Googleクラウド環境への接続
接続を作成するウィザードについて、(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/install-configure/connections.html)で説明しています。以下の情報は、Google Cloud環境に固有の詳細を扱っています。
注:
Google Cloud環境への接続を作成する前に、まずGoogle Cloudアカウントをリソースの場所として設定する必要があります。(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/install-configure/install-prepare/gcp.html)を参照してください。
接続を追加する
(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/manage-deployment/connections.html)のガイダンスに従ってください。以下の説明は、ホスティング接続の設定方法を案内します。
-
管理 > 構成から、左ペインでホスティングを選択します。
-
アクションバーで接続とリソースの追加を選択します。
-
接続ページで、新しい接続の作成とCitrix provisioning™ toolsを選択し、次へを選択します。
- 接続の種類。メニューからGoogle Cloudを選択します。
- 接続名。接続の名前を入力します。
-
リージョンページで、メニューからプロジェクト名を選択し、使用するリソースを含むリージョンを選択してから、次へを選択します。
-
ネットワークページで、リソースの名前を入力し、メニューから仮想ネットワークを選択し、サブセットを選択してから、次へを選択します。リソース名は、リージョンとネットワークの組み合わせを識別するのに役立ちます。名前に(Shared)サフィックスが付加された仮想ネットワークは、共有VPCを表します。共有VPCのサブネットレベルのIAMロールを構成した場合、共有VPCの特定のサブネットのみがサブネットリストに表示されます。
注:
- リソース名は1~64文字で、空白のみ、または文字
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )を含めることはできません。
- リソース名は1~64文字で、空白のみ、または文字
-
「概要」ページで情報を確認し、「完了」を選択して「接続とリソースの追加」ウィンドウを終了します。
接続とリソースを作成すると、作成した接続とリソースが一覧表示されます。接続を構成するには、接続を選択し、アクションバーで該当するオプションを選択します。
同様に、接続の下に作成されたリソースを削除、名前変更、またはテストできます。これを行うには、接続の下にあるリソースを選択し、アクションバーで該当するオプションを選択します。
サービスエンドポイントURL
次のURLにアクセスできる必要があります。
https://oauth2.googleapis.comhttps://cloudresourcemanager.googleapis.comhttps://compute.googleapis.comhttps://storage.googleapis.comhttps://cloudbuild.googleapis.com
Googleクラウドプロジェクト
Google Cloudプロジェクトには基本的に2つのタイプがあります。
- プロビジョニングプロジェクト: この場合、現在の管理者アカウントがプロジェクト内のプロビジョニングされたマシンを所有します。このプロジェクトはローカルプロジェクトとも呼ばれます。
- 共有VPCプロジェクト: プロビジョニングプロジェクトで作成されたマシンが共有VPCプロジェクトのVPCを使用するプロジェクト。プロビジョニングプロジェクトに使用される管理者アカウントは、このプロジェクトで限られた権限しか持ちません。具体的には、VPCを使用する権限のみです。
GCP管理トラフィック用のセキュアな環境を作成する
Google Cloud プロジェクトへのプライベート Google アクセスを許可できます。この実装により、機密データを処理するためのセキュリティが強化されます。これを実現するには、次のいずれかを実行できます。
-
Cloud Build サービスアカウントの VPC サービスコントロールの次のイングレスルールを含めます。この手順を実行する場合は、GCP マネージドトラフィックのセキュアな環境を作成するための以下の手順に従わないでください。
Ingress Rule 1 From: Identities: <ProjectID>@cloudbuild.gserviceaccount.com Source > All sources allowed To: Projects = All projects Services = Service name: All services <!--NeedCopy--> -
プライベートワーカープールを使用している場合は、
CustomPropertiesにUsePrivateWorkerPoolを追加します。プライベートワーカープールについては、「プライベートプール概要」を参照してください。
GCP マネージドトラフィックのセキュアな環境を作成するための要件
GCP マネージドトラフィックのセキュアな環境を作成するための要件は次のとおりです。
- カスタムプロパティを更新する際は、ホスティング接続がメンテナンスモードであることを確認してください。
- プライベートワーカープールを使用するには、次の変更が必要です。
- Citrix Cloud™ サービスアカウントには、次の IAM ロールを追加します。
- Cloud Build サービスアカウント
- コンピュート インスタンス管理者
- サービスアカウントユーザー
- サービスアカウントトークン作成者
- クラウドビルド ワーカープール 所有者
- ホスティング接続の作成に使用するのと同じプロジェクトに Citrix Cloud サービスアカウントを作成します。
-
DNS 構成 で説明されているように、
private.googleapis.comとgcr.ioの DNS ゾーンを設定します。
-
プライベートネットワークアドレス変換 (NAT) を設定するか、プライベートサービス接続を使用します。詳細については、「エンドポイントを介した Google API へのアクセス」を参照してください。
-
ピアリングされた VPC を使用している場合は、ピアリングされた VPC への Cloud DNS ゾーンピアリングを作成します。詳細については、「ピアリングゾーンの作成」を参照してください。
-
VPC サービスコントロールで、API と VM がインターネットと通信できるようにエグレスルールを設定します。イングレスルールはオプションです。例:
Egress Rule 1 From: Identities:ANY_IDENTITY To: Projects = All projects Service = Service name: All services <!--NeedCopy-->
