud Shell lo richiede, fai clic su Autorizza .

Configurare e aggiornare gli account di servizio

Nota:

CP introdurrà modifiche al comportamento predefinito di Cloud Build Service e all’utilizzo degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account del servizio Cloud Build. I tuoi progetti Google esistenti con Cloud Build API abilitata prima del 29 aprile 2024 non saranno interessati da questa modifica. Tuttavia, se si desidera mantenere il comportamento attuale del Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione del vincolo prima di abilitare l’API Cloud Build. Di conseguenza, il contenuto seguente è diviso in due: prima del 29 aprile 2024 e dopo il 29 aprile 2024. Se si imposta la nuova politica aziendale, seguire la sezione Prima del 29 aprile 2024.

Prima del 29 aprile 2024

Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:

• Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio si autentica su Google Cloud utilizzando una chiave generata da Google Cloud.

  È necessario creare manualmente questo account di servizio come descritto qui. Per ulteriori informazioni, vedere Creare un account Citrix Cloud Service.

  Puoi identificare questo account di servizio con un indirizzo email. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Account di servizio Cloud Build: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Abilita le API di Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, vai a IAM & Admin > IAM nella console Google Cloud e seleziona la casella di controllo Includi concessioni di ruoli fornite da Google .

  Puoi identificare questo account di servizio tramite un indirizzo email che inizia con ID progetto e la parola cloudbuild. Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

  Verificare se all’account di servizio sono stati concessi i seguenti ruoli. Se devi aggiungere ruoli, segui i passaggi descritti in Aggiungere ruoli all’account del servizio Cloud Build.

  • Account del servizio Cloud Build
  • Amministratore istanza di calcolo
  • Utente dell’account di servizio

• Account di servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un ruolo Storage Admin che richiede le seguenti autorizzazioni:

  • gestore risorse.progetti.ottenere
  • archiviazione.oggetti.creare
  • archiviazione.oggetti.ottenere
  • Elenco oggetti di archiviazione

Puoi identificare questo account di servizio tramite un indirizzo email che inizia con ID progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

Crea un account Citrix Cloud Service

Per creare un account Citrix Cloud Service, segui questi passaggi:

1. Nella console di Google Cloud, vai a IAM & Amministrazione > Account di servizio.
2. Nella pagina Account di servizio , seleziona CREA ACCOUNT DI SERVIZIO.
3. Nella pagina Crea account di servizio , inserisci le informazioni richieste, quindi seleziona CREA E CONTINUA.

4. Nella pagina Concedi a questo account di servizio l’accesso al progetto , fai clic sul menu a discesa Seleziona un ruolo e seleziona i ruoli richiesti. Fai clic su +AGGIUNGI UN ALTRO RUOLO se vuoi aggiungere altri ruoli.

   Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Concedi i seguenti ruoli a questo account di servizio:

   • Amministratore di calcolo
   • Amministratore di archiviazione
   • Editor di compilazione cloud
   • Utente dell’account di servizio
   • Utente Cloud Datastore
   • Operatore di crittografia Cloud KMS

   L’operatore di crittografia Cloud KMS richiede le seguenti autorizzazioni:

   • Ottieni
   • Elenco delle chiavi crittografiche di Cloudkms
   • cloudkms.keyRings.ottenere
   • Elenco dei portachiavi cloudkms

   Nota:

   Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

5. Fai clic su CONTINUA
6. Nella pagina Concedi agli utenti l’accesso a questo account di servizio , aggiungi utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
7. Fai clic su FATTO.
8. Accedere alla console principale IAM.
9. Identificare l’account di servizio creato.
10. Verificare che i ruoli siano stati assegnati correttamente.

Considerazioni:

Quando si crea un account di servizio, tenere presente quanto segue:

• I passaggi Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non verrà visualizzato nella pagina IAM & Admin > IAM .
• Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account di servizio configurato.

Chiave dell’account Citrix Cloud Service

La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Dopo aver creato la chiave, il file viene scaricato e salvato automaticamente nella cartella Downloads . Quando crei la chiave, assicurati di impostare il tipo di chiave su JSON. In caso contrario, Web Studio non potrà analizzarlo.

Per creare una chiave account di servizio, vai a IAM & Admin > Account di servizio e fai clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passa alla scheda Chiavi e seleziona Aggiungi chiave > Crea nuova chiave. Assicurati di selezionare JSON come tipo di chiave.

Mancia:

Crea le chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Per motivi di sicurezza, ti consigliamo di cambiare regolarmente le chiavi. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account Citrix Cloud Service

Per aggiungere ruoli all’account Citrix Cloud Service:

1. Nella console di Google Cloud, vai a IAM & Admin > IAM.

2. Nella pagina IAM > PERMISSIONS , individua l’account di servizio che hai creato, identificabile con un indirizzo email.

   Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Selezionare l’icona della matita per modificare l’accesso al principale dell’account di servizio.
4. Nella pagina Modifica accesso a “project-id” per l’opzione principale selezionata, seleziona AGGIUNGI UN ALTRO RUOLO per aggiungere uno alla volta i ruoli richiesti al tuo account di servizio, quindi seleziona SALVA.

Aggiungere ruoli all’account del servizio Cloud Build

Per aggiungere ruoli all’account del servizio Cloud Build:

1. Nella console di Google Cloud, vai a IAM & Admin > IAM.

2. Nella pagina IAM , individua l’account del servizio Cloud Build, identificabile con un indirizzo email che inizia con ID progetto e la parola cloudbuild.

   Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

3. Selezionare l’icona della matita per modificare i ruoli dell’account Cloud Build.

4. Nella pagina Modifica accesso a “project-id” per l’opzione principale selezionata, seleziona AGGIUNGI UN ALTRO RUOLO per aggiungere uno alla volta i ruoli richiesti al tuo account di servizio Cloud Build, quindi seleziona SALVA.

   Nota:

   Abilita tutte le API per ottenere l’elenco completo dei ruoli.

Dopo il 29 aprile 2024

Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:

• Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio si autentica su Google Cloud utilizzando una chiave generata da Google Cloud.

  È necessario creare manualmente questo account di servizio.

  Puoi identificare questo account di servizio con un indirizzo email. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Account di servizio Cloud Compute: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Abilita le API di Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, vai a IAM & Admin > IAM nella console Google Cloud e seleziona la casella di controllo Includi concessioni di ruoli fornite da Google . Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Storage Admin che richiede le seguenti autorizzazioni:

  • gestore risorse.progetti.ottenere
  • archiviazione.oggetti.creare
  • archiviazione.oggetti.ottenere
  • Elenco oggetti di archiviazione

  Puoi identificare questo account di servizio tramite un indirizzo email che inizia con ID progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

  Verificare se all’account di servizio sono stati concessi i seguenti ruoli.

