Citrix Virtual Apps and Desktops

Ambienti Google Cloud

Citrix Virtual Apps and Desktops consente di effettuare il provisioning delle macchine su Google Cloud e gestirle. Questo articolo illustra l’utilizzo di Machine Creation Services (MCS) per il provisioning di macchine virtuali nella distribuzione del servizio Citrix Virtual Apps o Citrix Virtual Desktops.

Requisiti

  • Account Citrix Cloud. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
  • Sottoscrizione a Citrix DaaS. Per ulteriori informazioni, consultare Per iniziare.
  • Un progetto Google Cloud. Il progetto memorizza tutte le risorse di elaborazione associate al catalogo delle macchine. Può essere un progetto esistente o nuovo.
  • Abilitare quattro API nel progetto Google Cloud. Per i dettagli, consultare Abilitare le API di Google Cloud.
  • Account del servizio Google Cloud. L’account del servizio si autentica su Google Cloud per consentire l’accesso al progetto. Per i dettagli, consultare Configurare l’account del servizio Google Cloud.
  • Abilitare l’accesso privato di Google. Per i dettagli, consultare Abilitare l’accesso privato di Google.

Abilitare le API di Google Cloud

Per utilizzare la funzionalità Google Cloud tramite l’interfaccia Full Configuration (Configurazione completa) di Citrix Virtual Apps and Desktops, abilitare queste API nel progetto Google Cloud:

  • API di Compute Engine
  • API di Cloud Resource Manager
  • API di Gestione delle identità e degli accessi (IAM)
  • API Cloud Build

Dalla console di Google Cloud, completare questi passaggi:

  1. Nel menu in alto a sinistra, selezionare API e servizi > Dashboard.

    Immagine della selezione di Dashboard > API e servizi

  2. Nella schermata Dashboard, assicurarsi che l’API Compute Engine sia abilitata. In caso contrario, attenersi alla seguente procedura:

    1. Andare ad API e servizi > Libreria.

      Immagine della libreria di API e servizi

    2. Nella casella di ricerca, digitare Compute Engine.

    3. Dai risultati della ricerca, selezionare Compute Engine API (API Compute Engine).

    4. Nella pagina Compute Engine API (API Compute Engine), selezionare Abilita.

  3. Abilitare l’API Cloud Resource Manager.

    1. Andare ad API e servizi > Libreria.

    2. Nella casella di ricerca, digitare Cloud Resource Manager.

    3. Dai risultati della ricerca, selezionare Cloud Resource Manager API (API Cloud Resource Manager).

    4. Nella pagina Cloud Resource Manager API (API Cloud Resource Manager), selezionare Abilita. Viene visualizzato lo stato dell’API.

  4. Allo stesso modo, abilitare Identity and Access Management (IAM) API (API Gestione dell’identità e degli accessi [IAM]) e Cloud Build API (API Cloud Build).

Configurare l’account del servizio Google Cloud

Un account del servizio Google Cloud consente di creare e gestire le risorse all’interno dei progetti Google Cloud. È necessario un account del servizio Google Cloud per il provisioning e la gestione delle macchine, come descritto in questo articolo. L’account Google Cloud esegue l’autenticazione su Citrix Cloud utilizzando una chiave generata da Google Cloud. Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto.

Si consiglia di creare un account di servizio. A tale scopo, attenersi alla seguente procedura:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.

  2. Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.

  3. Nella pagina Crea account di servizio, digitare le informazioni richieste e quindi selezionare CREA.

Quando si crea l’account di servizio, tendere in considerazione quanto segue:

  • È possibile selezionare ANNULLA per salvare e uscire dalla pagina Dettagli account di servizio senza completare le pagine Concedi a questo account di servizio l’accesso al progetto e Concedi agli utenti l’accesso a questo account di servizio. È possibile eseguire questi passaggi facoltativi in un secondo momento.

  • Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.

  • Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.

Quando si crea un account di servizio, è disponibile un’opzione per creare una chiave per l’account. Questa chiave è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration (Configurazione completa) di Citrix non può analizzarla.

Suggerimento:

Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.

Inoltre, è necessario concedere all’account di servizio le autorizzazioni necessarie per accedere al progetto Google Cloud:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > IAM. Nella pagina IAM, individuare l’account di servizio creato, quindi selezionare l’icona a forma di matita per modificarlo.

  2. Nella pagina Modifica autorizzazioni, seleziona AGGIUNGI UN ALTRO RUOLO per aggiungere i seguenti ruoli all’account di servizio uno per uno, quindi selezionare SALVA.

