製品ドキュメント
Citrix Virtual Apps and Desktops 7 2311
PDFを表示

グーグル クラウド 環境

May 31, 2026
寄稿者: 
C C

Citrix Virtual Apps and Desktops™ を使用すると、Google Cloud 上でマシンをプロビジョニングおよび管理できます。

必要なもの

  • Citrix Cloud™ アカウント。この記事で説明されている機能は、Citrix Cloud でのみ利用できます。
  • Google Cloud プロジェクト。このプロジェクトには、マシンカタログに関連付けられているすべてのコンピューティングリソースが保存されます。既存のプロジェクトでも新規のプロジェクトでも構いません。
  • Google Cloud プロジェクトで4つのAPIを有効にします。詳細については、「Google Cloud APIを有効にする」を参照してください。
  • Google Cloud サービスアカウント。サービスアカウントはGoogle Cloudに対して認証を行い、プロジェクトへのアクセスを可能にします。詳細については、「サービスアカウントの構成と更新」を参照してください。
  • Google プライベートアクセスを有効にします。詳細については、「プライベートGoogleアクセスを有効にする」を参照してください。

グーグルクラウド API を有効にする

Web Studio を介して Google Cloud 機能を使用するには、Google Cloud プロジェクトで次の API を有効にします。

  • コンピュートエンジン API
  • クラウド リソース マネージャー API
  • アイデンティティおよびアクセス管理 (IAM) API
  • クラウドビルド API
  • クラウド キー マネジメント サービス (KMS)

Google Cloud コンソールから、次の手順を実行します。

  1. 左上のメニューで、API とサービス > ダッシュボードを選択します。

    API とサービス ダッシュボードの選択画像

  2. ダッシュボード」画面で、Compute Engine API が有効になっていることを確認します。有効になっていない場合は、 次の手順に従います。

    1. API とサービス > ライブラリに移動します。

      API とサービス ライブラリの画像

    2. 検索ボックスに「Compute Engine」と入力します。

    3. 検索結果から、Compute Engine APIを選択します。

    4. Compute Engine APIページで、有効にするを選択します。

  3. クラウド リソース マネージャー API を有効にします。

    1. API とサービス > ライブラリに移動します。

    2. 検索ボックスに「クラウド リソース マネージャー」と入力します。

    3. 検索結果に表示されるCloud Resource Manager APIを選択します。

    4. Cloud Resource Manager APIページで、有効にするを選択します。API のステータスが表示されます。

  4. Similarly, enable Identity and Access Management (IAM) API and Cloud Build API.

Google Cloud Shell を使用して API を有効にすることもできます。これを行うには、次の手順を実行します。

  1. Google コンソールを開き、Cloud Shell をロードします。

  2. Cloud Shell で次の4つのコマンドを実行します。

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
  3. Cloud Shell からプロンプトが表示されたら、[承認] をクリックします。

サービスアカウントの構成と更新

注:

GCP は、2024年4月29日以降、Cloud Build Service のデフォルトの動作とサービスアカウントの使用に変更を導入します。詳細については、「Cloud Build Service Account Change」を参照してください。2024年4月29日より前に Cloud Build API が有効になっている既存の Google プロジェクトは、この変更の影響を受けません。ただし、4月29日以降も既存の Cloud Build Service の動作を維持したい場合は、Cloud Build API を有効にする前に、組織ポリシーを作成または適用して制約の適用を無効にすることができます。その結果、以下のコンテンツは「2024年4月29日まで」と「2024年4月29日以降」の2つに分かれています。新しい組織ポリシーを設定する場合は、「2024年4月29日まで」のセクションに従ってください。

2024年4月29日まで

Citrix Cloud は、Google Cloud プロジェクト内で3つの個別のサービスアカウントを使用します。

  • Citrix Cloud Service Account: このサービスアカウントにより、Citrix Cloud は Google プロジェクトにアクセスし、マシンをプロビジョニングおよび管理できます。このサービスアカウントは、Google Cloud によって生成されたキーを使用して Google Cloud に対して認証を行います。

