Ambienti Google Cloud
Citrix Virtual Apps and Desktops consente di effettuare il provisioning delle macchine su Google Cloud e gestirle. Questo articolo illustra l’utilizzo di Machine Creation Services (MCS) per il provisioning di macchine virtuali nella distribuzione del servizio Citrix Virtual Apps o Citrix Virtual Desktops.
Requisiti
- Account Citrix Cloud. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
- Sottoscrizione a Citrix DaaS. Per ulteriori informazioni, consultare Per iniziare.
- Un progetto Google Cloud. Il progetto memorizza tutte le risorse di elaborazione associate al catalogo delle macchine. Può essere un progetto esistente o nuovo.
- Abilitare quattro API nel progetto Google Cloud. Per i dettagli, consultare Abilitare le API di Google Cloud.
- Account del servizio Google Cloud. L’account del servizio si autentica su Google Cloud per consentire l’accesso al progetto. Per informazioni dettagliate, vedere Configurare e aggiornare gli account di servizio.
- Abilitare l’accesso privato di Google. Per i dettagli, consultare Abilitare l’accesso privato di Google.
Abilitare le API di Google Cloud
Per utilizzare la funzionalità Google Cloud tramite l’interfaccia Full Configuration (Configurazione completa) di Citrix Virtual Apps and Desktops, abilitare queste API nel progetto Google Cloud:
- API di Compute Engine
- API di Cloud Resource Manager
- API di Gestione delle identità e degli accessi (IAM)
- API Cloud Build
- Cloud Key Management Service (KMS)
Dalla console di Google Cloud, completare questi passaggi:
-
Nel menu in alto a sinistra, selezionare API e servizi > Dashboard.
-
Nella schermata Dashboard, assicurarsi che l’API Compute Engine sia abilitata. In caso contrario, attenersi alla seguente procedura:
-
Andare ad API e servizi > Libreria.
-
Nella casella di ricerca, digitare Compute Engine.
-
Dai risultati della ricerca, selezionare Compute Engine API (API Compute Engine).
-
Nella pagina Compute Engine API (API Compute Engine), selezionare Abilita.
-
-
Abilitare l’API Cloud Resource Manager.
-
Andare ad API e servizi > Libreria.
-
Nella casella di ricerca, digitare Cloud Resource Manager.
-
Dai risultati della ricerca, selezionare Cloud Resource Manager API (API Cloud Resource Manager).
-
Nella pagina Cloud Resource Manager API (API Cloud Resource Manager), selezionare Abilita. Viene visualizzato lo stato dell’API.
-
-
Allo stesso modo, abilitare Identity and Access Management (IAM) API (API Gestione dell’identità e degli accessi [IAM]) e Cloud Build API (API Cloud Build).
È anche possibile utilizzare Google Cloud Shell per abilitare le API. A questo scopo:
- Aprire la Google Console e caricare Cloud Shell.
-
Eseguire i seguenti quattro comandi in Cloud Shell:
- gcloud services enable compute.googleapis.com
- gcloud services enable cloudresourcemanager.googleapis.com
- gcloud services enable iam.googleapis.com
- gcloud services enable cloudbuild.googleapis.com
- Fare clic su Authorize se richiesto da Cloud Shell.
Configurare e aggiornare gli account di servizio
Nota:
GCP introdurrà modifiche del comportamento predefinito di Cloud Build Service e dell’uso degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account di servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si intende ottenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API Cloud Build. Di conseguenza, il contenuto che segue è diviso in due: prima del 29 aprile 2024 e dopo il 29 aprile 2024. Se si imposta il nuovo criterio dell’organizzazione, seguire la sezione Prima del 29 aprile 2024.
Prima del 29 aprile 2024
Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:
-
Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio esegue l’autenticazione su Google Cloud utilizzando una chiave generata da Google Cloud.
È necessario creare questo account di servizio manualmente come indicato qui. Per ulteriori informazioni, vedere Creare un account Citrix Cloud Service.
È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Account del servizio Cloud Build: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud). Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministratore > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google.
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild. Ad esempio,
<project-id>@cloudbuild.gserviceaccount.com
Verificare se all’account di servizio sono stati assegnati i ruoli che seguono. Se è necessario aggiungere ruoli, seguire i passaggi descritti in Aggiungere ruoli all’account di servizio Cloud Build.
- Account del servizio Cloud Build
- Amministratore istanze Compute
- Utente account di servizio
-
Account di servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un ruolo di Amministratore archiviazione che richiede le seguenti autorizzazioni:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com
.
Creare un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:
- Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
- Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
- Nella pagina Crea account di servizio, immettere le informazioni richieste e quindi selezionare CREA E CONTINUA.
-
Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.
Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:
- Amministratore Compute
- Amministratore archiviazione
- Editor Cloud Build
- Utente account di servizio
- Utente di Cloud Datastore
- Operatore crittografico Cloud KMS
L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Fare clic su CONTINUE (Continua).
- Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
- Fare clic su DONE (Fine).
- Accedere alla console principale di IAM.
- Identificare l’account di servizio creato.
- Confermare che i ruoli sono stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tendere in considerazione quanto segue:
- I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
- Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.
Chiave dell’account Citrix Cloud Service
La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration di Citrix non può analizzarla.
Per creare una chiave dell’account di servizio, accedere a IAM e Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Accertarsi di aver selezionato selezionare JSON come tipo di chiave.
Suggerimento:
Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiungere ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.
Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
- Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).
Aggiungere ruoli all’account di servizio Cloud Build
Per aggiungere ruoli all’account di servizio Cloud Build:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM, individuare l’account di servizio Cloud Build, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild.
Ad esempio,
<project-id>@cloudbuild.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli.
Dopo il 29 aprile 2024
Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:
-
Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio esegue l’autenticazione su Google Cloud utilizzando una chiave generata da Google Cloud.
È necessario creare questo account di servizio manualmente.
È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Account del servizio Cloud Compute: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud). Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministratore > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Storage Admin che richiede le seguenti autorizzazioni:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio,
<project-id>-compute@developer.gserviceaccount.com.
Verificare se all’account di servizio sono stati assegnati i ruoli che seguono.
- Account del servizio Cloud Build
- Amministratore istanze Compute
- Utente account di servizio
Creare un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:
- Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
- Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
- Nella pagina Crea account di servizio, immettere le informazioni richieste e quindi selezionare CREA E CONTINUA.
-
Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.
Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:
- Amministratore Compute
- Amministratore archiviazione
- Editor Cloud Build
- Utente account di servizio
- Utente di Cloud Datastore
- Operatore crittografico Cloud KMS
L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Fare clic su CONTINUE (Continua).
- Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
- Fare clic su DONE (Fine).
- Accedere alla console principale di IAM.
- Identificare l’account di servizio creato.
- Confermare che i ruoli sono stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tendere in considerazione quanto segue:
- I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
- Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.
Chiave dell’account Citrix Cloud Service
La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration di Citrix non può analizzarla.
Per creare una chiave dell’account di servizio, accedere a IAM e Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Accertarsi di aver selezionato selezionare JSON come tipo di chiave.