    • Amministratore Compute
    • Amministratore Storage
    • Editor Cloud Build
    • Utente account di servizio
  3. Aggiornare i ruoli assegnati al progetto dell’account di servizio Cloud Build:

    1. Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
    2. Nella pagina IAM, individuare l’account di servizio Cloud Build e selezionare l’icona a forma di matita per modificarlo. È possibile identificare l’account del servizio Cloud Build in base al nome utente, che è in questo formato: <your_gcp_project_ID_number>@cloudbuild.gserviceaccount.com.
    3. Nella pagina Modifica autorizzazioni, selezionare AGGIUNGI UN ALTRO RUOLO per aggiungere i seguenti ruoli all’account di servizio Cloud Build uno per uno, quindi selezionare SALVA.
      • Account del servizio Cloud Build
      • Amministratore istanze Compute
      • Utente account di servizio

Permessi di archiviazione e gestione dei bucket

Citrix DaaS migliora il processo di segnalazione degli errori di compilazione del cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters} in cui i servizi Google Cloud acquisiscono le informazioni dei log di compilazione. In questo bucket è impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione abbia le autorizzazioni di Google Cloud impostate su storage.buckets.update. Se l’account del servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.

Abilitare l’accesso privato a Google

Quando una macchina virtuale non ha un indirizzo IP esterno assegnato alla relativa interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la macchina virtuale si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.

Nota:

Se l’accesso privato a Google è abilitato, tutte le macchine virtuali con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.

Per assicurare che una macchina virtuale nella subnet possa accedere alle API Google senza un indirizzo IP pubblico per il provisioning MCS:

  1. In Google Cloud, accedere alla configurazione della rete VPC.
  2. Nella schermata dei dettagli della subnet, attivare Private Google access (Accesso privato a Google).

Accesso privato a Google

Per ulteriori informazioni, consultare Configurazione dell’accesso privato a Google.

Importante:

Se la rete è configurata per impedire l’accesso delle macchine virtuali a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la macchina virtuale.

Aggiungere una connessione

Seguire le indicazioni fornite in Creare una connessione e risorse. La seguente descrizione guida l’utente nella configurazione di una connessione di hosting:

  1. Da Manage > Configuration (Gestisci > Configurazione), selezionare Hosting nel riquadro di sinistra.

  2. Selezionare Add Connections and Resources (Aggiungi connessioni e risorse) nella barra delle azioni.

  3. Nella pagina Connection (Connessione), selezionare Create a new Connection (Crea una nuova connessione) e Citrix provisioning tools (Strumenti di provisioning Citrix), quindi selezionare Next (Avanti).

    • Tipo di connessione. Selezionare Google Cloud dal menu.
    • Nome connessione. Digitare un nome per la connessione.
  4. Nella pagina Region (Regione), selezionare un nome di progetto dal menu, selezionare una regione contenente le risorse che si desidera utilizzare, quindi selezionare Next (Avanti).

  5. Nella pagina Network (Rete) digitare un nome per le risorse, selezionare una rete virtuale dal menu, selezionare un sottoinsieme e quindi selezionare Next (Avanti). Il nome della risorsa aiuta a identificare la regione e la combinazione di rete. Le reti virtuali con il suffisso (Shared) (Condivisa) aggiunto al loro nome rappresentano i VPC condivisi. Se si configura un ruolo IAM a livello di subnet per un VPC condiviso, nell’elenco delle subnet vengono visualizzate solo le subnet specifiche del VPC condiviso.

    Nota:

    • Il nome della risorsa può contenere da 1 a 64 caratteri e non può contenere solo spazi vuoti né i caratteri \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).
  6. Nella pagina Summary (Riepilogo), confermare le informazioni e quindi selezionare Finish (Fine) per uscire dalla finestra Add Connection and Resources (Aggiungi connessione e risorse).

Dopo aver creato la connessione e le risorse, vengono elencate la connessione e le risorse create. Per configurare la connessione, selezionare la connessione e quindi selezionare l’opzione applicabile nella barra delle azioni.

Allo stesso modo, è possibile eliminare, rinominare o testare le risorse create con la connessione. A tale scopo, selezionare la risorsa sotto la connessione e quindi selezionare l’opzione applicabile nella barra delle azioni.

Preparare un’istanza di macchina virtuale master e un disco persistente

Suggerimento:

“Disco persistente” è il termine Google Cloud per il disco virtuale.

