グーグル クラウド 環境

Citrix Virtual Apps and Desktops™を使用すると、Google Cloudでマシンをプロビジョニングおよび管理できます。

必要条件

• Citrix Cloud™アカウント。この記事で説明する機能は、Citrix Cloudでのみ利用できます。
• Google Cloudプロジェクト。このプロジェクトには、マシンカタログに関連付けられているすべてのコンピューティングリソースが保存されます。既存のプロジェクトでも新規のプロジェクトでもかまいません。
• Google Cloudプロジェクトで4つのAPIを有効にします。詳しくは、「Google Cloud APIを有効にする」を参照してください。
• Google Cloudサービスアカウント。サービスアカウントはGoogle Cloudに対して認証を行い、プロジェクトへのアクセスを有効にします。詳しくは、「サービスアカウントの構成と更新」を参照してください。
• Googleプライベートアクセスを有効にします。詳しくは、「プライベートGoogleアクセスを有効にする」を参照してください。

Google クラウド API を有効にする

Web Studioを介してGoogle Cloud機能を使用するには、Google Cloudプロジェクトで次のAPIを有効にします。

• コンピュートエンジン API
• Cloud Resource Manager API
• 識別情報とアクセス管理 (IAM) API
• クラウド ビルド API
• クラウド キー管理サービス (KMS)

Google Cloud コンソールから、以下の手順を実行します。

1. 左上のメニューで、API とサービス > ダッシュボード を選択します。

   API とサービス ダッシュボードの選択画像(/ja-jp/citrix-virtual-apps-desktops/2503/media/gcp-api-service-select-dashboard.png)

2. Dashboard 画面で、Compute Engine API が有効になっていることを確認します。 有効になっていない場合は、以下の手順に従います。

   1. APIとサービス > ライブラリ に移動します。

      

   2. 検索ボックスに「Compute Engine」と入力します。

   3. 検索結果から、Compute Engine API を選択します。

   4. 「Compute Engine API」ページで、「有効にする」を選択します。

3. クラウド リソース マネージャー API を有効にします。

   1. APIとサービス > ライブラリ に移動します。

   2. 検索ボックスに「クラウド リソース マネージャー」と入力します。

   3. 検索結果から、クラウド リソース マネージャー API を選択します。

   4. 「Cloud Resource Manager API」ページで、「有効にする」を選択します。API のステータスが表示されます。

4. 同様に、ID およびアクセス管理 (IAM) API および Cloud Build API の両方を有効にします。

Google Cloud Shell を使用して API を有効にすることもできます。これを行うには：

1. Google コンソールを開き、Cloud Shell をロードします。

2. Cloud Shell で次の 4 つのコマンドを実行します。

   • gcloud services enable compute.googleapis.com
   • gcloud services enable cloudresourcemanager.googleapis.com
   • gcloud services enable iam.googleapis.com
   • gcloud services enable cloudbuild.googleapis.com
3. Cloud Shell からプロンプトが表示されたら、[承認] をクリックします。

サービスアカウントの構成と更新

注：

GCP は、2024 年 4 月 29 日以降、Cloud Build Service のデフォルトの動作とサービスアカウントの使用に変更を導入します。詳細については、「Cloud Build Service Account Change」を参照してください。2024 年 4 月 29 日より前に Cloud Build API が有効になっている既存の Google プロジェクトは、この変更の影響を受けません。ただし、4 月 29 日以降も既存の Cloud Build Service の動作を維持したい場合は、Cloud Build API を有効にする前に、組織ポリシーを作成または適用して制約の適用を無効にすることができます。その結果、以下のコンテンツは「2024 年 4 月 29 日より前」と「2024 年 4 月 29 日以降」の 2 つに分かれています。新しい組織ポリシーを設定する場合は、「2024 年 4 月 29 日より前」のセクションに従ってください。

