This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Google Cloudの共有 VPC
共有仮想プライベートクラウド(VPC)は、共有サブネットが使用可能なホストプロジェクトと、リソースを使用する1つ以上のサービスプロジェクトで構成されます。 共有VPCは、企業の共有Google Cloudリソースの制御、使用、管理を一元的に行うため、大規模なインストールでは望ましいオプションです。 詳しくは、Googleのドキュメントのサイトを参照してください。
この機能により、Machine Creation Services(MCS)は、共有VPCに展開されたマシンカタログのプロビジョニングと管理をサポートします。 このサポートは、現在ローカルVPCで提供されているサポートと同等の機能ですが、次の2つの点が異なります:
- ホスト接続の作成に使用するサービスアカウントに追加の権限を付与する必要があります。 このプロセスにより、MCSは共有VPCリソースにアクセスして使用できるようになります。 「新しい権限が必要」を参照してください。
- 受信用と送信用の2つのファイアウォール規則を作成する必要があります。 これらのファイアウォール規則は、イメージのマスタリングプロセスで使用されます。 「 ファイアウォール規則」を参照してください。
共有VPCの構成については、「共有VPCの構成」を参照してください。
新しい権限が必要
ホスト接続を作成するときは、特定の権限を持つGoogle Cloudサービスアカウントが必要です。 これらの追加の権限は、VPCベースのホスト接続を作成するために使用されるすべてのサービスアカウントに付与する必要があります。
ヒント:
これらの追加のアクセス権限は、Citrix DaaSにとって新しいものではありません。 これらは、ローカルVPCの実装を容易にするために使用されます。 共有VPCの場合、これらの追加権限により、共有VPCリソースへのアクセスが許可されます。
共有VPCをサポートするには、ホスト接続に関連付けられたサービスアカウントに追加の権限を最大4つ付与する必要があります:
- compute.firewalls.list - この権限は必須です。 これにより、MCSは共有VPCに存在するファイアウォール規則のリストを取得できます。
- compute.networks.list - この権限は必須です。 これにより、MCSがサービスアカウントで使用可能な共有VPCネットワークを識別できます。
- compute.subnetworks.list – この権限は、VPCの使用方法に応じてオプションとなります。 これにより、MCSは可視の共有VPC内のサブネットを識別できます。 この権限は、ローカルVPCを使用する場合は既に必須ですが、共有VPCホストプロジェクトでも割り当てる必要があります。
- compute.subnetworks.use - この権限は、VPCの使用方法に応じてオプションとなります。 プロビジョニングされたマシンカタログでは、サブネットリソースを使用する必要があります。 この権限は、ローカルVPCを使用する場合は既に必須ですが、共有VPCホストプロジェクトでも割り当てる必要があります。
これらの権限を使用する場合は、マシンカタログの作成に使用する権限の種類によって方法が異なることを考慮してください:
- プロジェクトレベルの権限:
- ホストプロジェクト内のすべての共有VPCへのアクセスを許可します。
-
compute.subnetworks.listとcompute.subnetworks.useの権限をサービスアカウントに割り当てる必要があります。
- サブネットレベルの権限:
- 共有VPC内の特定のサブネットへのアクセスを許可します。
- 権限
compute.subnetworks.listとcompute.subnetworks.useは、サブネットレベルの割り当てに組み込まれているため、サービスアカウントに直接割り当てる必要はありません。
組織のニーズとセキュリティ基準に合ったアプローチを選択します。
ヒント:
プロジェクトレベルとサブネットレベルの権限の違いについて詳しくは、「サービスプロジェクト管理者」を参照してください。
ファイアウォール規則
マシンカタログの準備中に、カタログのマスターイメージシステムディスクとして機能するマシンイメージが準備されます。 このプロセスが発生すると、ディスクは一時的に仮想マシンに接続されます。 このVMは、すべての受信および送信ネットワークトラフィックが禁止された、分離された環境で実行する必要があります。 これは、2つのdeny-allファイアウォール規則によって実現されます:1つは受信トラフィック用で、もう1つは送信トラフィック用です。 Google CloudローカルVCPを使用する場合、MCSはこのファイアウォールをローカルネットワーク上に作成し、マスタリングのためにマシンに適用します。 マスタリングが完了すると、ファイアウォール規則がイメージから削除されます。
Shared VPCを使用するために必要な新しい権限の数は最小限に抑えることを推奨します。 共有VPCは、より高レベルの企業リソースであり、通常はより厳格なセキュリティプロトコルを採用しています。 このため、共有VPCリソース上のホストプロジェクトに2つのファイアウォール規則を作成します。1つは受信用、もう1つは送信用です。 それらに最も高い優先度を割り当てます。 次の値を使用して、これらの各規則に新しいターゲットタグを適用します:
citrix-provisioning-quarantine-firewall
MCSは、マシンカタログを作成または更新するときに、このターゲットタグを含むファイアウォール規則を検索します。 次に、規則が正しいかを調べ、カタログのマスターイメージの準備で使用されたマシンにそれを適用します。 ファイアウォール規則が見つからない場合、または規則は見つかったが規則やその優先度が正しくない場合には、次のようなメッセージが表示されます:
"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.