Per preparare l’istanza della macchina virtuale master, creare e configurare un’istanza di macchina virtuale con proprietà che corrispondono alla configurazione desiderata per le istanze VDA clonate nel catalogo delle macchine pianificato. La configurazione non si applica solo alle dimensioni e al tipo di istanza. Include anche attributi di istanza come metadati, tag, assegnazioni GPU, tag di rete e proprietà degli account di servizio.

Nell’ambito del processo di mastering, MCS utilizza l’istanza della macchina virtuale master per creare il modello di istanza di Google Cloud. Il modello di istanza viene quindi utilizzato per creare le istanze VDA clonate che costituiscono il catalogo delle macchine. Le istanze clonate ereditano le proprietà (ad eccezione delle proprietà del VPC, della subnet e del disco persistente) dell’istanza della macchina virtuale master da cui è stato creato il modello di istanza.

Dopo aver configurato le proprietà dell’istanza della macchina virtuale master in base alle proprie specifiche, avviare l’istanza e quindi preparare il disco persistente per l’istanza.

Si consiglia di creare manualmente una snapshot del disco. Ciò consente di utilizzare una convenzione di denominazione significativa per tenere traccia delle versioni, offre più opzioni per gestire le versioni precedenti dell’immagine master e consente di risparmiare tempo per la creazione del catalogo delle macchine. Se non si crea una snapshot personalizzata, MCS crea un’istantanea temporanea (che viene eliminata al termine del processo di provisioning).

Creare un catalogo delle macchine

Nota:

Creare le risorse prima di creare un catalogo delle macchine. Utilizzare le convenzioni di denominazione stabilite da Google Cloud durante la configurazione dei cataloghi delle macchine. Per maggiori informazioni, consultare le Linee guida per la denominazione di bucket e oggetti.

Seguire le indicazioni in Creare cataloghi delle macchine.

Gestire un catalogo di macchine

Per aggiungere macchine a un catalogo, aggiornare le macchine ed eseguire il rollback di un aggiornamento, vedere Gestire i cataloghi delle macchine.

Gestione dell’alimentazione

Citrix DaaS consente la gestione dell’alimentazione delle macchine Google Cloud. Utilizzare il nodo Search (Cerca) nel riquadro di navigazione per individuare la macchina di cui si desidera gestire l’alimentazione. Sono disponibili le seguenti azioni per l’alimentazione:

  • Delete (Elimina)
  • Start (Avvia)
  • Restart (Riavvia)
  • Force Restart (Forza riavvio)
  • Shut Down (Arresta)
  • Force Shutdown (Imponi arresto)
  • Add to Delivery Group (Aggiungi al gruppo di consegna)
  • Manage Tags (Gestisci tag)
  • Turn On Maintenance Mode (Attiva la modalità di manutenzione)

È anche possibile gestire l’alimentazione delle macchine Google Cloud utilizzando Autoscale (Scalabilità automatica). A tale scopo, aggiungere le macchine Google Cloud a un gruppo di consegna e abilitare la scalabilità automatica per tale gruppo. Per ulteriori informazioni sulla scalabilità automatica, consultare Scalabilità automatica.

Proteggersi dall’eliminazione accidentale di macchine

Citrix DaaS consente di proteggere le risorse MCS su Google Cloud per impedirne l’eliminazione accidentale. Configurare la macchina virtuale di cui è stato eseguito il provisioning impostando il flag deletionProtection su TRUE.

Per impostazione predefinita, le macchine virtuali di cui è stato eseguito il provisioning tramite MCS o il plug-in Google Cloud vengono create con InstanceProtection abilitato. L’implementazione è applicabile sia ai cataloghi persistenti che a quelli non persistenti. I cataloghi non persistenti vengono aggiornati quando le istanze vengono ricreate dal modello. Per le macchine persistenti esistenti, è possibile impostare il flag nella console di Google Cloud. Per ulteriori informazioni sull’impostazione del flag, consultare il sito della documentazione di Google. Le nuove macchine aggiunte ai cataloghi persistenti vengono create con deletionProtection abilitato.

Se si tenta di eliminare un’istanza di una macchina virtuale per la quale è stato impostato il flag deletionProtection, la richiesta non riesce. Tuttavia, se viene concessa l’autorizzazione compute.instances.setDeletionProtection o il ruolo IAM Compute Admin, è possibile reimpostare il flag per consentire l’eliminazione della risorsa.

