グーグル クラウド環境

Citrix Virtual Apps and Desktops™ を使用すると、Google Cloud 上でマシンをプロビジョニングおよび管理できます。

必要条件

• Citrix Cloud™ アカウント。この記事で説明されている機能は、Citrix Cloud でのみ利用できます。
• Google Cloud プロジェクト。このプロジェクトには、マシンカタログに関連付けられているすべてのコンピューティングリソースが保存されます。既存のプロジェクトでも新規のプロジェクトでもかまいません。
• Google Cloud プロジェクトで4つのAPIを有効にします。詳細については、「Google Cloud APIを有効にする」を参照してください。
• Google Cloud サービスアカウント。サービスアカウントはGoogle Cloudに対して認証を行い、プロジェクトへのアクセスを有効にします。詳細については、「サービスアカウントの構成と更新」を参照してください。
• Google プライベートアクセスを有効にします。詳細については、「Googleプライベートアクセスを有効にする」を参照してください。

Google Cloud エーピーアイを有効にする

Web Studio を介して Google Cloud 機能を使用するには、Google Cloud プロジェクトで次の API を有効にします。

• コンピュートエンジン エーピーアイ
• クラウド リソース マネージャー API
• ID およびアクセス管理 (IAM) API
• クラウド ビルド API
• クラウドキー管理サービス (KMS)

Google Cloud コンソールから、次の手順を実行します。

1. 左上のメニューで、API とサービス > ダッシュボード を選択します。

   API とサービス ダッシュボードの選択画像(/ja-jp/citrix-virtual-apps-desktops/2407/media/gcp-api-service-select-dashboard.png)

2. Dashboard 画面で、Compute Engine API が有効になっていることを確認します。有効になっていない場合は、 次の手順を実行します。

   1. APIとサービス > ライブラリ に移動します。

      APIとサービスライブラリの画像(/ja-jp/citrix-virtual-apps-desktops/2407/media/gcp-api-library.png)

   2. 検索ボックスに「Compute Engine」と入力します。

   3. 検索結果から、Compute Engine API を選択します。

   4. 「コンピューティング エンジン API」ページで、「有効にする」を選択します。

3. 「クラウド リソース マネージャー API」を有効にします。

   1. API とサービス > ライブラリ に移動します。

   2. 検索ボックスに「クラウド リソース マネージャー」と入力します。

   3. 検索結果として表示された項目の中から、Cloud Resource Manager API を選択します。

   4. Cloud Resource Manager API ページで、「有効化」を選択します。API のステータスが表示されます。

4. 同様に、ID およびアクセス管理 (IAM) API と Cloud Build API を有効にします。

Google Cloud Shell を使用して API を有効にすることもできます。これを行うには：

1. Google コンソールを開き、Cloud Shell をロードします。

2. Cloud Shell で次の 4 つのコマンドを実行します。

   • gcloud services enable compute.googleapis.com
   • gcloud services enable cloudresourcemanager.googleapis.com
   • gcloud services enable iam.googleapis.com
   • gcloud services enable cloudbuild.googleapis.com
3. Cloud Shell からプロンプトが表示されたら、[承認] をクリックします。

サービスアカウントの構成と更新

注：

GCP は、2024 年 4 月 29 日以降、Cloud Build Service のデフォルトの動作とサービスアカウントの使用に変更を導入します。詳細については、「Cloud Build Service Account Change」を参照してください。2024 年 4 月 29 日より前に Cloud Build API が有効になっている既存の Google プロジェクトは、この変更の影響を受けません。ただし、4 月 29 日以降も既存の Cloud Build Service の動作を維持したい場合は、Cloud Build API を有効にする前に、組織ポリシーを作成または適用して制約の適用を無効にすることができます。その結果、以下のコンテンツは「2024 年 4 月 29 日まで」と「2024 年 4 月 29 日以降」の 2 つに分かれています。新しい組織ポリシーを設定する場合は、「2024 年 4 月 29 日まで」のセクションに従ってください。