    このサービスアカウントは、ここに概説されているように手動で作成する必要があります。詳細については、「Citrix Cloud Service Account の作成」を参照してください。

    このサービスアカウントはメールアドレスで識別できます。例: <my-service-account>@<project-id>.iam.gserviceaccount.com

  • Cloud Build サービスアカウント: このサービスアカウントは、Google Cloud API を有効にするで言及されているすべての API を有効にすると、自動的にプロビジョニングされます。自動的に作成されたすべてのサービスアカウントを表示するには、Google Cloud コンソールで IAM と管理 > IAM に移動し、Google 提供のロール付与を含めるチェックボックスを選択します。

    このサービスアカウントは、プロジェクト ID と「cloudbuild」という単語で始まるメールアドレスで識別できます。例: <project-id>@cloudbuild.gserviceaccount.com

    サービスアカウントに以下のロールが付与されていることを確認します。ロールを追加する必要がある場合は、Cloud Build サービスアカウントにロールを追加するに記載されている手順に従ってください。

    • Cloud Build サービスアカウント
    • コンピュート インスタンス管理者
    • サービスアカウントユーザー

  • Cloud Compute サービスアカウント: このサービスアカウントは、Compute API がアクティブ化されると、Google Cloud によって Google Cloud で作成されたインスタンスに追加されます。このアカウントには、操作を実行するための IAM 基本編集者ロールがあります。ただし、より詳細な制御を行うためにデフォルトの権限を削除した場合、以下の権限を必要とするストレージ管理者ロールを追加する必要があります。

    • resourcemanager.projects.get
    • storage.objects.create
    • ストレージ.オブジェクト.取得
    • ストレージ.オブジェクト.一覧表示

このサービスアカウントは、プロジェクト ID と「compute」という単語で始まるメールアドレスで識別できます。例: <project-id>-compute@developer.gserviceaccount.com

Citrix Cloud サービスアカウントを作成する

Citrix Cloud サービスアカウントを作成するには、次の手順に従います。

  1. Google Cloud コンソールで、IAM と管理 > サービスアカウントに移動します。
  2. サービスアカウントページで、サービスアカウントを作成を選択します。
  3. サービスアカウントの作成ページで、必要な情報を入力し、作成して続行を選択します。

  4. このサービスアカウントにプロジェクトへのアクセス権を付与ページで、ロールを選択ドロップダウンメニューをクリックし、必要なロールを選択します。さらにロールを追加したい場合は、+別のロールを追加をクリックします。

    各アカウント(個人またはサービス)には、プロジェクトの管理を定義するさまざまなロールがあります。このサービスアカウントに以下のロールを付与します。

    • コンピュート管理者
    • ストレージ管理者
    • クラウドビルド編集者
    • サービスアカウントユーザー
    • クラウドデータストア利用者
    • Cloud KMS 暗号オペレーター

    Cloud KMS 暗号オペレーターには、以下の権限が必要です。

    • cloudkms の暗号鍵を取得する
    • cloudkms の暗号鍵を一覧表示する
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    注:

    新しいサービスアカウントを作成する際に利用可能な役割の完全なリストを取得するには、すべてのAPIを有効にしてください。

  5. 続行をクリックします
  6. このサービスアカウントへのユーザーアクセスを許可ページで、ユーザーまたはグループを追加して、このサービスアカウントでアクションを実行するアクセス権を付与します。
  7. 完了をクリックします。
  8. IAMメインコンソールに移動します。
  9. 作成したサービスアカウントを特定します。
  10. 役割が正常に割り当てられていることを確認します。

考慮事項:

サービスアカウントを作成する際は、次の点を考慮してください。

  • このサービスアカウントにプロジェクトへのアクセスを許可およびこのサービスアカウントへのユーザーアクセスを許可の手順はオプションです。これらのオプションの構成手順をスキップすることを選択した場合、新しく作成されたサービスアカウントはIAMと管理 > IAMページに表示されません。
  • サービスアカウントに関連付けられた役割を表示するには、オプションの手順をスキップせずに役割を追加します。このプロセスにより、構成されたサービスアカウントに役割が表示されるようになります。

Citrix Cloudサービスアカウントキー

Citrix DaaSで接続を作成するには、Citrix Cloudサービスアカウントキーが必要です。キーは資格情報ファイル(.json)に含まれています。キーを作成すると、ファイルは自動的にダウンロードされ、ダウンロードフォルダーに保存されます。キーを作成する際は、キーの種類をJSONに設定してください。そうしないと、Citrix Full Configurationインターフェイスで解析できません。

サービスアカウントキーを作成するには、IAM と管理 > サービスアカウントに移動し、Citrix Cloudサービスアカウントのメールアドレスをクリックします。キータブに切り替え、キーを追加 > 新しいキーを作成を選択します。キーのタイプとしてJSONが選択されていることを確認してください。

ヒント:

Google Cloudコンソールのサービスアカウントページを使用してキーを作成します。セキュリティ上の理由から、定期的にキーを変更することをお勧めします。既存のGoogle Cloud接続を編集することで、Citrix Virtual Apps and Desktopsアプリケーションに新しいキーを提供できます。

Citrix Cloudサービスアカウントにロールを追加する

Citrix Cloudサービスアカウントにロールを追加するには:

  1. Google Cloudコンソールで、IAM と管理 > IAMに移動します。

  2. IAM > 権限ページで、作成したサービスアカウントをメールアドレスで特定し、見つけます。

    例: <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. 鉛筆アイコンを選択して、サービスアカウントのプリンシパルへのアクセスを編集します。
  4. 選択したプリンシパルオプションの「project-id」へのアクセスを編集ページで、別のロールを追加を選択して必要なロールをサービスアカウントに1つずつ追加し、保存を選択します。

Cloud Buildサービスアカウントにロールを追加する

Cloud Buildサービスアカウントにロールを追加するには:

  1. Google Cloudコンソールで、IAM と管理 > IAMに移動します。

  2. IAMページで、プロジェクトIDcloudbuildという単語で始まるメールアドレスで識別できるCloud Buildサービスアカウントを見つけます。

    例: <project-id>@cloudbuild.gserviceaccount.com

  3. 鉛筆アイコンを選択して、Cloud Buildアカウントの役割を編集します。

  4. 選択したプリンシパルオプションの「“project-id”へのアクセスを編集」ページで、「別の役割を追加」を選択して、必要な役割をCloud Buildサービスアカウントに1つずつ追加し、その後「保存」を選択します。

    注:

    すべてのAPIを有効にして、役割の完全なリストを取得します。

2024年4月29日以降

Citrix Cloudは、Google Cloudプロジェクト内で2つの異なるサービスアカウントを使用します。

  • Citrix Cloudサービスアカウント: このサービスアカウントにより、Citrix CloudはGoogleプロジェクトにアクセスし、マシンをプロビジョニングおよび管理できます。このサービスアカウントは、Google Cloudによって生成されたキーを使用してGoogle Cloudに認証します。

    このサービスアカウントは手動で作成する必要があります。

    このサービスアカウントはメールアドレスで識別できます。例: <my-service-account>@<project-id>.iam.gserviceaccount.com

  • Cloud Computeサービスアカウント: このサービスアカウントは、Google Cloud APIを有効にするで言及されているすべてのAPIを有効にすると、自動的にプロビジョニングされます。自動的に作成されたすべてのサービスアカウントを表示するには、Google CloudコンソールでIAMと管理 > IAMに移動し、「Google提供の役割付与を含める」チェックボックスを選択します。このアカウントには、操作を実行するためのIAM基本編集者ロールがあります。ただし、より詳細な制御のためにデフォルトの権限を削除した場合、以下の権限を必要とするStorage Adminロールを追加する必要があります。

    • リソースマネージャー.プロジェクト.ゲット
    • ストレージ.オブジェクト.クリエイト
    • ストレージ.オブジェクト.ゲット
    • ストレージ.オブジェクト.リスト

    このサービスアカウントは、プロジェクトIDと「compute」という単語で始まるメールアドレスで識別できます。例: <project-id>-compute@developer.gserviceaccount.com.