Importare macchine di Google Cloud create manualmente

È possibile creare una connessione a Google Cloud e quindi creare un catalogo contenente macchine Google Cloud. Quindi, è possibile spegnere e riaccendere manualmente le macchine Google Cloud tramite Citrix DaaS. Con questa funzionalità, è possibile:

  • Importare macchine Google Cloud con sistema operativo multisessione create manualmente in un catalogo delle macchine di Citrix Virtual Apps and Desktops.
  • Rimuovere macchine Google Cloud con sistema operativo multisessione create manualmente da un catalogo Citrix Virtual Apps and Desktops.
  • Utilizzare le funzionalità esistenti di gestione dell’alimentazione di Citrix Virtual Apps and Desktops per gestire l’alimentazione delle macchine Google Cloud con sistema operativo multisessione Windows. Ad esempio, impostare un programma di riavvio per tali macchine.

Questa funzionalità non richiede modifiche a un flusso di lavoro di provisioning esistente di Citrix Virtual Apps and Desktops, né la rimozione di alcuna funzionalità esistente. Si consiglia di utilizzare MCS per eseguire il provisioning delle macchine nell’interfaccia Full Configuration (Configurazione completa) in Citrix DaaS anziché importare le macchine Google Cloud create manualmente.

Cloud privato virtuale condiviso

I cloud privati virtuali (VPC) condivisi comprendono un progetto host, da cui vengono rese disponibili le subnet condivise, e uno o più progetti di servizio che utilizzano la risorsa. I VPC condivisi sono desiderabili per installazioni di grandi dimensioni, perché forniscono controllo, utilizzo e amministrazione centralizzati delle risorse aziendali condivise di Google Cloud. Per ulteriori informazioni, consultare il sito della documentazione di Google.

Con questa funzionalità, Machine Creation Services (MCS) supporta il provisioning e la gestione dei cataloghi delle macchine distribuiti su VPC condivisi. Questo supporto, che dal punto di vista funzionale è equivalente al supporto attualmente fornito nei VPC locali, si differenzia sotto due aspetti:

  1. È necessario concedere autorizzazioni aggiuntive all’account di servizio utilizzato per creare la connessione host. Questo processo consente a MCS di accedere e utilizzare le risorse VPC condivise.
  2. È necessario creare due regole firewall, una per l’ingresso e una per l’uscita. Queste regole firewall vengono utilizzate durante il processo di mastering delle immagini.

Sono necessarie nuove autorizzazioni

Per la creazione della connessione host è necessario un account di servizio Google Cloud con autorizzazioni specifiche. Queste autorizzazioni aggiuntive devono essere concesse a tutti gli account di servizio utilizzati per creare connessioni host basate su VPC condivisi.

Suggerimento:

Queste autorizzazioni aggiuntive non sono nuove in Citrix DaaS. Sono utilizzate per facilitare l’implementazione di VPC locali. Con i VPC condivisi, queste autorizzazioni aggiuntive consentono l’accesso ad altre risorse VPC condivise.

È necessario concedere un massimo di quattro autorizzazioni aggiuntive all’account di servizio associato alla connessione host per supportare i VPC condivisi:

  1. compute.firewalls.list: questa autorizzazione è obbligatoria. Consente a MCS di recuperare l’elenco delle regole firewall presenti nel VPC condiviso.
  2. compute.networks.list: questa autorizzazione è obbligatoria. Consente a MCS di identificare le reti VPC condivise disponibili per l’account di servizio.
  3. compute.subnetworks.list: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. Consente a MCS di identificare le subnet all’interno dei VPC condivisi visibili. Questa autorizzazione è già richiesta quando si utilizzano VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.
  4. compute.subnetworks.use: questa autorizzazione è facoltativa, a seconda di come si utilizzano i VPC. È necessario utilizzare le risorse di subnet nei cataloghi delle macchine di cui è stato eseguito il provisioning. Questa autorizzazione è già necessaria per l’utilizzo di VPC locali, ma deve essere assegnata anche nel progetto host del VPC condiviso.

Quando si utilizzano queste autorizzazioni, tenere presente che esistono diversi approcci in base al tipo di autorizzazione utilizzato per creare il catalogo delle macchine:

  • Autorizzazione a livello di progetto:
    • Consente l’accesso a tutti i VPC condivisi all’interno del progetto host.
    • Richiede che le autorizzazioni 3 e 4 vengano assegnate all’account di servizio.
  • Autorizzazione a livello di subnet:
    • Consente l’accesso a subnet specifiche all’interno del VPC condiviso.
    • Le autorizzazioni 3 e 4 sono intrinseche all’assegnazione a livello di subnet e quindi non devono essere assegnate direttamente all’account di servizio.