Suggerimento:
Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiungere ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.
Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
- Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).
Aggiungere ruoli all’account di servizio Cloud Compute
Per aggiungere ruoli all’account di servizio Cloud Compute:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM, individuare l’account di servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola compute.
Ad esempio,
<project-id>-compute@developer.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli.
Permessi di archiviazione e gestione dei bucket
Citrix DaaS migliora il processo di segnalazione degli errori di compilazione del cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters}
in cui i servizi Google Cloud acquisiscono le informazioni dei log di compilazione. In questo bucket è impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione abbia le autorizzazioni di Google Cloud impostate su storage.buckets.update
. Se l’account del servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.
Abilitare l’accesso privato a Google
Quando una macchina virtuale non ha un indirizzo IP esterno assegnato alla relativa interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la macchina virtuale si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.
Nota:
Se l’accesso privato a Google è abilitato, tutte le macchine virtuali con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.
Per assicurare che una macchina virtuale nella subnet possa accedere alle API Google senza un indirizzo IP pubblico per il provisioning MCS:
- In Google Cloud, accedere alla configurazione della rete VPC.
- Nella schermata dei dettagli della subnet, attivare Private Google access (Accesso privato a Google).
Per ulteriori informazioni, consultare Configurazione dell’accesso privato a Google.
Importante:
Se la rete è configurata per impedire l’accesso delle macchine virtuali a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la macchina virtuale.
Aggiungere una connessione
Seguire le indicazioni fornite in Creare una connessione e risorse. La seguente descrizione guida l’utente nella configurazione di una connessione di hosting:
-
Da Manage > Configuration (Gestisci > Configurazione), selezionare Hosting nel riquadro di sinistra.
-
Selezionare Add Connections and Resources (Aggiungi connessioni e risorse) nella barra delle azioni.
-
Nella pagina Connection (Connessione), selezionare Create a new Connection (Crea una nuova connessione) e Citrix provisioning tools (Strumenti di provisioning Citrix), quindi selezionare Next (Avanti).
- Tipo di connessione. Selezionare Google Cloud dal menu.
- Nome connessione. Digitare un nome per la connessione.
-
Nella pagina Region (Regione), selezionare un nome di progetto dal menu, selezionare una regione contenente le risorse che si desidera utilizzare, quindi selezionare Next (Avanti).
-
Nella pagina Network (Rete) digitare un nome per le risorse, selezionare una rete virtuale dal menu, selezionare un sottoinsieme e quindi selezionare Next (Avanti). Il nome della risorsa aiuta a identificare la regione e la combinazione di rete. Le reti virtuali con il suffisso (Shared) (Condivisa) aggiunto al loro nome rappresentano i VPC condivisi. Se si configura un ruolo IAM a livello di subnet per un VPC condiviso, nell’elenco delle subnet vengono visualizzate solo le subnet specifiche del VPC condiviso.
Nota:
- Il nome della risorsa può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )
.
- Il nome della risorsa può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri
-
Nella pagina Summary (Riepilogo), confermare le informazioni e quindi selezionare Finish (Fine) per uscire dalla finestra Add Connection and Resources (Aggiungi connessione e risorse).
Dopo aver creato la connessione e le risorse, vengono elencate la connessione e le risorse create. Per configurare la connessione, selezionare la connessione e quindi selezionare l’opzione applicabile nella barra delle azioni.
Allo stesso modo, è possibile eliminare, rinominare o testare le risorse create con la connessione. A tale scopo, selezionare la risorsa sotto la connessione e quindi selezionare l’opzione applicabile nella barra delle azioni.
Preparare un’istanza di macchina virtuale master e un disco persistente
Suggerimento:
“Disco persistente” è il termine Google Cloud per il disco virtuale.
Per preparare l’istanza della macchina virtuale master, creare e configurare un’istanza di macchina virtuale con proprietà che corrispondono alla configurazione desiderata per le istanze VDA clonate nel catalogo delle macchine pianificato. La configurazione non si applica solo alle dimensioni e al tipo di istanza. Include anche attributi di istanza come metadati, tag, assegnazioni GPU, tag di rete e proprietà degli account di servizio.
Nell’ambito del processo di mastering, MCS utilizza l’istanza della macchina virtuale master per creare il modello di istanza di Google Cloud. Il modello di istanza viene quindi utilizzato per creare le istanze VDA clonate che costituiscono il catalogo delle macchine. Le istanze clonate ereditano le proprietà (ad eccezione delle proprietà del VPC, della subnet e del disco persistente) dell’istanza della macchina virtuale master da cui è stato creato il modello di istanza.
Dopo aver configurato le proprietà dell’istanza della macchina virtuale master in base alle proprie specifiche, avviare l’istanza e quindi preparare il disco persistente per l’istanza.
Si consiglia di creare manualmente una snapshot del disco. Ciò consente di utilizzare una convenzione di denominazione significativa per tenere traccia delle versioni, offre più opzioni per gestire le versioni precedenti dell’immagine master e consente di risparmiare tempo per la creazione del catalogo delle macchine. Se non si crea una snapshot personalizzata, MCS crea un’istantanea temporanea (che viene eliminata al termine del processo di provisioning).
Creare un catalogo di macchine
Nota:
Creare le risorse prima di creare un catalogo delle macchine. Utilizzare le convenzioni di denominazione stabilite da Google Cloud durante la configurazione dei cataloghi delle macchine. Per maggiori informazioni, consultare le Linee guida per la denominazione di bucket e oggetti.
Seguire le indicazioni in Creare cataloghi delle macchine. La seguente descrizione vale esclusivamente per i cataloghi di Google Cloud.
-
Accedere a Web Studio e selezionare Machine Catalogs nel riquadro a sinistra.
-
Selezionare Create Machine Catalog (Crea catalogo delle macchine) nella barra delle azioni.
-
Nella pagina Operating System (Sistema operativo), selezionare Multi-session OS (Sistema operativo multisessione) e quindi selezionare Next (Avanti).
- Citrix Virtual Apps and Desktops supporta anche il sistema operativo a sessione singola.
-
Nella pagina Machine Management (Gestione macchine), selezionare le opzioni Machines that are power managed (Macchine con gestione dell’alimentazione) e Citrix Machine Creation Services (Servizi di creazione macchine Citrix) e fare clic su Next (Avanti). Se ci sono più risorse, selezionarne una dal menu.
-
Nella pagina Master Image (Immagine master), selezionare una macchina virtuale e il livello funzionale minimo per il catalogo, quindi selezionare Next (Avanti). Se si desidera utilizzare la funzionalità single-tenancy, assicurarsi di selezionare un’immagine la cui proprietà del gruppo di nodi sia configurata correttamente. Vedere Abilitare la selezione delle zone.
-
Nella pagina Storage Types (Tipi di archiviazione), selezionare il tipo di archiviazione utilizzato per contenere il sistema operativo per questo catalogo delle macchine. Ognuna delle seguenti opzioni di archiviazione ha caratteristiche di prezzo e prestazioni diverse (un disco di identità viene sempre creato utilizzando il disco persistente standard della zona).
