Citrix Virtual Apps and Desktops

Creare un catalogo di Google Cloud Platform

In Creare cataloghi di macchine sono descritte le procedure guidate per la creazione di un catalogo di macchine. Le seguenti informazioni coprono i dettagli specifici degli ambienti cloud di Google.

Nota:

Prima di creare un catalogo di Google Cloud Platform (GCP), è necessario completare la creazione di una connessione a GCP. Vedere Connessione agli ambienti cloud di Google.

Preparare un’istanza di macchina virtuale master e un disco persistente

Suggerimento:

“Disco persistente” è il termine Google Cloud per il disco virtuale.

Per preparare l’istanza della macchina virtuale master, creare e configurare un’istanza di macchina virtuale con proprietà che corrispondono alla configurazione desiderata per le istanze VDA clonate nel catalogo delle macchine pianificato. La configurazione non si applica solo alle dimensioni e al tipo di istanza. Include anche attributi di istanza come metadati, tag, assegnazioni GPU, tag di rete e proprietà degli account di servizio.

Nell’ambito del processo di mastering, MCS utilizza l’istanza della macchina virtuale master per creare il modello di istanza di Google Cloud. Il modello di istanza viene quindi utilizzato per creare le istanze VDA clonate che costituiscono il catalogo delle macchine. Le istanze clonate ereditano le proprietà (ad eccezione delle proprietà del VPC, della subnet e del disco persistente) dell’istanza della macchina virtuale master da cui è stato creato il modello di istanza.

Dopo aver configurato le proprietà dell’istanza della macchina virtuale master in base alle proprie specifiche, avviare l’istanza e quindi preparare il disco persistente per l’istanza.

Si consiglia di creare manualmente una snapshot del disco. Ciò consente di utilizzare una convenzione di denominazione significativa per tenere traccia delle versioni, offre più opzioni per gestire le versioni precedenti dell’immagine master e consente di risparmiare tempo per la creazione del catalogo delle macchine. Se non si crea una snapshot personalizzata, MCS crea un’istantanea temporanea (che viene eliminata al termine del processo di provisioning).

Creare un catalogo di macchine

È possibile creare un catalogo di macchine in due modi:

Creare un catalogo di macchine utilizzando Web Studio

Nota:

Creare le risorse prima di creare un catalogo delle macchine. Utilizzare le convenzioni di denominazione stabilite da Google Cloud durante la configurazione dei cataloghi delle macchine. Per maggiori informazioni, consultare le Linee guida per la denominazione di bucket e oggetti.

Seguire le indicazioni in Creare cataloghi delle macchine. La seguente descrizione vale esclusivamente per i cataloghi di Google Cloud.

  1. Accedere a Web Studio e selezionare Machine Catalogs nel riquadro a sinistra.

  2. Selezionare Create Machine Catalog (Crea catalogo delle macchine) nella barra delle azioni.

  3. Nella pagina Operating System (Sistema operativo), selezionare Multi-session OS (Sistema operativo multisessione) e quindi selezionare Next (Avanti).

    • Citrix Virtual Apps and Desktops supporta anche il sistema operativo a sessione singola.
  4. Nella pagina Machine Management (Gestione macchine), selezionare le opzioni Machines that are power managed (Macchine con gestione dell’alimentazione) e Citrix Machine Creation Services (Servizi di creazione macchine Citrix) e fare clic su Next (Avanti). Se ci sono più risorse, selezionarne una dal menu.

  5. Nella pagina Master Image (Immagine master), selezionare una macchina virtuale e il livello funzionale minimo per il catalogo, quindi selezionare Next (Avanti). Se si desidera utilizzare la funzionalità single-tenancy, assicurarsi di selezionare un’immagine la cui proprietà del gruppo di nodi sia configurata correttamente. Vedere Abilitare la selezione delle zone.

  6. Nella pagina Storage Types (Tipi di archiviazione), selezionare il tipo di archiviazione utilizzato per contenere il sistema operativo per questo catalogo delle macchine. Ognuna delle seguenti opzioni di archiviazione ha caratteristiche di prezzo e prestazioni diverse (un disco di identità viene sempre creato utilizzando il disco persistente standard della zona).

    • Disco persistente standard
    • Disco persistente bilanciato
    • Disco persistente SSD

    Per ulteriori informazioni sulle opzioni di archiviazione di Google Cloud, vedere https://cloud.google.com/compute/docs/disks/.

  7. Nella pagina Virtual Machines (Macchine virtuali), specificare quante macchine virtuali si desidera creare, visualizzare le specifiche dettagliate delle macchine virtuali e quindi selezionare Next (Avanti). Se si utilizzano i gruppi di nodi single-tenant per i cataloghi delle macchine, assicurarsi di selezionare solo le zone in cui sono disponibili i nodi single-tenant riservati. Vedere Abilitare la selezione delle zone.