  • Account del servizio Cloud Build
  • Amministratore istanza di calcolo
  • Utente dell’account di servizio

Crea un account Citrix Cloud Service

Per creare un account Citrix Cloud Service, segui questi passaggi:

1. Nella console di Google Cloud, vai a IAM & Admin > Account di servizio.
2. Nella pagina Account di servizio , seleziona CREA ACCOUNT DI SERVIZIO.
3. Nella pagina Crea account di servizio , inserisci le informazioni richieste, quindi seleziona CREA E CONTINUA.

4. Nella pagina Concedi a questo account di servizio l’accesso al progetto , fai clic sul menu a discesa Seleziona un ruolo e seleziona i ruoli richiesti. Fai clic su +AGGIUNGI UN ALTRO RUOLO se vuoi aggiungere altri ruoli.

   Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Concedi i seguenti ruoli a questo account di servizio:

   • Amministratore di calcolo
   • Amministratore di archiviazione
   • Editor di compilazione cloud
   • Utente dell’account di servizio
   • Utente Cloud Datastore
   • Operatore di crittografia Cloud KMS

   L’operatore di crittografia Cloud KMS richiede le seguenti autorizzazioni:

   • Ottieni
   • Elenco delle chiavi crittografiche di Cloudkms
   • cloudkms.keyRings.ottenere
   • Elenco dei portachiavi cloudkms

   Nota:

   Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

5. Fai clic su CONTINUA
6. Nella pagina Concedi agli utenti l’accesso a questo account di servizio , aggiungi utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
7. Fai clic su FATTO.
8. Accedere alla console principale IAM.
9. Identificare l’account di servizio creato.
10. Convalida che i ruoli siano stati assegnati correttamente.

Considerazioni:

Quando si crea un account di servizio, tenere presente quanto segue:

• I passaggi Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non verrà visualizzato nella pagina IAM & Admin > IAM .
• Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account di servizio configurato.

Chiave dell’account Citrix Cloud Service

La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Dopo aver creato la chiave, il file viene scaricato e salvato automaticamente nella cartella Downloads . Quando crei la chiave, assicurati di impostare il tipo di chiave su JSON. In caso contrario, Web Studio non potrà analizzarlo.

Per creare una chiave account di servizio, vai a IAM & Admin > Account di servizio e fai clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passa alla scheda Chiavi e seleziona Aggiungi chiave > Crea nuova chiave. Assicurati di selezionare JSON come tipo di chiave.

Mancia:

Crea le chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Per motivi di sicurezza, ti consigliamo di cambiare regolarmente le chiavi. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account Citrix Cloud Service

Per aggiungere ruoli all’account Citrix Cloud Service:

1. Nella console di Google Cloud, vai a IAM & Admin > IAM.

2. Nella pagina IAM > PERMISSIONS , individua l’account di servizio che hai creato, identificabile con un indirizzo email.

   Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Selezionare l’icona della matita per modificare l’accesso al principale dell’account di servizio.
4. Nella pagina Modifica accesso a “project-id” per l’opzione principale selezionata, seleziona AGGIUNGI UN ALTRO RUOLO per aggiungere uno alla volta i ruoli richiesti al tuo account di servizio, quindi seleziona SALVA.

Aggiungere ruoli all’account del servizio Cloud Compute

Per aggiungere ruoli all’account del servizio Cloud Compute:

1. Nella console di Google Cloud, vai a IAM & Admin > IAM.

2. Nella pagina IAM , individua l’account del servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con ID progetto e la parola compute.

   Ad esempio, <project-id>-compute@developer.gserviceaccount.com

3. Selezionare l’icona della matita per modificare i ruoli dell’account Cloud Build.

4. Nella pagina Modifica accesso a “project-id” per l’opzione principale selezionata, seleziona AGGIUNGI UN ALTRO RUOLO per aggiungere uno alla volta i ruoli richiesti al tuo account di servizio Cloud Build, quindi seleziona SALVA.

   Nota:

   Abilita tutte le API per ottenere l’elenco completo dei ruoli.

Autorizzazioni di archiviazione e gestione dei bucket

Citrix DaaS migliora il processo di segnalazione degli errori di compilazione cloud per il servizio Google Cloud . Questo servizio esegue build su Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters} in cui i servizi Google Cloud acquisiscono le informazioni del registro di build. Su questo bucket è impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione disponga delle autorizzazioni Google Cloud impostate su storage.buckets.update. Se l’account di servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di build aumenta e richiede una pulizia manuale.

Abilita l’accesso privato a Google

Quando una VM non ha un indirizzo IP esterno assegnato alla sua interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni con indirizzi IP interni. Quando si abilita l’accesso privato, la VM si connette al set di indirizzi IP esterni utilizzati dalla Google API e dai servizi associati.

Nota:

Indipendentemente dal fatto che l’accesso privato di Google sia abilitato, tutte le VM con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.

Per garantire che una VM nella tua subnet possa accedere alle API di Google senza un indirizzo IP pubblico per il provisioning MCS:

1. In Google Cloud, accedi alla configurazione di rete VPC **.
2. Nella schermata Dettagli subnet, attiva Accesso privato Google.

Per ulteriori informazioni, vedere Configurazione dell’accesso privato a Google.

Importante:

Se la rete è configurata per impedire l’accesso delle VM a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato di Google per la subnet a cui è connessa la VM.

Aggiungi una connessione

Segui le istruzioni in Crea una connessione e risorse. La seguente descrizione ti guiderà attraverso la configurazione di una connessione di hosting:

1. Da Gestisci > Configurazione, seleziona Hosting nel riquadro di sinistra.

2. Seleziona Aggiungi connessione e risorse nella barra delle azioni.

3. Nella pagina Connessione , seleziona Crea una nuova connessione e Strumenti di provisioning Citrix, quindi seleziona Avanti.

   • Tipo di connessione. Seleziona Google Cloud dal menu.
   • Nome connessione. Digitare un nome per la connessione.

4. Nella pagina Regione , seleziona un nome di progetto dal menu, seleziona una regione contenente le risorse che desideri utilizzare, quindi seleziona Avanti.

5. Nella pagina Rete , digita un nome per le risorse, seleziona una rete virtuale dal menu, seleziona un sottoinsieme, quindi seleziona Avanti. Il nome della risorsa aiuta a identificare la combinazione di regione e rete. Le reti virtuali con il suffisso (condiviso) aggiunto al nome rappresentano VPC condivise. Se si configura un ruolo IAM a livello di subnet per una VPC condivisa, nell’elenco delle subnet verranno visualizzate solo le subnet specifiche della VPC condivisa.

   Nota:

   • Il nome della risorsa può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti o i caratteri \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

6. Nella pagina Riepilogo , conferma le informazioni e poi seleziona Fine per uscire dalla finestra Aggiungi connessione e risorse .