- Disco persistente standard
- Disco persistente bilanciato
- Disco persistente SSD
Per ulteriori informazioni sulle opzioni di archiviazione di Google Cloud, vedere https://cloud.google.com/compute/docs/disks/.
-
Nella pagina Virtual Machines (Macchine virtuali), specificare quante macchine virtuali si desidera creare, visualizzare le specifiche dettagliate delle macchine virtuali e quindi selezionare Next (Avanti). Se si utilizzano i gruppi di nodi single-tenant per i cataloghi delle macchine, assicurarsi di selezionare solo le zone in cui sono disponibili i nodi single-tenant riservati. Vedere Abilitare la selezione delle zone.
-
Nella pagina Computer Accounts (Account computer), selezionare un account di Active Directory e quindi selezionare Next (Avanti).
- Se si seleziona Create new Active Directory accounts (Crea nuovi account di Active Directory), selezionare un dominio e quindi immettere la sequenza di caratteri che rappresenta lo schema di denominazione per gli account delle macchine virtuali di cui è stato eseguito il provisioning creati in Active Directory. Lo schema di denominazione degli account può contenere da 1 a 64 caratteri e non può contenere spazi vuoti, caratteri non ASCII o caratteri speciali.
- Se si seleziona Use existing Active Directory accounts (Usa account Active Directory esistenti), selezionare Browse (Sfoglia) per passare agli account delle macchine di Active Directory esistenti per le macchine selezionate.
-
Nella pagina Domain Credentials (Credenziali di dominio), selezionare Enter credentials (Immetti le credenziali), digitare il nome utente e la password, selezionare Save (Salva), quindi selezionare Next (Avanti).
- La credenziale digitata deve disporre delle autorizzazioni per eseguire le operazioni relative agli account di Active Directory.
-
Nella pagina Summary (Riepilogo), confermare le informazioni, specificare un nome per il catalogo e quindi selezionare Finish (Fine).
Nota:
Il nome del catalogo può contenere da 1 a 39 caratteri e non può contenere solo spazi vuoti o caratteri
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )
.
Il completamento della creazione del catalogo delle macchine potrebbe richiedere molto tempo. Per verificare che le macchine vengano create nei gruppi di nodi di destinazione, accedere alla console di Google Cloud.
Creare un catalogo di macchine utilizzando un profilo macchina
Quando si crea un catalogo per il provisioning delle macchine utilizzando Machine Creation Services (MCS), è possibile utilizzare un profilo macchina per acquisire le proprietà hardware da una macchina virtuale e applicarle alle macchine virtuali di cui è stato appena effettuato il provisioning nel catalogo. Quando il parametro MachineProfile
non viene utilizzato, le proprietà hardware vengono acquisite dalla VM o dalla snapshot dell’immagine master.
Alcune proprietà vengono definite in modo esplicito; ad esempio StorageType
, CatalogZones
e CryptoKeyIs
vengono ignorate dal profilo del computer.
- Per creare un catalogo con un profilo macchina, utilizzare il comando
New-ProvScheme
. Ad esempio,New-ProvScheme –MachineProfile "path to VM"
. Se non si specifica il parametroMachineProfile
, le proprietà hardware vengono acquisite dalla VM dell’immagine master. - Per aggiornare un catalogo con un nuovo profilo macchina, utilizzare il comando
Set-ProvScheme
. Ad esempio,Set-ProvScheme –MachineProfile "path to new VM"
. Questo comando non modifica il profilo macchina delle VM esistenti nel catalogo. Solo le VM appena create aggiunte al catalogo hanno il nuovo profilo macchina. - È anche possibile aggiornare l’immagine master, tuttavia, quando si aggiorna l’immagine master e le proprietà hardware non vengono aggiornate. Se si desidera aggiornare le proprietà hardware, è necessario aggiornare il profilo della macchina utilizzando il comando
Set-ProvScheme
. Queste modifiche si applicheranno solo alle nuove macchine del catalogo. Per aggiornare le proprietà hardware di una macchina esistente, è possibile utilizzare il comandoRequest-ProvVMUpdate
.
Creare un catalogo di macchine con il profilo della macchina come modello di istanza
È possibile selezionare un modello di istanza GCP come input per il profilo della macchina. I modelli di istanza sono risorse leggere in GCP, quindi sono molto convenienti.
Per creare un nuovo catalogo di macchine con il profilo della macchina come modello di istanza utilizzando i comandi PowerShell:
- Aprire una finestra di PowerShell.
- Eseguire il comando
asnp citrix*
per caricare i moduli PowerShell specifici di Citrix. -
Trovare un modello di istanza nel proprio progetto GCP usando il seguente comando:
cd XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder <!--NeedCopy-->
-
Creare un nuovo catalogo di macchine con il profilo della macchina come modello di istanza utilizzando il comando NewProvScheme:
New-ProvScheme -ProvisioningSchemeName <CatalogName> -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM XDHyp:\HostingUnits<HostingUnitName> \Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder\mytemplate.template <!--NeedCopy-->
Per ulteriori informazioni sul comando New-ProvScheme, vedere https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.
- Completare la creazione del catalogo delle macchine utilizzando i comandi PowerShell. Per informazioni su come creare un catalogo utilizzando l’SDK Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.
Per modificare il profilo macchine di un catalogo di macchine esistente in modo che diventi un modello di istanza:
- Aprire una finestra di PowerShell.
- Eseguire il comando
asnp citrix*
per caricare i moduli PowerShell specifici di Citrix. -
Eseguire il seguente comando:
Set-ProvScheme -ProvisioningSchemeName <CatalogName> -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder<TemplateName>.template <!--NeedCopy-->
Per informazioni sul comando Set-ProvScheme, vedere https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.
Gestire un catalogo di macchine
Per aggiungere macchine a un catalogo, aggiornare le macchine ed eseguire il rollback di un aggiornamento, vedere Gestire i cataloghi delle macchine.
Gestione dell’alimentazione
Citrix DaaS consente la gestione dell’alimentazione delle macchine Google Cloud. Utilizzare il nodo Search (Cerca) nel riquadro a sinistra per individuare la macchina di cui si desidera gestire l’alimentazione. Sono disponibili le seguenti azioni per l’alimentazione:
- Delete (Elimina)
- Start (Avvia)
- Restart (Riavvia)
- Force Restart (Forza riavvio)
- Shut Down (Arresta)
- Force Shutdown (Imponi arresto)
- Add to Delivery Group (Aggiungi al gruppo di consegna)
- Manage Tags (Gestisci tag)
- Turn On Maintenance Mode (Attiva la modalità di manutenzione)
È anche possibile gestire l’alimentazione delle macchine Google Cloud utilizzando Autoscale (Scalabilità automatica). A tale scopo, aggiungere le macchine Google Cloud a un gruppo di consegna e abilitare la scalabilità automatica per tale gruppo. Per ulteriori informazioni sulla scalabilità automatica, consultare Scalabilità automatica.