- Citrix Cloud™ サービスアカウントには、次の IAM ロールを追加します。
プライベートワーカープールを有効にする
プライベートワーカープールを有効にするには、ホスト接続でカスタムプロパティを次のように設定します。
- Delivery Controller ホストから PowerShell ウィンドウを開くか、Remote PowerShell SDK を使用します。このSDKの詳細については、「SDKとAPI」を参照してください。
-
次のコマンドを実行します。
Add-PSSnapin citrix*cd XDHyp:\Connections\dir
- 接続から
CustomPropertiesをメモ帳にコピーします。 -
プロパティ設定
<Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/>を追加します。例:``` <CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation"> <Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/> </CustomProperties> <!--NeedCopy--> ``` - PowerShellウィンドウで、変更されたカスタムプロパティに変数を割り当てます。例:
$customProperty = '<CustomProperties…</CustomProperties>'. -
$gcpServiceAccount = "<ENTER YOUR SERVICE ACCOUNT EMAIL HERE>"を実行します。 -
$gcpPrivateKey = "<ENTER YOUR SERVICE ACCOUNT PRIVATE KEY HERE AFTER REMOVING ALL INSTANCES OF \n >"を実行します。 -
$securePassword = ConvertTo-SecureString $gcpPrivateKey -AsPlainText -Forceを実行します。 -
既存のホスト接続を更新するには、以下を実行します。
Set-Item -PassThru -Path @('XDHyp:\\Connections\\<ENTER YOUR CONNECTION NAME HERE>') -SecurePassword $securePassword -UserName $gcpServiceAccount -CustomProperties $customProperty <!--NeedCopy-->
CMEKのグローバルキーとリージョンキーを指定する
注:
GCPでのCMEKのサポートは現在プレビュー中です。
GCPには、2種類の顧客管理の暗号化キー(CMEK)があります。
- リージョン: 同じリージョン内のリソースのみが使用できる暗号化キー。
- グローバル: 複数のリージョンのリソースが使用できる暗号化キー。
サービスアカウントがアクセスできるすべてのプロジェクトから、グローバルまたはリージョンの顧客管理の暗号化キー(CMEK)を参照して使用できます。その後、そのキーを使用してCMEKが有効なMCSマシンカタログを作成し、Set-ProvScheme コマンドを使用して既存のCMEKが有効なMCSマシンカタログを更新できます。PowerShellを使用してCMEKが有効なカタログを作成する方法については、「カスタムプロパティを使用してCMEKでカタログを作成する」を参照してください。
この機能には、以下の2つのサービスアカウントに追加の権限が必要です。
- ホスティング接続が作成される現在のプロジェクトのサービスアカウント。
- 現在のプロジェクトのCompute Engineサービスエージェント(メールアドレス:
service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com)。詳細については、Compute Engine Service Agentを参照してください。
サービスアカウントでは、使用する暗号キーを持つプロジェクト(共有プロジェクトなど)に次のロールを割り当てる必要があります。
- クラウド KMS ビューア
- Cloud KMS CryptoKey の暗号化および復号化を行う役割
ロールを割り当てない場合は、次の権限があることを確認してください。
- リソースマネージャー.プロジェクト.ゲット
- クラウドKMS.キーリング.リスト
- cloudkms.keyRings.get
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- クラウドKMS.クリプトキーバージョンズ.ユーズトゥデクリプト
- クラウドKMS.クリプトキーバージョンズ.ユーズトゥエンクリプト
暗号化キーを一覧表示する
PowerShellコマンドを使用して、同じプロジェクト内およびアクセス可能な他のすべてのプロジェクト内のグローバルおよびリージョン暗号化キーを一覧表示できます。これを行うには:
- デリバリーコントローラー™ ホストまたはリモートパワーシェルからパワーシェルウィンドウを開きます。
- Citrix固有のPowerShellモジュールをロードするには、コマンド
asnp citrix*を実行します。 -
暗号化キーを一覧表示するには、次のコマンドを実行します。例:
-
encryptionKeysフォルダーの内容を一覧表示するには:Get-ChildItem XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder <!--NeedCopy--> -
同じプロジェクト内のグローバル暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myglobalkeyring.globalkeyring\myglobalkey.cryptokey <!--NeedCopy--> -
同じプロジェクト内のリージョン暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\regional-ring.keyring\shared-key.cryptokey <!--NeedCopy--> -
アクセス可能な別のプロジェクト(例:myanotherproject)からグローバル暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myanotherproject.project\shared-global-ring.globalkeyring\shared-key.cryptokey <!--NeedCopy--> -
アクセス可能な別のプロジェクト(例:myanotherproject)からリージョン暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myanotherproject .project.project\shared-uscentral.keyring\shared-uscentral-key.cryptokey <!--NeedCopy-->