2024 年 4 月 29 日まで

Citrix Cloud は、Google Cloud プロジェクト内で 3 つの個別のサービスアカウントを使用します。

• Citrix Cloud サービスアカウント: このサービスアカウントにより、Citrix Cloud は Google プロジェクトにアクセスし、マシンをプロビジョニングおよび管理できます。このサービスアカウントは、Google Cloud によって生成されたキーを使用して Google Cloud に対して認証を行います。

  このサービスアカウントは、ここに記載されているとおりに手動で作成する必要があります。詳細については、「Citrix Cloud サービスアカウントの作成」を参照してください。

  このサービスアカウントは、メールアドレスで識別できます。例: <my-service-account>@<project-id>.iam.gserviceaccount.com

• Cloud Buildサービスアカウント: このサービスアカウントは、Google Cloud APIを有効にするで言及されているすべてのAPIを有効にすると、自動的にプロビジョニングされます。自動的に作成されたすべてのサービスアカウントを表示するには、Google CloudコンソールでIAMと管理 > IAMに移動し、Google提供のロール付与を含めるチェックボックスを選択します。

  このサービスアカウントは、プロジェクトIDとcloudbuildという単語で始まるメールアドレスで識別できます。例: <project-id>@cloudbuild.gserviceaccount.com

  サービスアカウントに以下のロールが付与されていることを確認します。ロールを追加する必要がある場合は、Cloud Buildサービスアカウントにロールを追加するに記載されている手順に従ってください。

  • Cloud Buildサービスアカウント
  • コンピュートインスタンス管理者
  • サービスアカウントユーザー

• Cloud Computeサービスアカウント: このサービスアカウントは、Compute APIがアクティブ化されると、Google CloudによってGoogle Cloudで作成されたインスタンスに追加されます。このアカウントには、操作を実行するためのIAM基本編集者ロールがあります。ただし、よりきめ細かな制御を行うためにデフォルトの権限を削除する場合は、次の権限を必要とするStorage Adminロールを追加する必要があります。

  • リソースマネージャー.プロジェクト.ゲット
  • ストレージ.オブジェクト.作成
  • ストレージ.オブジェクト.取得
  • ストレージ.オブジェクト.リスト

このサービスアカウントは、プロジェクトIDとcomputeという単語で始まるメールアドレスで識別できます。例: <project-id>-compute@developer.gserviceaccount.com

Citrix Cloudサービスアカウントを作成する

Citrix Cloudサービスアカウントを作成するには、次の手順に従います。

1. Google Cloud コンソールで、IAM と管理 > サービスアカウントに移動します。
2. サービスアカウントページで、サービスアカウントを作成を選択します。
3. サービスアカウントの作成ページで、必要な情報を入力し、作成して続行を選択します。

4. このサービスアカウントにプロジェクトへのアクセスを許可ページで、ロールを選択ドロップダウンメニューをクリックし、必要なロールを選択します。さらにロールを追加する場合は、+別のロールを追加をクリックします。

   各アカウント（個人またはサービス）には、プロジェクトの管理を定義するさまざまなロールがあります。このサービスアカウントに次のロールを付与します。

   • コンピュート管理者
   • ストレージ管理者
   • クラウドビルド編集者
   • サービスアカウントユーザー
   • クラウドデータストアユーザー
   • クラウド KMS クリプト オペレーター

   Cloud KMS Crypto オペレーターには、次の権限が必要です。

   • クラウドKMS.クリプトキー.ゲット
   • クラウドKMS.暗号キー.リスト
   • クラウドKMSキーリングの取得
   • クラウドKMSキーリングの一覧表示

   注:

   新しいサービスアカウントを作成する際に利用可能な役割の完全なリストを取得するには、すべてのAPIを有効にしてください。

5. 続行をクリックします
6. このサービスアカウントへのユーザーアクセスを許可するページで、ユーザーまたはグループを追加して、このサービスアカウントでアクションを実行するアクセス権を付与します。
7. 完了をクリックします。
8. IAMメインコンソールに移動します。
9. 作成されたサービスアカウントを特定します。
10. 役割が正常に割り当てられていることを検証します。

考慮事項:

サービスアカウントを作成する際は、次の点を考慮してください。

• このサービスアカウントにプロジェクトへのアクセスを許可するおよびこのサービスアカウントへのユーザーアクセスを許可するの手順はオプションです。これらのオプションの構成手順をスキップすることを選択した場合、新しく作成されたサービスアカウントはIAM & Admin > IAMページに表示されません。
• サービスアカウントに関連付けられた役割を表示するには、オプションの手順をスキップせずに役割を追加します。このプロセスにより、構成されたサービスアカウントに役割が表示されるようになります。

Citrix Cloudサービスアカウントキー

Citrix DaaSで接続を作成するには、Citrix Cloudサービスアカウントキーが必要です。キーは資格情報ファイル（.json）に含まれています。キーを作成すると、ファイルは自動的にダウンロードされ、ダウンロードフォルダーに保存されます。キーを作成する際は、キータイプをJSONに設定してください。そうしないと、Web Studioはそれを解析できません。

サービスアカウントキーを作成するには、IAM と管理 > サービスアカウントに移動し、Citrix Cloud サービスアカウントのメールアドレスをクリックします。キータブに切り替え、キーを追加 > 新しいキーを作成を選択します。キータイプとしてJSONを必ず選択してください。

ヒント:

Google Cloud コンソールのサービスアカウントページを使用してキーを作成します。セキュリティ上の理由から、キーを定期的に変更することをお勧めします。既存の Google Cloud 接続を編集することで、Citrix Virtual Apps and Desktops アプリケーションに新しいキーを提供できます。

Citrix Cloud サービスアカウントにロールを追加する

Citrix Cloud サービスアカウントにロールを追加するには：

1. Google Cloud コンソールで、IAM と管理 > IAMに移動します。

2. IAM > 権限ページで、作成したサービスアカウント（メールアドレスで識別可能）を見つけます。

   例: <my-service-account>@<project-id>.iam.gserviceaccount.com

3. 鉛筆アイコンを選択して、サービスアカウントのプリンシパルへのアクセスを編集します。
4. 選択したプリンシパルオプションの「project-id」へのアクセスを編集ページで、別のロールを追加を選択して必要なロールをサービスアカウントに1つずつ追加し、保存を選択します。

Cloud Build サービスアカウントにロールを追加する

Cloud Build サービスアカウントにロールを追加するには：

1. Google Cloud コンソールで、IAM と管理 > IAMに移動します。

2. IAMページで、Cloud Build サービスアカウント（プロジェクト IDとcloudbuildという単語で始まるメールアドレスで識別可能）を見つけます。

   例: <project-id>@cloudbuild.gserviceaccount.com

3. 鉛筆アイコンを選択して、Cloud Buildアカウントの役割を編集します。

4. 選択したプリンシパルオプションの「“project-id”へのアクセスを編集」ページで、「別の役割を追加」を選択して、必要な役割をCloud Buildサービスアカウントに1つずつ追加し、その後「保存」を選択します。

   注:

   すべてのAPIを有効にして、役割の完全なリストを取得します。

2024年4月29日以降

Citrix Cloudは、Google Cloudプロジェクト内で2つの異なるサービスアカウントを使用します。

• Citrix Cloudサービスアカウント: このサービスアカウントにより、Citrix CloudはGoogleプロジェクトにアクセスし、マシンをプロビジョニングおよび管理できます。このサービスアカウントは、Google Cloudによって生成されたキーを使用してGoogle Cloudに認証します。

  このサービスアカウントは手動で作成する必要があります。

  このサービスアカウントは、メールアドレスで識別できます。例: <my-service-account>@<project-id>.iam.gserviceaccount.com。

• Cloud Computeサービスアカウント: このサービスアカウントは、Google Cloud APIを有効にするで言及されているすべてのAPIを有効にした後に自動的にプロビジョニングされます。自動的に作成されたすべてのサービスアカウントを表示するには、Google Cloudコンソールで「IAMと管理 > IAM」に移動し、「Google提供の役割付与を含める」チェックボックスを選択します。このアカウントには、操作を実行するためのIAM基本編集者ロールがあります。ただし、より詳細な制御のためにデフォルトの権限を削除した場合、以下の権限を必要とするStorage Adminロールを追加する必要があります。

  • リソースマネージャー.プロジェクト.ゲット
  • ストレージ.オブジェクト.クリエイト
  • ストレージ.オブジェクト.ゲット
  • ストレージ.オブジェクト.リスト

  このサービスアカウントは、プロジェクトIDと「compute」という単語で始まるメールアドレスで識別できます。例: <project-id>-compute@developer.gserviceaccount.com.