Aggiornare i computer sottoposti a provisioning utilizzando PowerShell
Il comando Set-ProvScheme
modifica lo schema di provisioning. Tuttavia, non influisce sulle macchine esistenti. Utilizzando il comando Request-ProvVMUpdate
di PowerShell, è ora possibile applicare lo schema di provisioning corrente a una macchina o a un set di macchine esistente persistente o non persistente. Attualmente, in GCP, l’aggiornamento delle proprietà supportato da questa funzionalità è il profilo del computer.
È possibile aggiornare:
- Una singola macchina virtuale
- Un elenco di macchine virtuali specifiche o di tutte le macchine virtuali esistenti associate a un ID di schema di provisioning
- Un elenco di macchine virtuali specifiche o di tutte le macchine virtuali esistenti associate a un nome di uno schema di provisioning
Per aggiornare le macchine virtuali esistenti:
-
Verificare la configurazione delle macchine esistenti. Ad esempio,
Get-ProvScheme | select ProvisioningSchemeName, ProvisioningSchemeVersion <!--NeedCopy-->
-
Aggiornare lo schema di provisioning. Ad esempio,
`Set-ProvScheme –ProvisioningSchemeName "my-catalog" –MachineProfile "XDHyp:\HostingUnits<hosting-unit>\machineprofileinstance.vm" <!--NeedCopy-->
-
Verifica se la proprietà corrente della VM corrisponde allo schema di provisioning corrente e se c’è qualche azione di aggiornamento in sospeso sulla VM. Ad esempio,
Get-ProvVM | select VMName, ProvisioningSchemeUpdateRequested, ProvisioningSchemeVersion <!--NeedCopy-->
È anche possibile trovare macchine con una versione particolare. Ad esempio,
Get-ProvVM -Filter "ProvisioningSchemeVersion -eq 1" | select VMName, ProvisioningSchemeVersion <!--NeedCopy-->
- Aggiornare le macchine esistenti.
-
Per aggiornare tutte le macchine esistenti:
Request-ProvVMUpdate –ProvisioningSchemeName "my-catalog" <!--NeedCopy-->
-
Per aggiornare un elenco di macchine specifiche:
Request-ProvVMUpdate -ProvisioningSchemeName "my-catalog" -VMName "vm1","vm2" <!--NeedCopy-->
-
Per aggiornare le macchine in base all’output di
Get-ProvVM
:Get-ProvVM -ProvisioningSchemeName "my-catalog" | Request-ProvVMUpdate <!--NeedCopy-->
-
-
Trovare i computer con un aggiornamento pianificato. Ad esempio,
Get-ProvVM -Filter "ProvisioningSchemeUpdateAfter" | select VMName, ProvisioningSchemeUpdateAfter <!--NeedCopy-->
-
Riavviare le macchine. Alla successiva accensione, le modifiche delle proprietà vengono applicate ai computer esistenti. È possibile verificare lo stato aggiornato utilizzando il seguente comando:
Get-ProvVM | select VMName, ProvisioningSchemeUpdateRequested, ProvisioningSchemeVersion <!--NeedCopy-->
Proteggersi dall’eliminazione accidentale di macchine
Citrix DaaS consente di proteggere le risorse MCS su Google Cloud per impedirne l’eliminazione accidentale. Configurare la macchina virtuale di cui è stato eseguito il provisioning impostando il flag deletionProtection
su TRUE.
Per impostazione predefinita, le macchine virtuali di cui è stato eseguito il provisioning tramite MCS o il plug-in Google Cloud vengono create con InstanceProtection abilitato. L’implementazione è applicabile sia ai cataloghi persistenti che a quelli non persistenti. I cataloghi non persistenti vengono aggiornati quando le istanze vengono ricreate dal modello. Per le macchine persistenti esistenti, è possibile impostare il flag nella console di Google Cloud. Per ulteriori informazioni sull’impostazione del flag, consultare il sito della documentazione di Google. Le nuove macchine aggiunte ai cataloghi persistenti vengono create con deletionProtection
abilitato.
Se si tenta di eliminare un’istanza di una macchina virtuale per la quale è stato impostato il flag deletionProtection
, la richiesta non riesce. Tuttavia, se viene concessa l’autorizzazione compute.instances.setDeletionProtection
o il ruolo IAM Compute Admin, è possibile reimpostare il flag per consentire l’eliminazione della risorsa.
Importare macchine di Google Cloud create manualmente
È possibile creare una connessione a Google Cloud e quindi creare un catalogo contenente macchine Google Cloud. Quindi, è possibile spegnere e riaccendere manualmente le macchine Google Cloud tramite Citrix DaaS. Con questa funzionalità, è possibile:
- Importare macchine Google Cloud con sistema operativo multisessione create manualmente in un catalogo delle macchine di Citrix Virtual Apps and Desktops.
- Rimuovere macchine Google Cloud con sistema operativo multisessione create manualmente da un catalogo Citrix Virtual Apps and Desktops.
- Utilizzare le funzionalità esistenti di gestione dell’alimentazione di Citrix Virtual Apps and Desktops per gestire l’alimentazione delle macchine Google Cloud con sistema operativo multisessione Windows. Ad esempio, impostare un programma di riavvio per tali macchine.
Questa funzionalità non richiede modifiche a un flusso di lavoro di provisioning esistente di Citrix Virtual Apps and Desktops, né la rimozione di alcuna funzionalità esistente. Si consiglia di utilizzare MCS per eseguire il provisioning delle macchine nell’interfaccia Full Configuration (Configurazione completa) in Citrix DaaS anziché importare le macchine Google Cloud create manualmente.
Cloud privato virtuale condiviso
I cloud privati virtuali (VPC) condivisi comprendono un progetto host, da cui vengono rese disponibili le subnet condivise, e uno o più progetti di servizio che utilizzano la risorsa. I VPC condivisi sono desiderabili per installazioni di grandi dimensioni, perché forniscono controllo, utilizzo e amministrazione centralizzati delle risorse aziendali condivise di Google Cloud. Per ulteriori informazioni, consultare il sito della documentazione di Google.
Con questa funzionalità, Machine Creation Services (MCS) supporta il provisioning e la gestione dei cataloghi delle macchine distribuiti su VPC condivisi. Questo supporto, che dal punto di vista funzionale è equivalente al supporto attualmente fornito nei VPC locali, si differenzia sotto due aspetti:
- È necessario concedere autorizzazioni aggiuntive all’account di servizio utilizzato per creare la connessione host. Questo processo consente a MCS di accedere e utilizzare le risorse VPC condivise.
- È necessario creare due regole firewall, una per l’ingresso e una per l’uscita. Queste regole firewall vengono utilizzate durante il processo di mastering delle immagini.
Sono necessarie nuove autorizzazioni
Per la creazione della connessione host è necessario un account di servizio Google Cloud con autorizzazioni specifiche. Queste autorizzazioni aggiuntive devono essere concesse a tutti gli account di servizio utilizzati per creare connessioni host basate su VPC condivisi.
Suggerimento:
Queste autorizzazioni aggiuntive non sono nuove in Citrix DaaS. Sono utilizzate per facilitare l’implementazione di VPC locali. Con i VPC condivisi, queste autorizzazioni aggiuntive consentono l’accesso ad altre risorse VPC condivise.