Dopo aver creato la connessione e le risorse, vengono elencati la connessione e le risorse create. Per configurare la connessione, seleziona la connessione e poi seleziona l’opzione applicabile nella barra delle azioni.

Allo stesso modo, è possibile eliminare, rinominare o testare le risorse create tramite la connessione. Per farlo, seleziona la risorsa sotto la connessione e poi seleziona l’opzione applicabile nella barra delle azioni.

Preparare un’istanza VM master e un disco persistente

Mancia:

Disco persistente è il termine di Google Cloud per indicare il disco virtuale.

Per preparare l’istanza VM master, crea e configura un’istanza VM con proprietà che corrispondono alla configurazione desiderata per le istanze VDA clonate nel catalogo macchine pianificato. La configurazione non si applica solo alla dimensione e al tipo di istanza. Include anche attributi di istanza quali metadati, tag, assegnazioni GPU, tag di rete e proprietà dell’account di servizio.

Come parte del processo di mastering, MCS utilizza l’istanza master della VM per creare il modello di istanza Google Cloud **. Il modello di istanza viene quindi utilizzato per creare le istanze VDA clonate che compongono il catalogo macchine. Le istanze clonate ereditano le proprietà (ad eccezione delle proprietà VPC, subnet e disco persistente) dell’istanza VM master da cui è stato creato il modello di istanza.

Dopo aver configurato le proprietà dell’istanza della VM master in base alle tue specifiche, avvia l’istanza e prepara il disco persistente per l’istanza.

Ti consigliamo di creare manualmente uno snapshot del disco. In questo modo è possibile utilizzare una convenzione di denominazione significativa per tenere traccia delle versioni, si hanno più opzioni per gestire le versioni precedenti dell’immagine master e si risparmia tempo nella creazione del catalogo macchine. Se non crei un tuo snapshot, MCS ne crea uno temporaneo (che verrà eliminato al termine del processo di provisioning).

Creare un catalogo macchine

Nota:

Crea le tue risorse prima di creare un catalogo macchine. Quando si configurano i cataloghi delle macchine, utilizzare le convenzioni di denominazione stabilite da Google Cloud. Per ulteriori informazioni, vedere Linee guida per la denominazione di bucket e oggetti .

Seguire le istruzioni in Crea cataloghi macchine. Al momento, Studio non supporta la creazione di cataloghi Google Cloud. In alternativa, utilizzare PowerShell.

Gestisci catalogo macchine

Per aggiungere macchine a un catalogo, aggiornare macchine e annullare un aggiornamento, vedere Gestisci cataloghi macchine.

Gestione dell’alimentazione

Citrix DaaS ti consente di gestire l’alimentazione delle macchine Google Cloud. Utilizzare il nodo Cerca ** nel riquadro di navigazione per individuare la macchina di cui si desidera gestire l’alimentazione. Sono disponibili le seguenti azioni di potenza:

• Eliminare
• Inizio
• Ricomincia
• Forza il riavvio
• Fermare
• Arresto forzato
• Aggiungi al gruppo di consegna
• Gestisci i tag
• Attiva la modalità di manutenzione

È anche possibile gestire in modo efficiente le macchine Google Cloud utilizzando Autoscale. Per farlo, aggiungi le macchine Google Cloud a un Delivery Group e quindi abilita la scalabilità automatica per quel Delivery Group. Per maggiori informazioni su Autoscale, vedere Autoscale.

Proteggere la cancellazione accidentale della macchina

Citrix DaaS consente di proteggere le risorse MCS su Google Cloud per impedirne l’eliminazione accidentale. Configurare la VM fornita impostando il flag deletionProtection su TRUE.

Per impostazione predefinita, le VM fornite tramite MCS o il plug-in Google Cloud vengono create con InstanceProtection abilitato. L’implementazione è applicabile sia ai cataloghi persistenti che a quelli non persistenti. I cataloghi non persistenti vengono aggiornati quando le istanze vengono ricreate dal modello. Per le macchine persistenti esistenti, puoi impostare il flag nella console di Google Cloud. Per ulteriori informazioni sull’impostazione del flag, consultare il sito di documentazione di Google . Le nuove macchine aggiunte ai cataloghi persistenti vengono create con deletionProtection abilitato.

Se si tenta di eliminare un’istanza di VM per la quale è stato impostato il flag deletionProtection , la richiesta fallisce. Tuttavia, se ti è stata concessa l’autorizzazione compute.instances.setDeletionProtection o ti è stato assegnato il ruolo IAM Compute Admin , puoi reimpostare il flag per consentire l’eliminazione della risorsa.

Importare macchine Google Cloud create manualmente

Puoi creare una connessione a Google Cloud e quindi creare un catalogo contenente le macchine Google Cloud. È quindi possibile riavviare manualmente i computer Google Cloud tramite Citrix DaaS. Con questa funzionalità puoi:

• Importare manualmente le macchine del sistema operativo multisessione Google Cloud create in un catalogo di macchine Citrix Virtual Apps and Desktops.
• Rimuovere manualmente le macchine del sistema operativo multisessione Google Cloud create da un catalogo Citrix Virtual Apps and Desktops.
• Utilizza le funzionalità di gestione energetica di Citrix Virtual Apps and Desktops esistenti per gestire l’alimentazione delle macchine con sistema operativo multisessione Windows di Google Cloud. Ad esempio, impostare una pianificazione di riavvio per tali macchine.

Questa funzionalità non richiede modifiche al flusso di lavoro di provisioning di Citrix Virtual Apps and Desktops esistente, né la rimozione di alcuna funzionalità esistente. Ti consigliamo di utilizzare MCS per eseguire il provisioning delle macchine in Web Studio anziché importare le macchine Google Cloud create manualmente.

Cloud privato virtuale condiviso

I Virtual Private Cloud (VPC) condivisi sono costituiti da un progetto host, da cui vengono rese disponibili le subnet condivise, e da uno o più progetti di servizio che utilizzano la risorsa. Le VPC condivise sono opzioni preferibili per installazioni di grandi dimensioni perché garantiscono controllo, utilizzo e amministrazione centralizzati delle risorse aziendali condivise di Google Cloud. Per ulteriori informazioni, consultare il sito di documentazione di Google .

Grazie a questa funzionalità, Machine Creation Services (MCS) supporta il provisioning e la gestione dei cataloghi di macchine distribuiti su VPC condivise. Questo supporto, che è funzionalmente equivalente al supporto attualmente fornito nelle VPC locali, differisce in due aree:

1. È necessario concedere autorizzazioni aggiuntive all’account di servizio utilizzato per creare la connessione host. Questo processo consente a MCS di accedere e utilizzare le risorse VPC condivise.
2. È necessario creare due regole del firewall, una per l’ingresso e una per l’uscita. Queste regole del firewall vengono utilizzate durante il processo di masterizzazione delle immagini.