  8. Nella pagina Computer Accounts (Account computer), selezionare un account di Active Directory e quindi selezionare Next (Avanti).

    • Se si seleziona Create new Active Directory accounts (Crea nuovi account di Active Directory), selezionare un dominio e quindi immettere la sequenza di caratteri che rappresenta lo schema di denominazione per gli account delle macchine virtuali di cui è stato eseguito il provisioning creati in Active Directory. Lo schema di denominazione degli account può contenere da 1 a 64 caratteri e non può contenere spazi vuoti, caratteri non ASCII o caratteri speciali.
    • Se si seleziona Use existing Active Directory accounts (Usa account Active Directory esistenti), selezionare Browse (Sfoglia) per passare agli account delle macchine di Active Directory esistenti per le macchine selezionate.
  9. Nella pagina Domain Credentials (Credenziali di dominio), selezionare Enter credentials (Immetti le credenziali), digitare il nome utente e la password, selezionare Save (Salva), quindi selezionare Next (Avanti).

    • La credenziale digitata deve disporre delle autorizzazioni per eseguire le operazioni relative agli account di Active Directory.
  10. Nella pagina Summary (Riepilogo), confermare le informazioni, specificare un nome per il catalogo e quindi selezionare Finish (Fine).

    Nota:

    Il nome del catalogo può contenere da 1 a 39 caratteri e non può contenere solo spazi vuoti o caratteri \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

Il completamento della creazione del catalogo delle macchine potrebbe richiedere molto tempo. Per verificare che le macchine vengano create nei gruppi di nodi di destinazione, accedere alla console di Google Cloud.

Importare macchine di Google Cloud create manualmente

È possibile creare una connessione a Google Cloud e quindi creare un catalogo contenente macchine Google Cloud. Quindi, è possibile spegnere e riaccendere manualmente le macchine Google Cloud tramite Citrix Virtual Apps and Desktops. Con questa funzionalità, è possibile:

  • Importare macchine Google Cloud con sistema operativo multisessione create manualmente in un catalogo delle macchine di Citrix Virtual Apps and Desktops.
  • Rimuovere macchine Google Cloud con sistema operativo multisessione create manualmente da un catalogo Citrix Virtual Apps and Desktops.
  • Utilizzare le funzionalità esistenti di gestione dell’alimentazione di Citrix Virtual Apps and Desktops per gestire l’alimentazione delle macchine Google Cloud con sistema operativo multisessione Windows. Ad esempio, impostare un programma di riavvio per tali macchine.

Questa funzionalità non richiede modifiche a un flusso di lavoro di provisioning esistente di Citrix Virtual Apps and Desktops, né la rimozione di alcuna funzionalità esistente. Si consiglia di utilizzare MCS per eseguire il provisioning delle macchine in Web Studio anziché importare le macchine Google Cloud create manualmente.

Cloud privato virtuale condiviso

I cloud privati virtuali (VPC) condivisi comprendono un progetto host, da cui vengono rese disponibili le subnet condivise, e uno o più progetti di servizio che utilizzano la risorsa. I VPC condivisi sono desiderabili per installazioni di grandi dimensioni, perché forniscono controllo, utilizzo e amministrazione centralizzati delle risorse aziendali condivise di Google Cloud. Per ulteriori informazioni, consultare il sito della documentazione di Google.

Con questa funzionalità, Machine Creation Services (MCS) supporta il provisioning e la gestione dei cataloghi delle macchine distribuiti su VPC condivisi. Questo supporto, che dal punto di vista funzionale è equivalente al supporto attualmente fornito nei VPC locali, si differenzia sotto due aspetti:

  1. È necessario concedere autorizzazioni aggiuntive all’account di servizio utilizzato per creare la connessione host. Questo processo consente a MCS di accedere e utilizzare le risorse VPC condivise.
  2. È necessario creare due regole firewall, una per l’ingresso e una per l’uscita. Queste regole firewall vengono utilizzate durante il processo di mastering delle immagini.

Sono necessarie nuove autorizzazioni

Per la creazione della connessione host è necessario un account di servizio Google Cloud con autorizzazioni specifiche. Queste autorizzazioni aggiuntive devono essere concesse a tutti gli account di servizio utilizzati per creare connessioni host basate su VPC condivisi.

Suggerimento:

Queste autorizzazioni aggiuntive non sono nuove per Citrix Virtual Apps and Desktops. Sono utilizzate per facilitare l’implementazione di VPC locali. Con i VPC condivisi, queste autorizzazioni aggiuntive consentono l’accesso ad altre risorse VPC condivise.