È necessario concedere un massimo di quattro autorizzazioni aggiuntive all’account di servizio associato alla connessione host per supportare i VPC condivisi:
- compute.firewalls.list: questa autorizzazione è obbligatoria. Consente a MCS di recuperare l’elenco delle regole firewall presenti nel VPC condiviso.
- compute.networks.list: questa autorizzazione è obbligatoria. Consente a MCS di identificare le reti VPC condivise disponibili per l’account di servizio.
- compute.subnetworks.list: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. Consente a MCS di identificare le subnet all’interno dei VPC condivisi visibili. Questa autorizzazione è già richiesta quando si utilizzano VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.
- compute.subnetworks.use: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. È necessario utilizzare le risorse di subnet nei cataloghi delle macchine di cui è stato eseguito il provisioning. Questa autorizzazione è già necessaria per l’utilizzo di VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.
Quando si utilizzano queste autorizzazioni, tenere presente che esistono diversi approcci in base al tipo di autorizzazione utilizzato per creare il catalogo delle macchine:
- Autorizzazione a livello di progetto:
- Consente l’accesso a tutti i VPC condivisi all’interno del progetto host.
- Richiede che le autorizzazioni 3 e 4 vengano assegnate all’account di servizio.
- Autorizzazione a livello di subnet:
- Consente l’accesso a subnet specifiche all’interno del VPC condiviso.
- Le autorizzazioni 3 e 4 sono intrinseche all’assegnazione a livello di subnet e quindi non devono essere assegnate direttamente all’account di servizio.
Selezionare l’approccio più adatto alle esigenze e agli standard di sicurezza della propria azienda.
Suggerimento:
Per ulteriori informazioni sulle differenze tra le autorizzazioni a livello di progetto e di subnet, consultare la documentazione di Google Cloud.
Regole firewall
Durante la preparazione di un catalogo delle macchine, viene preparata un’immagine della macchina che funge da disco di sistema dell’immagine master per il catalogo. Quando si verifica questo processo, il disco viene temporaneamente collegato a una macchina virtuale. Questa macchina virtuale deve essere eseguita in un ambiente isolato che impedisca tutto il traffico di rete in entrata e in uscita. Ciò si ottiene attraverso una coppia di regole firewall “nega tutto”, una per il traffico in ingresso e una per il traffico in uscita. Quando si utilizzano i VCP locali di Google Cloud, MCS crea questo firewall nella rete locale e lo applica alla macchina per il mastering. Al termine del mastering, la regola firewall viene rimossa dall’immagine.
Si consiglia di ridurre al minimo il numero di nuove autorizzazioni necessarie per utilizzare i VPC condivisi. I VPC condivisi sono risorse aziendali di livello superiore e in genere dispongono di protocolli di sicurezza più rigidi. Per questo motivo, è necessario creare una coppia di regole firewall nel progetto host sulle risorse VPC condivise, una per l’ingresso e una per l’uscita. Assegnare a tali regole la massima priorità. Applicare un nuovo tag di destinazione a ciascuna di queste regole, utilizzando il valore seguente:
citrix-provisioning-quarantine-firewall
Quando MCS crea o aggiorna un catalogo delle macchine, cerca le regole del firewall contenenti questo tag di destinazione. Quindi esamina le regole per verificarne la correttezza e le applica alla macchina utilizzata per preparare l’immagine master per il catalogo. Se le regole firewall non vengono trovate o le regole vengono trovate ma non sono corrette (o le relative priorità non sono corrette), viene visualizzato un messaggio simile al seguente:
"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."
Configurazione del VPC condiviso
Prima di aggiungere il VPC condiviso come connessione host nell’interfaccia Full Configuration (Configurazione completa) in Citrix DaaS, completare i seguenti passaggi per aggiungere account di servizio dal progetto in cui si intende effettuare il provisioning:
- Creare un ruolo IAM.
- Aggiungere l’account di servizio utilizzato per creare una connessione host CVAD al ruolo IAM del progetto host del VPC condiviso.
- Aggiungere l’account di servizio Cloud Build dal progetto di cui si intende eseguire il provisioning al ruolo IAM del progetto host del VPC condiviso.
- Creare regole firewall.
Creare un ruolo IAM
Determinare il livello di accesso del ruolo: accesso a livello di progetto o un modello più limitato utilizzando l’accesso a livello di subnet.
Accesso a livello di progetto per il ruolo IAM. Per il ruolo IAM a livello di progetto, includere le seguenti autorizzazioni:
- compute.firewalls.list
- compute.networks.list
- compute.subnetworks.list
- compute.subnetworks.use
Per creare un ruolo IAM a livello di progetto:
- Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
- Nella pagina Ruoli, selezionare CREA RUOLO.
- Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
- Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione e quindi selezionare AGGIUNGI.
- Selezionare CREA.
Ruolo IAM a livello di subnet. Questo ruolo omette l’aggiunta delle autorizzazioni compute.subnetworks.list
e compute.subnetworks.use
dopo aver selezionato CREA RUOLO. Per questo livello di accesso IAM, le autorizzazioni compute.firewalls.list
e compute.networks.list
devono essere applicate al nuovo ruolo.
Per creare un ruolo IAM a livello di subnet:
- Nella console di Google Cloud, andare a Rete VPC > VPC condiviso. Viene visualizzata la pagina VPC condiviso, in cui sono visualizzate le subnet delle reti VPC condivise contenute nel progetto host.
- Nella pagina VPC condiviso, selezionare la subnet a cui si desidera accedere.
- Nell’angolo in alto a destra, selezionare AGGIUNGI MEMBRO per aggiungere un account di servizio.
- Nella pagina Aggiungi membri, completare questi passaggi:
- Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
- Selezionare il campo Seleziona un ruolo e quindi Utente di rete Compute.
- Selezionare SALVA.
- Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
- Nella pagina Ruoli, selezionare CREA RUOLO.
- Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
- Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione, quindi seleziona AGGIUNGI.
- Selezionare CREA.
Aggiungere un account di servizio al ruolo IAM del progetto host
Dopo aver creato un ruolo IAM, per aggiungere un account di servizio per il progetto host, procedere come segue:
- Nella console di Google Cloud, accedere al progetto host e quindi a IAM e amministrazione > IAM.
- Nella pagina IAM, selezionare AGGIUNGI per aggiungere un account di servizio.
- Nella pagina Aggiungi membri:
- Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
- Selezionare un campo ruolo, digitare il ruolo IAM creato e quindi selezionare il ruolo nel menu.
- Selezionare SALVA.
L’account di servizio è ora configurato per il progetto host.
Aggiungere l’account del servizio di compilazione cloud al VPC condiviso
Ogni sottoscrizione a Google Cloud ha un account di servizio che prende il nome dal numero ID del progetto, seguito da cloudbuild.gserviceaccount
. Ad esempio: 705794712345@cloudbuild.gserviceaccount
.