Sono necessarie nuove autorizzazioni

Per creare la connessione host è necessario un account di servizio Google Cloud con autorizzazioni specifiche. Queste autorizzazioni aggiuntive devono essere concesse a tutti gli account di servizio utilizzati per creare connessioni host basate su VPC condivise.

Mancia:

Queste autorizzazioni aggiuntive non sono una novità per Citrix DaaS. Vengono utilizzati per facilitare l’implementazione di VPC locali. Con le VPC condivise, queste autorizzazioni aggiuntive consentono l’accesso ad altre risorse VPC condivise.

Per supportare la VPC condivisa, è necessario concedere al massimo quattro autorizzazioni aggiuntive all’account di servizio associato alla connessione host:

1. compute.firewalls.list - Questa autorizzazione è obbligatoria. Consente a MCS di recuperare l’elenco delle regole del firewall presenti sulla VPC condivisa.
2. compute.networks.list - Questa autorizzazione è obbligatoria. Consente a MCS di identificare le reti VPC condivise disponibili per l’account di servizio.
3. compute.subnetworks.list – Questa autorizzazione è facoltativa a seconda di come si utilizzano le VPC. Consente a MCS di identificare le subnet all’interno delle VPC condivise visibili. Questa autorizzazione è già richiesta quando si utilizzano VPC locali, ma deve essere assegnata anche nel progetto host VPC condiviso.
4. compute.subnetworks.use - Questa autorizzazione è facoltativa e dipende da come si utilizzano le VPC. È necessario utilizzare le risorse di subnet nei cataloghi delle macchine fornite. Questa autorizzazione è già richiesta per l’utilizzo di VPC locali, ma deve essere assegnata anche nel progetto host VPC condiviso.

Quando si utilizzano queste autorizzazioni, tenere presente che esistono diversi approcci in base al tipo di autorizzazione utilizzata per creare il catalogo macchine:

• Autorizzazione a livello di progetto:
  • Consente l’accesso a tutte le VPC condivise all’interno del progetto host.
  • Richiede che le autorizzazioni #3 e #4 siano assegnate all’account di servizio.
• Autorizzazione a livello di subnet:
  • Consente l’accesso a subnet specifiche all’interno della VPC condivisa.
  • Le autorizzazioni n. 3 e n. 4 sono intrinseche all’assegnazione a livello di subnet e pertanto non devono essere assegnate direttamente all’account di servizio.

Seleziona l’approccio più adatto alle esigenze della tua organizzazione e ai tuoi standard di sicurezza.

Mancia:

Per ulteriori informazioni sulle differenze tra autorizzazioni a livello di progetto e autorizzazioni a livello di subnet, consulta la documentazione di Google Cloud.

Regole del firewall

Durante la preparazione di un catalogo macchine, viene preparata un’immagine della macchina che fungerà da disco di sistema dell’immagine master per il catalogo. Quando si verifica questo processo, il disco viene temporaneamente collegato a una macchina virtuale. Questa VM deve essere eseguita in un ambiente isolato che impedisca tutto il traffico di rete in entrata e in uscita. Ciò si ottiene tramite una coppia di regole firewall di tipo “nega tutto”: una per il traffico in ingresso e una per quello in uscita. Quando si utilizzano VCP locali di Google Cloud, MCS crea questo firewall nella rete locale e lo applica alla macchina per il mastering. Una volta completata la masterizzazione, la regola del firewall viene rimossa dall’immagine.

Si consiglia di ridurre al minimo il numero di nuove autorizzazioni necessarie per utilizzare le VPC condivise. Le VPC condivise sono risorse aziendali di livello superiore e solitamente dispongono di protocolli di sicurezza più rigidi. Per questo motivo, creare una coppia di regole firewall nel progetto host sulle risorse VPC condivise, una per l’ingresso e una per l’uscita. Assegna loro la massima priorità. Applica un nuovo tag di destinazione a ciascuna di queste regole, utilizzando il seguente valore:

citrix-provisioning-quarantine-firewall

Quando MCS crea o aggiorna un catalogo macchine, cerca le regole del firewall che contengono questo tag di destinazione. Esamina quindi le regole per verificarne la correttezza e le applica alla macchina utilizzata per preparare l’immagine master per il catalogo. Se le regole del firewall non vengono trovate oppure vengono trovate ma le regole o le loro priorità sono errate, viene visualizzato un messaggio simile al seguente:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configurazione della VPC condivisa

Prima di aggiungere la VPC condivisa come connessione host in Web Studio, completa i seguenti passaggi per aggiungere account di servizio dal progetto in cui intendi effettuare il provisioning:

1. Creare un ruolo IAM.
2. Aggiungere l’account di servizio utilizzato per creare una connessione host CVAD al ruolo IAM del progetto host VPC condiviso.
3. Aggiungere l’account del servizio Cloud Build dal progetto in cui si intende effettuare il provisioning al ruolo IAM del progetto host VPC condiviso.
4. Creare regole firewall.

Creare un ruolo IAM

Determinare il livello di accesso del ruolo: accesso a livello di progetto o un modello più limitato utilizzando accesso a livello di subnet.

Accesso a livello di progetto per il ruolo IAM. Per il ruolo IAM a livello di progetto, includere le seguenti autorizzazioni:

• calcola.firewall.elenco
• elenco.reti.di.calcolo
• calcola.sottoreti.elenco
• calcolare.sottoreti.uso

Per creare un ruolo IAM a livello di progetto:

1. Nella console di Google Cloud, vai a IAM & Admin > Ruoli.
2. Nella pagina Ruoli , seleziona CREA RUOLO.
3. Nella pagina Crea ruolo , specifica il nome del ruolo. Seleziona AGGIUNGI PERMESSI.
   1. Nella pagina Aggiungi autorizzazioni , aggiungi le autorizzazioni al ruolo, individualmente. Per aggiungere un permesso, digita il nome del permesso nel campo Tabella filtri . Selezionare il permesso e quindi selezionare AGGIUNGI.
   2. Seleziona CREA.

Ruolo IAM a livello di sottorete. Questo ruolo omette l’aggiunta dei permessi compute.subnetworks.list e compute.subnetworks.use dopo aver selezionato CREA RUOLO. Per questo livello di accesso IAM, al nuovo ruolo devono essere applicate le autorizzazioni compute.firewalls.list e compute.networks.list .