È necessario concedere un massimo di quattro autorizzazioni aggiuntive all’account di servizio associato alla connessione host per supportare i VPC condivisi:

  1. compute.firewalls.list: questa autorizzazione è obbligatoria. Consente a MCS di recuperare l’elenco delle regole firewall presenti nel VPC condiviso.
  2. compute.networks.list: questa autorizzazione è obbligatoria. Consente a MCS di identificare le reti VPC condivise disponibili per l’account di servizio.
  3. compute.subnetworks.list: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. Consente a MCS di identificare le subnet all’interno dei VPC condivisi visibili. Questa autorizzazione è già richiesta quando si utilizzano VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.
  4. compute.subnetworks.use: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. È necessario utilizzare le risorse di subnet nei cataloghi delle macchine di cui è stato eseguito il provisioning. Questa autorizzazione è già necessaria per l’utilizzo di VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.

Quando si utilizzano queste autorizzazioni, tenere presente che esistono diversi approcci in base al tipo di autorizzazione utilizzato per creare il catalogo delle macchine:

  • Autorizzazione a livello di progetto:
    • Consente l’accesso a tutti i VPC condivisi all’interno del progetto host.
    • Richiede che le autorizzazioni 3 e 4 vengano assegnate all’account di servizio.
  • Autorizzazione a livello di subnet:
    • Consente l’accesso a subnet specifiche all’interno del VPC condiviso.
    • Le autorizzazioni 3 e 4 sono intrinseche all’assegnazione a livello di subnet e quindi non devono essere assegnate direttamente all’account di servizio.

Selezionare l’approccio più adatto alle esigenze e agli standard di sicurezza della propria azienda.

Suggerimento:

Per ulteriori informazioni sulle differenze tra le autorizzazioni a livello di progetto e di subnet, consultare la documentazione di Google Cloud.

Regole firewall

Durante la preparazione di un catalogo delle macchine, viene preparata un’immagine della macchina che funge da disco di sistema dell’immagine master per il catalogo. Quando si verifica questo processo, il disco viene temporaneamente collegato a una macchina virtuale. Questa macchina virtuale deve essere eseguita in un ambiente isolato che impedisca tutto il traffico di rete in entrata e in uscita. Ciò si ottiene attraverso una coppia di regole firewall “nega tutto”, una per il traffico in ingresso e una per il traffico in uscita. Quando si utilizzano i VCP locali di Google Cloud, MCS crea questo firewall nella rete locale e lo applica alla macchina per il mastering. Al termine del mastering, la regola firewall viene rimossa dall’immagine.

Si consiglia di ridurre al minimo il numero di nuove autorizzazioni necessarie per utilizzare i VPC condivisi. I VPC condivisi sono risorse aziendali di livello superiore e in genere dispongono di protocolli di sicurezza più rigidi. Per questo motivo, è necessario creare una coppia di regole firewall nel progetto host sulle risorse VPC condivise, una per l’ingresso e una per l’uscita. Assegnare a tali regole la massima priorità. Applicare un nuovo tag di destinazione a ciascuna di queste regole, utilizzando il valore seguente:

citrix-provisioning-quarantine-firewall

Quando MCS crea o aggiorna un catalogo delle macchine, cerca le regole del firewall contenenti questo tag di destinazione. Quindi esamina le regole per verificarne la correttezza e le applica alla macchina utilizzata per preparare l’immagine master per il catalogo. Se le regole firewall non vengono trovate o le regole vengono trovate ma non sono corrette (o le relative priorità non sono corrette), viene visualizzato un messaggio simile al seguente:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configurazione del VPC condiviso

Prima di aggiungere il VPC condiviso come connessione host in Web Studio, completare i seguenti passaggi per aggiungere account di servizio dal progetto in cui si intende effettuare il provisioning:

  1. Creare un ruolo IAM.
  2. Aggiungere l’account di servizio utilizzato per creare una connessione host CVAD al ruolo IAM del progetto host del VPC condiviso.
  3. Aggiungere l’account di servizio Cloud Build dal progetto di cui si intende eseguire il provisioning al ruolo IAM del progetto host del VPC condiviso.
  4. Creare regole firewall.

Creare un ruolo IAM

Determinare il livello di accesso del ruolo: accesso a livello di progetto o un modello più limitato utilizzando l’accesso a livello di subnet.

Accesso a livello di progetto per il ruolo IAM. Per il ruolo IAM a livello di progetto, includere le seguenti autorizzazioni:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Per creare un ruolo IAM a livello di progetto:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
  2. Nella pagina Ruoli, selezionare CREA RUOLO.
  3. Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
    1. Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione e quindi selezionare AGGIUNGI.
    2. Selezionare CREA.

Ruolo IAM a livello di subnet. Questo ruolo omette l’aggiunta delle autorizzazioni compute.subnetworks.list e compute.subnetworks.use dopo aver selezionato CREA RUOLO. Per questo livello di accesso IAM, le autorizzazioni compute.firewalls.list e compute.networks.list devono essere applicate al nuovo ruolo.

