Ambienti Google Cloud
Citrix Virtual Apps and Desktops consente di effettuare il provisioning delle macchine su Google Cloud e gestirle.
Requisiti
- Account Citrix Cloud. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
- Un progetto Google Cloud. Il progetto memorizza tutte le risorse di elaborazione associate al catalogo delle macchine. Può essere un progetto esistente o nuovo.
- Abilitare quattro API nel progetto Google Cloud. Per i dettagli, consultare Abilitare le API di Google Cloud.
- Account del servizio Google Cloud. L’account del servizio si autentica su Google Cloud per consentire l’accesso al progetto. Per informazioni dettagliate, vedere Configurare e aggiornare gli account di servizio.
- Abilitare l’accesso privato di Google. Per i dettagli, consultare Abilitare l’accesso privato di Google.
Abilitare le API di Google Cloud
Per utilizzare la funzionalità Google Cloud tramite Web Studio, abilitare queste API nel proprio progetto Google Cloud:
- API di Compute Engine
- API di Cloud Resource Manager
- API di Gestione delle identità e degli accessi (IAM)
- API Cloud Build
- Cloud Key Management Service (KMS)
Dalla console di Google Cloud, completare questi passaggi:
-
Nel menu in alto a sinistra, selezionare API e servizi > Dashboard.
-
Nella schermata Dashboard, assicurarsi che l’API Compute Engine sia abilitata. In caso contrario, attenersi alla seguente procedura:
-
Andare ad API e servizi > Libreria.
-
Nella casella di ricerca, digitare Compute Engine.
-
Dai risultati della ricerca, selezionare Compute Engine API (API Compute Engine).
-
Nella pagina Compute Engine API (API Compute Engine), selezionare Abilita.
-
-
Abilitare l’API Cloud Resource Manager.
-
Andare ad API e servizi > Libreria.
-
Nella casella di ricerca, digitare Cloud Resource Manager.
-
Dai risultati della ricerca, selezionare Cloud Resource Manager API (API Cloud Resource Manager).
-
Nella pagina Cloud Resource Manager API (API Cloud Resource Manager), selezionare Abilita. Viene visualizzato lo stato dell’API.
-
-
Allo stesso modo, abilitare Identity and Access Management (IAM) API (API Gestione dell’identità e degli accessi [IAM]) e Cloud Build API (API Cloud Build).
È anche possibile utilizzare Google Cloud Shell per abilitare le API. A questo scopo:
- Aprire la Google Console e caricare Cloud Shell.
-
Eseguire i seguenti quattro comandi in Cloud Shell:
- gcloud services enable compute.googleapis.com
- gcloud services enable cloudresourcemanager.googleapis.com
- gcloud services enable iam.googleapis.com
- gcloud services enable cloudbuild.googleapis.com
- Fare clic su Authorize se richiesto da Cloud Shell.
Configurare e aggiornare gli account di servizio
Nota:
GCP introdurrà modifiche del comportamento predefinito di Cloud Build Service e dell’uso degli account di servizio dopo il 29 aprile 2024. Per ulteriori informazioni, vedere Modifica dell’account di servizio Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si intende ottenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare il criterio dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API Cloud Build. Di conseguenza, il contenuto che segue è diviso in due: prima del 29 aprile 2024 e dopo il 29 aprile 2024. Se si imposta il nuovo criterio dell’organizzazione, seguire la sezione Prima del 29 aprile 2024.
Prima del 29 aprile 2024
Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:
-
Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio esegue l’autenticazione su Google Cloud utilizzando una chiave generata da Google Cloud.
È necessario creare questo account di servizio manualmente come indicato qui. Per ulteriori informazioni, vedere Creare un account Citrix Cloud Service.
È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Account del servizio Cloud Build: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud). Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministratore > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google.
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild. Ad esempio,
<project-id>@cloudbuild.gserviceaccount.com
Verificare se all’account di servizio sono stati assegnati i ruoli che seguono. Se è necessario aggiungere ruoli, seguire i passaggi descritti in Aggiungere ruoli all’account di servizio Cloud Build.
- Account del servizio Cloud Build
- Amministratore istanze Compute
- Utente account di servizio
-
Account di servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un ruolo di Amministratore archiviazione che richiede le seguenti autorizzazioni:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com
.
Creare un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:
- Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
- Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
- Nella pagina Crea account di servizio, immettere le informazioni richieste e quindi selezionare CREA E CONTINUA.
