共有VPCの構成

Citrix DaaSの完全な構成インターフェイスで共有VPCをホスト接続として追加する前に、次の手順を実行して、プロビジョニングするプロジェクトのサービスアカウントを追加します：

1. IAM役割を作成します。
2. ホストプロジェクトのIAM役割にサービスアカウントを追加する。
3. Cloud Buildサービスアカウントを共有VPCに追加する。
4. ファイアウォール規則を作成します。

IAM役割を作成する

役割のアクセスレベルを決定します：

• プロジェクトレベルのアクセス、または
• サブネットレベルのアクセスを使用する、より制限されたモデル。

IAM役割のプロジェクトレベルのアクセス。 プロジェクトレベルのIAM役割には、次の権限を含めます：

• compute.firewalls.list
• compute.networks.list
• compute.subnetworks.list
• compute.subnetworks.use

プロジェクトレベルのIAM役割を作成するには、次の手順を実行します：

1. Google Cloudコンソールで、［IAM & Admin］>［Roles］に移動します。
2. ［Roles］ ページで、［CREATE ROLE］ を選択します。
3. ［Create Role］ ページで、役割名を指定します。 ［ADD PERMISSIONS］ を選択します。
   1. ［Add permissions］ ページで、役割に権限を個別に追加します。 権限を追加するには、［Filter table］ フィールドで権限の名前を入力します。 権限を選択し、［ADD］ を選択します。
   2. ［CREATE］ を選択します。

サブネットレベルのIAM役割。 この役割では、［CREATE ROLE］を選択した後、権限compute.subnetworks.listとcompute.subnetworks.useの追加が省略されます。 このIAMアクセスレベルでは、新しい役割に権限compute.firewalls.listとcompute.networks.listを適用する必要があります。

サブネットレベルのIAM役割を作成するには、次の手順を実行します：

1. Google Cloudコンソールで、［VPC network］ > ［Shared VPC］に移動します。 ［Shared VPC］ ページが開き、ホストプロジェクトに含まれる共有VPCネットワークのサブネットが表示されます。
2. ［Shared VPC］ ページで、アクセスするサブネットを選択します。
3. 右上隅にある ［ADD MEMBER］ を選択して、サービスアカウントを追加します。
4. ［Add members］ ページで、次の手順を実行します：
   1. ［New members］ フィールドにサービスアカウントの名前を入力し、メニューでサービスアカウントを選択します。
   2. ［Select a role］ フィールドを選択し、［Compute Network User］ を選択します。
   3. ［SAVE］ を選択します。
5. Google Cloudコンソールで、［IAM & Admin］ > ［Roles］に移動します。
6. ［Roles］ ページで、［CREATE ROLE］ を選択します。
7. ［Create Role］ ページで、役割名を指定します。 ［ADD PERMISSIONS］ を選択します。
   1. ［Add permissions］ ページで、役割に権限を個別に追加します。 権限を追加するには、［Filter table］ フィールドで権限の名前を入力します。 権限を選択し、［ADD］ を選択します。
   2. ［CREATE］ を選択します。

ホストプロジェクトのIAM役割にサービスアカウントを追加する

IAM役割を作成した後、次の手順を実行して、ホストプロジェクトのサービスアカウントを追加します：

1. Google Cloudコンソールでホストプロジェクトに移動し、［IAM & Admin］>［IAM］の順に選択します。
2. ［IAM］ ページで、［ADD］ を選択してサービスアカウントを追加します。
3. ［Add members］ ページで、次の操作を行います：
   1. ［New members］ フィールドにサービスアカウントの名前を入力し、メニューでサービスアカウントを選択します。
   2. 役割のフィールドを選択し、作成したIAM役割を入力して、メニューでその役割を選択します。
   3. ［SAVE］ を選択します。

これで、ホストプロジェクト用のサービスアカウントが構成されました。

Cloud Buildサービスアカウントを共有VPCに追加する

すべてのGoogle Cloudサブスクリプションは、プロジェクトID番号の後にサービスアカウントが指定され、その後にcloudbuild.gserviceaccountが続きます。 例：705794712345@cloudbuild.gserviceaccount。

プロジェクトのプロジェクトID番号を確認するには、Google Cloudコンソールで［クラウドの概要］>［ダッシュボード］を選択します。 プロジェクトIDとプロジェクト番号が、プロジェクトのダッシュボードの［Project Info］ カードに表示されます：

Cloud Buildサービスアカウントを共有VPCに追加するには、次の手順を実行します：

1. Google Cloudコンソールでホストプロジェクトに移動し、［IAM & Admin］ > ［IAM］の順に選択します。
2. ［Permissions］ ページで、［ADD］を選択してアカウントを追加します。
3. ［Add members］ ページで、次の手順を実行します：
   1. ［New members］ フィールドにCloud Buildサービスアカウントの名前を入力し、メニューでサービスアカウントを選択します。
   2. ［Select a role］フィールドを選択し、コンピューターネットワークユーザーを入力して、メニューで役割を選択します。
   3. ［SAVE］ を選択します。

ファイアウォール規則の作成

マスタリングプロセスの一部として、MCSは選択されたマシンイメージをコピーし、それを使用してカタログ用のマスターイメージシステムディスクを準備します。 マスタリングでは、MCSがディスクを一次仮想マシンに接続し、そこで準備スクリプトが実行されます。 このVMは、すべての受信および送信ネットワークトラフィックが禁止された、分離された環境で実行する必要があります。

分離された環境を作成するには、MCSに2つのdeny allファイアウォール規則（受信規則と送信規則）が必要です。 したがって、ホストプロジェクトに次のように2つのファイアウォール規則（受信規則と送信規則）を作成します：

1. Google Cloudコンソールでホストプロジェクトに移動し、［VPC network］>［Firewall］の順に選択します。
2. ［Firewall］ ページで、［CREATE FIREWALL RULE］ を選択します。
3. ［Create a firewall rule］ ページで、次の操作を行います：
   • 名前。 規則名を入力します。
   • Network： 受信ファイアウォール規則を適用する共有VPCネットワークを選択します。
   • Priority： 値が小さいほど、規則の優先度は高くなります。 小さい値（10など）を指定することをお勧めします。
   • Direction of traffic： ［Ingress］ を選択します。
   • Action on match： ［Deny］を選択します。
   • ターゲット。 デフォルトの ［Specified target tags］ を使用します。
   • ターゲットタグ。 citrix-provisioning-quarantine-firewallと入力します。
   • Source filter： デフォルトのIPアドレス範囲を使用します。
   • ソースIP範囲。 すべてのトラフィックに一致する範囲を入力します。 0.0.0.0/0と入力します。
   • Protocols and ports： ［Deny all］を選択します。
4. ［CREATE］ を選択して規則を作成します。
5. さらに規則を作成するには、上記の手順を繰り返します。 ［Direction of traffic］ で、［Egress］を選択します。