    サービスアカウントに以下のロールが付与されていることを確認します。

    • Cloud Build サービスアカウント
    • コンピュート インスタンス管理者
    • サービスアカウントユーザー

Citrix Cloud サービスアカウントを作成する

Citrix Cloud サービスアカウントを作成するには、次の手順に従います。

  1. Google Cloud コンソールで、IAM と管理 > サービスアカウントに移動します。
  2. サービスアカウントページで、サービスアカウントを作成を選択します。
  3. サービスアカウントの作成ページで、必要な情報を入力し、作成して続行を選択します。

  4. このサービスアカウントにプロジェクトへのアクセス権を付与ページで、ロールを選択ドロップダウンメニューをクリックし、必要なロールを選択します。さらにロールを追加する場合は、+別のロールを追加をクリックします。

    各アカウント(個人またはサービス)には、プロジェクトの管理を定義するさまざまなロールがあります。このサービスアカウントに以下のロールを付与します。

    • コンピュート管理者
    • ストレージ管理者
    • クラウドビルド編集者
    • サービスアカウントユーザー
    • クラウド データストア 利用者
    • クラウド KMS 暗号 運用者

    Cloud KMS Crypto オペレーターには、次の権限が必要です。

    • クラウドKMS.クリプトキーズ.ゲット
    • クラウドKMS.クリプトキーズ.リスト
    • cloudkms.keyRings.get
    • クラウドKMS.キーリング.リスト

    注:

    新しいサービスアカウントを作成する際に利用可能なロールの完全なリストを取得するには、すべてのAPIを有効にしてください。

  5. CONTINUE をクリックします
  6. Grant users access to this service account ページで、ユーザーまたはグループを追加して、このサービスアカウントでアクションを実行するアクセス権を付与します。
  7. DONE をクリックします。
  8. IAM メインコンソールに移動します。
  9. 作成されたサービスアカウントを特定します。
  10. ロールが正常に割り当てられていることを検証します。

考慮事項:

サービスアカウントを作成する際は、以下を考慮してください。

  • このサービスアカウントにプロジェクトへのアクセス権を付与するおよびユーザーにこのサービスアカウントへのアクセス権を付与するの手順はオプションです。これらのオプションの構成手順をスキップすることを選択した場合、新しく作成されたサービスアカウントはIAMと管理 > IAMページに表示されません。
  • サービスアカウントに関連付けられた役割を表示するには、オプションの手順をスキップせずに役割を追加します。このプロセスにより、構成されたサービスアカウントの役割が表示されるようになります。

Citrix Cloudサービスアカウントキー

Citrix Cloudサービスアカウントキーは、Citrix DaaSで接続を作成するために必要です。キーは資格情報ファイル(.json)に含まれています。キーを作成すると、ファイルは自動的にダウンロードされ、ダウンロードフォルダーに保存されます。キーを作成する際は、キーの種類をJSONに設定してください。そうしないと、Citrix Full Configurationインターフェイスで解析できません。

サービスアカウントキーを作成するには、IAMと管理 > サービスアカウントに移動し、Citrix Cloudサービスアカウントのメールアドレスをクリックします。キータブに切り替えて、キーを追加 > 新しいキーを作成を選択します。キーの種類としてJSONが選択されていることを確認してください。

ヒント:

Google Cloudコンソールのサービスアカウントページを使用してキーを作成します。セキュリティ上の理由から、キーを定期的に変更することをお勧めします。既存のGoogle Cloud接続を編集することで、新しいキーをCitrix Virtual Apps and Desktopsアプリケーションに提供できます。