-
Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.
Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:
- Amministratore Compute
- Amministratore archiviazione
- Editor Cloud Build
- Utente account di servizio
- Utente di Cloud Datastore
- Operatore crittografico Cloud KMS
L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Fare clic su CONTINUE (Continua).
- Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
- Fare clic su DONE (Fine).
- Accedere alla console principale di IAM.
- Identificare l’account di servizio creato.
- Confermare che i ruoli sono stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tendere in considerazione quanto segue:
- I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
- Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.
Chiave dell’account Citrix Cloud Service
La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration di Citrix non può analizzarla.
Per creare una chiave dell’account di servizio, accedere a IAM e Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Accertarsi di aver selezionato selezionare JSON come tipo di chiave.
Suggerimento:
Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiungere ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.
Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
- Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).
Aggiungere ruoli all’account di servizio Cloud Build
Per aggiungere ruoli all’account di servizio Cloud Build:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM, individuare l’account di servizio Cloud Build, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild.
Ad esempio,
<project-id>@cloudbuild.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli.
Dopo il 29 aprile 2024
Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:
-
Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. Questo account di servizio esegue l’autenticazione su Google Cloud utilizzando una chiave generata da Google Cloud.
È necessario creare questo account di servizio manualmente.
È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Account del servizio Cloud Compute: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud). Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministratore > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Storage Admin che richiede le seguenti autorizzazioni:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio,
<project-id>-compute@developer.gserviceaccount.com.
Verificare se all’account di servizio sono stati assegnati i ruoli che seguono.
- Account del servizio Cloud Build
- Amministratore istanze Compute
- Utente account di servizio
Creare un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:
- Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
- Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
- Nella pagina Crea account di servizio, immettere le informazioni richieste e quindi selezionare CREA E CONTINUA.
-
Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.
Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:
- Amministratore Compute
- Amministratore archiviazione
- Editor Cloud Build
- Utente account di servizio
- Utente di Cloud Datastore
- Operatore crittografico Cloud KMS
L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Fare clic su CONTINUE (Continua).
- Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
- Fare clic su DONE (Fine).
- Accedere alla console principale di IAM.
- Identificare l’account di servizio creato.
- Confermare che i ruoli sono stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tendere in considerazione quanto segue:
- I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
- Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.
Chiave dell’account Citrix Cloud Service
La chiave dell’account Citrix Cloud Service è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration di Citrix non può analizzarla.
Per creare una chiave dell’account di servizio, accedere a IAM e Admin > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Accertarsi di aver selezionato selezionare JSON come tipo di chiave.
Suggerimento:
Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiungere ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.
Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
- Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).
Aggiungere ruoli all’account di servizio Cloud Compute
Per aggiungere ruoli all’account di servizio Cloud Compute:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM, individuare l’account di servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola compute.
Ad esempio,
<project-id>-compute@developer.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli.
Permessi di archiviazione e gestione dei bucket
Citrix Virtual Apps and Desktops migliora il processo di segnalazione degli errori di compilazione cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix Virtual Apps and Desktops crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters}
in cui i servizi Google Cloud acquisiscono le informazioni del log di compilazione. In questo bucket è impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione abbia le autorizzazioni di Google Cloud impostate su storage.buckets.update
. Se l’account di servizio non dispone di questa autorizzazione, Citrix Virtual Apps and Desktops ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.
Abilitare l’accesso privato a Google
Quando una macchina virtuale non ha un indirizzo IP esterno assegnato alla relativa interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la macchina virtuale si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.
Nota:
Se l’accesso privato a Google è abilitato, tutte le macchine virtuali con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.
Per assicurare che una macchina virtuale nella subnet possa accedere alle API Google senza un indirizzo IP pubblico per il provisioning MCS:
- In Google Cloud, accedere alla configurazione della rete VPC.
- Nella schermata dei dettagli della subnet, attivare Private Google access (Accesso privato a Google).
Per ulteriori informazioni, consultare Configurazione dell’accesso privato a Google.
Importante:
Se la rete è configurata per impedire l’accesso delle macchine virtuali a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la macchina virtuale.
Passaggi successivi
- Installare i componenti principali
- Installare i VDA
- Creare un sito
- Per creare e gestire una connessione negli ambienti Google Cloud, vedere Connessione agli ambienti cloud di Google