Per creare un ruolo IAM a livello di subnet:

1. Nella console di Google Cloud, vai a Rete VPC > VPC condivisa. Viene visualizzata la pagina Shared VPC , che mostra le subnet delle reti Shared VPC contenute nel progetto host.
2. Nella pagina Shared VPC , seleziona la subnet a cui desideri accedere.
3. Nell’angolo in alto a destra, seleziona AGGIUNGI MEMBRO per aggiungere un account di servizio.
4. Nella pagina Aggiungi membri , completa questi passaggi:
   1. Nel campo Nuovi membri , digita il nome del tuo account di servizio, quindi seleziona il tuo account di servizio nel menu.
   2. Selezionare il campo Seleziona un ruolo e quindi Utente di rete di calcolo.
   3. Seleziona SALVA.
5. Nella console di Google Cloud, vai a IAM & Admin > Ruoli.
6. Nella pagina Ruoli , seleziona CREA RUOLO.
7. Nella pagina Crea ruolo , specifica il nome del ruolo. Seleziona AGGIUNGI PERMESSI.
   1. Nella pagina Aggiungi autorizzazioni , aggiungi le autorizzazioni al ruolo, individualmente. Per aggiungere un permesso, digita il nome del permesso nel campo Tabella filtri . Seleziona l’autorizzazione, quindi seleziona AGGIUNGI.
   2. Seleziona CREA.

Aggiungere un account di servizio al ruolo IAM del progetto host

Dopo aver creato un ruolo IAM, procedere come segue per aggiungere un account di servizio per il progetto host:

1. Nella console di Google Cloud, vai al progetto host e poi a IAM & Admin > IAM.
2. Nella pagina IAM , seleziona AGGIUNGI per aggiungere un account di servizio.
3. Nella pagina Aggiungi membri :
   1. Nel campo Nuovi membri , digita il nome del tuo account di servizio, quindi seleziona il tuo account di servizio nel menu.
   2. Seleziona un campo ruolo, digita il ruolo IAM che hai creato, quindi seleziona il ruolo nel menu.
   3. Seleziona SALVA.

L’account di servizio è ora configurato per il progetto host.

Aggiungere l’account del servizio di compilazione cloud alla VPC condivisa

Ogni abbonamento a Google Cloud ha un account di servizio denominato in base al numero ID del progetto, seguito da cloudbuild.gserviceaccount. Ad esempio: 705794712345@cloudbuild.gserviceaccount.

Puoi determinare qual è il numero ID del tuo progetto selezionando Home e Dashboard nella console di Google Cloud:

Trova il numero del progetto ** sotto l’area **delle informazioni sul progetto dello schermo.

Per aggiungere l’account del servizio Cloud Build alla VPC condivisa, procedere come segue:

1. Nella console di Google Cloud, vai al progetto host e poi a IAM & Admin > IAM.
2. Nella pagina Permessi , seleziona AGGIUNGI per aggiungere un account.
3. Nella pagina Aggiungi membri , completa questi passaggi:
   1. Nel campo Nuovi membri , digita il nome dell’account di servizio Cloud Build, quindi seleziona il tuo account di servizio nel menu.
   2. Selezionare il campo Seleziona un ruolo , digitare Utente della rete di computer, quindi selezionare il ruolo nel menu.
   3. Seleziona SALVA.

Crea regole firewall

Come parte del processo di masterizzazione, MCS copia l’immagine della macchina selezionata e la utilizza per preparare il disco di sistema dell’immagine master per il catalogo. Durante la masterizzazione, MCS collega il disco a una macchina virtuale temporanea, che esegue quindi gli script di preparazione. Questa VM deve essere eseguita in un ambiente isolato che proibisca tutto il traffico di rete in entrata e in uscita. Per creare un ambiente isolato, MCS richiede due regole firewall deny all (una regola di ingresso e una regola di uscita). Pertanto, creare due regole del firewall nel progetto host ** come segue:

1. Nella console di Google Cloud, vai al progetto host e poi a Rete VPC > Firewall.
2. Nella pagina Firewall , seleziona CREA REGOLA FIREWALL.
3. Nella pagina Crea una regola firewall , completa quanto segue:
   • Nome. Digitare un nome per la regola.
   • Rete. Selezionare la rete VPC condivisa a cui si applica la regola del firewall in ingresso.
   • Priorità. Quanto più piccolo è il valore, tanto più alta è la priorità della regola. Consigliamo un valore basso (ad esempio 10).
   • Direzione del traffico. Seleziona Ingresso.
   • Azione sulla partita. Seleziona Nega.
   • Obiettivi. Utilizzare il valore predefinito, Tag di destinazione specificati.
   • Tag di destinazione. Digitare citrix-provisioning-quarantine-firewall.
   • Filtro sorgente. Utilizzare gli intervalli IP predefiniti, **.
   • Intervalli IP di origine. Digitare un intervallo che corrisponda a tutto il traffico. Digitare 0.0.0.0/0.
   • Protocolli e porte. Seleziona Nega tutti.
4. Selezionare CREA per creare la regola.
5. Ripetere i passaggi da 1 a 4 per creare un’altra regola. Per Direzione del traffico, selezionare Uscita.

Aggiungi una connessione

Aggiungere una connessione agli ambienti cloud di Google. Vedere Aggiungere una connessione.

Abilita selezione zona

Citrix Virtual Apps and Desktops supporta la selezione delle zone. Con la selezione della zona, si specificano le zone in cui si desidera creare le VM. Grazie alla selezione delle zone, gli amministratori possono posizionare nodi single tenant nelle zone da loro scelte. Per configurare la locazione unica, è necessario completare la seguente procedura su Google Cloud:

• Prenota un nodo single-tenant di Google Cloud
• Creare l’immagine master VDA

Prenotazione di un nodo single-tenant di Google Cloud

Per riservare un nodo single-tenant, fare riferimento alla documentazione di Google Cloud .

Importante:

Un modello di nodo viene utilizzato per indicare le caratteristiche prestazionali del sistema riservato nel gruppo di nodi. Tali caratteristiche includono il numero di vGPU, la quantità di memoria allocata al nodo e il tipo di macchina utilizzata per le macchine create sul nodo. Per ulteriori informazioni, consulta la documentazione di Google Cloud .

Creazione dell’immagine master VDA

Per distribuire correttamente le macchine sul nodo single-tenant, è necessario eseguire passaggi aggiuntivi durante la creazione di un’immagine VM master. Le istanze macchina su Google Cloud hanno una proprietà denominata etichette di affinità dei nodi . Le istanze utilizzate come immagini master per i cataloghi distribuiti sul nodo single-tenant richiedono un’etichetta di affinità del nodo che corrisponda al nome del gruppo di nodi di destinazione **. Per raggiungere questo obiettivo, tieni presente quanto segue:

• Per una nuova istanza, imposta l’etichetta nella console di Google Cloud durante la creazione di un’istanza. Per maggiori dettagli, vedere Imposta un’etichetta di affinità del nodo durante la creazione di un’istanza.
• Per un’istanza esistente, imposta l’etichetta utilizzando la riga di comando gcloud . Per maggiori dettagli, vedere Imposta un’etichetta di affinità del nodo per un’istanza esistente.

Nota:

Se intendi utilizzare la locazione singola con una VPC condivisa, consulta Shared Virtual Private Cloud.