Selezionare l’approccio più adatto alle esigenze e agli standard di sicurezza della propria azienda.

Suggerimento:

Per ulteriori informazioni sulle differenze tra le autorizzazioni a livello di progetto e di subnet, consultare la documentazione di Google Cloud.

Regole firewall

Durante la preparazione di un catalogo delle macchine, viene preparata un’immagine della macchina che funge da disco di sistema dell’immagine master per il catalogo. Quando si verifica questo processo, il disco viene temporaneamente collegato a una macchina virtuale. Questa macchina virtuale deve essere eseguita in un ambiente isolato che impedisca tutto il traffico di rete in entrata e in uscita. Ciò si ottiene attraverso una coppia di regole firewall “nega tutto”, una per il traffico in ingresso e una per il traffico in uscita. Quando si utilizzano i VCP locali di Google Cloud, MCS crea questo firewall nella rete locale e lo applica alla macchina per il mastering. Al termine del mastering, la regola firewall viene rimossa dall’immagine.

Si consiglia di ridurre al minimo il numero di nuove autorizzazioni necessarie per utilizzare i VPC condivisi. I VPC condivisi sono risorse aziendali di livello superiore e in genere dispongono di protocolli di sicurezza più rigidi. Per questo motivo, è necessario creare una coppia di regole firewall nel progetto host sulle risorse VPC condivise, una per l’ingresso e una per l’uscita. Assegnare a tali regole la massima priorità. Applicare un nuovo tag di destinazione a ciascuna di queste regole, utilizzando il valore seguente:

citrix-provisioning-quarantine-firewall

Quando MCS crea o aggiorna un catalogo delle macchine, cerca le regole del firewall contenenti questo tag di destinazione. Quindi esamina le regole per verificarne la correttezza e le applica alla macchina utilizzata per preparare l’immagine master per il catalogo. Se le regole firewall non vengono trovate o le regole vengono trovate ma non sono corrette (o le relative priorità non sono corrette), viene visualizzato un messaggio simile al seguente:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configurazione del VPC condiviso

Prima di aggiungere il VPC condiviso come connessione host nell’interfaccia Full Configuration (Configurazione completa) in Citrix DaaS, completare i seguenti passaggi per aggiungere account di servizio dal progetto in cui si intende effettuare il provisioning:

  1. Creare un ruolo IAM.
  2. Aggiungere l’account di servizio utilizzato per creare una connessione host CVAD al ruolo IAM del progetto host del VPC condiviso.
  3. Aggiungere l’account di servizio Cloud Build dal progetto di cui si intende eseguire il provisioning al ruolo IAM del progetto host del VPC condiviso.
  4. Creare regole firewall.

Creare un ruolo IAM

Determinare il livello di accesso del ruolo: accesso a livello di progetto o un modello più limitato utilizzando l’accesso a livello di subnet.

Accesso a livello di progetto per il ruolo IAM. Per il ruolo IAM a livello di progetto, includere le seguenti autorizzazioni:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Per creare un ruolo IAM a livello di progetto:

  1. Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
  2. Nella pagina Ruoli, selezionare CREA RUOLO.
  3. Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
    1. Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione e quindi selezionare AGGIUNGI.
    2. Selezionare CREA.

Ruolo IAM a livello di subnet. Questo ruolo omette l’aggiunta delle autorizzazioni compute.subnetworks.list e compute.subnetworks.use dopo aver selezionato CREA RUOLO. Per questo livello di accesso IAM, le autorizzazioni compute.firewalls.list e compute.networks.list devono essere applicate al nuovo ruolo.

Per creare un ruolo IAM a livello di subnet:

  1. Nella console di Google Cloud, andare a Rete VPC > VPC condiviso. Viene visualizzata la pagina VPC condiviso, in cui sono visualizzate le subnet delle reti VPC condivise contenute nel progetto host.
  2. Nella pagina VPC condiviso, selezionare la subnet a cui si desidera accedere.
  3. Nell’angolo in alto a destra, selezionare AGGIUNGI MEMBRO per aggiungere un account di servizio.
  4. Nella pagina Aggiungi membri, completare questi passaggi:
    1. Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
    2. Selezionare il campo Seleziona un ruolo e quindi Utente di rete Compute.
    3. Selezionare SALVA.
  5. Nella console di Google Cloud, andare a IAM e amministrazione > Ruoli.
  6. Nella pagina Ruoli, selezionare CREA RUOLO.
  7. Nella pagina Crea ruolo, specificare il nome del ruolo. Selezionare AGGIUNGI AUTORIZZAZIONI.
    1. Nella pagina Aggiungi autorizzazioni, aggiungere le autorizzazioni al ruolo, singolarmente. Per aggiungere un’autorizzazione, digitare il nome dell’autorizzazione nel campo Filtra tabella. Selezionare l’autorizzazione, quindi seleziona AGGIUNGI.
    2. Selezionare CREA.