Citrix Cloudサービスアカウントに役割を追加する

Citrix Cloudサービスアカウントに役割を追加するには:

  1. Google Cloudコンソールで、IAMと管理 > IAMに移動します。

  2. IAM > 権限ページで、作成したサービスアカウント(メールアドレスで識別可能)を見つけます。

    例: <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. 鉛筆アイコンを選択して、サービスアカウントのプリンシパルへのアクセスを編集します。
  4. 選択したプリンシパルオプションの「project-id」へのアクセスを編集ページで、ADD ANOTHER ROLEを選択して、必要な役割をサービスアカウントに1つずつ追加し、SAVEを選択します。

Cloud Compute サービスアカウントに役割を追加する

Cloud Compute サービスアカウントに役割を追加するには:

  1. Google Cloud コンソールで、IAM と管理 > IAM に移動します。

  2. IAMページで、Project IDcomputeという単語で始まるメールアドレスで識別できるCloud Compute Service Accountを見つけます。

    例: <project-id>-compute@developer.gserviceaccount.com

  3. 鉛筆アイコンを選択して、Cloud Buildアカウントの役割を編集します。

  4. 選択したプリンシパルオプションの「Edit access to “project-id” page」で、ADD ANOTHER ROLEを選択して、必要な役割をCloud Buildサービスアカウントに1つずつ追加し、SAVEを選択します。

    注:

    すべてのAPIを有効にして、役割の完全なリストを取得します。

ストレージの権限とバケット管理

Citrix Virtual Apps and Desktopsは、Google Cloud serviceのクラウドビルド失敗レポートプロセスを改善します。このサービスはGoogle Cloudでビルドを実行します。Citrix Virtual Apps and Desktopsは、citrix-mcs-cloud-build-logs-{region}-{5 random characters}という名前のストレージバケットを作成し、Google Cloudサービスがビルドログ情報をキャプチャします。このバケットには、30日後にコンテンツを削除するオプションが設定されています。このプロセスでは、接続に使用されるサービスアカウントに、Google Cloudの権限がstorage.buckets.updateに設定されている必要があります。サービスアカウントにこの権限がない場合、Citrix Virtual Apps and Desktopsはエラーを無視し、カタログ作成プロセスを続行します。この権限がないと、ビルドログのサイズが増加し、手動でのクリーンアップが必要になります。

プライベートGoogleアクセスを有効にする

VMにネットワークインターフェイスに割り当てられた外部IPアドレスがない場合、パケットは他の内部IPアドレスの宛先にのみ送信されます。プライベートアクセスを有効にすると、VMはGoogle APIおよび関連サービスで使用される外部IPアドレスのセットに接続します。

注:

プライベートGoogleアクセスが有効になっているかどうかにかかわらず、パブリックIPアドレスを持つVMと持たないVMはすべて、Google Public APIにアクセスできる必要があります。特に、サードパーティのネットワークアプライアンスが環境にインストールされている場合は、その必要があります。

MCSプロビジョニングのために、サブネット内のVMがパブリックIPアドレスなしでGoogle APIにアクセスできるようにするには:

  1. Google Cloudで、VPCネットワーク構成にアクセスします。
  2. サブネットの詳細画面で、プライベートGoogleアクセスをオンにします。

プライベートGoogleアクセス(/ja-jp/citrix-virtual-apps-desktops/2311/media/gcp-private-access.png)

詳細については、「プライベートGoogleアクセスの構成」を参照してください。

重要:

ネットワークがVMのインターネットアクセスを防止するように構成されている場合、VMが接続されているサブネットでプライベートGoogleアクセスを有効にすることに伴うリスクを、組織が負うことを確認してください。

次のステップ

詳細情報

グーグル クラウド 環境
May 31, 2026
寄稿者: 
C C
May 31, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.