Imposta un’etichetta di affinità del nodo durante la creazione di un’istanza

Per impostare l’etichetta di affinità del nodo:

1. Nella console di Google Cloud, vai a Compute Engine > istanze VM.

2. Nella pagina Istanze VM , seleziona Crea istanza.

3. Nella pagina Creazione istanza , digita o configura le informazioni richieste, quindi seleziona gestione, sicurezza, dischi, rete, locazione unica per aprire il pannello delle impostazioni.

4. Nella scheda Single tenancy , seleziona Browse per visualizzare i gruppi di nodi disponibili nel progetto corrente. Viene visualizzata la pagina del nodo single-tenant , che mostra un elenco dei gruppi di nodi disponibili.

5. Nella pagina Nodo a tenant unico , seleziona il gruppo di nodi applicabile dall’elenco, quindi seleziona . Seleziona per tornare alla scheda Tenancy unica . Il campo etichette affinità nodo viene compilato con le informazioni selezionate. Questa impostazione garantisce che i cataloghi delle macchine creati dall’istanza vengano distribuiti al gruppo di nodi selezionato.

6. Selezionare Crea per creare l’istanza.

Imposta un’etichetta di affinità del nodo per un’istanza esistente

Per impostare l’etichetta di affinità del nodo:

1. Nella finestra del terminale di Google Cloud Shell, utilizza il comando gcloud compute instances per impostare un’etichetta di affinità del nodo. Includere le seguenti informazioni nel comando gcloud :

   • Nome della VM. Ad esempio, utilizzare una VM esistente denominata s*2019-vda-base.*
   • Nome del gruppo di nodi. Utilizza il nome del gruppo di nodi creato in precedenza. Ad esempio, mh-sole-tenant-node-group-1.
   • La zona in cui risiede l’istanza. Ad esempio, la VM risiede nella zona *us-east-1b*.

   Ad esempio, digitare il seguente comando nella finestra del terminale:

   • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

   Per ulteriori informazioni sul comando gcloud compute instances , consulta la documentazione di Google Developer Tools all’indirizzo https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

2. Passare alla pagina dei dettagli dell’istanza VM dell’istanza e verificare che il campo Affinità nodo sia compilato con l’etichetta.

Creare un catalogo macchine

Dopo aver impostato l’etichetta di affinità del nodo, configurare il catalogo delle macchine.

Anteprima: utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

È possibile utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i cataloghi MCS. Quando si utilizza questa funzionalità, si assegna il ruolo di Google Cloud Key Management Service CryptoKey Encrypter/Decrypter al Compute Engine Service Agent. L’account Citrix DaaS deve disporre delle autorizzazioni corrette nel progetto in cui è archiviata la chiave. Per ulteriori informazioni, fare riferimento a Come proteggere le risorse utilizzando le chiavi Cloud KMS .

Il tuo agente di servizio Compute Engine si presenta nel seguente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Questo modulo è diverso dall’account di servizio Compute Engine predefinito.

Nota:

Questo account di servizio Compute Engine potrebbe non essere visualizzato nella visualizzazione Autorizzazioni IAM della Google Console. In questi casi, utilizzare il comando gcloud come descritto in Come proteggere le risorse utilizzando le chiavi Cloud KMS.

Assegnare le autorizzazioni all’account Citrix DaaS

Le autorizzazioni di Google Cloud KMS possono essere configurate in vari modi. Puoi fornire autorizzazioni KMS</em> a livello di progetto o autorizzazioni KMS a livello di risorsa *. Per ulteriori informazioni, vedere Permessi e ruoli .</p>

Autorizzazioni a livello di progetto

Un’opzione è quella di fornire all’account Citrix DaaS autorizzazioni a livello di progetto per esplorare le risorse Cloud KMS. Per fare ciò, crea un ruolo personalizzato e aggiungi le seguenti autorizzazioni:

• cloudkms.keyRings.list
• cloudkms.keyRings.get
• cloudkms.cryptokeys.list
• cloudkms.cryptokeys.get

Assegna questo ruolo personalizzato al tuo account Citrix DaaS. Ciò consente di esplorare le chiavi regionali nel progetto pertinente nell’inventario.

Autorizzazioni a livello di risorsa

Per l’altra opzione, autorizzazioni a livello di risorsa, nella console di Google Cloud, vai alla cryptoKey `` che utilizzi per il provisioning MCS. Aggiungi l’account Citrix DaaS a un portachiavi o a una chiave utilizzata per il provisioning del catalogo.

Mancia:

Con questa opzione non è possibile esplorare le chiavi regionali per il progetto nell’inventario perché l’account Citrix DaaS non dispone delle autorizzazioni di elenco a livello di progetto sulle risorse Cloud KMS. Tuttavia, è comunque possibile predisporre un catalogo utilizzando CMEK specificando il cryptoKeyId corretto nelle proprietà personalizzate ProvScheme , descritte di seguito.

Provisioning con CMEK utilizzando proprietà personalizzate

Quando crei il tuo schema di provisioning tramite PowerShell, specifica una proprietà CryptoKeyId in ProvScheme CustomProperties. Per esempio:

  '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
      <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
  </CustomProperties>'
<!--NeedCopy-->

Il cryptoKeyId `` deve essere specificato nel seguente formato:

projectId:location:keyRingName:cryptoKeyName

Ad esempio, se desideri utilizzare la chiave my-example-key nel portachiavi my-example-key-ring nella regione us-east1 e nel progetto con ID my-example-project-1, le tue impostazioni personalizzate ProvScheme saranno simili a:

  '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
      <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
  </CustomProperties>'
<!--NeedCopy-->

Tutti i dischi e le immagini MCS forniti in relazione a questo schema di provisioning utilizzano questa chiave di crittografia gestita dal cliente.

Mancia:

Se si utilizzano chiavi globali, la posizione delle proprietà del cliente deve riportare il nome globale `` e non il nome della regione ** , che nell’esempio precedente è **us-east1. Ad esempio: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotazione delle chiavi gestite dal cliente

Google Cloud non supporta la rotazione delle chiavi su dischi o immagini persistenti esistenti. Una volta predisposta una macchina, questa viene associata alla versione chiave in uso al momento della sua creazione. Tuttavia, è possibile creare una nuova versione della chiave e tale nuova chiave viene utilizzata per le macchine appena fornite o per le risorse create quando un catalogo viene aggiornato con una nuova immagine master.

Considerazioni importanti sui portachiavi

I portachiavi non possono essere rinominati o eliminati. Inoltre, durante la configurazione potrebbero verificarsi costi imprevisti. Quando si elimina o si rimuove un portachiavi, Google Cloud visualizza un messaggio di errore:

  Sorry, you can't delete or rename keys or key rings.   We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable.   (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
  We're aware that this can make things untidy, but we have no immediate plans to change this.
  If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Mancia:

Per ulteriori informazioni, vedere Modifica o eliminazione di un portachiavi dalla console.