Aggiungere un account di servizio al ruolo IAM del progetto host

Dopo aver creato un ruolo IAM, effettuare le seguenti operazioni per aggiungere un account di servizio per il progetto host:

  1. Nella console di Google Cloud, andare al progetto host e quindi a IAM e amministrazione > IAM.
  2. Nella pagina IAM, selezionare AGGIUNGI per aggiungere un account di servizio.
  3. Nella pagina Aggiungi membri:
    1. Nel campo Nuovi membri, digitare il nome del proprio account di servizio e quindi selezionare l’account di servizio nel menu.
    2. Selezionare un campo ruolo, digitare il ruolo IAM creato e quindi selezionare il ruolo nel menu.
    3. Selezionare SALVA.

L’account di servizio è ora configurato per il progetto host.

Aggiungere l’account del servizio di compilazione cloud al VPC condiviso

Ogni sottoscrizione a Google Cloud ha un account di servizio che prende il nome dal numero ID del progetto, seguito da cloudbuild.gserviceaccount. Ad esempio: 705794712345@cloudbuild.gserviceaccount.

È possibile determinare qual è il numero ID del progetto per il proprio progetto selezionando Home page e Dashboard nella console di Google Cloud:

Pannello di navigazione della console Google Cloud

Trovare il numero del progetto sotto l’area Informazioni sul progetto dello schermo.

Eseguire i seguenti passaggi per aggiungere l’account del servizio Cloud Build al VPC condiviso:

  1. Nella console di Google Cloud, andare al progetto host e quindi a IAM e amministrazione > IAM.
  2. Nella pagina Autorizzazioni, selezionare AGGIUNGI per aggiungere un account.
  3. Nella pagina Aggiungi membri, completare questi passaggi:
    1. Nel campo Nuovi membri, digitare il nome dell’account di servizio Cloud Build, quindi selezionare il proprio account di servizio nel menu.
    2. Selezionare il campo Seleziona un ruolo, digitare Computer Network User, quindi selezionare il ruolo nel menu.
    3. Selezionare SALVA.

Creare regole firewall

Come parte del processo di mastering, MCS copia l’immagine della macchina selezionata e la utilizza per preparare il disco di sistema dell’immagine master per il catalogo. Durante il processo di mastering, MCS collega il disco a una macchina virtuale temporanea, che in seguito esegue gli script di preparazione. Questa macchina virtuale deve essere eseguita in un ambiente isolato che vieti tutto il traffico di rete in entrata e in uscita. Per creare un ambiente isolato, MCS richiede due regole firewall “nega tutto” (una regola di ingresso e una regola di uscita). Pertanto, creare due regole firewall nel progetto host come segue:

  1. Nella console di Google Cloud, andare al progetto host e quindi a Rete VPC > Firewall.
  2. Nella pagina Firewall, selezionare CREA REGOLA FIREWALL.
  3. Nella pagina Crea una regola firewall, completare quanto segue:
    • Nome. Digitare un nome per la regola.
    • Rete. Selezionare la rete VPC condivisa a cui applicare la regola firewall in ingresso.
    • Priorità. Più piccolo è il valore, maggiore è la priorità della regola. Si consiglia un valore piccolo (ad esempio, 10).
    • Direzione del traffico. Selezionare In entrata.
    • Azione in caso di corrispondenza. Selezionare Nega.
    • Destinazioni. Utilizzare l’opzione predefinita, Tag di destinazione specificati.
    • Tag di destinazione. Digitare citrix-provisioning-quarantine-firewall.
    • Filtro di origine. Utilizzare l’opzione predefinita, Intervalli IP.
    • Intervalli IP di origine. Digitare un intervallo che corrisponda a tutto il traffico. Digitare 0.0.0.0/0.
    • Protocolli e porte. Selezionare Nega tutto.
  4. Selezionare CREA per creare la regola.
  5. Ripetere i passaggi da 1 a 4 per creare un’altra regola. Per Direzione del traffico, selezionare In uscita.

Aggiungere una connessione

Dopo aver aggiunto le interfacce di rete all’istanza di Cloud Connector, aggiungere una connessione.