2024 年 4 月 29 日より前

Citrix Cloud は、Google Cloud プロジェクト内で 3 つの個別のサービスアカウントを使用します。

• Citrix Cloud Service Account: このサービスアカウントにより、Citrix Cloud は Google プロジェクトにアクセスし、マシンをプロビジョニングおよび管理できます。このサービスアカウントは、Google Cloud によって生成されたキーを使用して Google Cloud に対して認証を行います。

  このサービスアカウントは、ここに概説されているように手動で作成する必要があります。詳細については、「Citrix Cloud Service Account の作成」を参照してください。

  このサービスアカウントはメールアドレスで識別できます。例えば、<my-service-account>@<project-id>.iam.gserviceaccount.com。

• クラウドビルドサービスアカウント: このサービスアカウントは、Google Cloud API を有効にするで言及されているすべての API を有効にすると、自動的にプロビジョニングされます。自動的に作成されたすべてのサービスアカウントを表示するには、Google Cloud コンソールで IAM と管理 > IAM に移動し、Google 提供のロール付与を含めるチェックボックスを選択します。

  このサービスアカウントは、プロジェクト ID と cloudbuild という単語で始まるメールアドレスで識別できます。例えば、<project-id>@cloudbuild.gserviceaccount.com

  サービスアカウントに以下のロールが付与されていることを確認します。ロールを追加する必要がある場合は、Cloud Build サービスアカウントにロールを追加するに記載されている手順に従ってください。

  • クラウドビルドサービスアカウント
  • Compute インスタンス管理者
  • サービスアカウントユーザー

• クラウドコンピューティングサービスアカウント: このサービスアカウントは、Compute API がアクティブ化されると、Google Cloud によって Google Cloud で作成されたインスタンスに追加されます。このアカウントには、操作を実行するための IAM 基本編集者ロールがあります。ただし、より詳細な制御を行うためにデフォルトの権限を削除した場合、以下の権限を必要とするストレージ管理者ロールを追加する必要があります。

  • resourcemanager.projects.get
  • ストレージ オブジェクトの作成
  • ストレージ オブジェクトの取得
  • storage.objects.list

このサービスアカウントは、プロジェクト ID と compute という単語で始まるメールアドレスで識別できます。例えば、<project-id>-compute@developer.gserviceaccount.com。

Citrix Cloud サービスアカウントを作成する

Citrix Cloud サービスアカウントを作成するには、次の手順に従います。

1. Google Cloud コンソールで、IAM と管理 > サービスアカウントに移動します。
2. サービスアカウントページで、サービスアカウントを作成を選択します。
3. サービスアカウントの作成ページで、必要な情報を入力し、作成して続行を選択します。

4. このサービスアカウントにプロジェクトへのアクセス権を付与ページで、ロールを選択ドロップダウンメニューをクリックし、必要なロールを選択します。さらにロールを追加する場合は、+別のロールを追加をクリックします。

   各アカウント（個人またはサービス）には、プロジェクトの管理を定義するさまざまなロールがあります。このサービスアカウントに次のロールを付与します。

   • コンピュート管理者
   • ストレージ管理者
   • クラウドビルド エディター
   • サービスアカウントユーザー
   • クラウド データストア ユーザー
   • Cloud KMS 暗号化オペレーター

   Cloud KMS 暗号化オペレーターには、次の権限が必要です。

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.キーリング.リスト
   • cloudkms.暗号鍵バージョン.復号に使用
   • cloudkms.暗号鍵バージョン.暗号化に使用

   注:

   新しいサービスアカウントを作成する際に利用可能なロールの完全なリストを取得するには、すべてのAPIを有効にしてください。

5. CONTINUE をクリックします
6. Grant users access to this service account ページで、このサービスアカウントでアクションを実行するためのアクセス権を付与するユーザーまたはグループを追加します。
7. DONE をクリックします。
8. IAMメインコンソールに移動します。
9. 作成されたサービスアカウントを特定します。
10. ロールが正常に割り当てられていることを確認します。

考慮事項:

サービスアカウントを作成する際は、以下を考慮してください。

• Grant this service account access to project および Grant users access to this service account の手順はオプションです。これらのオプションの構成手順をスキップすることを選択した場合、新しく作成されたサービスアカウントは IAM & Admin > IAM ページに表示されません。
• サービスアカウントに関連付けられたロールを表示するには、オプションの手順をスキップせずにロールを追加します。このプロセスにより、構成されたサービスアカウントにロールが表示されるようになります。

Citrix Cloud サービスアカウントキー

Citrix DaaS で接続を作成するには、Citrix Cloud サービスアカウントキーが必要です。キーは資格情報ファイル (.json) に含まれています。キーを作成すると、ファイルは自動的にダウンロードされ、ダウンロードフォルダーに保存されます。キーを作成する際は、キータイプを JSON に設定してください。そうしないと、Web Studio はそれを解析できません。

サービスアカウントキーを作成するには、IAM と管理 > サービスアカウントに移動し、Citrix Cloud サービスアカウントのメールアドレスをクリックします。キータブに切り替えて、キーを追加 > 新しいキーを作成を選択します。キータイプとしてJSONを選択していることを確認してください。

ヒント:

Google Cloud コンソールのサービスアカウントページを使用してキーを作成します。セキュリティ上の理由から、キーを定期的に変更することをお勧めします。既存の Google Cloud 接続を編集することで、新しいキーを Citrix Virtual Apps and Desktops アプリケーションに提供できます。

Citrix Cloud サービスアカウントにロールを追加する

Citrix Cloud サービスアカウントにロールを追加するには：

1. Google Cloud コンソールで、IAM と管理 > IAMに移動します。

2. IAM > 権限ページで、作成したサービスアカウントをメールアドレスで特定し、見つけます。

   例: <my-service-account>@<project-id>.iam.gserviceaccount.com

3. 鉛筆アイコンを選択して、サービスアカウントのプリンシパルへのアクセスを編集します。
4. 選択したプリンシパルオプションの「project-id」へのアクセスを編集ページで、別のロールを追加を選択して必要なロールをサービスアカウントに1つずつ追加し、保存を選択します。

Cloud Build サービスアカウントにロールを追加する

Cloud Build サービスアカウントにロールを追加するには：

1. Google Cloud コンソールで、IAM と管理 > IAMに移動します。

2. 「IAM」ページで、プロジェクト ID と「cloudbuild」という単語で始まるメールアドレスで識別できる Cloud Build サービスアカウントを見つけます。

   例: <project-id>@cloudbuild.gserviceaccount.com

3. 鉛筆アイコンを選択して、Cloud Build アカウントの役割を編集します。

4. 選択したプリンシパルオプションの「“project-id” へのアクセスを編集」ページで、「別のロールを追加」を選択して、必要なロールを Cloud Build サービスアカウントに1つずつ追加し、その後「保存」を選択します。

   注:

   すべての API を有効にして、ロールの完全なリストを取得します。

2024年4月29日以降

Citrix Cloud は、Google Cloud プロジェクト内で2つの異なるサービスアカウントを使用します。

• Citrix Cloud サービスアカウント: このサービスアカウントにより、Citrix Cloud は Google プロジェクトにアクセスし、マシンをプロビジョニングおよび管理できます。このサービスアカウントは、Google Cloud によって生成されたキーを使用して Google Cloud に対して認証を行います。

  このサービスアカウントは手動で作成する必要があります。

  このサービスアカウントはメールアドレスで識別できます。例: <my-service-account>@<project-id>.iam.gserviceaccount.com。

• Cloud Compute サービスアカウント: このサービスアカウントは、Google Cloud API を有効にするで言及されているすべての API を有効にすると自動的にプロビジョニングされます。自動的に作成されたすべてのサービスアカウントを表示するには、Google Cloud コンソールで「IAM と管理 > IAM」に移動し、「Google 提供のロール付与を含める」チェックボックスを選択します。このアカウントには、操作を実行するための IAM 基本編集者ロールがあります。ただし、より詳細な制御を行うためにデフォルトの権限を削除する場合は、次の権限を必要とするストレージ管理者ロールを追加する必要があります。

  • resourcemanager.projects.get
  • storage.objects.create
  • ストレージ.オブジェクト.取得
  • ストレージ.オブジェクト.リスト

  このサービスアカウントは、プロジェクトIDとcomputeという単語で始まるメールアドレスで識別できます。例: <project-id>-compute@developer.gserviceaccount.com.