Per creare un ruolo IAM a livello di subnet:

  1. Nella console di Google Cloud, andare a Rete VPC > VPC condiviso. Viene visualizzata la pagina VPC condiviso, in cui sono visualizzate le subnet delle reti VPC condivise contenute nel progetto host.
  2. Nella pagina VPC condiviso, selezionare la subnet a cui si desidera accedere.
  3. Nell’angolo in alto a destra, selezionare AGGIUNGI MEMBRO per aggiungere un account di servizio.
  4. Nella pagina Aggiungi membri, completare questi passaggi:
    1. Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
    2. Selezionare il campo Seleziona un ruolo e quindi Utente di rete Compute.
    3. Selezionare SALVA.
  5. Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
  6. Nella pagina Ruoli, selezionare CREA RUOLO.
  7. Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
    1. Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione, quindi seleziona AGGIUNGI.
    2. Selezionare CREA.

Aggiungere un account di servizio al ruolo IAM del progetto host

Dopo aver creato un ruolo IAM, per aggiungere un account di servizio per il progetto host, procedere come segue:

  1. Nella console di Google Cloud, accedere al progetto host e quindi a IAM e amministrazione > IAM.
  2. Nella pagina IAM, selezionare AGGIUNGI per aggiungere un account di servizio.
  3. Nella pagina Aggiungi membri:
    1. Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
    2. Selezionare un campo ruolo, digitare il ruolo IAM creato e quindi selezionare il ruolo nel menu.
    3. Selezionare SALVA.

L’account di servizio è ora configurato per il progetto host.

Aggiungere l’account del servizio di compilazione cloud al VPC condiviso

Ogni sottoscrizione a Google Cloud ha un account di servizio che prende il nome dal numero ID del progetto, seguito da cloudbuild.gserviceaccount. Ad esempio: 705794712345@cloudbuild.gserviceaccount.

È possibile determinare qual è il numero ID del progetto per il proprio progetto selezionando Home page e Dashboard nella console di Google Cloud:

Pannello di navigazione della console Google Cloud

Trovare il numero del progetto sotto l’area Informazioni sul progetto dello schermo.

Eseguire i seguenti passaggi per aggiungere l’account del servizio Cloud Build al VPC condiviso:

  1. Nella console di Google Cloud, accedere al progetto host e quindi a IAM e amministrazione > IAM.
  2. Nella pagina Autorizzazioni, selezionare AGGIUNGI per aggiungere un account.
  3. Nella pagina Aggiungi membri, completare questi passaggi:
    1. Nel campo Nuovi membri, digitare il nome dell’account di servizio Cloud Build, quindi selezionare il proprio account di servizio nel menu.
    2. Selezionare il campo Seleziona un ruolo, digitare Computer Network User, quindi selezionare il ruolo nel menu.
    3. Selezionare SALVA.

Creare regole firewall

Come parte del processo di mastering, MCS copia l’immagine della macchina selezionata e la utilizza per preparare il disco di sistema dell’immagine master per il catalogo. Durante il processo di mastering, MCS collega il disco a una macchina virtuale temporanea, che in seguito esegue gli script di preparazione. Questa macchina virtuale deve essere eseguita in un ambiente isolato che vieti tutto il traffico di rete in entrata e in uscita. Per creare un ambiente isolato, MCS richiede due regole firewall “nega tutto” (una regola di ingresso e una regola di uscita). Pertanto, creare due regole firewall nel progetto host come segue:

  1. Nella console di Google Cloud, andare al progetto host e quindi a Rete VPC > Firewall.
  2. Nella pagina Firewall, selezionare CREA REGOLA FIREWALL.
  3. Nella pagina Crea una regola firewall, completare quanto segue:
    • Name. Digitare un nome per la regola.
    • Rete. Selezionare la rete VPC condivisa a cui applicare la regola firewall in ingresso.
    • Priorità. Più piccolo è il valore, maggiore è la priorità della regola. Si consiglia un valore piccolo (ad esempio, 10).
    • Direzione del traffico. Selezionare In entrata.
    • Azione in caso di corrispondenza. Selezionare Nega.
    • Destinazioni. Utilizzare l’opzione predefinita, Tag di destinazione specificati.
    • Tag di destinazione. Digitare citrix-provisioning-quarantine-firewall.
    • Filtro di origine. Utilizzare l’opzione predefinita, Intervalli IP.
    • Intervalli IP di origine. Digitare un intervallo che corrisponda a tutto il traffico. Digitare 0.0.0.0/0.
    • Protocolli e porte. Selezionare Nega tutto.
  4. Selezionare CREA per creare la regola.
  5. Ripetere i passaggi da 1 a 4 per creare un’altra regola. Per Direzione del traffico, selezionare In uscita.

Aggiungere una connessione

Aggiungere una connessione agli ambienti cloud di Google. Vedere Aggiungere una connessione.