Abilitare la selezione delle zone

Citrix Virtual Apps and Desktops supporta la selezione delle zone. Con la selezione delle zone, è possibile specificare le zone in cui si desidera creare macchine virtuali. Con la selezione delle zone, gli amministratori possono posizionare nodi single-tenant nelle zone di loro scelta. Per configurare la single-tenancy, è necessario completare quanto segue su Google Cloud:

  • Prenotare un nodo single-tenant di Google Cloud
  • Creare l’immagine master del VDA

Prenotazione di un nodo single-tenant di Google Cloud

Per prenotare un nodo single-tenant, consultare la documentazione di Google Cloud.

Importante:

Un modello di nodo viene utilizzato per indicare le caratteristiche prestazionali del sistema riservato nel gruppo di nodi. Tali caratteristiche includono il numero di vGPU, la quantità di memoria allocata al nodo e il tipo di macchina utilizzato per le macchine create sul nodo. Per ulteriori informazioni, consultare la documentazione di Google Cloud.

Creazione dell’immagine master VDA

Per distribuire correttamente le macchine sul nodo single-tenant, è necessario eseguire ulteriori passaggi durante la creazione di un’immagine master della macchina virtuale. Le istanze delle macchine su Google Cloud hanno una proprietà chiamata etichette di affinità nodo. Le istanze utilizzate come immagini master per i cataloghi distribuiti nel nodo single-tenant richiedono un’etichetta di affinità nodo che corrisponda al nome del gruppo di nodi di destinazione. Per raggiungere questo obiettivo, tenere presente quanto segue:

Nota:

Se si intende utilizzare la single-tenancy con un VPC condiviso, consultare Cloud privato virtuale condiviso.

Impostare un’etichetta di affinità nodo durante la creazione di un’istanza

Per impostare l’etichetta di affinità nodo:

  1. Nella console di Google Cloud, andare a Compute Engine > Istanze VM.

  2. Nella pagina Istanze VM, selezionare Crea istanza.

  3. Nella pagina Creazione istanza, digitare o configurare le informazioni richieste e quindi selezionare Gestione, sicurezza, dischi, networking, single-tenancy per aprire il pannello delle impostazioni.

  4. Nella scheda Single-tenancy, selezionare Sfoglia per visualizzare i gruppi di nodi disponibili nel progetto corrente. Viene visualizzata la pagina Nodo single-tenant, che mostra un elenco dei gruppi di nodi disponibili.

  5. Nella pagina Nodo single-tenant, selezionare il gruppo di nodi applicabile dall’elenco, quindi selezionare Seleziona per tornare alla scheda Single-tenancy. Il campo delle etichette di affinità nodo viene compilato con le informazioni selezionate. Questa impostazione garantisce che i cataloghi delle macchine creati dall’istanza vengano distribuiti nel gruppo di nodi selezionato.

  6. Selezionare Crea per creare l’istanza.

Impostare un’etichetta di affinità nodo per un’istanza esistente

Per impostare l’etichetta di affinità nodo:

  1. Nella finestra del terminale di Google Cloud Shell, utilizzare il comando gcloud compute instances per impostare un’etichetta di affinità nodo. Includere le seguenti informazioni nel comando gcloud:

    • Nome della macchina virtuale. Ad esempio, utilizzare una macchina virtuale esistente denominata s*2019-vda-base.*
    • Nome del gruppo di nodi. Utilizzare il nome del gruppo di nodi creato in precedenza. Ad esempio mh-sole-tenant-node-group-1.
    • La zona in cui risiede l’istanza. Ad esempio, la macchina virtuale risiede nella zona *us-east-1b* zone.

    Ad esempio, digitare il seguente comando nella finestra del terminale:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Per ulteriori informazioni sul comando gcloud compute instances, consultare la documentazione di Google Developer Tools all’indirizzo https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Passare alla pagina Dettagli istanza VM dell’istanza e verificare che il campo Affinità del nodo venga compilato con l’etichetta.

Creare un catalogo delle macchine

Dopo aver impostato l’etichetta di affinità nodo, configurare il catalogo delle macchine.

Anteprima: utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

È possibile utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i cataloghi MCS. Quando si utilizza questa funzionalità, si assegna il ruolo CryptoKey Encrypter/Decrypter di Google Cloud Key Management Service all’agente del servizio Compute Engine. L’account Citrix DaaS deve disporre delle autorizzazioni corrette nel progetto in cui è memorizzata la chiave. Per ulteriori informazioni, consultare Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.