  サービスアカウントに以下のロールが付与されていることを確認します。

  • Cloud Build サービスアカウント
  • Compute インスタンス管理者
  • サービスアカウントユーザー

Citrix Cloud サービスアカウントを作成する

Citrix Cloud サービスアカウントを作成するには、次の手順に従います。

1. Google Cloud コンソールで、IAM と管理 > サービスアカウントに移動します。
2. サービスアカウントページで、サービスアカウントを作成を選択します。
3. サービスアカウントの作成ページで、必要な情報を入力し、作成して続行を選択します。

4. このサービスアカウントにプロジェクトへのアクセス権を付与ページで、ロールを選択ドロップダウンメニューをクリックし、必要なロールを選択します。さらにロールを追加する場合は、+別のロールを追加をクリックします。

   各アカウント（個人またはサービス）には、プロジェクトの管理を定義するさまざまなロールがあります。このサービスアカウントには、以下のロールを付与します。

   • コンピュート管理者
   • ストレージ管理者
   • クラウドビルド編集者
   • サービスアカウントユーザー
   • クラウドデータストア ユーザー
   • Cloud KMS クリプトオペレーター

   Cloud KMS クリプトオペレーターには、以下の権限が必要です。

   • クラウドKMS.暗号鍵.取得
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list

   注:

   新しいサービスアカウントを作成する際に利用可能なロールの完全なリストを取得するには、すべてのAPIを有効にしてください。

5. 続行をクリックします
6. このサービスアカウントへのユーザーアクセスを許可ページで、このサービスアカウントでアクションを実行するためのアクセス権を付与するユーザーまたはグループを追加します。
7. 完了をクリックします。
8. IAMメインコンソールに移動します。
9. 作成されたサービスアカウントを特定します。
10. ロールが正常に割り当てられていることを検証します。

考慮事項:

サービスアカウントを作成する際は、以下を考慮してください。

• 「このサービスアカウントにプロジェクトへのアクセス権を付与する」および「このサービスアカウントにユーザーアクセス権を付与する」の手順はオプションです。これらのオプションの構成手順をスキップすることを選択した場合、新しく作成されたサービスアカウントは「IAM & Admin > IAM」ページに表示されません。
• サービスアカウントに関連付けられた役割を表示するには、オプションの手順をスキップせずに役割を追加します。このプロセスにより、構成されたサービスアカウントに役割が表示されるようになります。

Citrix Cloudサービスアカウントキー

Citrix Cloudサービスアカウントキーは、Citrix DaaSで接続を作成するために必要です。キーは資格情報ファイル（.json）に含まれています。キーを作成すると、ファイルは自動的にダウンロードされ、「Downloads」フォルダーに保存されます。キーを作成する際は、キータイプをJSONに設定してください。そうしないと、Web Studioで解析できません。

サービスアカウントキーを作成するには、「IAM & Admin > Service accounts」に移動し、Citrix Cloudサービスアカウントのメールアドレスをクリックします。「Keys」タブに切り替えて、「Add Key > Create new key」を選択します。キータイプとして「JSON」が選択されていることを確認してください。

ヒント:

Google Cloudコンソールの「Service accounts」ページを使用してキーを作成します。セキュリティ上の理由から、キーは定期的に変更することをお勧めします。既存のGoogle Cloud接続を編集することで、Citrix Virtual Apps and Desktopsアプリケーションに新しいキーを提供できます。