È possibile determinare qual è il numero ID del progetto per il proprio progetto selezionando Home page e Dashboard nella console di Google Cloud:
Trovare il numero del progetto sotto l’area Informazioni sul progetto dello schermo.
Eseguire i seguenti passaggi per aggiungere l’account del servizio Cloud Build al VPC condiviso:
- Nella console di Google Cloud, accedere al progetto host e quindi a IAM e amministrazione > IAM.
- Nella pagina Autorizzazioni, selezionare AGGIUNGI per aggiungere un account.
- Nella pagina Aggiungi membri, completare questi passaggi:
- Nel campo Nuovi membri, digitare il nome dell’account di servizio Cloud Build, quindi selezionare il proprio account di servizio nel menu.
- Selezionare il campo Seleziona un ruolo, digitare
Computer Network User
, quindi selezionare il ruolo nel menu. - Selezionare SALVA.
Creare regole firewall
Come parte del processo di mastering, MCS copia l’immagine della macchina selezionata e la utilizza per preparare il disco di sistema dell’immagine master per il catalogo. Durante il processo di mastering, MCS collega il disco a una macchina virtuale temporanea, che in seguito esegue gli script di preparazione. Questa macchina virtuale deve essere eseguita in un ambiente isolato che vieti tutto il traffico di rete in entrata e in uscita. Per creare un ambiente isolato, MCS richiede due regole firewall “nega tutto” (una regola di ingresso e una regola di uscita). Pertanto, creare due regole firewall nel progetto host come segue:
- Nella console di Google Cloud, andare al progetto host e quindi a Rete VPC > Firewall.
- Nella pagina Firewall, selezionare CREA REGOLA FIREWALL.
- Nella pagina Crea una regola firewall, completare quanto segue:
- Name. Digitare un nome per la regola.
- Rete. Selezionare la rete VPC condivisa a cui applicare la regola firewall in ingresso.
- Priorità. Più piccolo è il valore, maggiore è la priorità della regola. Si consiglia un valore piccolo (ad esempio, 10).
- Direzione del traffico. Selezionare In entrata.
- Azione in caso di corrispondenza. Selezionare Nega.
- Destinazioni. Utilizzare l’opzione predefinita, Tag di destinazione specificati.
-
Tag di destinazione. Digitare
citrix-provisioning-quarantine-firewall
. - Filtro di origine. Utilizzare l’opzione predefinita, Intervalli IP.
-
Intervalli IP di origine. Digitare un intervallo che corrisponda a tutto il traffico. Digitare
0.0.0.0/0
. - Protocolli e porte. Selezionare Nega tutto.
- Selezionare CREA per creare la regola.
- Ripetere i passaggi da 1 a 4 per creare un’altra regola. Per Direzione del traffico, selezionare In uscita.
Aggiungere una connessione
Aggiungere una connessione agli ambienti cloud di Google. Vedere Aggiungere una connessione.
Abilitare la selezione delle zone
Citrix Virtual Apps and Desktops supporta la selezione delle zone. Con la selezione delle zone, è possibile specificare le zone in cui si desidera creare macchine virtuali. Con la selezione delle zone, gli amministratori possono posizionare nodi single-tenant nelle zone di loro scelta. Per configurare la single-tenancy, è necessario completare quanto segue su Google Cloud:
- Prenotare un nodo single-tenant di Google Cloud
- Creare l’immagine master VDA
Prenotazione di un nodo single-tenant di Google Cloud
Per prenotare un nodo single-tenant, consultare la documentazione di Google Cloud.
Importante:
Un modello di nodo viene utilizzato per indicare le caratteristiche prestazionali del sistema riservato nel gruppo di nodi. Tali caratteristiche includono il numero di vGPU, la quantità di memoria allocata al nodo e il tipo di macchina utilizzato per le macchine create sul nodo. Per ulteriori informazioni, consultare la documentazione di Google Cloud.
Creazione dell’immagine master VDA
Per distribuire correttamente le macchine sul nodo single-tenant, è necessario eseguire ulteriori passaggi durante la creazione di un’immagine master della macchina virtuale. Le istanze delle macchine su Google Cloud hanno una proprietà chiamata etichette di affinità nodo. Le istanze utilizzate come immagini master per i cataloghi distribuiti nel nodo single-tenant richiedono un’etichetta di affinità nodo che corrisponda al nome del gruppo di nodi di destinazione. Per raggiungere questo obiettivo, tenere presente quanto segue:
- Per una nuova istanza, impostare l’etichetta nella console di Google Cloud quando si crea un’istanza. Per informazioni dettagliate, consultare Impostare un’etichetta di affinità nodo durante la creazione di un’istanza.
- Per un’istanza esistente, impostare l’etichetta usando la riga di comando gcloud. Per informazioni dettagliate, consultare Impostare un’etichetta di affinità nodo per un’istanza esistente.
Nota:
Se si intende utilizzare la single-tenancy con un VPC condiviso, consultare Cloud privato virtuale condiviso.
Impostare un’etichetta di affinità nodo durante la creazione di un’istanza
Per impostare l’etichetta di affinità nodo:
-
Nella console di Google Cloud, andare a Compute Engine > Istanze VM.
-
Nella pagina Istanze VM, selezionare Crea istanza.
-
Nella pagina Creazione istanza, digitare o configurare le informazioni richieste e quindi selezionare Gestione, sicurezza, dischi, networking, single-tenancy per aprire il pannello delle impostazioni.
-
Nella scheda Single-tenancy, selezionare Sfoglia per visualizzare i gruppi di nodi disponibili nel progetto corrente. Viene visualizzata la pagina Nodo single-tenant, che mostra un elenco dei gruppi di nodi disponibili.
-
Nella pagina Nodo single-tenant, selezionare il gruppo di nodi applicabile dall’elenco, quindi selezionare Seleziona per tornare alla scheda Single-tenancy. Il campo delle etichette di affinità nodo viene compilato con le informazioni selezionate. Questa impostazione garantisce che i cataloghi delle macchine creati dall’istanza vengano distribuiti nel gruppo di nodi selezionato.
-
Selezionare Crea per creare l’istanza.
Impostare un’etichetta di affinità nodo per un’istanza esistente
Per impostare l’etichetta di affinità nodo:
-
Nella finestra del terminale di Google Cloud Shell, utilizzare il comando gcloud compute instances per impostare un’etichetta di affinità nodo. Includere le seguenti informazioni nel comando gcloud:
-
Nome della macchina virtuale. Ad esempio, utilizzare una macchina virtuale esistente denominata
s*2019-vda-base
.* -
Nome del gruppo di nodi. Utilizzare il nome del gruppo di nodi creato in precedenza. Ad esempio,
mh-sole-tenant-node-group-1
. -
La zona in cui risiede l’istanza. Ad esempio, la macchina virtuale risiede nella zona
*us-east-1b* zone
.
Ad esempio, digitare il seguente comando nella finestra del terminale:
gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"
Per ulteriori informazioni sul comando gcloud compute instances, consultare la documentazione di Google Developer Tools all’indirizzo https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.