  サービスアカウントに以下のロールが付与されていることを確認します。

  • Cloud Build サービスアカウント
  • Compute インスタンス管理者
  • サービスアカウントユーザー

Citrix Cloud サービスアカウントを作成する

Citrix Cloud サービスアカウントを作成するには、次の手順に従います。

1. Google Cloud コンソールで、IAM と管理 > サービスアカウントに移動します。
2. サービスアカウントページで、サービスアカウントを作成を選択します。
3. サービスアカウントを作成ページで、必要な情報を入力し、作成して続行を選択します。

4. このサービスアカウントにプロジェクトへのアクセスを許可ページで、ロールを選択ドロップダウンメニューをクリックし、必要なロールを選択します。さらにロールを追加する場合は、+別のロールを追加をクリックします。

   各アカウント（個人またはサービス）には、プロジェクトの管理を定義するさまざまなロールがあります。このサービスアカウントに以下のロールを付与します。

   • コンピュート管理者
   • ストレージ管理者
   • クラウドビルド エディター
   • サービスアカウントユーザー
   • クラウドデータストア ユーザー
   • Cloud KMS クリプトオペレーター

   Cloud KMS クリプトオペレーターには、次の権限が必要です。

   • cloudkms.cryptoKeys.get
   • cloudkms.暗号キー.リスト
   • cloudkms.キーリング.取得
   • cloudkms.keyRings.list

   注：

   新しいサービスアカウントを作成する際に利用可能なロールの完全なリストを取得するには、すべてのAPIを有効にします。

5. CONTINUEをクリックします
6. Grant users access to this service accountページで、ユーザーまたはグループを追加して、このサービスアカウントでアクションを実行するアクセス権を付与します。
7. DONEをクリックします。
8. IAMメインコンソールに移動します。
9. 作成したサービスアカウントを特定します。
10. ロールが正常に割り当てられていることを確認します。

考慮事項:

サービスアカウントを作成する際は、次の点を考慮してください。

• このサービスアカウントにプロジェクトへのアクセス権を付与するおよびこのサービスアカウントにユーザーアクセス権を付与するの手順はオプションです。これらのオプションの構成手順をスキップすることを選択した場合、新しく作成されたサービスアカウントはIAMと管理 > IAMページに表示されません。
• サービスアカウントに関連付けられたロールを表示するには、オプションの手順をスキップせずにロールを追加します。このプロセスにより、構成されたサービスアカウントにロールが表示されるようになります。

Citrix Cloudサービスアカウントキー

Citrix DaaSで接続を作成するには、Citrix Cloudサービスアカウントキーが必要です。キーは資格情報ファイル（.json）に含まれています。キーを作成すると、ファイルは自動的にダウンロードされ、ダウンロードフォルダーに保存されます。キーを作成する際は、キータイプをJSONに設定してください。そうしないと、Web Studioはそれを解析できません。

サービスアカウントキーを作成するには、IAMと管理 > サービスアカウントに移動し、Citrix Cloudサービスアカウントのメールアドレスをクリックします。キータブに切り替えて、キーを追加 > 新しいキーを作成を選択します。キータイプとしてJSONを必ず選択してください。

ヒント:

Google Cloudコンソールのサービスアカウントページを使用してキーを作成します。セキュリティ上の理由から、定期的にキーを変更することをお勧めします。既存のGoogle Cloud接続を編集することで、Citrix Virtual Apps and Desktopsアプリケーションに新しいキーを提供できます。