Abilitare la selezione delle zone

Citrix Virtual Apps and Desktops supporta la selezione delle zone. Con la selezione delle zone, è possibile specificare le zone in cui si desidera creare macchine virtuali. Con la selezione delle zone, gli amministratori possono posizionare nodi single-tenant nelle zone di loro scelta. Per configurare la single-tenancy, è necessario completare quanto segue su Google Cloud:

  • Prenotare un nodo single-tenant di Google Cloud
  • Creare l’immagine master VDA

Prenotazione di un nodo single-tenant di Google Cloud

Per prenotare un nodo single-tenant, consultare la documentazione di Google Cloud.

Importante:

Un modello di nodo viene utilizzato per indicare le caratteristiche prestazionali del sistema riservato nel gruppo di nodi. Tali caratteristiche includono il numero di vGPU, la quantità di memoria allocata al nodo e il tipo di macchina utilizzato per le macchine create sul nodo. Per ulteriori informazioni, consultare la documentazione di Google Cloud.

Creazione dell’immagine master VDA

Per distribuire correttamente le macchine sul nodo single-tenant, è necessario eseguire ulteriori passaggi durante la creazione di un’immagine master della macchina virtuale. Le istanze delle macchine su Google Cloud hanno una proprietà chiamata etichette di affinità nodo. Le istanze utilizzate come immagini master per i cataloghi distribuiti nel nodo single-tenant richiedono un’etichetta di affinità nodo che corrisponda al nome del gruppo di nodi di destinazione. Per raggiungere questo obiettivo, tenere presente quanto segue:

Nota:

Se si intende utilizzare la single-tenancy con un VPC condiviso, consultare Cloud privato virtuale condiviso.

Impostare un’etichetta di affinità nodo durante la creazione di un’istanza

Per impostare l’etichetta di affinità nodo:

  1. Nella console di Google Cloud, andare a Compute Engine > Istanze VM.

  2. Nella pagina Istanze VM, selezionare Crea istanza.

  3. Nella pagina Creazione istanza, digitare o configurare le informazioni richieste e quindi selezionare Gestione, sicurezza, dischi, networking, single-tenancy per aprire il pannello delle impostazioni.

  4. Nella scheda Single-tenancy, selezionare Sfoglia per visualizzare i gruppi di nodi disponibili nel progetto corrente. Viene visualizzata la pagina Nodo single-tenant, che mostra un elenco dei gruppi di nodi disponibili.

  5. Nella pagina Nodo single-tenant, selezionare il gruppo di nodi applicabile dall’elenco, quindi selezionare Seleziona per tornare alla scheda Single-tenancy. Il campo delle etichette di affinità nodo viene compilato con le informazioni selezionate. Questa impostazione garantisce che i cataloghi delle macchine creati dall’istanza vengano distribuiti nel gruppo di nodi selezionato.

  6. Selezionare Crea per creare l’istanza.

Impostare un’etichetta di affinità nodo per un’istanza esistente

Per impostare l’etichetta di affinità nodo:

  1. Nella finestra del terminale di Google Cloud Shell, utilizzare il comando gcloud compute instances per impostare un’etichetta di affinità nodo. Includere le seguenti informazioni nel comando gcloud:

    • Nome della macchina virtuale. Ad esempio, utilizzare una macchina virtuale esistente denominata s*2019-vda-base.*
    • Nome del gruppo di nodi. Utilizzare il nome del gruppo di nodi creato in precedenza. Ad esempio, mh-sole-tenant-node-group-1.
    • La zona in cui risiede l’istanza. Ad esempio, la macchina virtuale risiede nella zona *us-east-1b* zone.

    Ad esempio, digitare il seguente comando nella finestra del terminale:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Per ulteriori informazioni sul comando gcloud compute instances, consultare la documentazione di Google Developer Tools all’indirizzo https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Passare alla pagina Dettagli istanza VM dell’istanza e verificare che il campo Affinità del nodo venga compilato con l’etichetta.

Creare un catalogo di macchine

Dopo aver impostato l’etichetta di affinità nodo, configurare il catalogo delle macchine.

Chiavi di crittografia gestite dal cliente (CMEK)

È possibile utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i cataloghi MCS. Quando si utilizza questa funzionalità, si assegna il ruolo CryptoKey Encrypter/Decrypter di Google Cloud Key Management Service all’agente del servizio Compute Engine. L’account di Citrix Virtual Apps and Desktops deve disporre delle autorizzazioni corrette nel progetto in cui è memorizzata la chiave. Per ulteriori informazioni, consultare Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.

L’agente del servizio Compute Engine ha il seguente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Questo formato è diverso dall’account predefinito del servizio Compute Engine.

Nota:

Questo account del servizio Compute Engine potrebbe non essere visualizzato nella schermata IAM/Autorizzazioni di Google Cloud Console. In questi casi, utilizzare il comando gcloud come descritto in Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.

Assegnare autorizzazioni all’account di Citrix Virtual Apps and Desktops

Le autorizzazioni di Google Cloud KMS possono essere configurate in vari modi. È possibile fornire autorizzazioni KMS a livello di progetto o autorizzazioni KMS a livello di risorsa. Vedere Autorizzazioni e ruoli per ulteriori informazioni.

