Ambienti Google Cloud

Citrix Virtual Apps and Desktops™ consente di eseguire il provisioning e gestire le macchine su Google Cloud.

Requisiti

• Account Citrix Cloud™. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
• Un progetto Google Cloud. Il progetto memorizza tutte le risorse di calcolo associate al catalogo di macchine. Può essere un progetto esistente o uno nuovo.
• Abilitare quattro API nel progetto Google Cloud. Per i dettagli, vedere Abilitare le API di Google Cloud.
• Account di servizio Google Cloud. L’account di servizio si autentica su Google Cloud per consentire l’accesso al progetto. Per i dettagli, vedere Configurare e aggiornare gli account di servizio.
• Abilitare l’accesso privato di Google. Per i dettagli, vedere Abilitare l’accesso privato a Google.

Abilitare le API di Google Cloud

Per utilizzare la funzionalità di Google Cloud tramite Web Studio, abilitare queste API nel progetto Google Cloud:

• API Compute Engine
• API Cloud Resource Manager
• API Identity and Access Management (IAM)
• API Cloud Build
• Cloud Key Management Service (KMS)

Dalla console di Google Cloud, completare questi passaggi:

1. Nel menu in alto a sinistra, selezionare API e servizi > Dashboard.

   

2. Nella schermata Dashboard, assicurarsi che l’API Compute Engine sia abilitata. Se non lo è, seguire questi passaggi:

   1. Accedere a API e servizi > Libreria.

      

   2. Nella casella di ricerca, digitare Compute Engine.

   3. Dai risultati della ricerca, selezionare API Compute Engine.

   4. Nella pagina API Compute Engine, selezionare Abilita.

3. Abilitare l’API Cloud Resource Manager.

   1. Accedere a API e servizi > Libreria.

   2. Nella casella di ricerca, digitare Cloud Resource Manager.

   3. Dai risultati della ricerca, selezionare API Cloud Resource Manager.

   4. Nella pagina API Cloud Resource Manager, selezionare Abilita. Verrà visualizzato lo stato dell’API.

4. Analogamente, abilitare API Identity and Access Management (IAM) e API Cloud Build.

È anche possibile utilizzare Google Cloud Shell per abilitare le API. Per farlo:

1. Aprire la Google Console e caricare Cloud Shell.

2. Eseguire i seguenti quattro comandi in Cloud Shell:

   • gcloud servizi abilita compute.googleapis.com
   • gcloud servizi abilita cloudresourcemanager.googleapis.com
   • gcloud servizi abilita iam.googleapis.com
   • gcloud servizi abilita cloudbuild.googleapis.com
3. Fare clic su Autorizza se richiesto da Cloud Shell.

Configurare e aggiornare gli account di servizio

Nota:

GCP sta introducendo modifiche al comportamento predefinito e all’uso degli account di servizio di Cloud Build Service dopo il 29 aprile 2024. Per maggiori informazioni, consultare Modifica dell’account di servizio di Cloud Build. I progetti Google esistenti con l’API Cloud Build abilitata prima del 29 aprile 2024 non sono interessati da questa modifica. Tuttavia, se si desidera mantenere il comportamento esistente di Cloud Build Service dopo il 29 aprile, è possibile creare o applicare la policy dell’organizzazione per disabilitare l’applicazione dei vincoli prima di abilitare l’API Cloud Build. Di conseguenza, il contenuto seguente è diviso in due: Prima del 29 aprile 2024 e Dopo il 29 aprile 2024. Se si imposta la nuova policy dell’organizzazione, seguire la sezione Prima del 29 aprile 2024.

Prima del 29 aprile 2024

Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:

• Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, eseguire il provisioning e gestire le macchine. Questo account di servizio si autentica a Google Cloud utilizzando una chiave generata da Google Cloud.

  È necessario creare questo account di servizio manualmente come descritto qui. Per maggiori informazioni, consultare Creare un account di servizio Citrix Cloud.

  È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Account di servizio Cloud Build: Questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Abilita API Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, passare a IAM e amministrazione > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruolo fornite da Google.

  È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID progetto e la parola cloudbuild. Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

  Verificare se all’account di servizio sono stati concessi i seguenti ruoli. Se è necessario aggiungere ruoli, seguire i passaggi descritti in Aggiungere ruoli all’account di servizio Cloud Build.

  • Account di servizio Cloud Build
  • Amministratore istanze Compute
  • Utente account di servizio

• Account di servizio Cloud Compute: Questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere un ruolo Amministratore archiviazione che richiede le seguenti autorizzazioni:

  • resourcemanager.projects.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

Creare un account di servizio Citrix Cloud

Per creare un account di servizio Citrix Cloud, seguire questi passaggi:

1. Nella console Google Cloud, passare a IAM e amministrazione > Account di servizio.
2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
3. Nella pagina Crea account di servizio, inserire le informazioni richieste, quindi selezionare CREA E CONTINUA.

4. Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +AGGIUNGI UN ALTRO RUOLO se si desidera aggiungere altri ruoli.

   Ogni account (personale o di servizio) ha vari ruoli che definiscono la gestione del progetto. Concedere i seguenti ruoli a questo account di servizio:

   • Amministratore di Compute
   • Amministratore di Storage
   • Editor di Cloud Build
   • Utente account di servizio
   • Utente Cloud Datastore
   • Operatore crittografico Cloud KMS

   L’Operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list
   • cloudkms.cryptoKeyVersions.useToDecrypt
   • cloudkms.cryptoKeyVersions.useToEncrypt

   Nota:

   Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

5. Fare clic su CONTINUA
6. Nella pagina Concedi agli utenti l’accesso a questo account di servizio, aggiungere utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
7. Fare clic su FINE.
8. Accedere alla console principale di IAM.
9. Identificare l’account di servizio creato.
10. Verificare che i ruoli siano stati assegnati correttamente.

Considerazioni:

Quando si crea l’account di servizio, considerare quanto segue:

• I passaggi Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
• Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account di servizio configurato.

Chiave dell’account di servizio Citrix Cloud

La chiave dell’account di servizio Citrix Cloud è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato automaticamente e salvato nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. Altrimenti, Web Studio non può analizzarlo.

Per creare una chiave dell’account di servizio, accedere a IAM e amministrazione > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Assicurarsi di selezionare JSON come tipo di chiave.

Suggerimento:

Creare le chiavi utilizzando la pagina Account di servizio nella console Google Cloud. Si consiglia di cambiare regolarmente le chiavi per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account di servizio Citrix Cloud

Per aggiungere ruoli all’account di servizio Citrix Cloud:

1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.

2. Nella pagina IAM > AUTORIZZAZIONI, individuare l’account di servizio creato, identificabile con un indirizzo e-mail.

   Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Selezionare l’icona a forma di matita per modificare l’accesso all’entità dell’account di servizio.
4. Nella pagina Modifica accesso a “project-id” per l’opzione entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio uno per uno e quindi selezionare SALVA.

Aggiungere ruoli all’account di servizio Cloud Build

Per aggiungere ruoli all’account di servizio Cloud Build:

1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.

2. Nella pagina IAM, individuare l’account di servizio Cloud Build, identificabile con un indirizzo email che inizia con l’ID progetto e la parola cloudbuild.

   Ad esempio, <project-id>@cloudbuild.gserviceaccount.com

3. Selezionare l’icona della matita per modificare i ruoli dell’account Cloud Build.

4. Nella pagina Modifica accesso a “project-id” per l’opzione principale selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio Cloud Build uno per uno, quindi selezionare SALVA.

   Nota:

   Abilitare tutte le API per ottenere l’elenco completo dei ruoli.

Dopo il 29 aprile 2024

Citrix Cloud utilizza due account di servizio separati all’interno del progetto Google Cloud:

• Account di servizio Citrix Cloud: Questo account di servizio consente a Citrix Cloud di accedere al progetto Google, effettuare il provisioning e gestire le macchine. Questo account di servizio si autentica a Google Cloud utilizzando una chiave generata da Google Cloud.

  È necessario creare questo account di servizio manualmente.

  È possibile identificare questo account di servizio con un indirizzo email. Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Account di servizio Cloud Compute: Questo account di servizio viene sottoposto a provisioning automaticamente dopo aver abilitato tutte le API menzionate in Abilita API Google Cloud. Per visualizzare tutti gli account di servizio creati automaticamente, accedere a IAM e amministrazione > IAM nella console Google Cloud e selezionare la casella di controllo Includi concessioni di ruoli fornite da Google. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Amministratore archiviazione che richiede le seguenti autorizzazioni:

  • resourcemanager.projects.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

  Puoi identificare questo account di servizio tramite un indirizzo email che inizia con l’ID progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com.

  Verifica se all’account di servizio sono stati concessi i seguenti ruoli.

  • Account di servizio Cloud Build
  • Amministratore istanze Compute
  • Utente account di servizio

Creare un account di servizio Citrix Cloud

Per creare un account di servizio Citrix Cloud, attenersi alla seguente procedura:

1. Nella console Google Cloud, passare a IAM e amministrazione > Account di servizio.
2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
3. Nella pagina Crea account di servizio, immettere le informazioni richieste, quindi selezionare CREA E CONTINUA.

4. Nella pagina Concedi a questo account di servizio l’accesso al progetto, fare clic sul menu a discesa Seleziona un ruolo e selezionare i ruoli richiesti. Fare clic su +AGGIUNGI UN ALTRO RUOLO se si desidera aggiungere altri ruoli.