-
Nome della macchina virtuale. Ad esempio, utilizzare una macchina virtuale esistente denominata
-
Passare alla pagina Dettagli istanza VM dell’istanza e verificare che il campo Affinità del nodo venga compilato con l’etichetta.
Creare un catalogo di macchine
Dopo aver impostato l’etichetta di affinità nodo, configurare il catalogo delle macchine.
Anteprima: utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
È possibile utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i cataloghi MCS. Quando si utilizza questa funzionalità, si assegna il ruolo CryptoKey Encrypter/Decrypter
di Google Cloud Key Management Service all’agente del servizio Compute Engine. L’account Citrix DaaS deve disporre delle autorizzazioni corrette nel progetto in cui è memorizzata la chiave. Per ulteriori informazioni, consultare Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.
L’agente del servizio Compute Engine ha il seguente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com
. Questo formato è diverso dall’account predefinito del servizio Compute Engine.
Nota:
Questo account del servizio Compute Engine potrebbe non essere visualizzato nella schermata IAM/Autorizzazioni di Google Cloud Console. In questi casi, utilizzare il comando
gcloud
come descritto in Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.
Assegnazione delle autorizzazioni all’account Citrix DaaS
Le autorizzazioni di Google Cloud KMS possono essere configurate in vari modi. È possibile fornire autorizzazioni KMS a livello di progetto o autorizzazioni KMS a livello di risorsa. Vedere Autorizzazioni e ruoli per ulteriori informazioni.
Autorizzazioni a livello di progetto
Un’opzione è fornire all’account Citrix DaaS autorizzazioni a livello di progetto per esplorare le risorse di Cloud KMS. A tale scopo, creare un ruolo personalizzato e aggiungere le seguenti autorizzazioni:
cloudkms.keyRings.list
cloudkms.keyRings.get
cloudkms.cryptokeys.list
cloudkms.cryptokeys.get
Assegnare questo ruolo personalizzato all’account Citrix DaaS. Questo consente di sfogliare le chiavi regionali nel progetto pertinente nell’inventario.
Autorizzazioni a livello di risorsa
Per l’altra opzione, le autorizzazioni a livello di risorsa, nella console di Google Cloud selezionare la cryptoKey
utilizzata per il provisioning MCS. Aggiungere un account Citrix DaaS a un portachiavi o a una chiave utilizzata per il provisioning del catalogo.
Suggerimento:
Con questa opzione non è possibile sfogliare le chiavi regionali per il progetto nell’inventario perché l’account Citrix DaaS non dispone delle autorizzazioni elenco a livello di progetto per le risorse Cloud KMS. Tuttavia, è comunque possibile eseguire il provisioning di un catalogo utilizzando CMEK specificando l’
cryptoKeyId
nelle proprietà personalizzateProvScheme
, come descritto di seguito.
Provisioning con CMEK utilizzando le proprietà personalizzate
Quando si crea lo schema di provisioning tramite PowerShell, specificare una proprietà CryptoKeyId
in ProvScheme CustomProperties
. Ad esempio:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->
L’cryptoKeyId
deve essere specificato nel seguente formato:
projectId:location:keyRingName:cryptoKeyName
Ad esempio, se si desidera utilizzare la chiave my-example-key
nel keyring my-example-key-ring
nella regione us-east1
e nel progetto con ID my-example-project-1
, le impostazioni personalizzate ProvScheme
saranno simili a:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->
Tutti i dischi e le immagini di cui è stato eseguito il provisioning tramite MCS relativi a questo schema di provisioning utilizzano questa chiave di crittografia gestita dal cliente.
Suggerimento:
Se si utilizzano le chiavi globali, la posizione delle proprietà del cliente deve indicare
global
e non il nome della regione, che nell’esempio precedente è us-east1. Ad esempio:<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />
.
Rotazione delle chiavi gestite dal cliente
Google Cloud non supporta la rotazione delle chiavi su dischi o immagini persistenti esistenti. Una volta eseguito il provisioning di una macchina, questa viene associata alla versione della chiave in uso al momento della creazione. Tuttavia, è possibile creare una nuova versione della chiave e tale nuova chiave viene utilizzata per le macchine o le risorse di cui è stato recentemente eseguito il provisioning create quando un catalogo viene aggiornato con una nuova immagine master.
Considerazioni importanti sui keyring
I keyring non possono essere rinominati o eliminati. Inoltre, si potrebbero ricevere addebiti imprevisti quando vengono configurati. Quando si elimina o si rimuove un keyring, Google Cloud visualizza un messaggio di errore:
Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->
Suggerimento:
Per ulteriori informazioni, consultare Modificare o eliminare un keyring dalla console.
Compatibilità dell’accesso uniforme a livello di bucket
Citrix DaaS è compatibile con criteri uniformi di controllo degli accessi a livello di bucket su Google Cloud. Questa funzionalità espande l’uso del criterio IAM che concede autorizzazioni a un account di servizio per consentire la manipolazione delle risorse, inclusi i bucket di archiviazione. Con un controllo dell’accesso uniforme a livello di bucket, Citrix DaaS consente di utilizzare un elenco di controllo degli accessi (ACL) per controllare l’accesso ai bucket di archiviazione o agli oggetti memorizzati in essi. Consultare Accesso uniforme a livello di bucket per informazioni generali sull’accesso uniforme a livello di bucket di Google Cloud. Per informazioni sulla configurazione, vedere Richiedere un accesso uniforme a livello di bucket.
Google Cloud Marketplace
È possibile sfogliare e selezionare le immagini offerte da Citrix su Google Cloud Marketplace per creare cataloghi di macchine. Attualmente, MCS supporta solo il flusso di lavoro dei profili macchina per questa funzionalità.
Per cercare il prodotto Citrix VDA VM tramite Google Cloud Marketplace, accedere a https://console.cloud.google.com/marketplace.
È possibile utilizzare un’immagine personalizzata o un’immagine Citrix Ready su Google Cloud Marketplace per aggiornare l’immagine di un catalogo di macchine.
Nota:
Se il profilo della macchina non contiene informazioni sul tipo di archiviazione, il valore viene derivato da proprietà personalizzate.
Le immagini supportate da Google Cloud Marketplace sono:
- Windows 2019 a sessione singola
- Windows 2019 multisessione
- Ubuntu
Esempio di utilizzo di un’immagine pronta per Citrix come fonte per la creazione di un catalogo di macchine:
New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm
<!--NeedCopy-->
URL dell’endpoint del servizio
È necessario avere accesso ai seguenti URL:
https://oauth2.googleapis.com
https://cloudresourcemanager.googleapis.com
https://compute.googleapis.com
https://storage.googleapis.com
https://cloudbuild.googleapis.com
Progetti Google Cloud
Esistono fondamentalmente due tipi di progetti Google Cloud:
- Progetto di provisioning: in questo caso, l’account amministratore corrente possiede i computer forniti nel progetto. Questo progetto viene anche definito progetto locale.
- Progetto VPC condiviso: progetto in cui le macchine create nel progetto di provisioning utilizzano il VPC del progetto Shared VPC. L’account amministratore utilizzato per il progetto di provisioning ha autorizzazioni limitate in questo progetto, in particolare solo autorizzazioni per utilizzare il VPC.