Autorizzazioni a livello di progetto

Un’opzione è fornire all’account di Citrix Virtual Apps and Desktops autorizzazioni a livello di progetto per esplorare le risorse di Cloud KMS. A tale scopo, creare un ruolo personalizzato e aggiungere le seguenti autorizzazioni:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Assegnare questo ruolo personalizzato all’account di Citrix Virtual Apps and Desktops. Questo consente di sfogliare le chiavi regionali nel progetto pertinente nell’inventario.

Autorizzazioni a livello di risorsa

Per l’altra opzione, le autorizzazioni a livello di risorsa, nella console di Google Cloud selezionare la cryptoKey utilizzata per il provisioning MCS. Aggiungere l’account di Citrix Virtual Apps and Desktops a un keyring o a una chiave utilizzata per il provisioning del catalogo.

Suggerimento:

Con questa opzione non è possibile sfogliare le chiavi regionali per il progetto nell’inventario perché l’account di Citrix Virtual Apps and Desktops non dispone delle autorizzazioni elenco a livello di progetto per le risorse Cloud KMS. Tuttavia, è comunque possibile eseguire il provisioning di un catalogo utilizzando CMEK specificando l’cryptoKeyId nelle proprietà personalizzate ProvScheme, come descritto di seguito.

Provisioning con CMEK utilizzando le proprietà personalizzate

Quando si crea lo schema di provisioning tramite PowerShell, specificare una proprietà CryptoKeyId in ProvScheme CustomProperties. Ad esempio:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

L’cryptoKeyId deve essere specificato nel seguente formato:

projectId:location:keyRingName:cryptoKeyName

Ad esempio, se si desidera utilizzare la chiave my-example-key nel keyring my-example-key-ring nella regione us-east1 e nel progetto con ID my-example-project-1, le impostazioni personalizzate ProvScheme saranno simili a:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Tutti i dischi e le immagini di cui è stato eseguito il provisioning tramite MCS relativi a questo schema di provisioning utilizzano questa chiave di crittografia gestita dal cliente.

Suggerimento:

Se si utilizzano le chiavi globali, la posizione delle proprietà del cliente deve indicare global e non il nome della regione, che nell’esempio precedente è us-east1. Ad esempio: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotazione delle chiavi gestite dal cliente

Google Cloud non supporta la rotazione delle chiavi su dischi o immagini persistenti esistenti. Una volta eseguito il provisioning di una macchina, questa viene associata alla versione della chiave in uso al momento della creazione. Tuttavia, è possibile creare una nuova versione della chiave e tale nuova chiave viene utilizzata per le macchine o le risorse di cui è stato recentemente eseguito il provisioning create quando un catalogo viene aggiornato con una nuova immagine master.

Considerazioni importanti sui keyring

I keyring non possono essere rinominati o eliminati. Inoltre, si potrebbero ricevere addebiti imprevisti quando vengono configurati. Quando si elimina o si rimuove un keyring, Google Cloud visualizza un messaggio di errore:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Suggerimento:

Per ulteriori informazioni, consultare Modificare o eliminare un keyring dalla console.

Compatibilità dell’accesso uniforme a livello di bucket

Citrix Virtual Apps and Desktops è compatibile con il criterio per il controllo dell’accesso uniforme a livello di bucket in Google Cloud. Questa funzionalità espande l’uso del criterio IAM che concede autorizzazioni a un account di servizio per consentire la manipolazione delle risorse, inclusi i bucket di archiviazione. Grazie al controllo dell’accesso uniforme a livello di bucket, Citrix Virtual Apps and Desktops consente di utilizzare un elenco di controllo degli accessi (ACL) per controllare l’accesso ai bucket di archiviazione o agli oggetti memorizzati in essi. Consultare Accesso uniforme a livello di bucket per informazioni generali sull’accesso uniforme a livello di bucket di Google Cloud. Per informazioni sulla configurazione, vedere Richiedere un accesso uniforme a livello di bucket.

Creare un catalogo di macchine usando PowerShell

Questa sezione descrive in dettaglio come creare cataloghi usando PowerShell:

Creare un catalogo con un disco cache di write-back persistente

Per configurare un catalogo con il disco della cache write-back persistente, utilizzare il parametro PowerShell New-ProvScheme CustomProperties.

Suggerimento:

Utilizzare questo parametro PowerShell solo per le connessioni di hosting basate su cloud. Se si desidera eseguire il provisioning di macchine utilizzando un disco di cache write-back persistente per una soluzione locale (ad esempio, Citrix Hypervisor), PowerShell non è necessario perché il disco persiste automaticamente.