Compatibilità uniforme dell’accesso a livello di bucket

Citrix DaaS è compatibile con i criteri di controllo degli accessi uniformi a livello di bucket su Google Cloud. Questa funzionalità amplia l’uso della policy IAM che concede autorizzazioni a un account di servizio per consentire la manipolazione delle risorse, inclusi i bucket di archiviazione. Grazie al controllo uniforme degli accessi a livello di bucket, Citrix DaaS consente di utilizzare un elenco di controllo degli accessi (ACL) per controllare l’accesso ai bucket di archiviazione o agli oggetti in essi archiviati. Per informazioni generali sull’accesso uniforme a livello di bucket di Google Cloud, vedere Accesso uniforme a livello di bucket . Per informazioni sulla configurazione, vedere Richiedi accesso uniforme a livello di bucket.

URL degli endpoint del servizio

Devi avere accesso ai seguenti URL:

• https://oauth2.googleapis.com
• https://cloudresourcemanager.googleapis.com
• https://compute.googleapis.com
• https://storage.googleapis.com
• https://cloudbuild.googleapis.com

Progetti Google Cloud

Esistono fondamentalmente due tipi di progetti Google Cloud:

• Progetto di provisioning: in questo caso, l’account amministratore corrente è proprietario delle macchine provisionate nel progetto. Questo progetto è anche definito progetto locale.
• Progetto VPC condiviso: progetto in cui le macchine create nel progetto di provisioning utilizzano la VPC dal progetto VPC condiviso. L’account amministratore utilizzato per il provisioning del progetto ha autorizzazioni limitate in questo progetto, in particolare, solo autorizzazioni per utilizzare la VPC.

Autorizzazioni GCP richieste

Questa sezione contiene l’elenco completo delle autorizzazioni GCP. Per il corretto funzionamento della funzionalità, utilizzare il set completo di autorizzazioni indicato nella sezione.

Nota:

GCP introdurrà modifiche al comportamento predefinito di Cloud Build Services e all’utilizzo degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account del servizio Cloud Build. I tuoi progetti Google esistenti con Cloud Build API abilitata prima del 29 aprile 2024 non saranno interessati da questa modifica. Tuttavia, se si desidera mantenere il comportamento attuale del Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione del vincolo prima di abilitare l’API. Se imposti i nuovi criteri dell’organizzazione, puoi comunque seguire le autorizzazioni esistenti in questa sezione e gli elementi contrassegnati con prima della modifica dell’account del servizio Cloud Build. In caso contrario, seguire le autorizzazioni e gli elementi esistenti contrassegnati con dopo la modifica dell’account del servizio Cloud Build.

Creazione di una connessione host

• Autorizzazioni minime richieste per l’account Citrix Cloud Service nel progetto di provisioning:

     compute.instanceTemplates.list
     compute.instances.list
     compute.networks.list
     compute.projects.get
     compute.regions.list
     compute.subnetworks.list
     compute.zones.list
     resourcemanager.projects.get
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Amministratore di calcolo
  • Utente Cloud Datastore

• Autorizzazioni aggiuntive richieste per VPC condivisa per account Citrix Cloud Service nel progetto VPC condivisa:

     compute.networks.list
     compute.subnetworks.list
     resourcemanager.projects.get
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Utente di rete di calcolo

Gestione dell’alimentazione delle VM

Autorizzazioni minime richieste per l’account Citrix Cloud Service nel progetto di provisioning in caso di cataloghi gestiti solo da energia:

  compute.instanceTemplates.list
  compute.instances.list
  compute.instances.get
  compute.instances.reset
  compute.instances.resume
  compute.instances.start
  compute.instances.stop
  compute.instances.suspend
  compute.networks.list
  compute.projects.get
  compute.regions.list
  compute.subnetworks.list
  compute.zones.list
  resourcemanager.projects.get
  compute.zoneOperations.get
<!--NeedCopy-->

I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

• Amministratore di calcolo
• Utente Cloud Datastore

Creazione, aggiornamento o eliminazione di VM

• Autorizzazioni minime richieste per l’account Citrix Cloud Service nel progetto di provisioning:

     cloudbuild.builds.create
     cloudbuild.builds.get
     cloudbuild.builds.list
     compute.acceleratorTypes.list
     compute.diskTypes.get
     compute.diskTypes.list
     compute.disks.create
     compute.disks.createSnapshot
     compute.disks.delete
     compute.disks.get
     compute.disks.list
     compute.disks.setLabels
     compute.disks.use
     compute.disks.useReadOnly
     compute.firewalls.create
     compute.firewalls.delete
     compute.firewalls.list
     compute.globalOperations.get
     compute.images.create
     compute.images.delete
     compute.images.get
     compute.images.list
     compute.images.setLabels
     compute.images.useReadOnly
     compute.instanceTemplates.create
     compute.instanceTemplates.delete
     compute.instanceTemplates.get
     compute.instanceTemplates.list
     compute.instanceTemplates.useReadOnly
     compute.instances.attachDisk
     compute.instances.create
     compute.instances.delete
     compute.instances.detachDisk
     compute.instances.get
     compute.instances.list
     compute.instances.reset
     compute.instances.resume
     compute.instances.setDeletionProtection
     compute.instances.setLabels
     compute.instances.setMetadata
     compute.instances.setServiceAccount
     compute.instances.setTags
     compute.instances.start
     compute.instances.stop
     compute.instances.suspend
     compute.machineTypes.get
     compute.machineTypes.list
     compute.networks.list
     compute.networks.updatePolicy
     compute.nodeGroups.list
     compute.nodeTemplates.get
     compute.projects.get
     compute.regions.list
     compute.snapshots.create
     compute.snapshots.delete
     compute.snapshots.list
     compute.snapshots.get
     compute.snapshots.setLabels
     compute.snapshots.useReadOnly
     compute.subnetworks.get
     compute.subnetworks.list
     compute.subnetworks.use
     compute.zoneOperations.get
     compute.zoneOperations.list
     compute.zones.get
     compute.zones.list
     iam.serviceAccounts.actAs
     resourcemanager.projects.get
     storage.buckets.create
     storage.buckets.delete
     storage.buckets.get
     storage.buckets.list
     storage.buckets.update
     storage.objects.create
     storage.objects.delete
     storage.objects.get
     storage.objects.list
     compute.networks.get
     compute.resourcePolicies.use
  
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Amministratore di calcolo
  • Amministratore di archiviazione
  • Editor di compilazione cloud
  • Utente dell’account di servizio
  • Utente Cloud Datastore