L’agente del servizio Compute Engine ha il seguente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Questo formato è diverso dall’account predefinito del servizio Compute Engine.

Nota:

Questo account del servizio Compute Engine potrebbe non essere visualizzato nella schermata IAM/Autorizzazioni di Google Cloud Console. In questi casi, utilizzare il comando gcloud come descritto in Aiutare a proteggere le risorse utilizzando le chiavi di Cloud KMS.

Assegnazione delle autorizzazioni all’account Citrix DaaS

Le autorizzazioni di Google Cloud KMS possono essere configurate in vari modi. È possibile fornire autorizzazioni KMS a livello di progetto o autorizzazioni KMS a livello di risorsa. Vedere Autorizzazioni e ruoli per ulteriori informazioni.

Autorizzazioni a livello di progetto

Un’opzione è fornire all’account Citrix DaaS autorizzazioni a livello di progetto per esplorare le risorse di Cloud KMS. A tale scopo, creare un ruolo personalizzato e aggiungere le seguenti autorizzazioni:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Assegnare questo ruolo personalizzato all’account Citrix DaaS. Questo consente di sfogliare le chiavi regionali nel progetto pertinente nell’inventario.

Autorizzazioni a livello di risorsa

Per l’altra opzione, le autorizzazioni a livello di risorsa, nella console di Google Cloud selezionare la cryptoKey utilizzata per il provisioning MCS. Aggiungere un account Citrix DaaS a un portachiavi o a una chiave utilizzata per il provisioning del catalogo.

Suggerimento:

Con questa opzione non è possibile sfogliare le chiavi regionali per il progetto nell’inventario perché l’account Citrix DaaS non dispone delle autorizzazioni elenco a livello di progetto per le risorse Cloud KMS. Tuttavia, è comunque possibile eseguire il provisioning di un catalogo utilizzando CMEK specificando l’cryptoKeyId nelle proprietà personalizzate ProvScheme, come descritto di seguito.

Provisioning con CMEK utilizzando le proprietà personalizzate

Quando si crea lo schema di provisioning tramite PowerShell, specificare una proprietà CryptoKeyId in ProvScheme CustomProperties. Ad esempio:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

L’cryptoKeyId deve essere specificato nel seguente formato:

projectId:location:keyRingName:cryptoKeyName

Ad esempio, se si desidera utilizzare la chiave my-example-key nel keyring my-example-key-ring nella regione us-east1 e nel progetto con ID my-example-project-1, le impostazioni personalizzate ProvScheme saranno simili a:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Tutti i dischi e le immagini di cui è stato eseguito il provisioning tramite MCS relativi a questo schema di provisioning utilizzano questa chiave di crittografia gestita dal cliente.

Suggerimento:

Se si utilizzano le chiavi globali, la posizione delle proprietà del cliente deve indicare global e non il nome della regione, che nell’esempio precedente è us-east1. Ad esempio: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotazione delle chiavi gestite dal cliente

Google Cloud non supporta la rotazione delle chiavi su dischi o immagini persistenti esistenti. Una volta eseguito il provisioning di una macchina, questa viene associata alla versione della chiave in uso al momento della creazione. Tuttavia, è possibile creare una nuova versione della chiave e tale nuova chiave viene utilizzata per le macchine o le risorse di cui è stato recentemente eseguito il provisioning create quando un catalogo viene aggiornato con una nuova immagine master.

Considerazioni importanti sui keyring

I keyring non possono essere rinominati o eliminati. Inoltre, si potrebbero ricevere addebiti imprevisti quando vengono configurati. Quando si elimina o si rimuove un keyring, Google Cloud visualizza un messaggio di errore:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Suggerimento:

Per ulteriori informazioni, consultare Modificare o eliminare un keyring dalla console.

Compatibilità dell’accesso uniforme a livello di bucket

Citrix DaaS è compatibile con criteri uniformi di controllo degli accessi a livello di bucket su Google Cloud. Questa funzionalità espande l’uso del criterio IAM che concede autorizzazioni a un account di servizio per consentire la manipolazione delle risorse, inclusi i bucket di archiviazione. Con un controllo dell’accesso uniforme a livello di bucket, Citrix DaaS consente di utilizzare un elenco di controllo degli accessi (ACL) per controllare l’accesso ai bucket di archiviazione o agli oggetti memorizzati in essi. Consultare Accesso uniforme a livello di bucket per informazioni generali sull’accesso uniforme a livello di bucket di Google Cloud. Per informazioni sulla configurazione, vedere Richiedere un accesso uniforme a livello di bucket.

Ulteriori informazioni