Citrix Cloudサービスアカウントに役割を追加する

Citrix Cloudサービスアカウントに役割を追加するには：

1. Google Cloud コンソールを開き、IAM & Admin > IAM の項目に移動してください。

2. 「IAM > PERMISSIONS」ページで、作成したサービスアカウント（メールアドレスで識別可能）を見つけます。

   例: <my-service-account>@<project-id>.iam.gserviceaccount.com

3. 鉛筆アイコンを選択して、サービスアカウントのプリンシパルへのアクセスを編集します。
4. 選択したプリンシパルオプションの「“project-id”へのアクセスを編集」ページで、「別のロールを追加」を選択して、必要なロールをサービスアカウントに1つずつ追加し、「保存」を選択します。

Cloud Computeサービスアカウントにロールを追加する

Cloud Computeサービスアカウントにロールを追加するには：

1. Google Cloudコンソールで、IAMと管理 > IAMに移動します。

2. IAMページで、プロジェクトIDと「compute」という単語で始まるメールアドレスで識別できるCloud Computeサービスアカウントを見つけます。

   例: <project-id>-compute@developer.gserviceaccount.com

3. 鉛筆アイコンを選択して、Cloud Buildアカウントのロールを編集します。

4. 選択したプリンシパルオプションの「“project-id”へのアクセスを編集」ページで、「別のロールを追加」を選択して、必要なロールをCloud Buildサービスアカウントに1つずつ追加し、「保存」を選択します。

   注：

   すべてのAPIを有効にして、ロールの完全なリストを取得します。

ストレージの権限とバケット管理

Citrix Virtual Apps and Desktopsは、Google Cloudサービスのクラウドビルド失敗のレポートプロセスを改善します。このサービスはGoogle Cloud上でビルドを実行します。Citrix Virtual Apps and Desktopsは、Google Cloudサービスがビルドログ情報をキャプチャするcitrix-mcs-cloud-build-logs-{region}-{5 random characters}という名前のストレージバケットを作成します。このバケットには、30日後にコンテンツを削除するオプションが設定されています。このプロセスでは、接続に使用されるサービスアカウントにGoogle Cloudの権限がstorage.buckets.updateに設定されている必要があります。サービスアカウントにこの権限がない場合、Citrix Virtual Apps and Desktopsはエラーを無視し、カタログ作成プロセスを続行します。この権限がないと、ビルドログのサイズが増加し、手動でのクリーンアップが必要になります。

プライベートGoogleアクセスを有効にする

VMのネットワークインターフェイスに外部IPアドレスが割り当てられていない場合、パケットは他の内部IPアドレスの宛先にのみ送信されます。プライベートアクセスを有効にすると、VMはGoogle APIおよび関連サービスで使用される外部IPアドレスのセットに接続します。

注：

プライベートGoogleアクセスが有効になっているかどうかにかかわらず、パブリックIPアドレスを持つVMと持たないVMはすべて、特にサードパーティのネットワークアプライアンスが環境にインストールされている場合、Google Public APIにアクセスできる必要があります。

MCSプロビジョニングのために、サブネット内のVMがパブリックIPアドレスなしでGoogle APIにアクセスできるようにするには、次の手順を実行します。

1. Google Cloudで、VPCネットワーク構成にアクセスします。
2. サブネットの詳細画面で、プライベートGoogleアクセスをオンにします。

プライベートGoogleアクセス(/ja-jp/citrix-virtual-apps-desktops/2407/media/gcp-private-access.png)

詳細については、「プライベートGoogleアクセスの構成」を参照してください。

重要:

ネットワークがVMのインターネットアクセスを防止するように構成されている場合、VMが接続されているサブネットに対してプライベートGoogleアクセスを有効にすることに関連するリスクを組織が負うことを確認してください。

次のステップ

• コアコンポーネントのインストール
• VDAのインストール
• サイトの作成
• Google Cloud環境での接続の作成と管理については、「Google Cloud環境への接続」を参照してください。

詳細情報

• 接続とリソースの作成および管理
• マシンカタログを作成(/ja-jp/citrix-virtual-apps-desktops/2407/install-configure/machine-catalogs-create.html)