   Ogni account (personale o di servizio) ha vari ruoli che definiscono la gestione del progetto. Concedere i seguenti ruoli a questo account di servizio:

   • Amministratore Compute
   • Amministratore Storage
   • Editor di Cloud Build
   • Utente account di servizio
   • Utente Cloud Datastore
   • Operatore crittografico Cloud KMS

   L’operatore crittografico Cloud KMS richiede le seguenti autorizzazioni:

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list

   Nota:

   Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.

5. Fare clic su CONTINUA
6. Nella pagina Concedi agli utenti l’accesso a questo account di servizio, aggiungere utenti o gruppi per concedere loro l’accesso per eseguire azioni in questo account di servizio.
7. Fare clic su FINE.
8. Accedere alla console principale IAM.
9. Identificare l’account di servizio creato.
10. Convalidare che i ruoli siano stati assegnati correttamente.

Considerazioni:

Quando si crea l’account di servizio, considerare quanto segue:

• I passaggi Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
• Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce che i ruoli vengano visualizzati per l’account di servizio configurato.

Chiave dell’account di servizio Citrix Cloud

La chiave dell’account di servizio Citrix Cloud è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato automaticamente e salvato nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, Web Studio non può analizzarla.

Per creare una chiave dell’account di servizio, accedere a IAM e amministrazione > Account di servizio e fare clic sull’indirizzo e-mail dell’account di servizio Citrix Cloud. Passare alla scheda Chiavi e selezionare Aggiungi chiave > Crea nuova chiave. Assicurarsi di selezionare JSON come tipo di chiave.

Suggerimento:

Creare le chiavi utilizzando la pagina Account di servizio nella console Google Cloud. Si consiglia di modificare regolarmente le chiavi per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Aggiungere ruoli all’account di servizio Citrix Cloud

Per aggiungere ruoli all’account di servizio Citrix Cloud:

1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.

2. Nella pagina IAM > AUTORIZZAZIONI, individuare l’account di servizio creato, identificabile con un indirizzo e-mail.

   Ad esempio, <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Selezionare l’icona a forma di matita per modificare l’accesso all’entità dell’account di servizio.
4. Nella pagina Modifica accesso a “project-id” per l’opzione entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio uno per uno e quindi selezionare SALVA.

Aggiungere ruoli all’account di servizio Cloud Compute

Per aggiungere ruoli all’account di servizio Cloud Compute:

1. Nella console Google Cloud, accedere a IAM e amministrazione > IAM.

2. Nella pagina IAM, individuare l’account di servizio Cloud Compute, identificabile con un indirizzo e-mail che inizia con l’ID progetto e la parola compute.

   Ad esempio, <project-id>-compute@developer.gserviceaccount.com

3. Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.

4. Nella pagina Modifica accesso a “project-id” per l’opzione entità selezionata, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i ruoli richiesti all’account di servizio Cloud Build uno per uno e quindi selezionare SALVA.

   Nota:

   Abilitare tutte le API per ottenere l’elenco completo dei ruoli.

Autorizzazioni di archiviazione e gestione dei bucket

Citrix Virtual Apps and Desktops migliora il processo di segnalazione degli errori di compilazione cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix Virtual Apps and Desktops crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters} in cui i servizi Google Cloud acquisiscono le informazioni di log della compilazione. Su questo bucket è impostata un’opzione che elimina il contenuto dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione disponga delle autorizzazioni Google Cloud impostate su storage.buckets.update. Se l’account di servizio non dispone di questa autorizzazione, Citrix Virtual Apps and Desktops ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.

Abilitare l’accesso privato a Google

Quando una VM non ha un indirizzo IP esterno assegnato alla sua interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni con indirizzi IP interni. Quando si abilita l’accesso privato, la VM si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.

Nota:

Sia che l’accesso privato a Google sia abilitato, tutte le VM, con e senza indirizzi IP pubblici, devono essere in grado di accedere alle API pubbliche di Google, specialmente se nell’ambiente sono stati installati dispositivi di rete di terze parti.

Per garantire che una VM nella subnet possa accedere alle API di Google senza un indirizzo IP pubblico per il provisioning MCS:

1. In Google Cloud, accedere alla configurazione di rete VPC.
2. Nella schermata dei dettagli della subnet, attivare Accesso privato a Google.

Per maggiori informazioni, vedere Configurazione dell’accesso privato a Google.

Importante:

Se la rete è configurata per impedire l’accesso delle VM a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la VM.

Dove andare dopo

• Installare i componenti principali
• Installare i VDA
• Creare un sito
• Per la creazione e la gestione di una connessione negli ambienti Google Cloud, vedere Connessione agli ambienti Google Cloud

Ulteriori informazioni

• Creare e gestire connessioni e risorse
• Creare cataloghi di macchine