Questo parametro supporta una proprietà aggiuntiva, PersistWBC, utilizzata per determinare il modo in cui il disco della cache write-back persiste per le macchine di cui è stato eseguito il provisioning con MCS. La proprietà PersistWBC viene utilizzata solo quando viene specificato il parametroUseWriteBackCache e quando il parametro WriteBackCacheDiskSize è impostato per indicare che viene creato un disco.

Nota:

Questo comportamento si applica sia ad Azure che a GCP nei casi in cui il disco della cache write-back MCSIO predefinito viene eliminato e ricreato durante il ciclo di alimentazione. È possibile scegliere di rendere persistente il disco in modo da evitare l’eliminazione e la ri-creazione del disco della cache write-back MCSIO.

L’impostazione della proprietà PersistWBC su true elimina il disco della cache write-back quando l’amministratore di Citrix Virtual Apps and Desktops arresta la macchina dall’interfaccia di gestione.

L’impostazione della proprietà PersistWBC su false elimina il disco della cache write-back quando l’amministratore di Citrix Virtual Apps and Desktops arresta la macchina dall’interfaccia di gestione.

Nota:

Se la proprietà PersistWBC viene omessa, il valore predefinito della proprietà è false e la cache write-back viene eliminata quando la macchina viene arrestata dall’interfaccia di gestione.

Ad esempio, utilizzando il parametro CustomProperties per impostare PersistWBC su true:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
<!--NeedCopy-->

Nota:

La proprietà PersistWBC può essere impostata solo utilizzando il cmdlet PowerShell New-ProvScheme. Il tentativo di modificare le CustomProperties di uno schema di provisioning dopo la creazione non ha alcun impatto sul catalogo macchine e sulla persistenza del disco della cache write-back quando un computer viene arrestato.

Ad esempio, impostare New-ProvScheme perché utilizzi la cache write-back mentre si imposta la proprietà PersistWBC su true:

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

Migliorare le prestazioni di avvio con MCSIO

È possibile migliorare le prestazioni di avvio per i dischi gestiti di Azure e GCP quando MCSIO è abilitato. Utilizzare la proprietà personalizzata di PowerShell PersistOSDisk nel comando New-ProvScheme per configurare questa funzionalità. Le opzioni associate a New-ProvScheme includono:

<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource <!--NeedCopy-->
``````<!--NeedCopy-->
<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->

Per abilitare questa funzionalità, impostare la proprietà personalizzata PersistOSDisk su true. Ad esempio:

New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->

Creare un catalogo di macchine utilizzando un profilo macchina

Quando si crea un catalogo per il provisioning delle macchine utilizzando Machine Creation Services (MCS), è possibile utilizzare un profilo macchina per acquisire le proprietà hardware da una macchina virtuale e applicarle alle macchine virtuali di cui è stato appena effettuato il provisioning nel catalogo. Quando il parametro MachineProfile non viene utilizzato, le proprietà hardware vengono acquisite dalla VM o dalla snapshot dell’immagine master. Alcune proprietà vengono definite in modo esplicito; ad esempio StorageType, CatalogZones e CryptoKeyIs vengono ignorate dal profilo del computer.

  • Per creare un catalogo con un profilo macchina, utilizzare il comando New-ProvScheme. Ad esempio, New-ProvScheme –MachineProfile "path to VM". Se non si specifica il parametro MachineProfile, le proprietà hardware vengono acquisite dalla VM dell’immagine master.
  • Per aggiornare un catalogo con un nuovo profilo macchina, utilizzare il comando Set-ProvScheme. Ad esempio, Set-ProvScheme –MachineProfile "path to new VM". Questo comando non modifica il profilo macchina delle VM esistenti nel catalogo. Solo le VM appena create aggiunte al catalogo hanno il nuovo profilo macchina.
  • È anche possibile aggiornare l’immagine master, tuttavia, quando si aggiorna l’immagine master e le proprietà hardware non vengono aggiornate. Se si desidera aggiornare le proprietà hardware, è necessario aggiornare il profilo della macchina utilizzando il comando Set-ProvScheme. Queste modifiche si applicheranno solo alle nuove macchine del catalogo. Per aggiornare le proprietà hardware di una macchina esistente, è possibile utilizzare il comando Set-ProvVMUpdateTimeWindow con i parametri -StartsNow e -DurationInMinutes -1.

    Nota:

    • StartsNow indica che l’ora di inizio pianificata è l’ora corrente.
    • DurationInMinutes con un numero negativo (ad esempio -1) indica che non vi è alcun limite superiore nella finestra oraria della pianificazione.

Creare un catalogo di macchine con il profilo della macchina come modello di istanza

È possibile selezionare un modello di istanza GCP come input per il profilo della macchina. I modelli di istanza sono risorse leggere in GCP, quindi sono molto convenienti.

Creare un nuovo catalogo di macchine con il profilo della macchina come modello di istanza

  1. Aprire una finestra di PowerShell.
  2. Eseguire il comando asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
  3. Trovare un modello di istanza nel proprio progetto GCP usando il seguente comando:

    cd XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder
    <!--NeedCopy-->
    
  4. Creare un nuovo catalogo di macchine con il profilo della macchina come modello di istanza utilizzando il comando NewProvScheme:

    New-ProvScheme -ProvisioningSchemeName <CatalogName>  -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM
    XDHyp:\HostingUnits<HostingUnitName> \Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder\mytemplate.template
    <!--NeedCopy-->
    

    Per ulteriori informazioni sul comando New-ProvScheme, vedere https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.

  5. Completare la creazione del catalogo delle macchine utilizzando i comandi PowerShell. Per informazioni su come creare un catalogo utilizzando l’SDK Remote PowerShell, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Modificare il profilo macchine di un catalogo di macchine esistente in modo che diventi un modello di istanza

I passaggi dettagliati per modificare il profilo macchine di un catalogo di macchine esistente in modo che diventi un modello di istanza sono:

  1. Aprire una finestra di PowerShell.
  2. Eseguire il comando asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
  3. Eseguire il seguente comando:

    Set-ProvScheme -ProvisioningSchemeName  <CatalogName> -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder<TemplateName>.template
    <!--NeedCopy-->
    

    Per informazioni sul comando Set-ProvScheme, vedere https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.

Utilizzare PowerShell per creare un catalogo con VM schermate

È possibile creare un catalogo di macchine MCS con le proprietà delle VM schermate. Una macchina virtuale schermata è rafforzata da una serie di controlli di sicurezza che forniscono l’integrità verificabile delle istanze di Compute Engine, utilizzando funzionalità avanzate di sicurezza della piattaforma quali l’avvio sicuro, un modulo di piattaforma attendibile virtuale, firmware UEFI e monitoraggio dell’integrità.

MCS supporta la creazione del catalogo utilizzando il flusso di lavoro del profilo macchina. Se si utilizza il workflow del profilo macchina, è necessario abilitare le proprietà delle VM schermate di un’istanza di macchina virtuale. È quindi possibile utilizzare questa istanza di macchina virtuale come input del profilo della macchina.

Per creare un catalogo di macchine MCS con macchina virtuale schermata utilizzando il flusso di lavoro del profilo macchina.

  1. Abilitare le opzioni delle VM schermate di un’istanza di macchina virtuale nella console di Google Cloud. Vedere Avvio rapido: Abilitare le opzioni delle VM schermate.
  2. Creare un catalogo di macchine MCS con il flusso di lavoro del profilo macchina utilizzando l’istanza di VM.

    1. Aprire una finestra di PowerShell.
    2. Eseguire il comando asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
    3. Creare un pool di identità se non è già stato creato.
    4. Eseguire il comando New-ProvScheme. Ad esempio:

      New-ProvScheme -ProvisioningSchemeName <catalog-name>
      -HostingUnitName gcp-hostint-unit
      -MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda.vm
      -MachineProfile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine.vm
      <!--NeedCopy-->
      
  3. Completate la creazione del catalogo di macchine.

Per aggiornare il catalogo macchine con un nuovo profilo macchina:

  1. Eseguire il comando Set-ProvScheme. Ad esempio:

    Set-ProvScheme -ProvisioningSchemeName <catalog-name>
    -MasterImageVM XDHyp:\HostingUnits<hostin-unit>\catalog-vda.vm
    -MachineProfile "DHyp:\HostingUnits<hostin-unit>\catalog-machine.vm
    <!--NeedCopy-->
    

Per applicare la modifica effettuata in Set-ProvScheme alle macchine virtuali esistenti, eseguire il comando Set-ProvVMUpdateTimeWindow.

  1. Eseguire il comando Set-ProvVMUpdateTimeWindow. Ad esempio:

    Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
    <!--NeedCopy-->
    
  2. Riavviare le macchine virtuali.

Google Cloud Marketplace

È possibile sfogliare e selezionare le immagini offerte da Citrix su Google Cloud Marketplace per creare cataloghi di macchine. Attualmente, MCS supporta solo il flusso di lavoro dei profili macchina per questa funzionalità.

Per cercare il prodotto Citrix VDA VM tramite Google Cloud Marketplace, accedere a https://console.cloud.google.com/marketplace.

È possibile utilizzare un’immagine personalizzata o un’immagine Citrix Ready su Google Cloud Marketplace per aggiornare l’immagine di un catalogo di macchine.

Nota:

Se il profilo della macchina non contiene informazioni sul tipo di archiviazione, il valore viene derivato da proprietà personalizzate.

Le immagini supportate da Google Cloud Marketplace sono:

  • Windows 2019 a sessione singola
  • Windows 2019 multisessione
  • Ubuntu

Esempio di utilizzo di un’immagine pronta per Citrix come fonte per la creazione di un catalogo di macchine:

New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm
<!--NeedCopy-->

Passaggi successivi

Ulteriori informazioni