-
注:
- グローバルキーリングのキーリングインベントリアイテムの拡張子は
.globalkeyringです。- グローバルキーリングのIDには、
globalという単語が含まれています。
必要なGCP権限
このセクションには、GCP権限の完全なリストが含まれています。機能が正しく動作するように、このセクションに記載されている権限の完全なセットを使用してください。
注:
GCPは、2024年4月29日以降、Cloud Build Servicesのデフォルトの動作とサービスアカウントの使用に変更を導入しています。詳細については、Cloud Build Service Account Changeを参照してください。2024年4月29日より前にCloud Build APIが有効になっている既存のGoogleプロジェクトは、この変更の影響を受けません。ただし、4月29日以降も既存のCloud Build Serviceの動作を維持したい場合は、APIを有効にする前に、制約の適用を無効にする組織ポリシーを作成または適用できます。新しい組織ポリシーを設定した場合、このセクションの既存の権限と、Before Cloud Build Service Account Changeとマークされている項目を引き続き使用できます。そうでない場合は、既存の権限と、After Cloud Build Service Account Changeとマークされている項目に従ってください。
ホスト接続の作成
-
プロビジョニングプロジェクトにおけるCitrix Cloudサービスアカウントに必要な最小限の権限:
compute.instanceTemplates.list compute.instances.list compute.networks.list compute.projects.get compute.regions.list compute.subnetworks.list compute.zones.list resourcemanager.projects.get <!--NeedCopy-->以下のGoogle定義ロールには、上記にリストされている権限があります:
- コンピュート管理者
- クラウド データストア ユーザー
-
共有VPCプロジェクトにおけるCitrix Cloudサービスアカウントの共有VPCに必要な追加の権限:
compute.networks.list compute.subnetworks.list resourcemanager.projects.get <!--NeedCopy-->以下のGoogle定義ロールには、上記にリストされている権限があります:
- コンピューティング ネットワーク ユーザー
-
サービスアカウントでは、使用する暗号鍵を持つプロジェクト(共有プロジェクトなど)に以下のロールを割り当てる必要があります:
- クラウド KMS 閲覧者
- クラウド KMS クリプトキー 暗号化/復号化担当者
ロールを割り当てない場合は、以下の権限があることを確認してください:
- リソースマネージャー.プロジェクト.ゲット
- クラウドKMS.キーリング.リスト
- cloudkms.keyRings.get
- cloudkms.cryptoKeys.get
- cloudkms.暗号鍵.一覧表示
- cloudkms.暗号鍵バージョン.復号に使用
- cloudkms.cryptoKeyVersions.useToEncrypt
VM の電源管理
電源管理のみのカタログの場合に、プロビジョニングプロジェクト内のCitrix Cloudサービスアカウントに必要な最小限の権限:
compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->
以下のGoogle定義ロールには、上記にリストされている権限があります:
- コンピュート管理者
- クラウド データストア ユーザー
VM の作成、更新、または削除
-
プロビジョニングプロジェクト内のCitrix Cloudサービスアカウントに必要な最小限の権限:
cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list compute.acceleratorTypes.list compute.diskTypes.get compute.diskTypes.list compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.firewalls.create compute.firewalls.delete compute.firewalls.list compute.globalOperations.get compute.images.create compute.images.delete compute.images.get compute.images.list compute.images.setLabels compute.images.useReadOnly compute.instanceTemplates.create compute.instanceTemplates.delete compute.instanceTemplates.get compute.instanceTemplates.list compute.instanceTemplates.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.reset compute.instances.resume compute.instances.setDeletionProtection compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.stop compute.instances.suspend compute.machineTypes.get compute.machineTypes.list compute.networks.list compute.networks.updatePolicy compute.nodeGroups.list compute.nodeTemplates.get compute.projects.get compute.regions.list compute.snapshots.create compute.snapshots.delete compute.snapshots.list compute.snapshots.get compute.snapshots.setLabels compute.snapshots.useReadOnly compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.zoneOperations.get compute.zoneOperations.list compute.zones.get compute.zones.list iam.serviceAccounts.actAs resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update storage.objects.create storage.objects.delete storage.objects.get storage.objects.list compute.networks.get compute.resourcePolicies.use <!--NeedCopy-->以下のGoogle定義ロールには、上記にリストされている権限があります:
- コンピュート管理者
- ストレージ管理者
- クラウド ビルド 編集者
- サービスアカウント ユーザー
- クラウドデータストア ユーザー
-
Shared VPC プロジェクトの VPC とサブネットワークを使用してホスティングユニットを作成するために、Shared VPC プロジェクト内の Citrix Cloud サービスアカウントに必要な Shared VPC の追加権限:
compute.firewalls.list compute.networks.list compute.projects.get compute.regions.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.zones.list resourcemanager.projects.get <!--NeedCopy-->以下の Google 定義ロールには、上記の権限があります:
- コンピュートネットワーク ユーザー
- クラウドデータストア ユーザー
準備指示ディスクを MCS にダウンロードする際に必要な最小限の権限:
- (Cloud Build サービスアカウントの変更前):プロビジョニングプロジェクト内の Cloud Build サービスアカウントにこれらの権限を割り当てます。
- (Cloud Build サービスアカウントの変更後):プロビジョニングプロジェクト内の Cloud Compute サービスアカウントにこれらの権限を割り当てます。
compute.disks.create compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.images.get compute.images.list compute.images.useReadOnly compute.instances.create compute.instances.delete compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.list iam.serviceAccounts.actAs logging.logEntries.create pubsub.topics.publish resourcemanager.projects.get source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list <!--NeedCopy-->以下の Google 定義ロールには、上記の権限があります:
- Cloud Build サービスアカウント(Cloud Build サービスアカウントの変更後、Cloud Compute サービスアカウントになります)
- コンピュートインスタンス 管理者
- サービスアカウントユーザー
-
準備指示ディスクを MCS にダウンロードする際に、Google Cloud Build サービスによって必要とされる、プロビジョニングプロジェクト内の Cloud Compute サービスアカウントに必要な最小限の権限:
resourcemanager.projects.get storage.objects.create storage.objects.get storage.objects.list <!--NeedCopy-->以下の Google 定義ロールには、上記の権限があります:
- コンピュートネットワーク ユーザー
- ストレージアカウントユーザー
- クラウド データストア ユーザー
MCS に準備指示ディスクをダウンロードする際に Shared VPC に必要な追加の権限:
- (Cloud Build サービスアカウントの変更前): これらの権限をプロビジョニングプロジェクトの Cloud Build サービスアカウントに割り当てます。
- (Cloud Build サービスアカウントの変更後): これらの権限をプロビジョニングプロジェクトの Cloud Compute サービスアカウントに割り当てます。
compute.firewalls.list compute.networks.list compute.subnetworks.list compute.subnetworks.use resourcemanager.projects.get <!--NeedCopy-->以下の Google 定義ロールには、上記にリストされている権限があります。
- コンピュート ネットワーク ユーザー
- ストレージアカウントユーザー
- クラウド データストア ユーザー
-
プロビジョニングプロジェクトの Citrix Cloud サービスアカウントの Cloud Key Management Service (KMS) に必要な追加の権限:
cloudkms.cryptoKeys.get cloudkms.cryptoKeys.list cloudkms.keyRings.get cloudkms.keyRings.list <!--NeedCopy-->以下の Google 定義ロールには、上記にリストされている権限があります。
- コンピュート KMS 閲覧者
一般的な権限
以下は、MCS でサポートされているすべての機能について、プロビジョニングプロジェクトの Citrix Cloud サービスアカウントに対する権限です。これらの権限は、今後の最適な互換性を提供します。
resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
<!--NeedCopy-->
次のステップ
- 初期展開プロセス中の場合は、「マシンカタログの作成」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/install-configure/machine-catalogs-create.html)を参照してください。
- グーグル クラウド プラットフォーム (GCP) 固有の情報については、グーグル クラウド プラットフォーム カタログの作成を参照してください。
詳細情報
- 「接続とリソース」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/manage-deployment/connections.html)
- 「マシンカタログの作成」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/install-configure/machine-catalogs-create.html)