• Autorizzazioni aggiuntive richieste per VPC condivisa per account Citrix Cloud Service nel progetto VPC condivisa per creare un’unità di hosting utilizzando VPC e sottorete dal progetto VPC condivisa:

     compute.firewalls.list
     compute.networks.list
     compute.projects.get
     compute.regions.list
     compute.subnetworks.get
     compute.subnetworks.list
     compute.subnetworks.use
     compute.zones.list
     resourcemanager.projects.get
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Utente di rete di calcolo
  • Utente Cloud Datastore

• (Prima della modifica dell’account del servizio Cloud Build): autorizzazioni minime richieste per l’account del servizio Cloud Build nel progetto di provisioning richiesto dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:

• (Dopo la modifica dell’account del servizio Cloud Build): autorizzazioni minime richieste per l’account del servizio Cloud Compute nel progetto di provisioning richiesto dal servizio Google Cloud Compute quando si scarica il disco di istruzioni di preparazione su MCS:

     compute.disks.create
     compute.disks.delete
     compute.disks.get
     compute.disks.list
     compute.disks.setLabels
     compute.disks.use
     compute.disks.useReadOnly
     compute.images.get
     compute.images.list
     compute.images.useReadOnly
     compute.instances.create
     compute.instances.delete
     compute.instances.get
     compute.instances.getSerialPortOutput
     compute.instances.list
     compute.instances.setLabels
     compute.instances.setMetadata
     compute.instances.setServiceAccount
     compute.machineTypes.list
     compute.networks.get
     compute.networks.list
     compute.projects.get
     compute.subnetworks.list
     compute.subnetworks.use
     compute.subnetworks.useExternalIp
     compute.zoneOperations.get
     compute.zones.list
     iam.serviceAccounts.actAs
     logging.logEntries.create
     pubsub.topics.publish
     resourcemanager.projects.get
     source.repos.get
     source.repos.list
     storage.buckets.create
     storage.buckets.get
     storage.buckets.list
     storage.objects.create
     storage.objects.delete
     storage.objects.get
     storage.objects.list
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Account del servizio Cloud Build (dopo la modifica dell’account del servizio Cloud Build, diventa un account del servizio Cloud Compute)
  • Amministratore istanza di calcolo
  • Utente dell’account di servizio

• Autorizzazioni minime richieste per l’account del servizio Cloud Compute nel progetto di provisioning richiesto dal servizio Google Cloud Build durante il download del disco di istruzioni di preparazione su MCS:

     resourcemanager.projects.get
     storage.objects.create
     storage.objects.get
     storage.objects.list
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Utente di rete di calcolo
  • Utente dell’account di archiviazione
  • Utente Cloud Datastore
• (Prima della modifica dell’account del servizio Cloud Build): autorizzazioni aggiuntive richieste per VPC condivisa per l’account del servizio Cloud Build nel progetto di provisioning richiesto dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:

• (Dopo la modifica dell’account del servizio Cloud Build): autorizzazioni aggiuntive richieste per VPC condivisa per l’account del servizio Cloud Compute nel progetto di provisioning richiesto dal servizio Google Cloud Compute quando si scarica il disco di istruzioni di preparazione su MCS:

     compute.firewalls.list
     compute.networks.list
     compute.subnetworks.list
     compute.subnetworks.use
     resourcemanager.projects.get
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Utente di rete di calcolo
  • Utente dell’account di archiviazione
  • Utente Cloud Datastore

• Autorizzazioni aggiuntive richieste per Cloud Key Management Service (KMS) per Citrix Cloud Service Account nel progetto di provisioning:

     cloudkms.cryptoKeys.get
     cloudkms.cryptoKeys.list
     cloudkms.keyRings.get
     cloudkms.keyRings.list
   <!--NeedCopy-->
  

  I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:

  • Calcola il visualizzatore KMS

Autorizzazioni generali

Di seguito sono riportate le autorizzazioni per l’account Citrix Cloud Service nel progetto di provisioning per tutte le funzionalità supportate in MCS. Queste autorizzazioni garantiscono la migliore compatibilità futura:

  resourcemanager.projects.get
  cloudbuild.builds.create
  cloudbuild.builds.get
  cloudbuild.builds.list
  compute.acceleratorTypes.list
  compute.diskTypes.get
  compute.diskTypes.list
  compute.disks.create
  compute.disks.createSnapshot
  compute.disks.delete
  compute.disks.get
  compute.disks.setLabels
  compute.disks.use
  compute.disks.useReadOnly
  compute.firewalls.create
  compute.firewalls.delete
  compute.firewalls.list
  compute.globalOperations.get
  compute.images.create
  compute.images.delete
  compute.images.get
  compute.images.list
  compute.images.setLabels
  compute.images.useReadOnly
  compute.instanceTemplates.create
  compute.instanceTemplates.delete
  compute.instanceTemplates.get
  compute.instanceTemplates.list
  compute.instanceTemplates.useReadOnly
  compute.instances.attachDisk
  compute.instances.create
  compute.instances.delete
  compute.instances.detachDisk
  compute.instances.get
  compute.instances.list
  compute.instances.reset
  compute.instances.resume
  compute.instances.setDeletionProtection
  compute.instances.setLabels
  compute.instances.setMetadata
  compute.instances.setTags
  compute.instances.start
  compute.instances.stop
  compute.instances.suspend
  compute.instances.update
  compute.instances.updateAccessConfig
  compute.instances.updateDisplayDevice
  compute.instances.updateSecurity
  compute.instances.updateShieldedInstanceConfig
  compute.instances.updateShieldedVmConfig
  compute.machineTypes.get
  compute.machineTypes.list
  compute.networks.list
  compute.networks.updatePolicy
  compute.nodeGroups.list
  compute.nodeTemplates.get
  compute.projects.get
  compute.regions.list
  compute.snapshots.create
  compute.snapshots.delete
  compute.snapshots.list
  compute.snapshots.get
  compute.snapshots.setLabels
  compute.snapshots.useReadOnly
  compute.subnetworks.get
  compute.subnetworks.list
  compute.subnetworks.use
  compute.subnetworks.useExternalIp
  compute.zoneOperations.get
  compute.zoneOperations.list
  compute.zones.get
  compute.zones.list
  resourcemanager.projects.get
  storage.buckets.create
  storage.buckets.delete
  storage.buckets.get
  storage.buckets.list
  storage.buckets.update
  storage.objects.create
  storage.objects.delete
  storage.objects.get
  storage.objects.list
  cloudkms.cryptoKeys.get
  cloudkms.cryptoKeys.list
  cloudkms.keyRings.get
  cloudkms.keyRings.list
  compute.disks.list
  compute.instances.setServiceAccount
  compute.networks.get
  compute.networks.use
  compute.networks.useExternalIp
  iam.serviceAccounts.actAs
  compute.resourcePolicies.use
<!--NeedCopy-->

Ulteriori informazioni

• Collegamenti e risorse
• Creare cataloghi di macchine