Citrix Cloudサービスアカウントにロールを追加する

Citrix Cloudサービスアカウントにロールを追加するには：

1. Google Cloudコンソールで、IAMと管理 > IAMに移動します。

2. IAM > 権限ページで、メールアドレスで識別できる作成済みのサービスアカウントを見つけます。

   例: <my-service-account>@<project-id>.iam.gserviceaccount.com

3. 鉛筆アイコンを選択して、サービスアカウントのプリンシパルへのアクセスを編集します。
4. 選択したプリンシパルオプションの 「project-id」へのアクセスを編集ページで、別のロールを追加を選択して、必要なロールをサービスアカウントに1つずつ追加し、保存を選択します。

Cloud Computeサービスアカウントにロールを追加する

Cloud Computeサービスアカウントにロールを追加するには:

1. Google Cloudコンソールで、IAMと管理 > IAMに移動します。

2. IAMページで、プロジェクトIDとcomputeという単語で始まるメールアドレスで識別できるCloud Computeサービスアカウントを見つけます。

   例: <project-id>-compute@developer.gserviceaccount.com

3. 鉛筆アイコンを選択して、Cloud Buildアカウントのロールを編集します。

4. 選択したプリンシパルオプションの 「project-id」へのアクセスを編集ページで、別のロールを追加を選択して、必要なロールをCloud Buildサービスアカウントに1つずつ追加し、保存を選択します。

   注:

   すべてのAPIを有効にして、ロールの完全なリストを取得します。

ストレージの権限とバケット管理

Citrix Virtual Apps and Desktopsは、Google Cloud serviceのクラウドビルド障害の報告プロセスを改善します。このサービスはGoogle Cloudでビルドを実行します。Citrix Virtual Apps and Desktopsは、citrix-mcs-cloud-build-logs-{region}-{5 random characters}という名前のストレージバケットを作成し、Google Cloudサービスがビルドログ情報をキャプチャします。このバケットには、30日後にコンテンツを削除するオプションが設定されています。このプロセスでは、接続に使用されるサービスアカウントにGoogle Cloudの権限がstorage.buckets.updateに設定されている必要があります。サービスアカウントにこの権限がない場合、Citrix Virtual Apps and Desktopsはエラーを無視し、カタログ作成プロセスを続行します。この権限がないと、ビルドログのサイズが増加し、手動でのクリーンアップが必要になります。

プライベートGoogleアクセスを有効にする

VMのネットワークインターフェイスに外部IPアドレスが割り当てられていない場合、パケットは他の内部IPアドレスの宛先にのみ送信されます。プライベートアクセスを有効にすると、VMはGoogle APIおよび関連サービスで使用される外部IPアドレスのセットに接続します。

注：

プライベートGoogleアクセスが有効になっているかどうかにかかわらず、パブリックIPアドレスを持つVMと持たないVMのすべてがGoogle Public APIにアクセスできる必要があります。特に、サードパーティのネットワークアプライアンスが環境にインストールされている場合はその限りではありません。

MCSプロビジョニングのために、サブネット内のVMがパブリックIPアドレスなしでGoogle APIにアクセスできるようにするには：

1. Google Cloudで、VPCネットワーク構成にアクセスします。
2. サブネットの詳細画面で、プライベートGoogleアクセスをオンにします。

プライベートGoogleアクセス(/ja-jp/citrix-virtual-apps-desktops/2503/media/gcp-private-access.png)

詳細については、「プライベートGoogleアクセスの構成」を参照してください。

重要：

ネットワークがVMのインターネットアクセスを防止するように構成されている場合、組織がVMが接続されているサブネットに対してプライベートGoogleアクセスを有効にすることに関連するリスクを負うことを確認してください。

次のステップ

• コアコンポーネントのインストール
• VDAのインストール
• サイトの作成
• Google Cloud環境での接続の作成と管理については、「Google Cloud環境への接続」を参照してください。

詳細情報

• 接続とリソースの作成および管理(/ja-jp/citrix-virtual-apps-desktops/2503/install-configure/connections.html)
• マシンカタログの作成(/ja-jp/citrix-virtual-apps-desktops/2503/install-configure/machine-catalogs-create.html)