Autorizzazioni GCP richieste
Questa sezione contiene l’elenco completo delle autorizzazioni GCP. Usare il set completo di autorizzazioni indicato nella sezione per il corretto funzionamento della funzionalità.
Nota:
GCP introdurrà modifiche del comportamento predefinito di Cloud Build Service e dell’uso degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account di servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si intende ottenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API. Se si imposta il nuovo criterio dell’organizzazione, è comunque possibile seguire le autorizzazioni esistenti in questa sezione e gli elementi contrassegnati da Prima della modifica dell’account di servizio Cloud Build. In caso contrario, seguire le autorizzazioni e gli elementi esistenti contrassegnati da Dopo la modifica dell’account di servizio Cloud Build.
Creazione di una connessione host
-
Autorizzazioni minime richieste per Citrix Cloud Service Account nel progetto Provisioning:
compute.instanceTemplates.list compute.instances.list compute.networks.list compute.projects.get compute.regions.list compute.subnetworks.list compute.zones.list resourcemanager.projects.get <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Amministratore Compute
- Utente di Cloud Datastore
-
Autorizzazioni aggiuntive richieste per Shared VPC for Citrix Cloud Service Account nel progetto Shared VPC:
compute.networks.list compute.subnetworks.list resourcemanager.projects.get <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Utente di rete Compute
Gestione dell’alimentazione delle macchine virtuali
Autorizzazioni minime richieste per Citrix Cloud Service Account nel progetto Provisioning in caso di cataloghi solo ad alimentazione gestita:
compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Amministratore Compute
- Utente di Cloud Datastore
Creazione, aggiornamento o eliminazione di macchine virtuali
-
Autorizzazioni minime richieste per Citrix Cloud Service Account nel progetto Provisioning:
cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list compute.acceleratorTypes.list compute.diskTypes.get compute.diskTypes.list compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.firewalls.create compute.firewalls.delete compute.firewalls.list compute.globalOperations.get compute.images.create compute.images.delete compute.images.get compute.images.list compute.images.setLabels compute.images.useReadOnly compute.instanceTemplates.create compute.instanceTemplates.delete compute.instanceTemplates.get compute.instanceTemplates.list compute.instanceTemplates.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.list compute.instances.reset compute.instances.resume compute.instances.setDeletionProtection compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.stop compute.instances.suspend compute.machineTypes.get compute.machineTypes.list compute.networks.list compute.networks.updatePolicy compute.nodeGroups.list compute.nodeTemplates.get compute.projects.get compute.regions.list compute.snapshots.create compute.snapshots.delete compute.snapshots.list compute.snapshots.get compute.snapshots.setLabels compute.snapshots.useReadOnly compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.zoneOperations.get compute.zoneOperations.list compute.zones.get compute.zones.list iam.serviceAccounts.actAs resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update storage.objects.create storage.objects.delete storage.objects.get storage.objects.list compute.networks.get compute.resourcePolicies.use <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Amministratore Compute
- Amministratore archiviazione
- Editor Cloud Build
- Utente account di servizio
- Utente di Cloud Datastore
-
Autorizzazioni aggiuntive necessarie per Shared VPC for Citrix Cloud Service Account nel progetto Shared VPC per creare un’unità di hosting utilizzando VPC e una sottorete del progetto Shared VPC:
compute.firewalls.list compute.networks.list compute.projects.get compute.regions.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.zones.list resourcemanager.projects.get <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Utente di rete Compute
- Utente di Cloud Datastore
-
(Prima della modifica dell’account di servizio Cloud Build): autorizzazioni minime richieste per l’account di servizio Cloud Build nel progetto Provisioning richieste dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:
-
(Dopo la modifica dell’account di servizio Cloud Build): autorizzazioni minime richieste per l’account di servizio Cloud Compute nel progetto Provisioning richieste dal servizio Google Cloud Compute quando si scarica il disco di istruzioni di preparazione su MCS:
compute.disks.create compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.images.get compute.images.list compute.images.useReadOnly compute.instances.create compute.instances.delete compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.list iam.serviceAccounts.actAs logging.logEntries.create pubsub.topics.publish resourcemanager.projects.get source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Account del servizio Cloud Build (dopo la modifica dell’account del servizio Cloud Build, è l’account di servizio Cloud Compute)
- Amministratore istanze Compute
- Utente account di servizio
-
Autorizzazioni minime richieste per l’account Cloud Compute Service nel progetto Provisioning richieste dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:
resourcemanager.projects.get storage.objects.create storage.objects.get storage.objects.list <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Utente di rete Compute
- Utente dell’account di archiviazione
- Utente di Cloud Datastore
- (Prima della modifica dell’account di servizio Cloud Build): autorizzazioni aggiuntive richieste per il VPC condiviso per l’account di servizio Cloud Build nel progetto Provisioning richieste dal servizio Google Cloud Build quando si scarica il disco di istruzioni di preparazione su MCS:
-
(Dopo la modifica dell’account di servizio Cloud Build): autorizzazioni aggiuntive richieste per il VPC condiviso per l’account di servizio Cloud Compute nel progetto Provisioning richieste dal servizio Google Cloud Compute quando si scarica il disco di istruzioni di preparazione su MCS:
compute.firewalls.list compute.networks.list compute.subnetworks.list compute.subnetworks.use resourcemanager.projects.get <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Utente di rete Compute
- Utente dell’account di archiviazione
- Utente di Cloud Datastore
-
Autorizzazioni aggiuntive richieste per Cloud Key Management Service (KMS) per Citrix Cloud Service Account nel progetto Provisioning:
cloudkms.cryptoKeys.get cloudkms.cryptoKeys.list cloudkms.keyRings.get cloudkms.keyRings.list <!--NeedCopy-->
I seguenti ruoli definiti da Google dispongono delle autorizzazioni elencate sopra:
- Visualizzatore KMS Compute
Autorizzazioni generali
Di seguito sono riportate le autorizzazioni per Citrix Cloud Service Account nel progetto di Provisioning per tutte le funzionalità supportate in MCS. Queste autorizzazioni garantiscono la migliore compatibilità in futuro:
resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
<!--NeedCopy-->
Ulteriori informazioni
In questo articolo
- Requisiti
- Abilitare le API di Google Cloud
- Configurare e aggiornare gli account di servizio
- Abilitare l’accesso privato a Google
- Aggiungere una connessione
- Preparare un’istanza di macchina virtuale master e un disco persistente
- Creare un catalogo di macchine
- Gestire un catalogo di macchine
- Gestione dell’alimentazione
- Proteggersi dall’eliminazione accidentale di macchine
- Importare macchine di Google Cloud create manualmente
- Cloud privato virtuale condiviso
- Abilitare la selezione delle zone
- Anteprima: utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
- Compatibilità dell’accesso uniforme a livello di bucket
- Google Cloud Marketplace
- URL dell’endpoint del servizio
- Progetti Google Cloud
- Autorizzazioni GCP richieste
- Ulteriori informazioni